FacebookTwitterLinkedIn

Regulamentul general privind protecția datelor (GDPR) a devenit lege în România încă din 2018. Persoanele fizice și juridice trebuie să respecte principiile, trebuie să-și cunoască drepturile și obligațiile și, într-un context marcat de amenințări cibernetice, să-și protejeze datele.

Având o experiență solidă în domeniul juridic și al protecției datelor cu caracter personal, Oana Solomon, Senior Manager Legal and Data Privacy Vodafone, a vorbit în emisiunea ReINVENTarea României despre ce înseamnă GDPR, care sunt principiile după care trebuie să se ghideze orice operator care prelucrează date, care sunt drepturile persoanelor fizice, dar și cum pot preveni și reacționa oamenii, companiile și instituțiile, în cazul unui atac cibernetic. „Datele despre noi au devenit din ce în ce mai importante și, într-o eră digitală bazată pe algoritmi avansați de prelucrare, am devenit din ce în ce mai expuși și mai previzibili. Individul nu se mai bucură de intimitatea de care are nevoie conform propriilor principii și valori“, a justificat ea necesitatea GDPR.

Întrebată care ar fi o definiție pe care o poate da Regulamentului General privind Protecția Datelor, Oana Solomon, făcând o paralelă cu industria modei, spune că, asemenea unei rochii pe care o alegem în funcție de cât și cum vrem să ne expunem privirilor celorlalți, tot așa procedăm și cu informațiile pe care le facem disponibile public și accesul pe care îl dăm la ele. În contextul în care informațiile au devenit „noul petrol”, interesul pentru colectarea cât mai multor date este din ce în ce mai mare, însă Regulamentul General privind Protecția Datelor intervine tocmai să protejeze indivizii și datele acestora și să reglementeze în cazul operatorilor de date modul în care colectează, accesează, prelucrează și protejează datele.  

Există șase principii GDPR pe care orice organizație care prelucrează date are obligativitatea de a le respecta: legalitatea (existența unui temei legal al prelucrării), echitatea (modul în care se prelucrează datele trebuie să fie rezonabil) și transparența (explicarea clară și accesibilă a temeiului și modului de prelucrare); scopul colectării care trebuie să fie explicit și legitim;  minimizarea datelor (datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate); acuratețea care se referă la exactitatea și actualitatea datelor; limitarea stocării care se referă la păstrarea datelor pe o perioadă necesară îndeplinirii scopului într-un mod care să permită identificarea persoanei; securitatea datelor (securitate adecvata și nivel de protecție împotriva prelucrării ilegale/neautorizate, a distrugerii, pierderii sau deteriorării accidentale (integritate și confidențialitate). „Este important de reținut că cele șase principii sunt cumulative, în sensul în care pentru a vorbi de o prelucrare conformă cu GDPR este necesară îndeplinirea tuturor acestor principii. Bunăoară, chiar dacă avem un temei legal pentru prelucrare, va trebui să ne asigurăm că respectivele date sunt necesare pentru îndeplinirea scopului și, mai important, că putem ajunge la îndeplinirea respectivului scop prin prelucrarea unor date cât mai puțin intruzive. Aici, exemplul clasic este scenariul în care angajatorul prelucrează amprenta angajaților pentru accesul în locațiile de serviciu în baza acordului acestora. Deși, în teorie există o bază legală pentru prelucrare – consimțământul angajaților-, prelucrarea poate contraveni principiului minimizării datelor, în sensul în care utilizarea amprentei pentru accesul în sediu este cel mai probabil excesivă, exceptând situațiile în care, de exemplu, vorbim de angajații unor organizații ca NASA”, a explicat Oana Solomon.

În centrul GDPR se află persoana fizică care beneficiază de o serie de drepturi, la fel de importante ca drepturile și libertățile fundamentale din care rezidă. Vorbim de dreptul de acces la datele prelucrate și la informații care răspund întrebărilor: de ce, ce, cine, cui, către cine, cât timp, de unde, cum mă pot opune etc; dreptul de rectificare a datelor inexacte sau completare, corelat cu principiul acurateții datelor; dreptul de a fi uitat sau de ștergere (datele prelucrate să fie eliminate din baza de date a operatorului); dreptul la restricționare a prelucrării (dacă se contestă exactitatea datelor, ilegalitate, expirarea scopului); portabilitatea datelor (daca se face cu eforturi rezonabile, în mod automat și fără a încălca drepturile și libertățile altora); dreptul la opoziție privind prelucrarea datelor și dreptul de a nu face obiectul unei decizii automatizate/profilare (acesta poate fi însă subiect de accord expres și dă posibilitatea targetării cu oferte comerciale care să răspundă mai bine nevoilor de consum ale utilizatorilor).

Toate aceste drepturi nu sunt absolute însă și, mai important decât drepturile, poate sunt limitele acestora”, mai precizează Oana Solomon. Limitele se împart în generale și speciale. Limitele generale se referă la aspecte care țin de siguranța națională, securitate publică, investigații penale sau drepturi și libertăți ale altor persoane fizice, la lipsa reală a intenției solicitantului de exercitare a dreptului sau când exercitarea este făcută cu rea-credință, în scop șicanator. Limitele speciale se aplică dreptului de acces și celui de opoziție și profilare.

Vedem din ce in ce mai multe cazuri de exercitare a dreptului de opoziție în campaniile de marketing direct din dorința de a limita afluxul de informații. Pe de altă parte, exercitarea acestui drept înseamnă că nu mă pot aștepta de la operatorul meu să primesc proactiv o ofertă mai bună chiar dacă, poate, sunt un client vechi. Și asta pentru că el nu are dreptul să mă targeteze. Pentru client, aceasta situație poate genera frustrare, deși alegerea îi aparține”, mai explică Oana Solomon.  

În contextul actual, în care atacurile informatice devin din ce în ce mai frecvente, asigurarea unei protecții adecvate a datelor este obligatorie. „Impactul dezvăluirii sau furtului datelor pentru un operator care prelucrează date poate fi devastator, pe de o parte pentru că nu va putea folosi datele, ceea ce poate afecta derularea afacerii, iar pe de altă parte din punct de vedere reputațional, adeseori cu consecințe legale și financiare. De aceea, punerea în aplicare a unor strategii de prevenire a pierderii datelor, precum și a unui plan de recuperare a datelor este esențială, prevenția fiind cea mai bună strategie de protecție. Nu în ultimul rând, să învățăm din fiecare atac informatic și să luăm măsuri pentru a preîntâmpina viitoare posibile atacuri este foarte important”, mai punctează Oana Solomon.