TOP LEGAL
Print Friendly, PDF & Email

Andrei Săvescu: Scopul GDPR este să fie pedepsiți cei care sar calul, nu cei care trag la căruță
05.07.2019 | Marius DUMITRESCU


Cyberlaw - Valoarea legala a documentelor electronice
Marius Dumitrescu

Marius Dumitrescu

Andrei Săvescu

Andrei Săvescu

Marius Dumitrescu: Scopul GDPR nu este de a da amenzi, ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului, doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți că aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

Andrei Săvescu: O reglementare europeană de care au auzit peste două treimi dintre oameni iar peste o treime știu ce este ea mi se pare foarte mult. Nu cred că există o altă reglementare atât de cunoscută. Probabil că nici măcar Legea 31/1990 nu este cunoscută în România la un asemenea nivel, prin raportare la întreaga populație. În termeni relativi, conștientizarea GDPR este foarte bună, dar în termeni absoluți într-adevăr nu. În ce privește conștientizarea la nivelul instituțiilor și mediului de afaceri, sunt convins că nivelul de conștientizare este foarte ridicat, aproape de 100%. 

Marius Dumitrescu: Care credeți că vor fi consecințele acestei lipse de conștientizare a importanței datelor în rândul persoanelor, pe termen lung?

Andrei Săvescu: Conștientizarea importanței datelor cu caracter personal este relativ scăzută la nivelul publicului larg, deoarece datele cu caracter personal au o importanță mică, pentru fiecare persoană în parte. Oamenii trebuie să fie cunoscuți, ei chiar vor să fie cunoscuți, este foarte normal să fie cunoscuți. De fapt, nici nu este normal să acționăm în societate cu un fel de cagulă. Datele cu caracter personal sunt importante când sunt foarte multe, datele unui număr mare de persoane. Ele sunt importante pentru organizații. Cu alte cuvinte, există o foarte mare diferență între importanța datelor cu caracter personal ale unei anumite persoane și importanța unui volum mare de date, ale unui număr mare de persoane. Această diferență la nivelul importanței datelor cu caracter personal este cauza diferenței de conștientizare: persoanele fizice au o conștientizare mai scăzută pe bună dreptate, pentru fiecare în parte datele cu caracter personal au o importanță mică.

Marius Dumitrescu: Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Andrei Săvescu: Conștientizarea drepturilor protejate de GDPR este mai mare decât conștientizarea GDPR. Această împrejurare a fost evidențiată și de sondajul Eurobarometru la care v-ați referit. Protejarea drepturilor persoanelor se realiza și înainte de GDPR, prin mijloace de drept civil. Într-adevăr, înainte de GDPR protejarea drepturilor se realiza atunci când persoanele erau deranjate de încălcarea drepturilor lor. GDPR a adus un element de noutate foarte spectaculos: informarea detaliată, clară și quasi-permanentă a persoanelor vizate cu privire la drepturile lor și cu privire la scopurile și modalitățile în care se realizează prelucrarea datelor lor cu caracter personal. Această încurajare a persoanelor vizate este necesară tocmai din pricina dezinteresului imanent în ce privește fiecare persoană în parte. Uniunea Europeană desfășoară și încurajează o campanie de sensibilizare cu privire la protecția datelor cu caracter personal.

Marius Dumitrescu: Care credeți că ar fi cea mai scurtă cale spre creșterea gradului de conștientizare și complianță GDPR: educarea persoanelor sau educarea operatorilor? 

Andrei Săvescu: Operatorii se educă singuri. Instituțiile și companiile pot fi suspectate de multe lucruri rele, însă în realitate greșesc destul de puțin, pentru că ele reprezintă partea activă, dinamică și totodată stabilă, solidă a oricărei societăți. Conștientizarea GDPR și creșterea nivelului de complianță, ca să ne exprimăm barbar, trebuie să vină de la persoanele vizate. Cred că aceasta este calea cea mai bună. Oamenii ar trebui să citească politicile de confidențialitate și să împărtășească doar datele necesare sau pe care doresc să le împărtășească. Educarea persoanelor vizate cred că este calea cea mai bună și totodată cea mai scurtă. Pe de altă parte, cred că acesta este spiritul GDPR: protejarea persoanelor fizice, nu chinuirea operatorilor.

Marius Dumitrescu: În România, până în acest moment, nu prea s-au dat amenzi pentru nerespectarea GDPR, deși autoritatea a condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experiența dumneavoastră practică, cei mai mulți operatori se conformează cu GDPR din responsabilitate sau de frica amenzilor?

Andrei Săvescu: Prin GDPR, Uniunea Europeană încearcă să pună presiune pe operatori, dar prin intermediul cetățenilor, nu prin intermediul Autorităților. Datele personale conferă o anumită putere (comercială) celui care le deține. Transparența este dușmanul puterii în această privință, căci puterea nu are nevoie de transparență, dimpotrivă, preferă să fie ocultă. Autoritatea națională din România a sesizat foarte bine orientarea reglementării europene. Scopul GDPR este să fie pedepsiți cei care sar calul, nu cei care trag la căruță. Potrivit experienței mele, operatorii sunt preocupați de conformarea GDPR. În calitate de consultanți, noi, avocații, răspundem în fiecare zi întrebărilor clienților, atât managementului cât și responsabililor cu protecția datelor. Este adevărat că există o teamă de amenzi, însă nu am sentimentul că acesta este motivul determinant, ci unul mult mai subtil și mult mai frumos, determinat de faptul că GDPR încurajează, la nivelul operatorilor, o dorință esențială și foarte pozitivă pentru afaceri: dorința de a fi ordine.

Marius Dumitrescu: Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce riscă operatorii privați.

Andrei Săvescu: Da, cred că instituțiile publice ar trebui să fie un exemplu de conformare GDPR. De altfel, am sesizat o preocupare constantă la nivel legislativ de a impune instituțiilor conformarea, prin trimiterea la GDPR în numeroase acte normative noi provenind de la Guvern. Fără îndoială că la nivelul instituțiilor conformarea GDPR este mai dificilă, dar asta în principal din pricina constrângerilor bugetare, nu din rea-voință. Pe de altă parte, la nivelul instituțiilor, o eventuală amendă ar putea fi catastrofală pentru persoanele vinovate, atunci când va sosi Curtea de Conturi…

Marius Dumitrescu: Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale Uniuni Europene, 86% dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați că ar trebui să se comporte un utilizator de internet, dacă ar fi vorba de riscurile pe care internetul le ascunde?

Andrei Săvescu: Chiar dacă ar cunoaște toate riscurile, cred că utilizatorii de Internet s-ar comporta cam la fel. Pericolele pot fi evitate doar prin inacțiune, ceea ce este în realitate imposibil. De Internet doar moartea ne va despărți. GDPR există tocmai pentru ca persoanele să poată să reclame încălcarea drepturilor lor, apoi intervin autoritățile.

Marius Dumitrescu: Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind accesul la internet al copiilor ar trebui să fie o sarcină a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

Andrei Săvescu: Încă nu înțelegem foarte bine impactul Internetului asupra copiilor. Internetul are un impact devastator asupra copiilor, din perspectiva noastră. Însă din perspectiva lor, a celor care vor trăi în viitor, probabil că lucrurile nu sunt deloc dramatice. Internetul este o realitate virtuală, însă este la fel de real ca orice altceva. Cred că societatea viitorul va fi diferită destul de mult de realitatea de ieri, probabil că nu va mai fi atât de socială și va fi mult mai cibernetică. În ce privește educația privind accesul la Internet al copiilor, cred că sistemul de învățământ o să aibă un rol mai important decât părinții, întrucât educația făcută de profesioniști este mai bună decât educația făcută de amatori, părinții sunt educatori amatori. Pe de altă parte, este mai presus de orice îndoială că părinții sunt mai importanți decât sistemul de învățământ, pentru că iubirea este mai importantă decât educația. Tehnologiile software permit un control parental avansat, în așa fel încât părinții să-și poată proteja copiii, cu iubire și multă atenție. Însă utilizarea controlului parental este ea însăși dificilă, întrucât necesită deprinderi tehnice și un discernământ bine antrenat cu privire la pericolele Internetului. Cred însă că lucrurile vor merge din ce în ce mai bine, părinții tineri sunt mult mai pricepuți, astfel încât iubirea și priceperea lor vor putea, în măsură din ce în ce mai mare, să protejeze și să orienteze copiii.

Marius Dumitrescu: Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă? 

Andrei Săvescu: Oamenii oricum își fac publice date cu caracter personal, iar dacă sunt și plătiți pentru asta e foarte bine. Cred că direcția este una corectă, în măsura în care oamenii sunt conștienți de faptele lor și de efectele faptelor lor. Împrejurarea că oamenii nu sunt mereu foarte conștienți nu înseamnă că ar trebui oprit orice lucru care se face cu un nivel scăzut de conștientizare, căci altminteri ar trebui să ne gândim și la restricții cu privire la mersul pe jos, care nici el nu se bucură de un nivel înalt de conștientizare.

Marius Dumitrescu: Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR și până în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15.400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi românii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

Andrei Săvescu: Orice sistem informatic este penetrabil. Câtă vreme vom utiliza protocoalele TCP, computerele vor fi penetrate. Diferența de expunere se situează la nivelul costurilor pentru realizarea penetrării. Prin urmare, penetrarea se va face atunci când este suficient de rentabilă. Cred că măsurile de securitate informatică sunt foarte importante, dar nu pentru că ar face imposibil furtul datelor cu caracter personal, ci pentru că măresc costurile care ar trebui făcute de cel care vizează aceste date. Acest mecanism cibernetic nu este însă specific atacurilor vizând datele cu caracter personal, ci este general, pentru orice informații ne-publice ale unei organizații. De aceea, unele organizații neglijează securitatea cibernetică, iar altele îi acordă o atenție specială. Importanța acordată de o organizație securității cibernetice nu este determinată de importanța datelor cu caracter personal, ci de importanța informațiilor ne-publice ale organizației. Organizațiile ar trebui să acorde o importanță specială protecției informațiilor în general, întrucât ele trebuie să protejeze informații cu mult mai importante decât cele care privesc datele cu caracter personal. Așa se și întâmplă în realitate: protecția informatică a datelor cu caracter personal este exact la nivelul la care se află protecția informatică a organizației. Din această perspectivă, GDPR are un rol social foarte pozitiv, întrucât cu ocazia demersurilor pentru protecția datelor cu caracter personal, organizațiile vor asigura și protecția generală a informațiilor pe care le gestionează.

Marius Dumitrescu: Identificarea riscurilor este unul din cei mai importanți pași spre complianța GDPR. Dar dacă noi nu reușim să identificam nici breșele, cum am putea identifica riscurile?

Andrei Săvescu: Riscurile cu privire la protecția datelor cu caracter personal au o sferă mai largă decât riscurile informatice. Cel mai frecvent breșele sunt mai mari decât riscurile, pentru că nu există interes pentru exploatarea breșelor.

Marius Dumitrescu: A trecut un an de la intrarea în vigoare a GDPR. Ce s-a schimbat în decursul acestui an?

Andrei Săvescu: Cea mai importantă schimbare este creșterea numărului de specialiști. Această schimbare este foarte pozitivă. GDPR este mult mai cunoscut, el constituie o preocupare constantă pentru operatori, ceea ce a determinat creșterea numărului de specialiști. Acest trend cred că se va menține, și este foarte bine că va fi așa. O altă schimbare este scăderea fricii. Acum un an, frica era cauza unor reacții exagerate din partea operatorilor, reacții de natură să împiedice funcționarea normală a organizației. Acum un an, operatorii aveau tendința să sufle în iaurt. În acest moment lucrurile sunt mai așezate, iar GDPR produce efectul vizat, acela de generator de ordine în activitate. Și această schimbare mi se pare foarte bună.

Marius Dumitrescu: Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări? Ce măsuri au fost luate până în prezent?

Andrei Săvescu: Securitatea rețelelor și sistemelor informatice este o provocare pentru că necesită costuri mari, pricinuite de necesitatea utilizării unor echipamente scumpe și de necesitatea implicării unor oameni foarte calificați și foarte inteligenți, deci puțini, deci scumpi. Securitatea informatică este poziționată în zone stratosferice ale intelectului uman. Cauza dificultăților nu poate fi eliminată, pentru că adevărata cauză este modul în care a fost conceput Internetul. O schimbare a mecanicii intime a Internetului ar rezolva problemele legate de securitatea sistemelor informatice, însă probabil că asta nu se va întâmpla în curând, din pricină că problemele de securitate sunt, pentru organizații relevante, fructuoase. Prin urmare, cred că preocuparea pentru securitatea sistemelor informatice trebuie să fie în continuare susținută.

Marius Dumitrescu: Cine credeți ca ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Andrei Săvescu: Am observat că Autoritatea Națională are o foarte bună implicare în diseminarea informațiilor privind protecția datelor cu caracter personal, atât în nume propriu, cât și prin sprijinirea inițiativelor în acest sens ale instituțiilor, ONG-urilor și chiar ale agenților economici. Cred că ONG-urile, așa cum este cel pe care îl conduceți, Asociația Specialiștilor în Confidențialitate și Protecția Datelor, pot face lucruri frumoase, și chiar fac. Protecția datelor cu caracter personal merită toată atenția care îi este deja acordată, și chiar mai mult.

Marius Dumitrescu: Vă mulțumesc.

Andrei Săvescu: Vă mulțumesc și eu pentru atenția pe care mi-ați acordat-o adresându-mi aceste întrebări și vă doresc mult succes în activitatea dumneavoastră, pe care o apreciez în mod special!

Newsletter JURIDICE.ro
Youtube JURIDICE.ro
Instagram JURIDICE.ro
Facebook JURIDICE.ro
LinkedIn JURIDICE.ro

Aflaţi mai mult despre , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. JURIDICE.ro este o platformă de exprimare. Pentru a publica vă rugăm să citiţi Condiţiile de publicare şi să ne scrieţi la adresa redactie@juridice.ro!

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereEvenimenteProfesioniştiRLWCorporate