Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

Protecția datelor cu caracter personal este despre încredere
10.02.2022 | Adriana NEAGU

Secţiuni: Articole, Cyberlaw, Data protection, Selected
JURIDICE - In Law We Trust
Adriana Neagu

Adriana Neagu

De la începuturi tehnologia a fost atât problema, cât și soluția. Primele propuneri de legi pan-europene în domeniul protecției datelor cu caracter personal au fost un răspuns la evoluțiile tehnologice, în timp ce punerea în aplicare a Regulamentul general privind protecția datelor (în continuare „GDPR”) este rezultatul final. Cu alte cuvinte, tehnologia este principala problemă pe care protecția datelor cu caracter personal urmărește să o rezolve, însă una dintre dificultățile majore cu care se confruntă organizațiile este faptul că, înainte de apariția GDPR, sistemele lor nu au fost proiectate să asigure această protecție încă de la momentul conceperii așa cum este prevăzut în art. 25 GDPR (în continuare „Privacy by design”).

Pe lângă dificultățile de ordin administrativ sau tehnic, mediul în care activam astăzi este (aș fi scris în continuă schimbare, însă este mai mult decât atât) într-un proces continuu de dezagregare și re-agregare într-o formă diferită. Cea de a patra revoluție industrială aduce cu sine provocări din cele mai diverse, respectiv de securitate cibernetică, protecție a vieții private și a datelor cu caracter personal, redistribuirea și recalificarea forței de muncă,  implementarea și adaptarea la noi tehnologii, etc.

În ceea ce privește protecția vieții private și a datelor cu caracter personal, suntem și vom continua să fim pe o panta ascendentă atât în ceea ce privește conștientizarea la nivelul omului obișnuit, cât și în ceea ce privește dezvoltarea culturii organizaționale care, în perioada următoare, trebuie canalizată în direcția consolidării în viața de zi cu zi a organizației a practicilor sănătoase de protecție a datelor atât de necesare pentru ca respectiva organizație să câștige încrederea parților interesate (clienți, furnizori, acționari, autorități de reglementare, etc).

Poate ne este mai ușor să învățam din experiențele nefericite ale altora. Luna trecută, autoritatea de supraveghere din Finlanda a aplicat VASTAAMO o amendă de 608.000 euro, însă aceasta nu este nici pe departe cea mai mare problemă a acestei organizații.

În urma cu un an, în februarie 2021, Vastaamo, cea mai mare rețea de furnizori privați de sănătate mintală din Finlanda, a intrat în insolventă ca urmare a unei breșe de securitate ce poate fi numită catastrofică.

Principalele constatări ale autorității includ următoarele: „Vastaamo și-a neglijat îndatoririle legate de prelucrarea în siguranță a datelor cu caracter personal, precum și de raportarea unei breșe de securitate. […] trebuie să fi conștientizat că datele pacienților au dispărut și că este posibil să fi ajuns în posesia unui atacator extern încă martie 2019. Vastaamo ar fi trebuit să raporteze încălcarea atât autorității de supraveghere, cât și clienților săi fără întârziere. […] nu a implementat măsuri de bază pentru a asigura prelucrarea în siguranță a datelor cu caracter personal […].”

Ce s-a întâmplat în fapt? Conform informațiilor disponibile în spațiul public, datele a aproximativ 36.000 de pacienți și 400 angajați/colaboratori au fost furate. Datele afectate includ date de contact, date de identificare, note de terapie, diagnostice medicale. Hackerii au început prin a șantaja Vastaamo și, apoi, după ce organizația nu a plătit răscumpărarea cerută, au început să șantajeze pacienții. Aproximativ 25.000 de plângeri au fost înaintate poliției finlandeze. Hackerii au început prin a publica pe dark web datele a 300 de persoane, dar, în final, întreaga bază de date a fost publicata pe dark web (apoi datele au fost șterse, doar ca sa reapară la începutul anului 2021).

Mai subliniez încă un element doar pentru a înțelege mai în profunzime impactul, cel puțin o persoană s-a oferit să plătească hackerilor întreaga recompensa solicitată în valoare de 40 bitcoini (la vremea respectivă aproximativ jumătate de milion de dolari) ca să nu publice datele, în timp ce articole de presa menționează că fișierele publicate includ și detalii foarte private, cum ar fi tentative de sinucidere, relații adultere.

Ca urmare a celor petrecute, în Finlanda a fost adoptată o lege care permite persoanelor afectate de breșe de securitate grave să-și schimbe numerele unice de identificare.

Vastaamo este un caz extrem atât în ceea ce privește lipsa de diligentă în a respecta art. 32 GDPR, cât și în ceea ce privește consecințele breșei asupra persoanelor vizate și asupra societății, dar asta nu înseamnă că atacuri similare nu vor viza oricare alta organizație, chiar dacă masuri tehnice și organizatorice mai eficiente sunt deja implementate.

Conform raportului publicat în ianuarie 2022 de DLA Piper denumit „DLA Piper GDPR fines and data breach survey 2022”, din 28 ianuarie 2021, în EEA și Marea Britanie au existat peste 130.000 breșe de securitate notificate autorităților de reglementare, ceea ce reprezintă o medie 356 pe zi. Se observa o creștere cu 8% față de media zilnică a anul trecut (331 de notificări pe zi).

Dincolo de lucrurile pe care le pot face organizațiile, mediul în care activam cu toții și provocările de securitate cu care ne confruntam devin din ce în ce mai complexe.

Pandemia de Covid-19 a forțat avansul digitalizării într-un ritm și la un nivel fără precedent, împingând adoptarea la scară largă a tehnologiei pentru a desfășura o serie întreaga de activități în mediul online, în tot sau în parte, începând cu activități de administrare a infrastructurii pana la lucrul de la domiciliu și învățământul la distanță.

În 2018, Cameron F. Kerry, în lucrarea sa „De ce protecția vieții private este un joc pierdut astăzi și cum să schimbăm jocul” concluzionează că „În ziua de azi aproape fiecare aspect al vieții noastre este în mâinile unei terțe părți undeva. […] Big Bang-ul informațional dublează volumul de informații digitale din lume la fiecare doi ani.”

Această rată de multiplicare a informațiilor a fost valabilă în 2018, când lucrarea sa a fost publicată, în timp ce astăzi tehnologia și inteligența artificială avansează cu o viteză fără precedent. Forța transformare a acestei perioade este uriașă, dar și amenințările sunt pe măsură. Răufăcătorii par a fi mai bine pregătiți să se adapteze și /sau să reacționeze la schimbări bruște, în timp ce „piața neagră” a tehnologiei devine din ce în ce mai sofisticată, punând instrumente foarte puternice la dispoziția oamenilor obișnuiți.

Atacurile de tip ransomware rămân larg răspândite cu consecințe costisitoare. Conform raportului pe care ENISA il realizează anual denumit ”Threat Landscape”, câștigul financiar este principala motivație a atacurilor. În timpul unui atac de tip ransomware, infrastructura cheie este adesea vizată pentru a paraliza organizația, provocând incapacitatea de a furniza servicii adecvate și de a derula operațiuni interne.

Breșele de securitate rezultate din acțiuni rău intenționate costă mai mult. În medie 1,85 milioane de dolari conform raportului realizat de Sophos denumit „The State of Ransomware 2021”. Aceasta estimare acoperă timpul de nefuncționare, resursa umană alocata, costul dispozitivelor, costul remedierii, oportunitățile pierdute, răscumpărarea plătită.

Însă, în același timp, un cost considerabil este atașat breșelor cauzate de defecțiuni ale sistemelor și factorului uman. Impactul financiar al unei breșe de securitate se extinde pe mulți ani, în medie 2 ani după incidentul inițial.

Asigurarea de securitate cibernetică devine nesustenabilă, deoarece răscumpărările vor crește în valoare și în număr. Impactul este circular, în timp ce organizațiile sunt dispuse să plătească răscumpărarea deoarece au asigurare, răscumpărarea solicitata crește în valoare  și, în același timp, costul poliței de asigurare va creste.

Este șantajarea persoanelor vizate o tendință? Da, este, conform constatărilor pe care le face ENISA.  Și nu este singura tactica folosita de hackeri. Alte tactici menite să pună presiune asupra victimelor atacului de tip ransomware-ului sunt: contactarea jurnaliștilor, contactarea partenerilor de afaceri, investitorilor, membrilor consiliului de administrație, hărțuirea angajaților, etc.

Trecând de la aspectele tehnice de securitate cibernetică la percepția unei persoane obișnuite, în 2019 Comisia Europeană a derulat un eurobarometru cu scopul de a înțelege gradul de conștientizare, experiențele și percepția cetățenilor UE cu privire la securitatea cibernetică. Una din concluziile acestuia este ca preocupările legate de confidențialitatea și securitatea online au determinat mai mult de 9 din 10 utilizatori de internet să își schimbe comportamentul online (de exemplu, instalând antivirus, vizitând numai site-uri web cunoscute și de încredere).

Pentru a prospera într-un asemenea context în care amenințările sunt la fel de mari care oportunitățile, unde așteptările persoanelor vizate ca datele lor să fie folosite în mod echitabil prind din ce în ce mai mult contur, ORGANIZAȚIILE TREBUIE SĂ CONSTRUIASCĂ ÎNCREDEREA ÎN PROPRIILE POLITICI DE PROTECȚIE A DATELOR.

Uneori acesta va fi principalul diferențiator între o afacere care va continua și una al cărei parcurs se va opri brusc după ce a suferit o breșa importantă de securitate.

Încrederea se construiește folosind instrumente cu vizibilitate directa în exterior, dar baza creării încrederii în respectiva organizație o reprezintă încorporarea principiului ”Privacy by design” în toate activitățile.

Între instrumente cu vizibilitate directă în exterior regăsim: transparența în toate formele ei, facilitarea controlului de către persoanele vizate asupra propriilor date, aderarea la coduri de conduita (dacă acestea există).

Transparenta în cazul unei breșe de securitate este esențială.

Echipa de răspuns la un incident are multe de rezolvat, cum ar fi oprirea atacului (dacă este vorba despre un atac) limitarea consecințelor, restaurarea sistemelor/datelor, comunicarea intern și extern, notificarea autorității de supraveghere și lista de lucruri de făcut poate continua.

În toată această vâltoare a evenimentelor nu ar trebui să uităm elementul cel mai important, respectiv persoanele vizate. Comunicarea în timp util cu acestea – permițându-le să își protejeze conturile, să-și schimbe parole, să-și anunțe ceilalți furnizori sau clienți și orice alte acțiuni care să limiteze impactul – este una dintre cărămizile importante de pus la temelia încrederii.

De cele mai multe ori identificarea persoanelor vizate de un incident nu este o treabă ușoară, în timp ce comunicarea cu aceștia este cu atât mai grea cu cât apar unele probleme operaționale precum: număr mare de persoane vizate, timp limitat, capacitate organizațională limitată, limitări ale sistemului informatic utilizat, etc.

Comunicarea externă este una dintre părțile cele mai greu de abordat atunci când apare o breșa de securitate, deoarece organizația va fi reticentă să pună și mai mult accent pe o astfel de chestiune ce ii poate afecta negativ reputația.

Cu toate acestea, abordarea persoanelor vizate foarte devreme în proces permite acestora să-și protejeze drepturile, conturile, proprietățile și, în cazuri extreme, viața, însă, mai are un efect important (pe care l-aș numi psihologic) creează încrederea că respectiva organizație prelucrează datele cu caracter personal într-un mod responsabil și are capacitatea de a face fată respectivei breșe de securitate.

Mai mult, într-o asemenea situație este recomandată stabilirea unui canal direct și continuu de comunicare cu persoanele vizate. Aceasta abordare aduce o serie de avantaje organizației: previne unele dintre plângerile ulterioare, este o modalitate de a aduna chiar mai multe informații cu privire la toate ramificațiile breșei (cum ar fi orice cereri de răscumpărare) și posibilele consecințe ale acesteia care scapă analizei inițiale făcută de organizație datorita lipsei de vizibilitate.

PRIVACY BY DESIGN AR TREBUI SĂ FIE ÎNCORPORAT ÎN FIECARE PROCES/ PROIECT ÎNAINTE CA O BREȘĂ DE SECURITATE SĂ APARĂ

Pe scurt, acest principiu impune organizației să se gândească la aspectele legate de protecția datelor și de securitate cibernetică încă de la momentul inițierii proiectului/procesului/fluxului, cu scopul de a se asigura că drepturile și libertățile persoanelor vizate și principiile protecției datelor cu caracter personal sunt respectate.

Principala provocare cu care se confruntă multe organizații este ca sistemele existente înainte de GDPR nu erau proiectate în considerarea Privacy by design și nu sunt capabile să ofere pe deplin funcționalitățile și informațiile necesare pentru a permite protecția drepturilor persoanelor vizate.

Adaptarea acestor sisteme implică multă muncă și alocarea unor resurse importante, prin urmare, unele organizații sunt încă în proces de adaptare astăzi. Acestea din urmă sunt și cele mai expuse actelor rău intenționate și mai predispuse să plătească răscumpărarea atunci când aceasta este cerută.

Nu voi dezvolta în continuare principiile fundamentale așa cum au fost definite de Ann Cavoukian, deoarece scopul acestui exercițiu nu este acela de a face o radiografie a aspectelor tehnice, ci de a consolida ideea că cel mai bun instrument pentru a construi încrederea în organizație chiar și atunci când aceasta se confrunta cu breșe de securitate este așezarea în fruntea listei de priorități a Privacy by design. Pentru aceasta trebuie dezvoltat unui proces intern eficace menit să asigure examinarea fiecărui proiect sau proces din perspectiva protecției datelor cu caracter personal.

În acest mod problemele potențiale sunt identificate și adresate de la început, iar abordarea acestora se va face într-o modalitate mai simplă și mai directă,cu un cost mult mai scăzut în comparație cu adaptarea unui sistem deja existent. În plus, probabilitatea ca activitățile de prelucrare să fie invazive și să aibă un impact negativ major asupra persoanelor vizate scade substanțial. Cu alte cuvine, proactiv este mult mai eficient decât reactiv.

Pentru a putea implementa în mod eficient acest principiu organizația trebuie să fie familiarizată cu modul în care funcționează tehnologia pe care o folosește. Din punct de vedere tehnic, pentru a avea siguranța ca principiile și cerințele protecției datelor sunt pe deplin luate în considerare într-un proiect/proces, există 6 obiective care trebuie atinse respectiv confidențialitatea, integritatea, disponibilitatea deconectarea, transparența, intervenabilitatea. Ponderea acestora este diferita în funcție de specificul activități la care se refera.

În mod tradițional, au fost luate în considerare cele trei obiective derivate din securitatea cibernetică, respectiv confidențialitatea, integritatea  și disponibilitatea, însă aceste obiective vizează riscuri precum protejarea împotriva accesului neautorizat sau a modificări/deteriorării datelor, însă există multe alte riscuri care nu sunt vizate de acestea precum colectarea excesivă a datelor, discriminare/părtiniri în deciziile automate, profilare invazivă. Prin urmare, au fost definite alte trei obiective care împreuna cu cele deja existente să adreseze întreaga paletă de riscuri. Pentru atingerea acestor obiective se vor folosi o serie de instrumente precum modele, strategii și tehnologii de creștere a confidențialității (în engleză PETs.) Totodată, Ghidul Comitetul european pentru protecția datelor (în engleză European Data Protection Board) detaliază și elementele cheie ce trebuie urmărite pentru a asigurarea respectarea fiecăruia dintre principiile prevăzute în articolul 5 GDPR.

Privacy by design este cu atât mai important cu cât perturbarea adusă de adoptarea pe scară largă a instrumentelor de inteligența artificială va atinge într-un mod sau altul fiecare organizație, iar lipsa unei culturi solide de protecție a datelor cu caracter personal va afecta semnificativ posibilitatea utilizării cu succes a acestor instrumente de inteligenta artificială în activitatea curentă.

Pe termen lung, concomitent cu avansul digitalizării, organizațiile care nu vor reuși să asigure încorporarea principilor de protecție a datelor în activitatea lor curentă vor dispărea.

Av. Adriana Neagu, FIP, CIPP/E, CIPM

Cuvinte cheie: , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

Autori JURIDICE.ro
Juristi
JURIDICE pentru studenti
JURIDICE NEXT









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

↑  Înapoi în partea de sus a paginii  ↑

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti