un blog de Radu Dumitru

►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄

Un an de GDPR: intenție bună, comunicare slabă, dar foarte necesar în contextul lumii digitale moderne

12 Jun 2019  ·

TEHNOLOGIE  ·

8 comentarii

Pe 25 mai 2019 s-a împlinit un an de la intrarea în vigoare a GDPR-ului, regulamentul general de protecție a datelor, și mă gândeam, privind în urmă acest an, că cei care au gândit GDPR-ul au fost bine intenționați, dar l-au comunicat extrem de slab exact către beneficiarii săi, adică oamenii de rând.

De GDPR era nevoie urgentă. Tot mai multe informații despre noi sunt stocate în baze de date conectate la Internet* și GDPR forțează companiile să aibă grijă de ele și să-ți spună cum folosesc acele date și cui le dau, sub amenințarea unor amenzi mari. This is good.

Ce-a înțeles însă lumea? Că ne va scăpa de spam. Una dintre greșelile comunicării defectuoase.

Spam-ul oricum era anterior reglementat. Cine trimite mesaje nesolicitate oricum folosește o practică semi-îndoielnică de promovare și nu-i va schimba GDPR-ul opinia despre asta. Nu contează însă prea mult, că Gmail separă destul de bine spam-ul și nu mă deranjează atât de tare.

Nu, GDPR este binevenit pentru chestiuni mult mai importante spre cruciale. De exemplu, informațiile despre starea mea de sănătate pot fi accesate online, în contul meu de la spitalul privat unde am abonament, ceea ce nu se întâmpla acum 3-4 ani. Din alte servicii se poate afla pe unde am mers, ce am cumpărat, când voi fi plecat de acasă și unde. ANAF are un spațiu virtual privat unde se pot afla informații despre veniturile și impozitele plătite.

Acum, eu am colesterolul mărit și o ușoară deformație a discurilor L4-L5, ceea ce nu-i ceva de ținut secret. Cred însă că vă puteți închipui diverse scenarii în care alți oameni și-ar dori ca informații precum cele de mai sus să nu ajungă publice, să nu fie date altor companii șamd. În plus, scandalul Cambridge Analytica a arătat cum poate fi influențată opinia publică și intenția de vot pe baza concluziilor trase dintr-un număr mare de like-uri aparent inofensive.

Asta este esența GDPR-ului. Recunoaște că omenirea a ajuns într-o etapă în care datele digitale, disponibile online, se îmbină aproape cu orice aspect al vieții noastre și deci trebuie reglementat modul în care sunt stocate, securizate, utilizate și diseminate aceste informații.

Din acest motiv spun că este crucial pentru viitor. Cineva trebuie să se asigure că orice companie, mică sau mare, gestionează așa cum trebuie aceste informații despre persoanele fizice, că nu le sacrifică în goana după profit.

De ce spun că a fost foarte slab comunicat? Pentru că, un an mai târziu, încă există foarte multă confuzie în domeniu. Un ghid de conformitate cu legislația, făcut chiar de Canon**, include câteva statistici îngrijorătoare dintr-un studiu IDC: 62% dintre oameni nu știu dacă GDPR se aplică și documentelor imprimate (se aplică!); 40% nu știu exact ce-i GDPR-ul. O estimare făcută de Gartner spune că 50% dintre companii nu au reușit să asigure conformitatea integrală cu GDPR.

Apropo, dacă lucrați în domeniul IT/securitate/banking/start-ups sau pur și simplu sunteți curioși, descărcați și citiți acest ghid. Are 20 de pagini și vorbește despre GDPR în special în contextul altor transformări importante din acești ani, precum modificările introduse în lumea bancară de către a doua directivă privind sistemele de plată (PSD2), cea care rupe monopolul băncilor în privința gestiunii banilor și duce la explozia (în bine) a domeniului FinTech, cu tot diverse start-up-uri și aplicații ce-ți pot gestiona finanțele mult mai bine, exemple bune fiind Revolut, Tink și alții ce nu sunt “bănci”.

Ghidul vorbește și despre standardul ISO 27002 privind securitatea informațiilor și despre standardul PCI-DSS de securitate ce trebuie respectat de toate companiile care prelucrează, stochează sau transmit date despre carduri bancare și titularii săi trebuie să-l respecte. Asta afectează instituțiile financiare, procesatorii de plăți și deci toate companiile care lucrează cu/prin aceștia. Mi s-a părut bun un punct ridicat acolo: ai securizat datele, ai micșorat riscurile, te protejezi de hacking. OK, dar din interiorul companiei poate vedea oricine datele titularului cardului sau ai restricționat accesul doar acelor funcții sau oameni ce chiar lucrează cu acele date?

Nu de alta, dar dacă un angajat nemulțumit fură și vinde baza de date cu numerele de card ale clienților și aceștia sunt victimele unor fraude bancare sau, în cel mai bun caz, trebuie doar să-și schimbe cardurile, vei avea o mulțime de clienți nemulțumiți și furioși.

Acestea sunt genul de cerințe care, mai ales având în vedere câte lucruri se stochează acum în mod digital, fac necesar GDPR-ul.

Prin slaba comunicare, însă, acesta a ajuns să fie mai degrabă asociat cu site-urile web și necesitatea de a apăsa sau nu un buton de Accept la accesarea acestora. Oamenii se gândesc de obicei la cookie-uri și reclame, deși acestea sunt printre cele mai puțin importante date personale despre noi, în comparație cu cele ce ți-ar putea pierde banii sau jobul. Și totuși, GDPR-ul este văzut ca ceva ce ne-a complicat inutil experiența; beneficiile sale n-au fost clar mediatizate.

Dacă cei ce l-au făcut nu au comunicat prea bine avantajele, mă bucur că măcar au prevăzut amenzi mari, de până la 4% sau 20 de milioane de euro din cifra de afaceri a unei companii. Mi se par sume ce nu pot fi ignorate de către o companie mică sau mare și acesta este motivul pentru care persoanele juridice trebuie să ia în serios GDPR-ul.

Eu personal cred că efortul din ultimii ani al companiilor de a se conforma GDPR (și încă mai e de muncă) ne-a scutit deja de multe leak-uri și hacking-uri. Nu vom ști niciodată câte, dar hackingul pare a fi un fenomen de amploare tot mai mare și mă bucur că Uniunea Europeană a forțat companiile să ne protejeze mai bine.

*GDPR-ul, apropo, se aplică și datelor care nu sunt păstrate digital sau online. Dacă ții totul scris de pix în caiete studențești, tot trebuie să le păstrezi și protejezi adecvat, conform legii. Cea mai importantă diferență este că protecția unor date stocate exclusiv pe hârtie este mult mai simplă și ieftină. Nimeni important nu mai face asta, desigur, dar o zic ca fapt divers.

**Și dacă vă întrebați de ce face Canon ghiduri despre GDPR, este pentru că divizia lor de imprimante și multifuncționale lucrează, până la urmă, cu toate tipurile de companii și apare deci nevoie de a oferi soluții de securitate în contextul directivei. Au diverse soluții, de la imprimare securizate, blocarea scanării, watermark-uri automate, semnături digitale, ștergerea datelor șamd.

sursa foto: birou aglomerat cu angajați, de pe Shutterstock / monkey business.

    8 comentarii

  1. Gdpr în realitate e doar o rechineala de la firmele de consultanta sa facă tone de bani din nimic.

    Gdpr a stricat browsing experience

      (Citează)

  2. Pot sa confirm ca GDPR a fost prost inteles de lume. Lucrez in domeniul financiar si zilnic imi vin solicitari stupide de la clienti pe spete de prelucrare a datelor cu caracter personal (mai ales pe chestii legate de biroul de credit). Eh, problema e ca trebuie sa raspundem acestor solicitari, indiferent ca sunt stupide, neintemeiate etc. ceea ce duce la mult timp neproductiv.

    Au auzit si ei ca pot sa se opuna prelucrarii datelor sau pot cere stergere si dau cu copy paste text din regulament…si se asteapta la minuni

      (Citează)

  3. Cred că unul dintre punctele importante aduse de GDPR este includerea angajaților în rândul persoanelor vizate. Monitorizarea angajaților cu sau fără temei, de la banalul GPS pe mașinile angajaților, până la tot felul de softuri de monitorizare, erau o formă de abuz destul de răspândit. Și mai erau și alte forme de abuz cu datele angajaților.

      (Citează)

    • Ce zici tu acolo se intampla si acum, numai ca angajatul a fost pus sa semneze o hartie cum ca e deacord sa fie monitorizat, filmat etc

        (Citează)

    • Au disparut o parte din metodele de supraveghere excesiva, dar intradevar nu sunt mai diferente.

      De exemplu in anumite cazuri semnezi ca esti de acord cu supravegherea video, dar nu mai exista si supraveghere audio (daca angajatorul nu poate prezenta un temei rezonabil pentru asta).

        (Citează)

  4. Alex:
    Ce zici tu acolo se intampla si acum, numai ca angajatul a fost pus sa semneze o hartie cum ca e deacord sa fie monitorizat, filmat etc

    Semnătura aia este fix pix ;) În cazul unui litigiu, absența unui alt temei legal decât consimțământul este considerată culpă a companiei și poate fi amendată. În relația angajat-angajator, consimțământul este de evitat, deoarece se consideră din start că este unul viciat datorită diferenței de „forță” între părți.

      (Citează)

  5. Mihai:
    Gdpr în realitate e doar o rechineala de la firmele de consultanta sa facă tone de bani din nimic.

    Gdpr a stricat browsing experience

    Ai partial dreptate. A ajuns o rechineala pentru ca lumea nu a avut chef sa se documenteze si sa isi dea seama ce trebuie sa faca. Si da, a stricat browsing experience. Dar astea sunt doar la suprafata. Majoritatea lucrarilor efectuate nu sunt vizibile pentru client si e greu de comunicat beneficiul final. Multe companii chiar au securizat f serios datele si s-au oprit din prelucrarea datelor si utilizarea lor in segmentari si micro personalizari fara acord explicit.

      (Citează)

  6. Experienta mea: am reclamat Apple la institutiile statului ca imi trimitea spam de rahat sa cumpar icloud-ul lor, dupa ce mi-am suspendat contul. Raspunsul lor: sa trimit dovada ca am suspendat, asta dupa ce am atasat mailuri de discutii cu Apple si in conditiile in care suspendare se face pe web fara o confirmare pe mail, ca deh, Apple.

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus