În aceste zile foarte multe organizații percep GDPR ca un vârtej din ce în ce mai mare și mai amenințător. Dimensiunea, complexitatea și diversitatea măsurilor de luat sunt deseori încețoșate și de lipsa aparentă a unei logici care ar putea oferi o minimă direcție. Manageri de resurse umane, de marketing, de operațiuni sunt acum forțați să înțeleagă și să controleze fluxurile de date care până acum aveau o importanță terțiară, rapid ignorate și exclusiv delegate către IT.
Pentru cei care nu-și centrează profesia pe zona tehnică a informațiilor, aș propune o analogie. Datele (personale) sunt pentru o organizație ca aerul pentru un organism (aerob desigur). La fel ca și aerul, datele (primare) provin din afara organizației, sunt procesate (sortate, separate, corelate, combinate) și transferate spre beneficiul diverselor departamente (salarizare, contabilitate, vânzări, marketing, raportare către management, etc). La fel ca și aerul depozitat tranzitoriu în plămâni, datele sunt stocate în aplicații IT (interne sau externe), pe echipamente individuale (desktop, telefon) sau de uz comun (servere, cloud), în sertare, dulapuri sau arhive. Și apoi, după ce aerul și-a făcut datoria de alimentare a unui întreg organism, el este expirat la fel cum și datele expiră și ar trebui șterse.
Și dacă aș continua analogia aș spune că GDPR este o legislație ecologică. Intenția sa este de a atrage atenția și a convinge (inclusiv prin penalizări) organizațiile să aibă grijă de datele personale aflate DOAR în custodia lor și NU în proprietatea lor. Permanentizarea spectrului atacurilor cibernetice este echivalentul numeroaselor dezastre ecologice, dar în mediul informațional.
Gata cu metaforele GDPR! Care sunt totuși bornele critice pentru a înțelege și controla logica fluxurilor de date din cadrul organizațiilor?
Sunt 3 chestiuni care definesc această logică:
- Unde se află datele?
Definiția datelor personale se află în Regulament. Dar lista completă a datelor nu există formal nicăieri. Lista este deja foarte lungă și promite să-și extindă dimensiunile cu fiecare nou identificator alocat de utilizatori sau creat de inovațiile tehnologice. Există date în format electronic, dar și pe suport hârtie. Există date pe propriul calculator, pe telefonul mobil, în servere aflate în propria administrare sau nu, în aplicații administrate local sau nu, în dulapuri sau arhive sau pur și simplu lăsate în imprimantă.
- Cine are acces la date?
În fiecare locație a datelor și pe drumul între locații există persoane care au acces la date, acces autorizat sau nu, controlat sau nu. Există angajați, colaboratori, clienți sau furnizori de servicii externalizate. Există vizitatori prietenoși sau nu, există paznici de date sau hackeri de date.
- Cum se asigură securitatea datelor?
În fiecare locație a datelor și pe drumul între locații există sau nu puncte de control acces și pază. Există sau nu parolari și criptări. Există sau nu mecanisme de redundanță (backup). Există sau nu sisteme de alertă a incidentelor și de recuperare a pagubelor. Există sau nu oameni și proceduri care se activează la orice neconcordanță – specialiști în conformitate, managementul riscului, securitatea informațiilor sau pur și simplu angajați care au fost instruiți să se auto-sesizeze si să reacționeze.
Cu ajutorul acestor ghidaje, s-ar putea crede că vârtejul a fost domolit și se pot găși ușor soluții. La fel ca și în cazul unor probleme ale sistemului respirator, este necesară intervenția unor experți de diverse specializări: procese de business, marketing, resurse umane, IT și juridic. Deși am încercat în acest articol să structurez și să îmblânzesc vârtejul, atenție totuși la simplificarea exagerată, auto-suficientă si diletantism!
Ca să aveți un reper privind implicațiile planului de implementare GDPR în cadrul companiei dvs., completați testul nostru de autoevaluare pentru gradul de aliniere la cerințele GDPR.