Sunt domenii de activitate super-reglementate și altele nu prea. Sunt companii procedurizate și altele mai deloc. Sunt manageri pentru care planificarea strategică este cheia succesului și alții pentru care poziția struțului prezintă soluția uzuală de rezolvare a problemelor.
Pentru cei care încă mai consideră că GDPR-ul e o poveste de adormit novicii și pentru cei care nu realizează încă amploarea consecințelor acestui regulament cu implicații cvasi-planetare am selectat cu mare grijă pentru relevanță DOAR 4 aspecte fundamentale. Și nu am să adaug și celebrele amenzi, deși cuantumul lor de milioane de euro nu poate fi ignorat nicicum și nici pierderea reputației sau litigiile previzibile.
1. Strictețea legalității procesării datelor
Bifarea obligatorie a unei căsuțe care permite și utilizarea datelor personale pentru alte scopuri decât cele inițiale devine istorie, continuarea acestei practici fiind un fapt ușor de detectat, reclamat și penalizat. Acceptul trebuie să fie liber de obligații, iar demonstrarea obținerii lui devine la rândul său o obligație legală. Baza de clienți trebuie să mai includă un câmp special destinat justificării legale a prezenței acelor clienți și care trebuie să permită auditarea și raportarea promptă.
2. Transparența proceselor interne
Bucătăria internă a companiei nu mai poate fi ascunsă complet sub vălul “secretului de serviciu”. Circuitul datelor personale în interiorul companiei va trebui să devină transparent persoanelor vizate, autorității de supraveghere și, dacă firma procesează date personale în numele alteia, respectivului operator de date personale. Circuitul trebuie clarificat, evaluat din perspectiva riscului, detaliat într-o procedură ce trebuie respectată (cu dovezi!), descris în diverse notificări publice și accesibil oricând solicitărilor îndreptățite ale persoanelor vizate.
3. Instaurarea managementului de risc
Inconjurate fiind de o realitate mai intotdeauna impredictibilă, firmele și organizațiile de orice fel par sa nu piardă vremea și eforturile cu clădirea și menținerea unui mecanism de evaluare și mitigare a riscurilor pe principiul “Che sera, sera!” Iată insă că, indiferent de domeniul de activitate si complexitate, firmele si organizațiile trebuie sa inceapă să conștientizeze riscurile activității lor față de drepturile si libertațile individuale și să acționeze (cu dovezi!) pentru controlul și mitigarea acestora. In absența unui mecanism periodic de revizitare a riscurilor depistate, măcar de fiecare dată cand se intenționează o nouă abordare, o nouă piață sau un nou produs si serviciu.
4. Managementul crizelor incidentelor de securitate
Servicii financiare, rețele de magazine, companii de transport, clinici medicale, firme de consultanță, universități și lista celor mai recente victime ale atacurilor asupra datelor personale poate continua. In fiecare zi se raportează undeva in lume 3 atacuri cibernetice (sursa: hackmageddon.com), dar și furtul sau pierderea de date datorate neglijenței sau relei voințe dinspre angajați au o contribuție chiar foarte semnificativă la probabilitatea producerii de astfel de incidente. Toate firmele, indiferent dacă acum sunt sau nu înregistrate ca operatori de date personale, vor trebui să detecteze incidentele de securitate, să le investigheze și evalueze impactul, să le raporteze autorității de supraveghere într-un interval de 72 ore, un interval minuscul și cvasi-imposibil de respectat pentru firmele care nu au stabilit mecanisme eficiente și eficace pentru respectarea acestei obligații cu mega impact și asupra reputației și amenzilor.
Chiar dacă refrenul “GDPR is coming to town” nu are desigur aceeași melodicitate cu colindele sezonului, acum este insă momentul să bugetați si planificați proiectul care vă va absorbi primele 5 luni ale anului viitor.
99.99% din organizațiile ce-și derulează activitatea în spațiul (inclusiv virtual) al Uniunii Europene vor trebui să respecte noile reguli ale jocului. Și repede! Mai sunt doar 24 săptămâni și treaba nu e simplă…