Viața de după GDPR

După toate cursurile, cu toți consultanții, în ciuda lecturărilor istovitoare ale prevederilor Regulamentului GDPR, în ticăitul timpului care se scurge spre termenul de 25 mai toată lumea se întreabă:

Cum va fi DUPĂ GDPR?

Deocamdată răspunsul are peste 50 nuanțe de gri iar clarificarea completă nu poate veni decât din realitatea concretă de după 25 mai:

•         Realitatea generică a modului de aplicare la nivel de țară și/sau Uniune Europeană
•         Experiența fiecăruia vis-à-vis de autoritatea de reglementare
•         Relația cu atitudinea și acțiunile clienților și/sau angajaților și/sau partenerilor de afaceri
•         Experiența celorlalți (parteneri, competitori, cunoscuți)

Privind exclusiv la rolul și acțiunea Autorității de Supraveghere, deocamdată este neclar:

• Cum anume va reacționa Autoritatea de Supraveghere la reclamații?
• Când și cum și unde va derula Autoritatea de Supraveghere controalele?
• Cum și cât și cui va administra “masurile administrative”?
• Cine vor fi primii vizați?  Multinaționalele, serviciile financiare, magazinele online, clinicile medicale, școlile private, ONG-urile
• Oare vor fi și instituțiile publice subiect al inspecțiilor? Regiile de stat, tribunalele care postează pe internet detalii super-personale despre cauzele judecate, autorități și agenții guvernamentale de toate felurile cu tonele lor de hârtii și dosare personale înghesuite în dulapuri accesibile tuturor funcționarilor sau în aplicații nemodernizate de mult, primăriile, spitalele.
• Modalitatea de inspecție și aplicare a măsurilor va fi aliniată la standardele europene (European Data Protection Board) sau va fi pur mioritică?

În ceea ce privește interacțiunea cu clienții, partenerii și angajații sunt alte întrebări esențiale:

• Câți dintre angajați își vor exercita drepturile acordate de GDPR?
• Câți dintre clienți își vor exercita drepturile acordate de GDPR?
• Câți dintre cei de sus vor face acest lucru cu bună sau rea credință?
• Câți dintre parteneri vor impune GDPR drept condiție obligatorie a continuării relației comerciale?
• La câți dintre partenerii non-europeni se va renunța din motive de GDPR?
• Câte din aceste situații vor “beneficia” de publicitate negativă?

Sub influența incertitudinii și a reacției proporționale cu riscul perceput, organizațiile exprimă 3 tipuri de mesaje definitorii ale atitudinii managerilor sau patronilor vis-à-vis de un viitor dificil de evaluat:

• “Nu fac nimic.  O să-i ia pe cei mari în vizor.  Să vină să mă amendeze.”
• “Ma descurc, îi cer avocatului să scrie niște proceduri.  E suficient, am alte treburi de făcut.”
• “E serioasă, am primit deja notificări și acte adiționale de la parteneri.  Trebuie să fac ceva ca să nu-mi moară afacerea.”

Deocamdată, cu excepții remarcabile, demersurile organizațiilor vis-à-vis proiectul de aliniere la cerințele GDPR sunt centrate și apelează la soluții punctuale: mici modificări ale proceselor, mici modificări ale documentației, mici modificări ale aplicațiilor deja utilizate.  Ideea centrală a acestui tip de demers constă în respectarea unui minim set de cerințe concrete pe termen scurt.

Ce lipsește din această abordare este conceptul de menținere a conformității pe termen indefinit, cu alte cuvinte:

• Comunicarea și aplicarea consecventă a procedurilor în toată organizația în toate numeroasele situații în care această conformitate se aplică și poate fi testată oricând de oricine
• Evaluarea periodică a conformității și a riscurilor prezentate de noi inițiative de business
• Alocarea responsabilităților și monitorizarea gradului de îndeplinire a acestora în întreaga organizație
• Actualizarea aplicațiilor utilizate, inclusiv prin introducerea unor funcționalități specifice (pseudonimizarea, anonimizarea, etc)
• Stabilirea și implementarea impecabilă a unor noi modalități de colaborare cu procesatorii de date personale – inclusiv responsabilizarea și garantarea reacției lor prompte la solicitări de drepturi ale persoanelor vizate sau la posibile/probabile breșe de securitate apărute la oricare din părțile semnatare
• Posibilitatea reala de a fi auditați de viitori sau actuali parteneri sau de a demonstra conformitatea ca o cerință a participării la licitații

În absența unui glob de cleștar, dar prin acest exercițiu de vizualizare a componentelor viitorului presupus de diverse cerințe, răspunsurile voastre la întrebările sau scenariile de mai sus sunt de natură să vă ajute să vizualizați și să decideți singuri și într-o mai bună cunoștință de cauză  cum va fi propria viață de după GDPR.