Deși nu mai am o calitate oficială am avut onoarea de a fi invitat la conferința CIO Council 2018 – mulțumesc Yugo !. A fost dedicată zonei de AI și automatizări de procese, subiecte interesante dar poate prea vizionare pentru problemele celor din sală.
CIO guvernamental a vorbit despre ideile de schimbare a învățământului gimnazial astfel încât să sprijine industria IT. Eu am profitat de o sesiune dedicată GDPR și am încercat să aflu de la av.Roxana Ionescu – Partener NNDKP cum ar trebui să rezolve companiile problema legalității scanării traficului despre care am scris în postul anterior.
Spre deosebire de CERT-RO care a primit mână liberă celelalte entități vor invoca ”interesul legitim”. Vor trebui să demonstreze proporționalitate în setările echipamentelor și să reducă la minim accesul la datele colectate. Deoarece termenul general recomandat de reținere a datelor personale este de 30 de zile, mult sub timpul necesar pentru descoperirea și investigarea unui atac, vor putea să-l extindă la 2-3 ani dar doar cu o justificare temeinică prealabilă. Chiar dacă multe dintre aceste aspecte ar putea face obiectul unui Cod de Conduită în cybersecurity aprobat de ANSPDCP nu a auzit ca vreun astfel de demers să fie demarat.
Dacă este evident că această construcție este visul oricărui avocat plătit la oră, gata să demonstreze cu pasiune în instanță proporționalitatea și minimul posibil, adaug faptul că, în înțelegerea mea, ”interes legitim” nu este numai o trimitere directă către o prevedere legală ci o interpretare a întregului context astfel încât să rezulte clar că acțiunea este determinată de factori externi legali și nu de arbitrarul managementului companiei. Ca și problema stabilirii oportunității, nu ține numai de legi ci și de alegerea orizontului de timp folosit în apreciere precum și a prioritizării resurselor. Complicat, riscant, scump !
Niciun comentariu:
Trimiteți un comentariu