De ce DPO ?

Pare că a venit momentul în care să explic cum de am ajuns să activez ca DPO. Nu ”pentru că pot”, deși ar fi formal corect, ci în urma unor experiențe despre care am să scriu azi. Trebuie să fac o precizare, experiența guvernamentală mi-a lăsat abilități și cunoștințe față de care am o responsabilitate în a nu le cash-ui în orice condiții. Deși nu există o obligație de a nu sări imediat de celălalt parte a mesei totuși  ce nu-mi place la alții nu fac nici eu așa că am găsit protecția datelor personale ca fiindu-mi o activitate neutră și cu un istoric de satisfacții.

De subiect am început să mă lovesc începând cu anul 2013 pe fondul unor interacțiuni regulate cu ANSPDCP prilejuite de diverse subiecte/proiecte guvernamentale. Am început cu datele deschise dar am ajuns rapid să dezbatem funcționalități ale unor proiecte de e-guvernare. Au existat scântei dar a existat și un transfer de informație, nu neapărat legală cât o înțelegere reciprocă despre echilibrul dinamic necesar între protecție și beneficii. De la un moment dat am făcut parte din grupul de lucru care a propus cele 2 legi, teoretic asumate de parlamentarii C Dan respectiv Ș Nicolae, ocazie cu care am putut înțelege interpretarea regulamentului de către ANSPDCP.

Unul dintre declanșatorii scrierii acestui post este apariția acestui articol. În anul 2017 am propus și am fost însărcinat să mă ocup de această problemă, a prelucrării datelor persoanele pentru cei care beneficiază de avantaje de transport. Sunt aproximativ 10 categorii, începând cu pensionarii și elevii și terminând, numeric, cu revoluționarii. Sumele aferente transportului acestora pe calea ferată sau transport local sunt decontate ulterior, pe bază de CNP, de către transportatori. Riscul acestor agenți economici în urma prelucrării a milioane de înregistrări conținând o dată specială cum este CNP-ul este semnificativ iar amenda poate însemna falimentul. Am organizat o serie de întâlniri la care au participat toți transportatorii feroviari de călători, RATB și Metrorex, MEN , MT și Autoritatea feroviară. În prima întâlnire am organizat o analiză/prezentare a situației prin prisma viitorului GDPR susținută de persoana care a reprezentat Guvernul României în negocierile privind GDPR. În cea de-a doua le-am prezentat schița unei soluții care permitea acomodarea tuturor constrângerilor, în principal:

• transporatorii să nu stocheze date personale dar să se poată construi decontul anual la nivel de CNP
• biletele reduse să poată fi emise și de la automate de bilete dar și offline (în tren fără conectivitate)
• verificarea corespondenței bilet – călător beneficiar să poată fi făcută atât offline cât și manual, fără nici un device IT.
• bilete fără securizare fizică, tipărite de imprimantă pe o coală albă. Totul trebuia rezolvat prin conținutul tipărit.

Pentru asta am recurs inclusiv la o metodă criptografică medievală, nu pot spune că pentru mine nu a fost challange & fun. S-a dus vestea despre acest proiect ca fiind primul care implementează privacy by design în zona guvernamentală. După ce 2 întâlniri am rezistat analizei critice a transportatorilor și consultanților acestora soluția a fost acceptată ca funcțională și s-a trecut la discuții despre implementarea ei în timp util (9 luni). Cu franchețe le-am spus că administrația nu poate livra un proiect, indiferent de dimensiune, în 9 luni datorită birocrației achizițiilor publice și că singura șansă este să-l facă companiile, pe modelul băncilor și ghișeul.ro urmând a fi operat tot de AADR. CFR, care transportă majoritatea călătorilor, nu avea bani bugetați așa că transportatorii mai mici ar fi trebui să acopere costul care nu ar fi fost exorbitant (sub 100k euro). Aceștia au cerut însă garanții că toate tipurile de reduceri vor fi fost incluse în sistem sub forma unei asumări politice declarative de către un demnitar semnificativ, existând la acel moment posibilități clare doar pentru interoperabilitățile aferente pensionarilor și elevilor/studenților. Nu am găsit pe nimeni care să facă asta, poate că nimeni nu a dorit să iasă în evidență rupându-se din plutonul soldaților disciplinați ai partidului. Și așa am ajuns în situația de azi. Am și păcătuit, la un moment dat un director mai în etate din MEN a concluzionat că-l fac fosilă comunistă cu toate că nu am folosit aceste cuvinte iar el, cred eu, ținea cu dinții de tipărirea de legitimații cu sigla ministerului doar pentru a-și reafirma controlul asupra instituțiilor de învățământ private (istoria lumii este plină de astfel de marote).

Tot anul trecut, cam din toamnă, am început să mă simt asaltat pe numeroase canale de vânzători de tehnologie care încercau să mă convingă că cine nu cumpără ultima tehnologie cu cea mai scumpă subscripție va fi distrus de GDPR. Dar GDPR-ul este în primul rând despre drepturi ale omului, apoi despre managementul informației sub orice formă este ea înregistrată, despre conduita asumată de conducerea unei companii și doar la final despre tehnologii. Aceste asocieri de tip comando între avocați și vânzători IT au isterizat lumea, au determinat-o să cheltuie bani în direcții care nu erau prioritare și, mai rău, au descurajat companiile astfel încât acestea nu au mai făcut nici ce era în puterea lor să facă, cu costuri mici și efecte semnificative. Atunci când am devenit liber să-mi găsesc o activitate zilnică iar acest val i-a ajuns și pe prieteni nu am putu să nu mă implic. Chiar am un subcapitol în carte intitulat ”politica guvernului – oportunitate sau cash-cow ?”, nu văd de ce am fi avut nevoie de încă un prilej de prăduire a cetățenilor și am un impuls, gândind la rece inoportun, de a mă opune public acestor raiduri. Astăzi am avut pe linkedin un astfel de skirmish cu o reputată firmă de avocatură.

Contextul pe scurt: GDPR statuează un număr de drepturi personale și descrie principial ce poți să (nu)faci legat de acestea. Atunci când miza este mare GDPR cere să se întocmească un PIA – un studiu de impact asupra datelor personale. Obligativitatea acestui studiu are dublu scop: odată că scriind-ul te gândești mai bine dar și impunerea existenței semnăturii DPO-ului pe el îi crește acestuia autoritatea în companie. Existența PIA nu anulează răspunderea în cazul unei prelucrări ilegale.  GDPR indică din start câteva situații în care PIA este obligatoriu dar lasă și autorităților naționale posibilitatea de a adăuga situații particulare cu specific / sensibilități naționale. ANSPDCP a pus în dezbatere publică lista românească practic fără a adăuga nimic în plus. Firma de avocatură le-a trimis un punct de vedere în care le reproșează și le cere să fie mai lungă, cu mai multe situații obligatorii în condițiile în care oricine poate, chiar este încurajat, să facă voluntar câte PIA dorește.

Comentariul meu la acest document a fost o întrebare despre cum își sprijină avocații clienții când cer creșterea numărului de hârtii obligatorii sugerând că se urmărește spolierea acestora. Prima tentativă a fost să fiu copleșit cu înalta lor înțelegere a GDPR, la final au susținut că drepturile cetățenilor sunt mai importante decât interesul clienților. Good enugh for me, dacă le-aș fi client aș fi interesat de această afirmație.

Pentru mine GDPR este un exemplu de legislație bună transformată într-o problemă de către cei din mediul privat. Nu este deloc necesar ce se întâmplă astăzi, mare parte a cheltuielilor sunt o risipă a resurselor ce ar fi trebui utilizate în producție. Din păcate nu există acum o modalitate de a stabili cine are dreptate iar mai târziu va fi inutil.