Astăzi la ZF Cybersecurity - un eveniment clasic de promovare a serviciilor sponsorilor - am dat peste o nouă strategie de vânzare, ca să nu spun de speriere a potențialului client. Ca să nu treacă necontestată am pus prima întrebare, a doua a venit dintr-o problemă care mă îngrijorează de ceva vreme. Iată un citat din înregistrarea evenimentului :
Cei doi invitați sunt dna. Roxana Ionescu, Partener NNDKP și Robert Stoicescu, Senior Manager, Risk Assurance - Cybersecurity & Data Privacy PwC România.
Afirmația că autoritățile de reglementare precum AFS sau CERT-RO vor comunica către ANSPDCP incidentele de securitate ce le sunt semnalate de agenții economici reglementați este nu numai fără o bază reală ci și periculoasă pentru activitatea acestora. Nu trebuie să uităm că cel care semnalează un incident nu trebuie să fie descurajat în a face acest lucru, iar un control / amendă de la ANSPDCP exact acest efect l-ar avea. În special CERT-RO care a lansat recent call-centerul 1911 ar fi afectat, în ciuda celor afirmate la nivel ministerial scopul urmărit de acesta nu este de a oferi rezolvare ci de a colecta indicatori de atac, mai ales aferenți campaniilor de phishing. Răspunsul d-nei Ionescu arată că, într-adevăr, este doar o posibilitate teoretică, aș putea să accept că nefiind la curent cu dinamica interinstituțională nu percepe cât de improbabilă este această acțiune. Însă dl Stoicescu dezinformează impardonabil la min. 2,38 susținând o enormitate - că obligația de notificare se aplică și altcuiva decât operatorului de date, afirmație care o jenează chiar și pe dna. Ionescu.
A doua întrebare a pornit de la următorul pasaj dintr-o adresă oficială a ANSPDCP la care am avut din întâmplare acces:
În conformitate cu art. 5 alin. (1) lit. c) din RGPD, datele personale prelucrate trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”)”.
În acest sens vă solicităm să prezentați analiza conform căreia datele personale colectate sunt relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.
Din paragraful de mai sus lipsește ceva curent în adresele ANSPDCP, respectiv sintagma ”dacă există”. Este obiceiul lor să colaționeze paragrafe standard în adrese așadar este posibil ca mulți alți operatori de date să primească același text.
Această formulare implică că este necesar ca susnumita analiză să existe deja. Autorul probabil că nu realizează volumul de muncă impus de realizarea ei precum și faptul că aceasta nu are sens și nu va exista pentru cei care au ales Agile. Și cine mai alege Waterfall ? Ce sens ar avea să faci analiza post-factum și nu ar fi această solicitare similară cazului în care acuzatul trebuie să-și probeze inocența în loc de vice-versa ? Probabil cât de curând va trebui să existe o discuție serioasă pe această temă cu Autoritatea, nu sper însă să vină din partea caselor de avocatură care taxează orice hârtie aiurea cerută.
Și pentru că am împlinit 1 an de GDPR, iată KPI-urile relevante așa cum au fost preluate de ApTI:
Iată cifrele de la ANSPDCP, la un an de aplicare a GDPR, anunțate astăzi, la GDPR Talks 21 Mai 2019:
🔹 nu s-a dat nicio amendă până acum (doar avertismente și măsuri conexe) 🔹 Autoritatea are 34 de angajați, cu tot cu șoferi și personal TESA 🔹 sunt 9.335 de responsabili cu protecția datelor (DPO) notificați la Autoritate 🔹 391 de încălcări de securitate primite de la autoritate 🔹 460 de investigații din oficiu (69 din sesizari și 391 la încălcările de securitate) 🔹 456 de investigații la plângerile persoanelor vizate (plângeri efective au fost mai multe - peste 5.000 doar în 2018).
Niciun comentariu:
Trimiteți un comentariu