Am tot scris că, în cazul GDPR, aspectele tehnice mi se par mult mai complicate decît cele legale/administrative (efort financiar, timp, resursă umană) pornind de la realitate: tehnologia existentă la momentul propunerii GDPR nu prea a avut în vedere protecția datelor personale. Contrar cu maniera în care se promovează GDPR în piață…..(Sînt curios cum va arăta consimțămîntul în cazul „analytics/machine learning/IA„).

Pseudonimizare? Securitate „începând cu momentul conceperii și în mod implicit„? Lucrurile astea nu existau pînă la GDPR.

Regulamentul nu face referire directă la tehnologii. Este firesc pentru că este o lege care trebuie să reziste în timp și nu poate nimeni să prevadă cum vom evolua (Probabil numai în România avem cerințe scrise acum mai bine de 10 ani și neactualizate). Pe Linkedin, un interlocutor a comentat: „trebuie sa vina o autoritate sa ne spuna CE trebuie sa facem si nu CUM trebuie. Ideea de a analiza Regulamentul GDPR cu peste 90 de pagini este o pierdere de timp. Continutul de acolo este strict juridic si extrem de neclar. De aceea avem ANSPDCP. Sa ne sintetizeze in cateva pagini care sunt cerintele…„

Atribuțiile ANSPDCP sînt stabilite. Regulamentul chiar face ce se cere în comentariul citat: spune CE trebuie făcut (mai ales în paragrafele din preambul). La întrebarea CUM se face, fiecare organizație trebuie să își analizeze nevoile specifice și să identifice care sînt tehnologiile prin care asigură protecția datelor și prin aceasta demonstrează conformitatea.

Stadiul actual al dezvoltări poate să pară un concept abstract. Exista și în Data Protection Directive 95/46/EC. Să nu uităm însă că acum GDPR (și directiva NIS! care vine tot în mai 2018) plasează responsabilitatea securității către managementul organizației: evaluați, implementați și răspundeți!

Organizațiile sînt diferite și nu se poate generaliza prea mult. Au avut la dispoziție aproape 2 ani pentru conștientizare, acceptarea realității, înțelegerea cerințelor, evaluarea tehnologiilor și în final implementare.

Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparența în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să le îmbunătățească. Atunci când elaborează, proiectează, selectează și utilizează aplicații, servicii și produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-și îndeplini rolul, producătorii acestor produse și furnizorii acestor servicii și aplicații ar trebui să fie încurajați să aibă în vedere dreptul la protecția datelor la momentul elaborării și proiectării unor astfel de produse, servicii și aplicații și, ținând cont de stadiul actual al dezvoltării, să se asigure că operatorii și persoanele împuternicite de operatori sunt în măsură să își îndeplinească obligațiile referitoare la protecția datelor.  – Preambul 78

Există totuși cel puțin o certitudine: indiferent de numele producătorului și a soluției „state of the art„ pe care o furnizează, în spatele acelei tehnologii va fi un om. În alte circumstanțe, o „persoană vizată„.