Într-o discuție la care am luat parte s-a spus că organizațiile nu văd „nici o valoare„ în GDPR ci mai degrabă o constrîngere și costuri inutile. Este de înțeles această percepție atît timp cît cele  mai multe informații din on line și de la prezentări oferă interpretări asupra aspectelor legale. Un regulament cu peste 90 de articole și 140 de „considerente„ este firesc să producă ceva frisoane, mai ales cînd vedem că în practică mai există suficiente organizații care încă sînt în etapa de „conștientizare„.

Contextul și scopul prelucrării sînt totusi diferite de la o organizație la alta. De exemplu am externalizat serviciile de suport pentru clienți. În timp ce eu sînt interesat mai mult de numărul de tichete deschise de clienți, furnizorul meu de servicii va fi interesat și de satisfacția clienților în relație cu suportul furnizat.

Cum ar trebuie să argumentez mai bine managementului că, protejînd datele personale (ale angajaților, clienților), organizația obține totuși valoare? Să mergem mai întîi la …..teorie

Implementarea GDPR înseamnă „schimbare„ iar schimbarea înseamnă….proiect și management de proiect (Vezi și GDPR trebuie abordat ca un program)

Deși pe ici pe colo mai sînt ceva erori, în teorie lucrurile arată extraordinar. Practica adaptată contextului economic local ne cam dă bătai de cap. Cam așa văd lucrurile și cu „busines case„: relativ simplu în teorie dar, uneori, dificil de pus în practică din lipsă de cunoștințe de „IT cost accounting„…(în școlile de economie de la noi nu am auzit să existe astfel de cursuri).

(Înțeleg prin „business case„ studiu de prefezabilitate/scenariu economic, deși o traducere corectă trebuie să țină cont de contextul în care sînt folosiți termenii. Mai multe detalii în PRINCE2, PMBOK, COBIT)

Este dificil să asociezi o valoare monetară unui activ intangibil de tip „dată personală„. În cazul unui activ tangibil de tip  „calculator/server/laptop/telefon„ e mai simplu: pot folosi valoarea contabilă (preț de achiziție-amortizare)  sau „valoarea de piață„/„fair value„ (chiar amortizat, activul are totuși o valoare).

Care ar fi însă valoarea unei baze de date care conține cu siguranță și date personale? Doar costurile cu licența și forța de lucru implicată în instalare/dezvoltare/întreținere? Informațiilor stocate și prelucrate nu le asociem o valoare? Putem argumenta că avem backup și astfel îmi diminuez foarte mult pierderile potențiale, deci nu voi avea costuri suplimentare mari. De acord, prin copii de siguranță mă asigur contra lipsei de disponibilitate. Dar „confidențialitatea„? Sau „integritatea„?

În încheierea teoriei, o figură din COBIT 5:

Să trecem acum la practică.

Dacă afacerea nu are chiar ca obiect prelucrarea datelor personale, atunci prelucrez astfel de date pentru a-mi atinge obiectivele. Neexistînd o metodă contabilă general acceptată pentru „valorizarea„ unui astfel de activ intangibil, ne vom baza pe estimări. Vom ține cont în estimările noastre de ceea ce se înțelege „printre rînduri„/context din GDPR: datele personale au valoare:

• pentru organizație
• pentru persoana vizată/individ
• pentru societate (ex. sănătate publică, cercetare, statistică)
• pentru terți (ex. publicitate)

Ce exemplu mai bun pentru „valoarea datelor personale„ am putea da dacă nu „furtul de identitate„? Culegerea acelor date a implicat costuri. Pentru anumite procese economice datele personale reprezintă chiar „sîngele„. Ca să colectez, prelucrez, stochez și protejez acele date am cheltuit bani. Cum aș putea face studii clinice „randomized double blind„ dacă nu aș folosi date anonimizate?

Ce s-ar putea întîmpla dacă datele personale nu sînt protejate corespunzător? Unii ar putea spune că vei primi amendă. Să zicem că nu este cazul. Dar persoana vizată care este de fapt clientul tău ce va face? Ținînd cont de tipul particular/categoria datelor personale divulgate, cum vor reacționa clienții tăi? Cît timp pierdem mergînd la instituții ale statului oferind informații care deja există? Cît ar plăti concurența pentru datele tale?

În loc de concluzie: datele personale au valoare și trebuie să o estimăm de la caz la caz.