Iureșul GDPR se pare că a trecut, dar nu și „durerile facerii„. Adunînd concluziile de pe mai multe grupuri Facebook, în urma cursurilor CIPM sau de la cei pentru care ofer consultanță, constat că, în multe cazuri, abordarea a fost ca în povestea cu drobul de sare: „știm, nu prea este nevoie de X sau Y, dar dacă vine Autoritatea? Mai bine să facem!„. Așa am ajuns la „inovații„ chiar și acolo unde lucrurile sînt (sau ar trebui să fie) destul de clare.

Ce nu prea am citit/auzit? Aplecarea spre zona funcțională a organizației! Pentru că GDPR nu caută să pună bețe în roate nimănui. Dacă GDPR pare o corvoadă, principalii responsabili sînt …consultanții. Nu se cere ca Informarea persoanei vizate să fie semnată de către aceasta (de exemplu). „Ștergerea„ nu se poate face pur și simplu cu un „delete„ și soluția în multe cazuri va fi anonimizarea (alt exemplu)….

Și pentru că predau cursul „CIPM„ (în cadrul Deloitte Academy) mă voi referi foarte pe scurt la abordarea din teorie, pe care o regăsim și în COBIT și care este cea mai corectă în practică: să pornim de la cerințele funcționale ale organizației! Cerințe funcționale care trebuie acum să aibă în vedere și drepturile persoanei vizate.

Cantonarea în zona formalismelor/„hîrtiilor„ fără a cere opinia IT-ului (CE se poate face? CUM se poate face? Cu ce costuri? etc…) după ce s-a discutat cu responsabilul de proces economic, nu va asigura protecția datelor personale și prin urmare nici conformitatea cu GDPR! Aș vrea să știu cîte din organizațiile care au „inventarul„ datelor personale au realizat și partea a doua: data discovery. Cîte dintre ele, ca rezultat al „minimizării„ chiar au șters datele și au în continuare integritate și consistență în bazele de date? Cum au pus în practică „protecției datelor începând cu momentul conceperii și în mod implicit„?

Politicile și procedurile sînt cerute, dar nu sînt suficiente (am finalizat revizia „implementării GDPR„ și am citit vreo 2 topuri de politici și proceduri….evaluarea riscurilor viza riscuri IT și nu pe cele la adresa drepturilor și libertăților persoanei vizate…pe partea tehnică aproape nimic). Cerințele GDPR trebuie operaționalizate și trebuie să poți demonstra această operaționalizare conform principiului responsabilității (Art. 5 (2)). Iar Ghidul WP 173 – Opinion 3/2010 on the principle of accountability precizează că „all the measures not only exist on paper but that they are implemented and work in practice„