Recitind comunicatele ANSPDCP cu privire la sancțiunile contravenționale (amenzi) de pînă acum, am constatat că doar într-un singur caz (Unicredit) se menționează încălcarea Art. 25. În restul situațiilor sancțiunile fac referire la încălcarea Art. 32. Eu privesc însă Art. 32 (măsurile tehnice și administrative) în legătură directă și indisolubilă cu Art. 25 (și bineînțeles cu estimarea riscurilor)

Am mai scris cîte ceva despre Art. 25 pe care îl consider „cuiul lui Pepelea„ prin raportare la starea actuală a lucrurilor (la aplicațiile și sistemele existente în organizații fac referire). Acest articol din GDPR face referirea la „ protecția datelor începând cu momentul conceperii „ (alin 1) respectiv la „ protecția datelor în mod implicit „ (alin 2).

Din teorie știm principiile Anei Cavoukian, dar în Regulament aceste principii se regăsesc „printre rînduri„. Încerc să le explic așa cum le înțeleg eu.

„Asigurarea protecției datelor începând cu momentul conceperii„, așa cum am mai scris, nu se referă la „conceperea datelor„ cum s-ar putea înțelege din versiunea în limba română a Regulamentului. Referința este de fapt la faza de proiectare (design) a oricărui sistem, produs, serviciu sau proces și trebuie avută în vedere pe întregul ciclu de viață:

• înainte de a începe prelucrarea (la nivel de aplicație, produs, serviciu, proces) care sînt măsurile tehnice și organizatorice care vor asigura respectatea principiilor privind protecția datelor?
• cum se respectă principiul minimizării?
• cum se respectă drepturile persoanei?

„Asigurarea protecției datelor în mod implicit„ înseamnă în primul rînd că se prelucrează doar datele necesare atingerii scopului declarat (principiul minimizării și limitarea scopului). De exemplu, asta înseamnă că „implicit„ orice buton pentru acceptare cookies este „off„/dezactivat; sau că adresa de mail colectată pentru a descărca un fișier sau pentru a fi folosită la înregistrarea participării la un eveniment nu va fi folosită la nimic altceva pînă cînd eu nu decid altfel. De ce trebuie să vadă toți angajații, indiferent de procesul economic datele mele, cînd în realitate au nevoie de cod/id_client, nr. factură, produse livrate, valoare, de exemplu.

Am putea concluziona că obligativitatea respectării Art. 25 revine doar operatorului (alin 1). Avem însă și Art. 28 care face referire la relația dintre operator și persoana împuternicită:

operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.

Prin urmare, Art. 25 și Art. 32 se aplică și persoanei împuternicite. Și dacă recitim Considerentul 78 constatăm că aceste cerințe nu se aplică doar operatorilor și persoanelor împuternicite:

Atunci când elaborează, proiectează, selectează și utilizează aplicații, servicii și produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-și îndeplini rolul, producătorii acestor produse și furnizorii acestor servicii și aplicații ar trebui să fie încurajați să aibă în vedere dreptul la protecția datelor la momentul elaborării și proiectării unor astfel de produse, servicii și aplicații și, ținând cont de stadiul actual al dezvoltării, să se asigure că operatorii și persoanele împuternicite de operatori sunt în măsură să își îndeplinească obligațiile referitoare la protecția datelor.Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor ar trebui să fie luate în considerare și în contextul licitațiilor publice.

Prin urmare, operator fiind, ești responsabil (ai obligații) și cu privire la sistemul/aplicația pe care ai decis să o achiziționezi și o folosești în acest moment!

Revenind la teoria care a stat la baza Art. 25:

7 Principii (Ana Cavoukian)	Descriere
Proactiv nu reactiv	Să anticipezi și să previi evenimentele care pot afecta datele personale înainte ca acestea să se întîmple. (asta facem de fapt și în cazul securității informațiilor)
În mod implicit	Datele personale sînt protejate în orice sistem, aplicație, process economic sau produs
Protecție la nivel de arhitectură (embedded)	Protecția datelor face parte din arhitectura oricărui sistem/aplicație/process economic pe tot ciclul de viață. Nu este adăugată ulterior prelucrării.
Funcționalitate totală	Relația dintre interesele legitime și obiectivele organizației respectiv persoana vizată trebuie să fie “win-win”, fără compromisuri inutile
Vizibilitate și transparență	Indiferent de afacere și tehnologie, organizația face ceea ce spune că face din punct de vedere al prelucrării datelor personale. Iar asta poate fi verificat de oricine.
Respect pentru utilizatori	Implicit utilizatorii au la dispoziție măsuri de protecție.

Teoria este frumoasă. Dar în cele mai multe cazuri, pe primul loc în dezvoltarea aplicațiilor/sistemelor sînt cerințele funcționale și mai puțin cele legate de conformitatea/securitate/protecția datelor.