Primele luni ale anului 2016 au venit cu o serie de schimbări majore privind protecția datelor cu caracter personal - iar acestea vizează și România, ca stat membru al Uniunii Europene (UE).
De aceea, atunci când organizatorii evenimentului IT Camp m-au invitat pentru al treilea an consecutiv la Cluj-Napoca, am stat pe gânduri dacă să abordez sau nu aceste noutăți. Dar - pentru că și domeniul IT&C este deseori învăluit în "norii " datelor cu caracter personal - mi-am luat inima în dinți, pe românește, și am decis să îmi intitulez sesiunea "The rise of privacy & personal data in the IT business" (sesiunea va fi în limba engleză).
Recunosc, am emoții și cred că nu poate fi o sarcină ușoară să le vorbesc participanților la IT Camp (pe limba lor) despre modul în care activitatea le poate fi afectată de recentele modificări legislative. Vă întrebați de ce?
În primul rând, pentru că rareori sunt IT-iștii înclinați să pună preț pe datele cu caracter personal (Și de ce ar pune? Până destul de curând, cei mai mulți doar scriau linii de cod; nu li se vorbea des și insistent despre cum ar trebui să implementeze în programele create și concepte precum "Privacy by Design", transparența și cultivarea unui "customer trust", etc.).
Iar în al doilea rând, pentru că schimbările legislative de care vorbeam mai sus sunt multe și complexe. Estimez că, în următorii ani, va curge multă cerneală pe aceste subiecte, atât în UE, cât și la noi în țară. Foarte pe scurt, vorbim despre modificări care au în vedere următoarele:
O reformă a întregului cadru legislativ privind datele cu caracter personal, la nivelul UE - după negocieri care au durat aproximativ patru ani;
Invalidarea de către Curtea de Justiție a Uniunii Europene (la finele anului 2015) a Principiilor Safe Harbor care stateau la baza transferurilor de date personale dinspre UE către SUA;
Propunerea de înlocuire a Principiilor Safe Harbor cu un acord EU-U.S. Privacy Shield, inclusiv discuții ample și controversate privind textul acestuia (textul propus fiind considerat de unii experți străini ca fiind prea complex); EU-U.S. Privacy Shield ar impune companiilor din SUA obligații detaliate și mai stricte în cazul transferului datelor provenite de la utilizatorii din UE; dacă doriți să aprofundați subiectul, puteți consulta acest PDF și câteva articole relevante aici, aici și aici;
Publicarea în buletinul oficial al UE (pe data de 4 mai 2016) a noului regulament privind protecția datelor cu caracter personal - dorită a fi o lege pan-europeană în domeniu (Noul Regulament). Textul integral îl puteți găsi aici. Noul Regulament va intra în vigoare spre sfârșitul lunii mai 2016, dar se va aplica abia din 25 mai 2018 (se va aplica direct în toate cele 28 de țări membre UE, fără a fi nevoie de o lege de transpunere în legislația națională);
Noi reguli create cu scopul de a ține pasul cu era digitală și de a uniformiza modul în care se folosesc și respectă datele cu caracter personal pe tot teritoriul UE (se pare că peste 90% din cetățenii europeni au declarat că vor să beneficieze de aceleași drepturi în toate tările UE, indiferent de locul în care le sunt prelucrate datele);
Introducerea unor obligații mai stricte de îndeplinit pentru companiile care prelucrează date ale persoanelor fizice, în special în cazul tehnologiilor cu ajutorul cărora se realizează activități de profiling (de exemplu, tehnologii din sfera Internet of Things (IoT));
Aplicarea unor sancțiuni mult mai aspre pentru încălcarea obligațiilor impuse companiilor care prelucrează date cu caracter personal; practic, se poate ajunge la plata unor amenzi de până la 4% din cifra globală de afaceri a companiei;
Eliminarea anumitor obligații existente în prezent și, eventual, înlocuirea lor cu altele - de exemplu, în anumite condiții, companiile nu ar mai trebui să notifice prelucrarea datelor la mai multe autorități competente din diverse state membre UE, dar ar trebui să țină un inventar al activităților de prelucrare a datelor;
Obligații noi - de exemplu, companiile trebuie să implementeze măsuri de pseudoanonimizare și criptare de date (data encryption), să implementeze conceptul "Privacy by Design", companiile care colectează date personale ale consumatorilor ar trebui să desemneze, în anumite condiții, o persoană care să se ocupe de aspectele legate de aceste date, etc.;
Principiul "one-stop-shop" nou introdus ar trebui să permită companiilor cu activitate în diverse state UE să aibă de-a face cu o singură autoritate competentă și nu cu mai multe (așa cum e în prezent);
Sigur, puteți spune că mai este timp, având în vedere că Noul Regulament se va aplica abia peste doi ani. Dar nu uitați că schimbările sunt multe și notabile. Așa că ar fi recomandabil ca această perioadă tranzitorie să fie folosită de companii pentru a-și pune la punct practicile de prelucrare a datelor cu caracter personal, astfel încât să respecte noile reguli. În viitor, va crește expunerea în cazul controalelor autorităților competente și riscul reclamațiilor din partea persoanelor fizice ale căror date personale sunt procesate.
În sfârșit, după mulți ani, protecția datelor personale nu mai este o simplă lozincă pentru pasionații de drepturile omului, ci devine o problemă cu potențiale implicații economice importante. Nu mai este o glumă, neconformarea va costa, pentru că sancțiunile sunt prohibitive. Trăim vremuri interesante (și) din punct de vedere juridic.