Respectarea noului Regulament General privind Protecţia Datelor (GDPR) nu ar trebui să panicheze pe nimeni, deoarece acesta va ajuta companiile, autorităţile sau instituţiile publice să lucreze cu un randament mult mai ridicat, cu un grad de risc mult redus şi în condiţii sporite de siguranţă, a declarat, într-un interviu acordat AGERPRES, preşedintele executiv al Asociaţiei "Comunităţile Locale Riverane Dunării" (CLDR România), Sever Avram.

Reprezentantul asociaţiei care, alături de Catedra Internaţională Onorifică "Jean Bart" (CIO-SUERD), a demarat în luna februarie a acestui an programul de formare şi sprijin "Ofiţeri pentru protecţia datelor cu caracter personal (DPO)", este de părere că, în viitoarele bugete, Consiliile Judeţene vor fi nevoite să aloce un fond de rezervă destinat să acopere eventualele penalităţi prevăzute în noul Regulament.

Regulamentul General privind Protecţia Datelor (General Data Protection Regulation - GDPR) va trebui să-şi producă efectele începând cu data de 25 mai 2018 în România, iar din acel moment sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identităţii utilizatorilor şi al accesului la acestea, urmând principiul ''Privacy by Design''.

AGERPRES: Noul Regulamentul General privind Protecţia Datelor trebuie aplicat şi în România, din 25 mai 2018. Companiile private fac deja demersuri în a se conforma, prin organizarea de programe de pregătire pentru angajaţi. Ce se întâmplă, însă, la nivelul administraţiei publice?
Sever Avram: Deocamdată, se pare că nu s-a înţeles că termenul-limită pentru implementarea Regulamentului UE privind protecţia datelor personale deţinute de autorităţile publice şi de instituţiile coordonate de acestea este foarte apropiat - 25 mai 2018. Nici măcar Agenţia Naţională de Administrare Fiscală (ANAF) sau Banca Naţională a României (BNR) n-au precizat clar cum se va mai putea lucra din moment ce datele personale de identificare conţinute în CNP vor trebui strict protejate.
 

În urma consultărilor purtate cu reprezentaţi ai instituţiilor publice, se pare că primăriile şi consiliile judeţene se află într-o stare de aşteptare a unor ordine sau mesaje de la centru, deşi prevederile Regulamentului se vor aplica automat de la data anunţată, iar Autoritatea Naţională de Supraveghere din domeniu va putea aplica sancţiuni fără să fie nevoie să avertizeze pe cei în cauză. Urgentă este reorganizarea bazei de date şi fluxului de informaţii din cadrul tuturor instituţiilor publice pentru ca activitatea lor să nu încalce nici legislaţia în domeniu decisă de UE acum 2 ani şi să nu contravină, eventual, nici legislaţiei legate de concurenţă pentru companiile private sau publice cu care primăriile intră în raporturi juridice sau de colaborare.

AGERPRES: Cum întâmpină companiile private aplicarea GDPR?
Sever Avram: Faţă de mediul public instituţional, în sfera companiilor private se observă o conştientizare şi intenţia de aliniere la prevederile noului regulament, chiar dacă acest lucru nu s-a întâmplat din luna mai 2016 de când a fost adoptat Regulamentul de Parlamentul European şi publicat în Jurnalul Oficial al Uniunii Europene, lăsându-se pe ultima sută de metri şi anume la momentul aplicării sale, 25 mai 2018.
 

Da, din discuţiile purtate cu colaboratorii de la Iaşi, se pare că atât companiile mici, cât şi cele mijlocii au început să se intereseze şi să demareze procesele necesare de conformare la GDPR, chiar dacă sunt firme de talie mică, cu 2-3 angajaţi sau care au peste 50 sau 200 de angajaţi.
 

O bună parte a reuşit să depăşească sintagma 'Doar nu mă va controla chiar pe mine!' şi au decis să nu îşi asume riscuri care ar putea să le aducă falimentul, dispariţia lor sau amenzi uriaşe, doar pentru că cineva ar putea interpreta anumite lucruri într-un fel sau altul. Au desemnat persoane care vor ocupa poziţia de DPO (Ofiţer responsabil pentru protecţia datelor, n.r.) au început să îi formeze prin cursuri DPO, să îşi înştiinţeze angajaţii despre noile implicări ale GDPR-ului şi modul în care vor trebui să îşi desfăşoare activitatea.
 

Un nou avânt l-am remarcat în rândul persoanelor fizice care s-au implicat şi s-au specializat, urmând cursurile noastre de DPO, în vederea oferirii de servicii externalizate de DPO.

AGERPRES: De ce este atât de important acest ofiţer responsabil pentru protecţia datelor - DPO?
Sever Avram: Într-adevăr, Ofiţerul sau Responsabilul denumit pe scurt DPO va deveni o persoană-cheie ca importanţă înlăuntrul oricărei organizaţii, fie că este vorba de o primărie, o instituţie publică, un ONG, o corporaţie sau un mic SRL, întrucât va asigura organizaţia să păstreze conformitatea şi să respecte prevederile GDPR, pentru a evita încălcarea drepturilor persoanelor vizate, a datelor colectate şi procesate sau alte nereguli, neglijenţe sau utilizări abuzive a unor date cu caracter personal.
 

Acest DPO va trebui să colaboreze cât mai flexibil cu toate departamentele care intră în contact cu datele personale, precum IT&C, Juridic, Resurse Umane, Front-office, Back-office, Contabilitate, aşadar va fi cazul să deţină o pregătire multi şi inter-disciplinară şi să i se asigure în mod firesc un grad ridicat de autonomie în raport cu conducerea companiei şi clienţii săi sau a instituţiei, cu administratorul public, cu aleşii locali care îi pot solicita diverse date ale cetăţenilor, îndeosebi în pragul ciclurilor electorale sau organizării unor referendumuri.

AGERPRES: Cum va afecta acest Regulament organigrama instituţiilor la nivel local (primării, consilii judeţene etc) şi, mai ales, bugetul acestora?
Sever Avram: Un obstacol artificial ar părea să fie tocmai introducerea în COR (Clasificarea Ocupaţiilor din România, n.r.) a ocupaţiei de DPO - Ofiţer Date Personale care este o reglementare suplimentară, nesolicitată de Regulamentul UE şi inaplicabilă, în multe cazuri, pentru că în mod evident nu toate instituţiile publice vor putea afecta şi retribui cum se cuvine astfel de persoane cu studii superioare pentru aceşti responsabili, mai cu seamă în mediul rural.
 

Mai mult decât atât, simpla formare a responsabililor DPO este doar pasul pregătitor pentru etapa mult mai complicată a organizării efective a serviciului sau departamentului răspunzător de protecţia datelor, respectându-se şi normele legale privind transparenţa informaţiilor publice, confidenţialitatea datelor celor care participă la consultări publice, principiile de non-discriminare implicită a celor cu care autorităţile publice, de exemplu Poliţia Locală, intră inevitabil în contact.
 

Regulamentul cunoscut sub numele GDPR ar merita înţeles şi ca o oportunitate de reorganizare managerială, mai ales dacă se va trece la o descentralizare extinsă şi la comasarea inevitabilă a unor instituţii publice, la un moment dat. Doar în urma unei pre-evaluări interne, care poate fi externalizată de către o Primărie unei forme de profil, se va putea decide în mod riguros numărul de persoane care vor face parte din structura aferentă ofiţerului DPO, în funcţie de numărul de instituţii coordonate sau subordonate, de mărimea fluxului de date personale, de filialele sau punctele de lucru arondate etc.

AGERPRES: Cât de importante sunt investiţiile în sistemele IT pentru ca noul Regulament să fie respectat din "scoarţă în scoarţă''?
Sever Avram: Desigur, există decalaje între dotările existente în marile oraşe în raport cu cele din oraşele mici sau mediul rural. Pentru înlesnirea modului de lucru, ar fi de ţinut cont de introducerea unor softuri specializate (de tip Managementul Cunoaşterii - KM), care ar fi în măsură să simplifice, accelereze şi în acelaşi timp să garanteze colectarea datelor personale şi, ulterior, protejarea acestora sau, atunci când este cazul, ştergerea sau anonimizarea lor.

AGERPRES: Există riscul ca anumite companii sau instituţii colectoare de date cu caracter personal să aibă probleme majore din cauza amenzilor prevăzute în GDPR?
Sever Avram: În situaţia în care vor adopta şi urma proceduri logice şi stricte, respectarea GDPR nu ar fi cazul să panicheze pe nimeni. Dimpotrivă, mai ales în contextul unor posibile atacuri informatice, defecţiuni tehnice sau preluării de ştiri alarmiste sau false o judicioasă implementare a GDPR ar ajuta companiile, autorităţile sau instituţiile publice să lucreze cu un randament mult mai ridicat, cu un grad de risc mult redus şi în condiţii sporite de siguranţă, atât pentru angajaţi, cât şi pentru clienţi şi/sau beneficiarii serviciilor publice. Pe de altă parte, însă, în contextul lipsei de suficiente resurse financiare cu care se confruntă per global, în această etapă, România, este de presupus că vor putea interveni şi penalităţi mari, de ordinul zecilor sau sutelor de mii de euro, în cazul în care se vor depista în special distorsiuni în relaţia instituţiilor publice cu alte entităţi omoloage, fie de tipul Comisiei Europene, fie în cadrul procedurilor de achiziţii publice în care concurează inevitabil şi firme private, nu doar din România, ci şi din alte state membre UE.
 

În viitoarele bugete, Consiliile Judeţene se vor vedea constrânse să prevadă un fond de rezervă pentru aceste situaţii tocmai pentru că nu îşi pot permite ca anumite şcoli, case de cultură sau spitale subordonate autorităţilor publice să-şi închidă porţile din cauza unor datorii considerabile rezultate din amenzi.

AGERPRES: Catedra Internaţională Onorifică "Jean Bart" (CIO-SUERD) şi Departamentul de Formare şi Consiliere al Asociaţiei "Comunităţile Locale Riverane Dunării" (CLDR România) derulează din 19 februarie 2018 un programul de formare şi sprijin "Ofiţeri pentru protecţia datelor cu caracter personal (DPO)". Ce rezultate aveţi până la acest moment şi cum aţi perceput interesul autorităţilor publice locale şi judeţene sau a instituţiilor din sectorul public?
Sever Avram: Noi am iniţiat şi coordonăm ştiinţific un program special de asistenţă şi consiliere destinat pe termen scurt şi mediu instituţiilor publice care trebuie să înţeleagă din timp urgenţa şi anvergura transformărilor pe care trebuie să le opereze. Unii decidenţi publici invocă încă faptul că nu au primit indicaţia cu ce furnizor de training să facă formarea sau dacă le trebuie sau nu certificări superioare din partea unor instituţii centrale din România. Este profund eronată această mentalitate, câtă vreme Regulamentul se aplică unitar şi coerent la scara tuturor statelor membre, şi nu pretinde nicăieri precizări legate de o certificare dintr-o anume sursă sau alta a responsabililor DPO. Ar fi momentul să înţelegem cu toţii că va conta componenta practică şi îndeplinirea tuturor sarcinilor de către biroul sau departamentul respectiv, în conformitate cu cele 10 criterii şi tipuri de responsabilităţi, rezultate din prevederile GDPR, şi nu doar diploma sau certificatul primit de către cursanţii DPO.
 

Conform Regulamentului UE 2016/679 Art. 37 alin (1) lit. a), autorităţile sau organismele publice trebuie să aibă desemnat un DPO Responsabil cu protecţia datelor personale.
 

Ţinând cont de cât de mult a fost perturbată activitatea unor mari companii de socializare, de pildă, care au uzat de date personală pe scară largă în scopuri de marketing, este de presupus că în regim de ''rostogolirea bulgărelui de zăpadă'' efectele se vor răsfrânge, încă din acest an, şi asupra instituţiilor publice, de pildă, a Direcţiilor de asistenţă socială, a policlinicilor şi spitalelor, a şcolilor care stochează date personale ale părinţilor şi copiilor etc.
 

Cursul DPO prezentat la adresa www.cursdpo.ro a fost conceput în conformitate cu prevederile GDPR Considerentul 97, întregul program educaţional desfăşurându-se în sistem online pentru a-l face cât mai accesibil oricărui cursant din ţară, iar conţinutul structurat în şase module distincte, alături de numeroase exemple practice, plus o oportunitate de interacţiune punctuală cu partenerii noştri din Iaşi, expertul IT&C Ionuţ Socol şi al consilierului juridic Adriana Huţuţui, să poată corespunde cât mai nuanţat tuturor nevoilor şi exigenţelor exprimate de către publicul ţintă.
 

În plus, am prevăzut un sistem stimulativ de burse de studii sau reduceri privilegiate care să poată fi acordate membrilor, partenerilor noştri, dar şi instituţiilor publice. Credem că falsele mituri despre GDPR şi DPO se vor elimina de la sine, odată cu punerea în practică a reglementărilor şi cu corecţiile pe care întregul sistem public va fi obligat de realitate să le aplice spre a garanta deplinul respect al vieţii private, protecţiei datelor personale şi demnităţii umane, per ansamblu. AGERPRES/(AS - autor: Daniel Badea, editor: Mariana Nica, editor online: Gabriela Badea)