Despre datele personale în vremea coronavirusului (sau de ce e bine să te piepteni chiar când țara arde)

În toată agitația creată de măsurile fără precedent luate de toate statele lumii pentru combaterea pandemiei, ne concentrăm pe zonele de drept cu aplicabilitate imediată (dreptul muncii, forța majoră și altele asemenea). Puțini dintre noi mai au acum timp să se gândească și la Regulamentul General privind Protecția Datelor (GDPR).

Și totuși, instituirea stării de urgență, cu toate consecințele ei, nu a suspendat aplicabilitatea GDPR în Romania. Prin urmare, modul în care tratați în această perioadă datele cu caracter personal ar putea să genereze mai târziu, când vom fi ieșit din acest marasm, efecte grave, ce pot fi ușor prevenite azi.

Redăm în cele ce urmează câteva aspecte pe care le-am văzut des în ultimele zile și care merită luate în calcul (și evitate).

  1. Declarații pe care angajații și vizitatorii le completează la intrarea în anumite spații

Probabil mulți dintre cei care citiți v-ați lovit de aceste declarații. În principiu intenția e bună, pentru evitarea răspândirii epidemiei (presupunând că cei care le completează și spun adevărul). De la intenție la realizare, însă, e cale lungă, iar declarațiile-tip pe care le-am văzut până acum (inclusiv la case mari – autorități publice sau mari companii) ridică probleme serioase de legalitate a prelucrării, cum ar fi:

  • Lipsa informațiilor pe care operatorul este obligat să le furnizeze persoanei vizate în momentul colectării datelor (art. 13 GDPR). Nu e obligatoriu ca aceste informații să fie furnizate pe același suport pe care se colectează datele, dar ele trebuie să fie în mod obligatoriu oferite persoanei vizate la momentul colectării. Acest lucru se poate face foarte simplu, prin afișarea unei note de informare în locul în care se colectează datele;
  • Colectarea unei cantități excesive de date (adresă, nr. telefon, email, angajator etc) – în opinia noastră numele și un număr de telefon sunt suficiente pentru a identifica persoana în cazul în care chiar e nevoie ulterior (pentru o ancheta epidemiologică, spre exemplu);
  • Colectarea unor date sensibile, în special referitoare la starea de sănătate a persoanei vizate (de exemplu „ați avut vreunul din urmatoarele simptome în ultimele 14 zile…?”). GDPR conferă acestui tip de date un statut special și reglementează restrictiv cazurile în care operatorii pot prelucra astfel de date. În lipsa unei prevederi exprese în dreptul intern sau în dreptul Uniunii care să oblige sau să permită operatorilor să prelucreze aceste date, nici chiar această pandemie nu justifică prelucrarea acestor date de către entități din afara sistemului medical. Dacă totuși prelucrarea lor e considerată esențială pentru organizația respectivă, acest lucru s-ar putea face doar prin intermediul unui medic, aflat sub obligația păstrării secretului profesional (art. 9 alin. 2 lit. h) GDPR).
  1. Lipsa unor măsuri tehnice și organizatorice privind securitatea prelucrărilor adaptate lucrului la distanță

În spațiul a mai puțin de două săptămâni ne-am trezit cu toții că trebuie să lucrăm de acasă. Cum noțiunea de plan de continuitate a afacerii abia începe să-și facă loc în mintea noastră, chiar și în cadrul unor organizații mari, este evident că lucrurile s-au organizat din mers și cu multe improvizații.

În acest context, de foarte multe ori măsurile de securitate implementate de organizații în condiții obișnuite de lucru devin total ineficiente sau irelevante, iar cadrul organizatoric și tehnic în care prelucrăm datele trebuie regândit integral, pentru a ne adapta noului mod de lucru, la distanță.

În organizațiile mari, cu resurse suficiente și cu procese adecvate de control, această adaptare se face relativ rapid. Întreprinderile mici, însă, cu resurse limitate și afectate oricum de toată această situație, sunt într-o situație cu totul diferită, iar securitatea datelor cu caracter personal e ultima lor grija azi. Ar putea deveni însă o grija foarte mare mâine, dacă lipsa măsurilor de securitate sau caracterul lor inadecvat față de noua realitate a lucrului la distanță conduc la incidente de securitate ce afecteaza drepturile și libertățile persoanelor vizate.

Din păcate această perioadă de confuzie generală și de reașezare a modului de lucru al companiilor e văzută ca o oportunitate de infractorii cibernetici, iar tentativele de fraude informatice au explodat în ultimele două săptămâni, mai ales în zona de phishing și ransomware.

Nu există o rețetă general valabilă în ceea ce privește măsurile de securitate ce trebuie implementate – fiecare operator trebuie să identifice potențialele riscuri pe care le presupune desfășurarea activității la distanță și să decidă ce măsuri pot fi implementate pentru a preîntâmpina aceste riscuri, ținând cont de stadiul tehnicii, de circumstanțele concrete ale activității, de tipul și volumul datelor prelucrate.

Sunt însă câteva măsuri generale pe care orice operator le poate implementa:

  • Reluarea instruirii angajaților cu privire la protecția datelor cu caracter personal și cu privire la protecția datelor întreprinderii în general; în acest context, poate fi foarte utilă și instruirea angajaților pentru identificarea tentativelor de frauda informatică;
  • Impunerea obligației de accesare a internetului doar prin rețele securizate (eventual doar prin hotspot de pe telefonul de serviciu);
  • Verificarea și adaptarea măsurilor de securitate aferente sistemelor folosite (antivirus actualizat, firewall, autentificare pe două niveluri, definirea unor niveluri de acces adecvate nevoilor de acces ale fiecărui angajat, sisteme de back-up etc.);
  • Analizarea activităților de prelucrare desfășurate de entitate (presupunând că există un registru al activităților de prelucrare, conform obligației instituite de art. 30 GDPR) și a măsurilor de securitate aferente acestora și adaptarea lor, acolo unde este necesar.
  1. Comunicările nesolicitate către clienți sau potențiali clienți

În condițiile în care cu toții încercăm să ne adaptăm unor situații în care suntem lipsiți de interacțiunea umană directă, păstrarea legăturii cu clienții devine extrem de importantă.

Cu toate acestea, regulile generale cu privire la astfel de comunicări, mai ales atunci când ele se fac prin intermediul telefonului (SMS sau apeluri directe), rămân aplicabile chiar și în aceste vremuri.

În lipsa consimțământului expres al persoanei vizate pentru transmiterea acestor comunicări, e recomandat să fiți precauți cu privire la interacțiunea nesolicitată cu clienții sau potențialii clienti, și să analizați cu grijă temeiul legal în care faceți astfel de comunicări și modul efectiv în care le realizați, mai ales ținând cont de recentele decizii de sancționare ale Autorității ce au avut ca obiect chiar transmiterea unor comunicări nesolicitate.

  1. Gestionarea defectuoasă a incidentelor de securitate

Decretul 195/2020 privind instituirea stării de urgență pe teritoriul României a suspendat sau prelungit anumite termene procesuale sau procedurale. Din păcate, termenul limită în care poate fi notificat Autorității un incident de securitate, dacă e cazul, a rămas același: 72 de ore de când operatorul a luat la cunoștință de existența incidentului.

În contextul în care resursele umane și informaționale ale organizatiilor sunt dispersate geografic pe un teritoriu extins în această perioadă, mai devreme sau mai târziu pot apărea incidente de securitate, oricâte măsuri tehnice și organizatorice ar implementa organizațiile. Trebuie spus aici că din punct de vedere al GDPR, incidentele de securitate relevante nu sunt doar dezvăluirile neautorizate ale datelor cu caracter personal, ci și pierderea, distrugerea sau indisponibilitatea, chiar temporară, a datelor sau modificarea neautorizată a acestora.

Ce e important de știut este că, atunci când în ciuda tuturor măsurilor luate are loc un astfel de incident și, în urma analizei interne, se ajunge la concluzia că există probabilitatea ca incidentul să genereze riscuri pentru drepturile și libertățile persoanelor vizate, operatorul are obligația de notificare a Autorității în acest termen de 72 de ore.

Am întâlnit des o reticență a clienților de a interacționa cu Autoritatea. Există această idee generală că o notificare a unui incident de securitate va genera o avalanșă de controale și că mai bine stăm noi liniștiți, că poate nu se întâmplă nimic. În realitate, din experiența noastră, Autoritatea a acționat mai mult decât profesionist în fiecare situație în care am notificat un incident, concentrându-se exclusiv pe măsurile luate pentru minimizarea efectelor incidentelor raportate și fără ca această raportare să declanșeze alte controale sau acțiuni din partea Autorității.

Da, este posibil ca Autoritatea să aplice sancțiuni dacă incidentul a fost cauzat de neglijența gravă a organizației și a afectat un număr important de persoane vizate. Dar atitudinea operatorului față de incident și modul în care și-a îndeplinit obligațiile din momentul în care a luat la cunoștință de existența incidentului pot fi determinante în individualizarea acestor sancțiuni.

În concluzie, așa cum spuneam mai sus, atitudinea generală este „avem lucruri mai importante și mai urgente de rezolvat azi decât să ne gândim la protecția datelor cu caracter personal”. Și e normal să fie așa – afacerile sunt vulnerabilizate din toate părțile, atunci când nu sunt paralizate complet de măsurile luate pentru combaterea pandemiei. Ne gândim ce facem cu angajații, cu ratele la bancă și leasing-urile la mașini și echipamente, la facturile neîncasate și la furnizorii care strigă după bani.

Dar tocmai de aceea e important să nu avem o vulnerabilitate suplimentară. Vor urma vremuri în care spiritul nostru belicos va ieși la suprafață în moduri pe care n-am fi vrut să le vedem.

Așa cum astăzi n-avem medici suficienți în spitale, când se va încheia starea de urgență nu vom avea judecători suficienți în tribunale să judece toate procesele ce vor urma. Iar plângerea la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru încălcări reale sau imaginare ale legislației în domeniu a început deja să fie unul din instrumentele preferate de presiune (sau de răzbunare) în relațiile dintre angajatori și angajați, sau dintre furnizori și clienți.

De-aceea, cum spuneam în titlu, e bine să te piepteni chiar și când țara arde. Pentru că altfel riscăm să iesim ciufuliți bine din toată nebunia pe care o trăim azi.