Observații de la o conferință despre ”amprenta noastră digitală” și modul în care o putem proteja
Miercuri, 18.04.2018, a avut loc în cadrul Universității Titu Maiorescu conferința ”Provocarea GDPR – Aspecte teoretice și practice”. Am ales să vorbesc astăzi pentru cititorii Baricada.org despre acest eveniment din mai multe motive:
- În primul rând regulamentul privind protecția datelor noastre personale, pe scurt acronimul din limba engleză GDPR (General Data Protection Regulation) suscită vii dezbateri și, cum este menit să intre în vigoare inclusiv în România la data de 25 mai, a produs valuri de interes, dar și îngrijorare (sancţiunile în caz de nerespectare sunt destul de consistente);
- Al doilea motiv care mă îndeamnă să vorbesc cititorilor este de natură critică. În general, deși problema datelor personale privește publicul larg, faptul că regulamentul vorbește de operatori de date – instituții de stat și organizații private – face ca discursul despre datele noastre personale să fie monopolizat de o elită formată din juriști și informaticieni. Cât ajunge din aceste dezbateri la publicul larg e o chesiune care trebuia gândită, din punctul meu de vedere, chiar înainte de a elabora regulamentele. Din păcate sau din fericire, depinde pe ce parte a baricadei ne situăm, trăim într-o lume a publicității și PR-ului și nimic nu are succes dacă nu ajunge prin strategii optime de comunicare (campanii de informare, articole de presă, dezbateri televizate) la public;
- Al treilea motiv pentru care cred că este foarte important să discutăm despre datele noastre personale și protejarea lor este legat de faptul că implementarea GDPR nu a fost precedată de o campanie de comunicare în media în așa fel încât inclusiv elita formată din juriști și informaticieni să înțeleagă adevărata miză a discuției, riscurile la care se supun atât în calitate de reprezentanți și angajați ai instituțiilor și organizațiilor, dar și ca simpli cetățeni. Or, așa cum spunea o persoană cu îndelungată experientă de conducere în instituțiile de forță, o legislație, ca orice fel de regulă și ordin, nu poate avea succes dacă cel care primește acel ordin nu și-l însușeșete. În acest moment GDPR e privit cu oarecare anxietate, lucru care îi îndeamnă pe cei chemați să îl implementeze să se ”apere” de aceste reglementări;
- Al patrulea motiv privește, firește, toate scandalurile legate de firmele care comercializează date personale, de scandalurile fără sfârșit privind Cambridge Analytica, Facebook și alte rețele sociale care ne fac să înțelegem că tehnologia prin ea însăși nu aduce nimic bun sau rău. Tehnodeterminismul e o utopie seducătoare. Progresul tehnologic ne ”ia mințile” și ne face să credem că va conduce automat la progres social. Dacă nu este reglementat corespunzător poate duce la regres și chiar dezastre în plan social;
- În fine, al cincelea motiv pentru care doresc să aduc în discuție această conferință privește calitatea ei prin invitații de marcă ce au vorbit – Cătălin Giulescu, reprezentant Ministerului Afacerilor Interne – Director împuternicit al Direcției de Evidență a Persoanelor și Administrare a Bazelor de Date, cel care a reprezentat România în elaborarea GDPR la nivelul Comisiei Europene, Alina Bârgăoanu, decană a Facultății de Comunicare și Relații Publice, SNSPA, membru al Grupului de Experți la Nivel Înalt al Comisiei Europene pentru Combaterea Dezinformării, Andreea Ilie și Emilia Datcu, reprezentante ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Nu în ultimul rând, domnul Iustin Priescu, decan al Facultății de Informatică din cadrul UTM, specialist în securitatea datelor și proceduri de pseudonimizare a acestora. Am selectat doar câteva dintre prezentările făcute în cadrul conferinței în scopul de a aduce mai multă lumină.
Conferința a fost organizată de Universitatea Titu Maiorecu în parteneriat cu editura Universul Juridic și Asociația Alumini a UTM. Temele anunțate au suscitat un viu interes, conferința înregistrând peste 400 de participanți. Interesul lor era unul punctual, lucru care s-a reflectat în întrebările adresate specialiştilor în timpul conferinței:
- Luăm amenzi de la 25 mai și cât de mari?
- La ce tip de operatori se referă concret GDPR?
- Ce responsabilități care responsabilul cu protecția datelor personale la nivelul organizațiilor numit după acronimul din limba engleză DPO (Data Protection Officer)
- Poate organizația să îi impute problemele de securitate a datelor – scurgeri de informații – acestui DPO sau este el o persoană independentă și ”relaxată” în cadrul organizației, fiind responsabil cu monitorizarea și avertizarea conducerii cu privire la proceduri și riscuri?
- Care sunt soluțiile tehnice optime de implementare a GDPR? Aici nu pot să nu remarc prezentarea foarte percutantă a domnului Iustin Priescu. Discursul său a combinat o bună cunoaștere atât a legislației cât și a soluțiilor tehnice de implementare – lucru foarte dificil, întrucât juristul, în genere, poate spune ce trebuie făcut. Este sarcina foarte grea de multe ori a informaticianului să spună cum anume să se realizeze acele lucruri. O a treia valență a discursului din cadrul conferinței a fost talentul pedagogic cu care, într-o expunere foarte explicită și pentru nespecialiști în informatică, domnul Priescu a explicat cu multă răbdare, pas cu pas, riscurile și problemele din legislație și soluțiile de implementare tehnică a acestora, conform GDPR.
Astfel, câteva dintre lucrurile esențiale pe care le-am aflat cu privire la protecția datelor personale, privesc soluțiile optime de pseudonimizare a acestora. Care este diferența dintre anonimizare și pseudonimizare? Anonimizaerea datelor personale presupune aplicarea unei proceduri în urma căreia este imposibil să mai accesezi datele de identificare personală. Pseudonimizarea presupune o procedură prin care datele pot fi recuperate. De pildă, exemplul foarte sugestiv oferit de domnul Cătălin Giulescu este acela al benzinăriilor. Serviciile de curățenie sunt afișate public, pe un tabel apare numele persoanei, semnătura ei și intervalul orar în care s-a ocupat de curățenie. O procedură de pseudonimizare ar însemna să dăm un cod numeric, o marcă, pentru fiecare persoană și pe tabelul care este accesibil publicului să vedem doar acea marcă, nu întregul nume al persoanei care e în cauză. În plus, de foarte multe ori, instituțiile și organizațiile colectează un volum mare date cu caracter personal. Pseudonimizarea s-ar referi la o procedură prin care sunt ”ascunse” anumite câmpuri din tabelele cu date despre persoanele care vin în contact cu organizația. Cum majoritatea companiilor se confruntă cu aceste probleme, domnul Iustin Priescu a avertizat asupra faptului că soluțiile de criptare și pseudonimizare disponibile gratuit în regim open source pot fi ușor ”sparte” și nu reprezintă o provocare pentru hackeri.
Se pare că datele personale și protecția lor reprezintă o provocare atât pentru noi ca simpli cetățeni, dar, așa cum prevede acum GDPR-ul pentru juriști și informaticieni. Este motivul pentru care managerul unei companii de training GDPR a insistat asupra faptului că orice companie care se va ocupa de această problematică a monitorizării prelucrărilor datelor cu caracter personal va trebui să aibă în vedere o colaborare dintre juriști și informaticieni. Așa cum stau lucrurile acum, o serie de companii IT au creat o tehnologie care permite circutația și transferul unei cantități impresionante de date. Accesul cetățenilor obișnuiți la mijloacele de comunicare în masă – Facebook, Youtube, Twitter, etc. – aduce după sine și pericole, dar acestea abia încep să fie conștientizate la adevăratul lor potențial. Utopia tehnodeterministă a condus la dereglementare – tehnologia înseamnă progres prin ea însăși și organismele statale și suprastatale nu trebuie să intervină în reglementarea ei. Acum alte companii IT propun soluții la problemele generate tot în mediul digital de ”colegele” lor. Publicul rămâne să plătească! Cum însă este imposibil să mai dăm timpul înapoi, reglementarea pare singura soluție!
O prezentare foarte amplă și bazată pe o experiență de ani de zile în conducerea unei instituții care are drept obiectiv chiar ”evidența populației” i-a aparținut lui Cătălin Giulescu. El a prezentat date importante cu privire la nivelul de conștientizare al importanței protecției datelor personale. Pe parcursul întregii conferințe a adus completări importante cu privire la GDPR și implicațiile sale.
Un punct de controversă a fost stârnit de prezentarea domnului Doru Dorobanțu care a ocupat la rândul său importante funcții în Ministerul Afacerilor Interne și care a prezentat funcţiile ofițerului responsabil cu protecția datelor personale – DPO-ul (Data Protection Officer). Dacă unii specialişti erau de părere că acesta ar trebui să fie cât se poate de relaxat pentru că legislația îl ferește de concedieri abuzive, de reponsabilități financiare importante în cad de scurgere de informații, un alt specialist vorbea deja despre clauze de sute de mii de euro pe care marile companii le introduc în contractele cu acești DPO pentru a transfera responsabilitățile asupra lor.
Prin urmare, așa cum vedem, a fost o dezbatere centrată pe soluții și probleme tehnico-juridice. Domnul Giulescu a prezentat o statistică realizată la nivelul Uniunii Europene e drept, în anul 2010, care care arată că în privința protejării datelor cu caracter personal românii se află pe ultimul loc. De aceea, poate ar fi nimerit – și articolul de față tocmai acest lucru și-l propune – să extindem discuția la nivelul metadiscursului și să analizăm aspectele de ordin etic și politic din spatele GDPR pentru a înțelege lucruri esențiale de tipul: cine deține ”amprenta mea digitală” (cumpărături online, tranzacții bancare, informații despre starea mea de sănătate, preferințe muzicale, etc), cine poate să folosească în scopuri negative aceste date, cât de periculoasă poate deveni neprotejarea datelor în contextul campaniilor comerciale, dar a celor electorale? Cum pot firmele sau politicienii să se folosească de psihologi pentru a ne face o profilare și a exploata vulnerabilitățile noastre? În general, cum putem face ca tehnologia să apropie publicul de puterea politică (vot electronic, democrație directă, de pildă) și să împiedicăm folosirea ei pentru manipulare și dezinformare? Consider că aceste lucruri sunt cel puțin la fel de importante și sunt menite să arate atât specialiștilor direct vizați de GDPR, dar mai ales publicului larg miza acestor reglementări. O prezentare altminteri foarte interesantă precum cea făcută de doamna doamna Alina Bârgăoanu a putut doar să indice câteva dintre elementele inedite și pe alocuri chiar înfricoșătoare la care se poate ajunge în absența dereglementării. Continuarea pe această direcție ar fi însă de natură să aducă publicul mai aproape de ”eul său digital” și de modul în care acesta poate fi exploatat.
Mai mult despre conferinţa puteţi afla aici: