Liviu Băltoi: Nu există securitate fără protecția datelor și nici protecția datelor fără securitate

DIGITAL TRANSFORMATION COUNCIL, REVISTA COMUNICAȚII MOBILE ȘI TELECOMTV.RO a organizat conferința virtuală DIGITAL TRANSFORMATION VALUE & SUPPLY & LOGISTICS CHAINS pe 23 iulie 2021.

Impactul pandemiei COVID-19 a afectat miliarde de persoane şi toate industriile la nivel global, fiind perturbate atât fluxurile industriale, cât şi cele comerciale. O analiză obiectivă a efectelor acestei unde de șoc asupra lanțurilor de valoare, aprovizionare şi logistică este absolut necesară în privinţa României.

Concluziile conferinței vor genera idei valoroase pentru strategii şi tactici de predictibilitate proactive pentru luarea deciziilor în companii în vederea menținerii continuității afacerii și construirii rezilienței organizației d.voastră.

“Sunt consultant în domeniul cybersecurity, privacy și data protection, membru în Consiliul Național pentru Transformare Digitală din cadrul Autorității pentru Digitalizare a României. Deopotrivă, sunt și antreprenor în serie de peste 15 ani și am ceva istoric pe zona de management a unei companii.

Două definiții dau bătăi de cap antreprenorilor, securitatea și protecția datelor. În opinia mea, nu există securitate fără protecția datelor și nici protecția datelor fără securitate.

Aceste două definiții, în opinia mea, ar trebui să meargă împreună. 

Trăim în era dataficării și pe măsură ce lumea va fi interconectată și, cu siguranță va fi, cantitatea de date brute despre noi va spori semnificativ. 

Dacă luăm ad litteram definiția datelor personale din GDPR, astăzi orice dată are potențial de a fi cu caracter personal, pentru că direct sau indirect se poate ajunge la orice persoană. 

Mâine este evident și clar că acest lucru ar trebui să declanșeze o formă de protecție defensivă pentru noi ca persoane fizice dar și pentru companii.

Peste tot auzim povestea asta cu legalitatea. Ca manager sau antreprenor este firesc să mă concentrez pe un singur lucru, respectiv legalitate=conformitate. Ajungem, astfel, la acel fenomen simplu, paper compliant.

În acest moment avem legi care reglementează conformitatea, dar nu avem legi care reglementează securitatea. În privința securității, avem ghiduri, ISO-uri, bune practici, consultanți, profesioniști, dar toate astea sunt în categoria de opționale, dar, surpriză sau nu, GDPR te penalizează dacă se încalcă securitatea. Și uite așa, în cadrul unei companii, avem documente despre securitate fără ca cei care trebuie s-o aplice în concret să aibă idee despre ce este vorba.

Definiția din GDPR a încălcării securității spune clar că încălcarea securității datelor cu caracter personal înseamnă o încălcare a securității care duce în mod ilegal sau accidental la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Pornind de la această premiză, că încălcarea securității datelor înseamnă încălcarea securității, este cât se poate de evident că securitatea informațiilor, partea tehnică, și securitatea datelor personale nu pot fi deloc separate, sunt același lucru.

Soluțiile de securitate din cadrul unei firme sunt instrumente care ne ajută să asigurăm securitatea informațiilor. Există alte soluții pentru securitatea datelor personale? Nu cred că există un specialist IT care să spună că, oricare ar fi soluția de securitate utilizată, aceasta deservește unui singur scop, fie el de protecție a datelor personale, fie de asigurare a securității informațiilor. Practic, sunt același lucru.

Cei mai mulți specialiști vând aceste soluții separat. Oricât am încerca, riscurile la adresa securității informațiilor nu pot fi eliminate complet, ele pot fi doar reduse.

Prin urmare, dacă facem cum ne învață teoria, adică management de riscuri, vom acoperi datele cu caracter personal, pentru că acestea din urmă nu sunt într-o cutie pe un raft al organizației, ele sunt acolo unde sunt și restul datelor, iar dacă aplicăm corect definiția securității informații voi proteja și datele cu caracter personal.

Consider că este în zadar să enunțăm definiții și paragrafe de lege dacă nu știm cum pot fi aplicate concret pentru a asigura securitatea informațiilor, securitatea datelor cu caracter personal.

În Românie există, așa cum se întâmplă și în alte state, o autoritate pentru protecția datelor cu caracter personal. Consider că această autoritate ar trebui să vină mai aproape de mediul antreprenorial din România prin expunerea unor studii de caz sau Q&A online, cu răspunsuri la cele mai frecvente întrebări. Dacă pe mine mă întreabă cineva dacă are nevoie de anume lucru în povestea GDPR, îi dau un răspuns. Dacă întreabă pe altcineva, poate primește alt răspuns.

Spre exemplu, în Marea Britanie, fiecare companie pune pe un QUIZ întrebările și primește răspunsurile cu informațiile clare și precise.

La noi, autoritatea răspunde foarte greu la întrebările primite de la companii.