Primele 3 amenzi GDPR în România: de la „Se poate întâmpla” până la „Criptarea, soluția minune”

(Timp estimat pentru citirea acestui articol: 5 min)

În decurs de mai puțin de 7 zile, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat primele 3 amenzi date pentru încălcarea GDPR, de parca le avea pregătite în tolbă ca parte a unei terapii ca să scape de sughițurile din primul an. Prima a fost preluată mai abitir de presă, după care interesul a scăzut considerabil pentru următoarele două, dar și amenzile au fost mai mici.

Dacă prima a fost pentru o bancă, pentru că a dezvăluit prea multe date colectate (CNP, adresă poștală), deși avea dreptul de a le colecta, iar a doua pentru o listă ajunsă publică, cu 46 de participanți la un mic dejun la un hotel, al treilea caz este legat de un subiect probabil mult mai des întâlnit în practică: accesul printr-un link public la un fișier neprotejat suficient de pe un site, care conținea și date personale.

În acest ultim caz, proprietara site-ului a făcut și o însemnare publică (kudos for that!), în care detailează puțin cazul și punctează câteva lecții învățate. Cred că nu i-a fost ușor să scrie articolul, dar sunt cel puțin 3 chestiuni care merită detaliate (și cel puțin la două dintre ele nu sunt de acord întru totul cu opinia originală).

1. Se poate întâmpla oricui!

Așa este!

Fie că vorbim de un transfer de găzduire, de un upgrade, schimbare de platformă sau alte chestiuni tehnice mici, care nu ar ridica teoretic probleme deosebite, pot apărea asemenea erori, la orice nivel. Cu o bună securitate, poți să ajungi să minimalizezi cazurile în care ar putea să apară astfel de situații, dar astfel de cazuri există și astăzi și probabil că vor fi încă relativ curente multă vreme de acum înainte.

Poate aveți norocul ca acea breșă de securitate să nu afecteze date personale, dar, dacă afectează, nu uitați că trebuie, în principiu, să notificați autoritatea în 72 de ore (vezi formularul online).

2. Nu există standarde pentru securitate ?!

Aici e mai discutabil.

În primul rând, există standarde pentru securitatea informației (ISO 27001). Există și liste de ghiduri de bune practici pentru zone de securitate, chiar și pentru GDPR și IMM-uri (de exemplu, pe cel al ENISA îl recomand).

Ceea ce nu există nu sunt standardele, ci aplicabilitatea lor reală pentru zona de site-uri mici și mijlocii (vorbesc de site-uri, și nu de business-uri, pentru că putem avea și site-uri deținute de ONG-uri, persoane private sau administrație publică, ce intră în aceeași categorie), în special prin existența unor specialiști cu servicii de securitate IT pentru această zonă.

Și, unde este o nevoie, probabil că vor apărea soluții. Și, la fel cum în termenul de „expert GDPR” s-au strecurat tot felul de începători care au studiat GDPR-ul ca pe o carte de colorat, va fi probabil și aici la fel.

Pentru că încă sunt unii care consideră că trebuie doar să instaleze un antivirus sau să pună o parolă, sau să facă 17 chestii și au rezolvat treaba, o să fie crunt dezamăgiți. Sau o să fie un serviciu pentru ei. Securitate Fake SRL.

3. Criptăm tot și rezolvăm !?!???!!!???

Mai dă-o naiba de treabă!

Văd că unii folosesc termenul de „criptare” în sens de „securizare”. E ca și cum am confunda clauza penală cu fapta penală. E rușinos dacă zici că ai terminat o facultate de drept să nu știi diferența. La fel e și cu criptarea dacă vorbim de GDPR.

Un fișier cu date criptate rămâne criptat oriunde l-ai muta. Criptarea nu se ia nici în doze și nici nu se prizează.

Criptarea comunicației cu un site nu e același lucru cu criptarea datelor de pe un server.

Și, dacă nu știi asta, îl cauți pe Alice, Bob și restul trupei de criptologi amatori și stai cu ei până când înțelegi cum funcționează. Apoi iei și testezi și vezi cum este să criptezi, cum arată datele criptate, ce nașpa e să-ți pierzi parola de la cheia ta privată (evident că mi s-a întâmplat!, OK, poți să sari peste pasul ăsta…) ș.a.m.d.

N-o să devenim toți experți, dar măcar mai înțelegem ce ce vorbesc alții. Iar atunci când zicem de măsuri de securitate, măcar nu le zicem clienților ca să-și cripteze toate email-urile cu care trimit date personale. Să fim serioși și practici – nu o face nimeni în zona de business privat. Și 95% nu știu ce e aia criptarea unui email.

(Articol publicat inițial la Legi-internet.ro)


Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.