Analiza — February 12, 2018 at 7:36 am

Riscuri mai puţin luate în calcul (încă)

by

GDPROdată cu apropierea intrării în vigoare a noului regulament general de protecţie date personale, analiştii avertizează pe cele mai diverse tonuri asupra unui aspect mai puţin luat în calcul, dar care ar putea deveni imperios: evaluarea riscurilor la nivelul părţilor terţe, adică al acelor entităţi cu care operatorul sau colectorul de date va lucra (dacă are nevoie) pentru a-şi desfăşura eficient activitatea. De ce un asemenea avertisment, când, teoretic, situaţia ar trebui să fie uşor tranşată prin intermediul unor contracte solide? Deoarece foarte multe organizaţii sunt în plin proces de adoptare tehnologii noi, fără să dispună de abilităţile necesare pentru aprecierea şi gestionarea riscurilor asociate unei asemenea adopţii.

Ca o consecinţă a transformării digitale, companiile se bazează tot mai mult pe o gamă în expansiune de servicii, care au potenţialul de a introduce vulnerabilităţi de securitate cibernetică în ecosistem. Un exemplu ar putea fi edificator aici, în lumina prevederilor regulamentului menţionat mai sus (GDPR). Dacă un controlor de date pune date personale ale cetăţenilor UE în cloud, iar furnizorul de cloud suferă o breşă de securitate, responsabili pentru daunele produse vor fi atât operatorul cât şi controlorul care i-a încredinţat primului datele spre procesare sau stocare. Ca atare, în cazul GDPR, riscurile asociate terţelor părţi devin extrem de importante şi trebuie adresate în avans.

O altă diferenţă esenţială indusă de GDPR este aceea că organizaţiile care activează drept controlori de date, aşa cum sunt furnizorii de servicii cloud, pot fi acum sancţionate direct de autorităţile de protecţie date personale. Ca atare, în vreme ce multe firme se concentrează asupra amenzilor substanţiale pe care le pot primi ca urmare a nerespectării prevederilor regulamentului, pentru o bună parte a lor riscul şi mai considerabil este acela că autorităţile pot opri procesarea de date, acţiune care va duce efectiv la oprirea activităţii oricărei organizaţii care se bazează pe astfel de procesări.

Exemplul de mai sus, dar şi altele care pot fi date, reprezintă un motiv esenţial pentru analişti să accentueze importanţa verificării părţilor terţe intrate în legătură contractuală cu organizaţia din punct de vedere al conformităţii cu prevederile GDPR. Este des folosit exemplul industriei financiar-bancare, unde multe bănci cu activităţi la nivel global sau regional sunt în plină fază de derulare a unor procese de evaluare riscuri la terţi în peste 10 zone de risc, cifra ajungând uneori chiar la 15 astfel de zone. Zonele cheie includ trasabilitatea de securitate a terţei părţi, capacitatea acesteia de a identifica şi reacţiona la breşe de securitate şi altele, iar acolo unde se constată o slabă capacitate de protecţie contractele sunt reziliate fără milă şi sunt căutaţi alţi furnizori, chiar dacă, poate, mai scumpi.

Astfel de avertismente şi situaţii ar putea defini chiar debutul unei resetări complete a modelului de afaceri al unei organizaţii, totul plecând de la punerea la punct încă din start a mecanismelor de identificare a responsabilităţii pentru protecţia datelor. În acest sens, coşmaruri cumplite pot fi lesne imaginate. De pildă, cine e responsabil de protecţia datelor atunci când centrul de date e deţinut de o companie, serverele sunt deţinute de altă companie, centrul este operat de o a treia companie, iar contractele sunt încheiate cu o a patra parte?

Miza enormă GDPR se referă la procese, de la modul de colectare date la obţinerea consimţământului pentru procesarea sau colectarea acelor date, apoi la instalarea de mecanisme întărite de protecţie şi până la mecanisme eficiente de intervenţie. Ce vor însemna toate acestea pentru România rămâne de văzut. Chiar dacă puţin probabil, ar putea însemna o schimbare majoră de mentalitate, de la criteriul unic al preţului la criteriul superior al calităţii activităţii. Până pe 25 mai mai sunt doar trei luni…