Ec. Cătălina Pantilimon, expert & lector postuniversitar & Mentor GDPR
Noile tehnologii înglobează mijloace tehnice tot mai evoluate care se propagă ca o undă de șoc în toate aspectele vieții omenești – naștere, educație, relații personale și profesionale, sănătate, petrecerea timpului liber, conflictele interpersonale și interstatale, câștiguri și pierderi financiare, urcușuri și văi ale vieții fiecăruia etc. – mijloace tehnice care descarcă practic multe, ori mult prea multe din datele personale (contextul aplicabil) în lumea virtuală, în internet, hrănit cu sârguință și de multe ori fără discernământ, de fiecare dintre noi pe rețelele de socializate sau în cadrul platformelor cu care interacționăm.
Devine tot mai evident, pe zi ce trece, faptul că digitalizarea nu mai constituie o opțiune pentru România și locuitorii săi, aflându-ne în fața unui efort intens concertat de spațiul european – „The Digital Decade Policy Programme 2030”1 pentru a facilita înglobarea noilor tehnologii în toate activitățile desfășurate de indivizi și de organizații. Suntem în plin proces de digitalizare, fapt ce determină o revoluție a modului analogic de a gândi și de a acționa. Învățarea noilor tehnologii facilitează utilizarea de noi procedee de lucru mai rapide și mai precise și, totodată, ar trebui să ne responsabilizeze, pe fiecare dintre noi să fim informați și vigilenți atunci când prelucrăm informațiile personale ale oamenilor.
Protejarea datelor personale, în mod independent de noile tehnologii, devine misiune imposibilă, cu fiecare zi ce trece și cu fiecare set de date transferat.
Nu numai specialiștii în protecția datelor trebuie să înțeleagă acest lucru, ci și operatorii de date, care vor trebui să înțeleagă că au de luat mereu în considerare două aspecte primordial importante:
- Integrarea și utilizarea noilor tehnologii în procesele ce compun fluxul de activități de prelucrare a organizației/instituției, în mod congruent cu evitarea riscurilor tot mai mari pe care le comportă transferurile tot mai rapide de date în mediul intern și extern prin expunerea la internet (noul internet, IoT2, AI3 ș.a.) a datelor.
Aceasta presupune implementarea fără eschivă sau ignoranță a principiilor GDPR de prelucrare a datelor cu caracter personal încă din fașă, din zorii zilei ce marchează luarea deciziei de a folosi noi instrumente bazate pe tehnologiile inovative ale zilelor noastre pentru gestionarea unor operațiuni de prelucrare precum colectarea, înregistrarea, corelarea sau combinarea seturilor de date, modificarea, consultarea/monitorizarea, transferul bazelor de date (parțial sau integral) în cadrul subdiviziilor sau către persoanele împuternicite de operator, precum și evaluarea, scoringul sau profilarea persoanelor vizate (contribuabili, angajați, candidați, participanți la diverse proiecte etc.) până la instituirea acestui „perpetuum mobile” reprezentant de conceptul simbiotic privacy by design & privacy by default.
Trebuie să recunoaștem cu toții că tentația de a primi date gata filtrate care ne netezesc calea către succesul proiectelor demarate este tot mai mare, când prin profilare obții exactitate și claritate într-un timp foarte scurt. Deoarece, până la urmă, timpul este singura resursă neregenerabilă, curgerea lui fiind ireversibilă sub toate aspectele – o conștientizare care, odată coborâtă în noi, ne îndeamnă să luăm scurtăturile pe care noile tehnologii ni le înfățișează.
E important să avem mereu prezent în minte că tot ce mișcă societatea umană folosește datele personale, iar profilarea are valoare atunci când dezgolește „miezul moale” al individului, partea lui nevăzută, universul lui interior prin care percepe lumea și în care se structurează modul propriu fiecăruia de a lua decizii despre oricare din aspectele vieții lui – pe lângă multe alte arii, amintesc aici datele sensibile despre sănătate, relații, studii, realizare venituri și cheltuirea banilor pe care îi face.
Operatorii de date care vor înțelege profund nevoia de a folosi aceste date în mod corect, vor ajunge, în timp și cu un marketing etic însă puternic, să dobândească un diferențiator extrem de valoros în vremurile ce vor veni – încrederea oamenilor cu care interacționează în activitatea lor. Această înțelegere nu va fi una declarativă, ci una bazată pe acțiune bine gândită și susținută cu caracter permanent de managementul de vârf și de întreaga structură organizațională/instituțională, la unison, pentru aplicarea sa.
- Protecția datelor este un domeniu de expertiză care presupune informare și pregătire continuă, capacitate de a analiza mediul de prelucrare în ansamblu și în mod obiectiv, în baza unor elemente predefinite, într-un mod dinamic, interschimbabil. Expert în protecția datelor este cine alege conștient și asumat această cale și care investește timp, minte și pasiune în a răspunde în același timp și nevoilor de conformare GDPR4, și nevoilor operatorului de date. Nu este și nu poate fi expert în acest domeniu cineva care mai are și altă meserie/profesie care îl solicită, cu atât mai mult cu cât asistăm tot mai mult la specializarea experților pe ramuri ale protecției datelor, dată fiind complexitatea și vastitatea acestui domeniu de studiu și de profesat.
Aplicarea în ansamblu a principiilor GDPR în cadrul utilizării noilor tehnologii presupune un anumit mod de a gândi care să acopere aspectele juridice în mod corect, complet și concludent, dar și aspectele practice ale unor măsuri tehnice și organizatorice care, odată implementate, să nu producă sincope sau să îngreuneze activitatea operatorului de date în îndeplinirea scopului pentru care acesta există – societățile comerciale, pentru obținerea de profit, iar alte forme de organizare precum instituțiile statului sau ONG-urile, pentru atingerea scopului cu care respectivele entități au fost învestite fie prin lege, fie prin statut.
Noile tehnologii condimentează cum nu se poate mai bine munca specialistului în protecția datelor, aducând în ecuație nevoia de a învăța continuu despre expunerea adăugată la riscul de încălcare a drepturilor persoanelor vizate când aplicațiile sau sistemele utilizate încep să folosească noile tehnologii sau sunt reconfigurate complet în baza acestora.
Iată câteva dintre multele argumente care conduc către necesitatea imperioasă de a lucra cu specialiști în conformarea GDPR a activităților de prelucrare efectuate de operatorii de date și persoanele împuternicite de aceștia, în lato sensu – în funcție de dimensiunea operatorului și de complexitatea activităților de prelucrare, specialistul GDPR poate fi o persoană sau mai multe din interior, poate fi un serviciu extern de protecția datelor, poate fi o echipă mixtă cu ambele variante integrate. Pentru că asigurarea protecției datelor, de la „nașterea” lor în sistem și până la „stingerea” lor – online, offline, letric și electronic – nu poate fi un obiectiv SMART5 decât printr-un efort continuu, sistemic, de echipă – efort care va capitaliza toată munca depusă prin eficientizarea activităților de prelucrare și implicit economisirea resurselor operatorului de date, ca rezultat indirect.
După cum se poate observa, acest proces profund și iminent accelerat de digitalizare a umanității, manifestat mai ales prin apariția unor domenii de studiu precum machine learning (generative AI) și data mining, care au condus la generarea de roboți cum sunt și cei din seria Large Language Models (LLMs)6, schimbă în mare parte paradigma cu care noi suntem încă obișnuiți. Plecând de la instrumentele uzuale pe care le folosim în munca noastră de zi cu zi – culegere date, combinare, integrare perspective noi și culminând cu frecvența și complexitatea cu care datele noastre cu caracter personal sunt difuzate prin intermediul internetului și ajung să fie stocate în baze de date de pe întreg mapamondul. Inclusiv criteriul teritorialității prelucrărilor de date, în contextul digitalizării, devine unul tot mai ambiguu și dificil de gestionat, pe măsură ce viteza de transfer și capacitatea de prelucrare a datelor cresc.
În aceste vremuri, când vorbim de identitatea/amprenta digitală a persoanei, când mișcarea globului ocular, grimasa și numărul de clicuri ne sunt măsurate și interpretate, noile tehnologii găsesc cale deschisă spre centrul nostru mai ușor, dată fiind capacitatea fără precedent al acestor sisteme de a găsi și combina seturi relevante de date la modul rafinat, la moduri de finețe ce conduc la exactitate și precizie în profilare. Suntem mult mai expuși și deciziile ne sunt influențate submersiv de diverse campanii de marketing pentru a cumpăra un produs/experiență anume în detrimentul altuia/alteia; informații alterate expuse public în forme extrem de verosimile în aparență ne influențează opinia și deciziile politice, făcând tot mai dificilă trierea și clasarea informației ca fiind reală, corectă pe de-a întregul și adevărată. Practic se duce o luptă permanentă, tot mai acerbă, pentru colectarea de date cu caracter personal într-o varietate și cantitate tot mai mare, pentru ca roata economiei să se învârtă mai mult, mai repede și mai năucitor, iar noile tehnologii contribuie consistent la împlinirea acestui obiectiv. Reglementarea corectă a canalelor de colectare a datelor cu caracter personal, constituirea, gestionarea și transferul bazelor de date, implementarea și menținerea măsurilor tehnice și organizatorice adecvate pentru asigurarea respectării securității, confidențialității, disponibilității și continuității datelor conform principiilor de prelucrare instituite prin GDPR7 vor reprezenta acțiuni chiar mai relevante decât în prezent, cu bătaie lungă la capitolul guvernanță.
Viitorul tehnologic este deja aici și convingerea mea este că specialiștii în domeniul protecției dreptului la intimitate și viață privată ca drept fundamental vor eșua în munca lor, dacă nu vor integra, în mod continuu și susținut, în profilul lor profesional componenta tehnică adusă de digitalizarea mediilor de prelucrare a datelor cu caracter personal.
În acest context, operatorii de date au nevoie mai mult decât oricând, pentru a putea asigura eficient și coerent respectarea drepturilor persoanelor vizate, de profesioniști înfipți în realitatea curentă și cu ochii îndreptați spre viitor, bine pregătiți pentru determinarea măsurilor tehnice și organizatorice adecvate, evitând în acest fel posibile amenzi și un prejudiciu irecuperabil de imagine.
