Deoarece ieri în lumea specialiștilor în protecția datelor cu caracter personal a avut loc un cutremur, anume decizia Curții de Justiție a Uniunii Europene de a invalida programul Privacy Shield, am să explic pe înțelesul tuturora de ce cam 90% din firme pot fi sancționate cu amenzi uriașe din cauza #GDPR. Am să încerc să o fac fără a folosi termeni de specialitate sau tehnici; și nici în legaleză nu intru.
GDPR este o lege ce protejează oamenii din punct de vedere al prelucrărilor de date personale. Date personale = orice date ce pot identifica direct sau indirect un individ, prelucrare = ORICE faci cu date personale (inclusiv stocare). GDPR este la fel pe tot teritoriul Uniunii Europene plus câteva țări ce fac parte din Zona Economică Europeană (gen Islanda, Liechtenstein, Norvegia, Elveția) și se aplică tuturor operatorilor de date din UE plus operatori de date din afara UE ce oferă bunuri și servicii persoanelor din UE. Nu vorbesc de excepții, chestii speciale, ci la modul generic cam acesta este algoritmul.
Fiind o lege de protecție a persoanelor, este foarte strictă în privința exportului de date personale în afara UE. Ca să poți exporta date personale în afara UE trebuie să folosești câteva din mecanismele permise de GDPR:
- Decizii de adecvabilitate – țări cu care UE a semnat niște acorduri de transfer în baza unor garanții în legislația acelor țări. Practic dacă acea țară este în această listă aprobată de UE, transferi date în ea ca și cum ai transfera în interiorul UE.
- Garanții adecvate – aici sunt câteva mecanisme permise:
- Clauze contractuale standard
- Reguli corporatiste obligatorii
- Aderarea la un cod de conduită
- Obținerea unei certificări GDPR
- Clauze contractuale ad-hoc, instrumente legale între autorități publice și instituții etc.
- Excepții – pentru transferuri „rare”, gen singulare.
Privacy Shield era un program care intra în prima categorie, „decizii de adecvabilitate”. Adică dacă o firmă era în Privacy Shield, puteai liniștit transfera date către ea ca și cum ar fi fost în UE – bineînțeles, respectând toate principiile GDPR. Ei bine, ieri Privacy Shield a murit la datorie – a fost invalidat de CJUE.
Deoarece întreg Internetul se cam bazează pe Statele Unite, s-au activat toți specialiștii în protecția datelor încercând să găsească soluții pentru clienții lor înainte să bubuie amenzile. Și aici vine poanta…
Din 2 singura chestie funcțională pe scară largă sunt clauzele contractuale standard – un document pre-GDPR ce nu poate fi modificat și care trebuie completat și semnat de către organizația exportatoare de date din UE și organizația importatoare de date din State. CJUE a spus că aceste clauze rămân funcționale, dar… DAAAAAAR, DAAAAAAAR, DAAAAAAAR.
Dar doar dacă organizația poate demonstra că are măsuri de protecție a datelor personale venite din UE cel puțin la nivelul de cerințe al GDPR. Cum ar fi faptul că o autoritate nu poate să se uite în datele personale ale cetățenilor UE. Iar americanii au legi ce le permit să facă fix asta – nu de alta, dar de aceea a picat Privacy Shield!
Cam toate companiile de cloud și servicii online sunt afectate – Google, Microsoft, Facebook, Amazon, Apple etc. În teorie cam toate transferurile de date ar trebui să pice deoarece aceste companii nu se prea pot opune autorităților americane dacă acestea doresc să controleze date personale europene.
Mai mult, prin Cloud Act autoritățile americane pot solicita acestor companii să le dea acces pe serverele lor aflate pe teritoriul european. Ca să înțelegeți cam cât de mare este haosul…
Pe scurt, nicio companie nu ar mai trebui să facă campanii pe Facebook, Google, nu ar mai trebui să folosească cloud Microsoft, Amazon, Google până când nu apar garanții serioase de partea americană. Sau se modifică legea europeană, sau se modifică legea americană. Sau se folosește un proxy, gen Marea Britanie care tot iese pe 31 Decembrie de sub GDPR și care (probabil) va intra pe decizie de adecvabilitate și va semna propriul acord de schimb de date personale cu Statele Unite.
2 comentarii Adaugă comentariu