Lucrând cu peste 90 de clienți în zona de privacy compliance, colaborând cu colegi din lumea întreagă în proiecte internaționale, m-am intersectat cu multe companii de software development atât din postura de consultant direct dar și din postura de consultant pentru clienții acestor companii. În foarte multe cazuri companiile nu își dau seama de ce rol important au în asigurarea conformității la diversele norme de protecție a datelor cu caracter personal din lumea întreagă. Fiindcă WOW, ghici ce, GDPR nu este singurul regulament – mai mult, a devenit o orientare pentru noi legi de protecție a datelor ce sunt adoptate în lumea întreagă (lacrimi și suspine la detractorii ce spuneau că GDPR va fi anulat după doi ani).
Contextul este următorul:
- Date cu caracter personal = orice informație sau set de informații ce pot duce direct sau indirect (adică nu de către tine, ci de către alții sau de către mașini) la identificarea unei persoane. Dincolo de nume, prenume, CNP, email, telefon putem vorbi de ceva genul „omul din poză care are un tatuaj cu un inorog ce bea vodcă cu un șarpe”). Asta este dată cu caracter personal deoarece duce la identificarea unei singure persoane.
- Prelucrare de date cu caracter personal = orice faci cu datele de mai sus. Le vezi, modifici, descarci, ștergi, păstrezi etc = le prelucrezi. Orice.
În România marea majoritate a firmelor de software development fac custom solutions. Adică soluții la cheie, on-demand, soluții pentru care oferă și mentenanță. Și aici începe distracția. Avem așa:
IP-ul soluției merge la client dar există o garanție/ contract de suport. În acest caz s-ar putea să fie nevoie ca firma de software development să intervină în caz de incident și pe baza de date de clienți, caz în care prelucrează acele date cu caracter personal.
Dezvoltarea presupune și testare. Încă sunt destule firme de dezvoltare ce lucrează cu data set-uri ne-anonimizate de la clienții lor, adică fișiere cu date reale – date personale. Deci le prelucrează.
Firma de software development oferă și hosting-ul aplicației, adică face un SaaS. Aici e clar că prelucrează date cu caracter personal.
Dezvoltatorii de site-uri web care fac și ei magazinașe mici cu baze de date mySql, la care au acces în caz de depanare. Ia ghici ce, prelucrează date cu caracter personal.
Când prelucrezi date cu caracter personal ești fie operator (data controller) fie persoană împuternicită (data processor). Nu există controlor de date sau procesator de date, astea sunt furculition-uri făcute de amatori.
Sfatul meu pentru aceste firme: nu vreți să fiți operatori de date cu caracter personal. Vreți să fiți persoane împuternicite, adică să prelucrați aceste date în numele operatorului de date cu caracter personal. Practic la contractul vostru de servicii adăugați o anexă de prelucrări de date în care se regăsesc niște drepturi ale operatorului (dreptul de audit, dreptul la despăgubiri în caz de buba, dreptul de a-și primi datele înapoi etc) dar și obligații ale împuternicitului (măsuri tehnice și organizaționale necesare asigurării conformității la GDPR, informarea operatorului în cazul în care instrucțiunile nu sunt conforme cu GDPR, asistența în caz de cereri de acces, asistența la DPIA etc). Se mai regăsesc obiectul, scopurile prelucrărilor, categoriile de persoane vizate și de date personale precum și instrucțiunile. Persoana împuternicită nu are autonomie, doar operatorul are această independență. Odată cu independența vine însă și responsabilitatea față de autorități și față de persoanele vizate. Persoana împuternicită răspunde în fața operatorului și a autorităților. Dar de obicei amenzile merg către operatori (de aici și sfatul de mai sus).
Operatorul are dreptul de audit asupra operațiunilor persoanei împuternicite. Multe firme de dezvoltare nu au citit ce contracte au semnat cu clienții multinaționali, dar dacă după ce citesc acest articol își citesc contractele s-ar putea să descopere mențiuni cum că în cazul în care auditul găsește ceva ei plătesc valoarea totală a auditului (succes la un audit de 40.000 EUR), că despăgubesc clientul în caz de buba fără niciun fel de negociere sau proces, că angajează avocați să conteste decizii ale autorității, angajați recomandați de către client (alte mii de EUR zburați etc). Sau că pun deoparte provizioane de sute/milioane de EUR pentru amenzi.
Însă firmele de software development au niște responsabilități uriașe – calitatea codului, securitatea produsului, măsurile tehnice și organizaționale, training-ul angajaților, testarea aplicației, pen-testing, criptarea datelor in-transit & at-rest etc. Există ghiduri și standarde în industrie, nu intru în detalii. Eu lucrez cu specificațiile CCM de la Cloud Security Alliance pentru clienții din zona SaaS.
A sosit momentul ca firmele de software development să înțeleagă că lucrează cu date cu caracter personal și să adopte măsurile necesare înainte să vină amenzile alea urâte și contractele pierdute cu clienții ce da, chiar fac audituri (noi am participat deja în câteva audituri).