Nimeni nu e pregatit pentru GDPR
Dupa patru ani de deliberare, Regulamentul general privind protectia datelor (GDPR) a fost adoptat oficial de Uniunea Europeana in 2016. Regulamentul a dat societatilor o pista de doi ani pentru a se conforma, ceea ce este teoretic destul de mult timp pentru a obtine structura navei. Realitatea este mai meserioasa. Ca si lucrarile pe termonamblu si declaratiile fiscale, exista oameni care o fac devreme, iar apoi ne ramane restul.
In cadrul intalnirii de astazi cu Parlamentul European, Mark Zuckerberg a declarat ca Facebook va respecta GDPR pana la termenul limita, dar daca este asa, compania ar fi minoritara. „Foarte putine companii vor fi conforme cu 100% pe 25 mai”, spune Jason Straight, un avocat si ofiter sef de confidentialitate la United Lex, o companie care stabileste programe de conformitate cu GDPR pentru companii. „Companiile, in special companiile americane, se lupta cu siguranta aici in ultima luna pentru a se pregati”. intr-un studiu realizat de Institutul Ponemon in mai mult de 1.000 de companii, jumatate dintre companii au declarat ca nu vor respecta termenul limita . Cand se defalca industria, 60% dintre companiile de tehnologie spun ca nu erau pregatite.
GDPR este un set ambitios de reguli ce acopera cerintele de notificare a autoritatilor de reglementare cu privire la incalcarile protectiei datelor (in cel mult 72 de ore, nu mai putin) la transparenta pentru utilizatori cu privire la datele colectate si de ce. „Exista cateva companii cu care am discutat, unde spun ei:” Glumesti? Daca le-am spune cum le folosim datele, nu ne-ar da niciodata in primul rand „, spune Straight.
Aceasta este, intr-un fel, un rezultat inevitabil. Cu un an in urma, 61% dintre companii nu au inceput chiar implementarea GDPR. Straight spune ca, in general, companiile europene – in special cele din tari precum Germania si Marea Britanie, unde exista legi preexistente de confidentialitate care se suprapun cu GDPR – au avut o ajustare mai buna a timpului. (Totusi, un sondaj efectuat in luna ianuarie a acestui an a constatat ca un sfert din companiile din Londra nu stiau nici macar ce era GPDR).
Pentru a implementa corect GDPR ca un intreg este un pic complicat.
Alison Cool, profesor de antropologie si stiinta a informatiilor de la Universitatea din Colorado scrie in The New York Times ca legea este „uluitor de complexa” si practic incomprehensibila pentru oamenii care incearca sa se conformeze acesteia. Oamenii de stiinta si managerii de date carora le-a vorbit „se indoiau ca respectarea absoluta era chiar posibila”.
Nu este o pozitie placuta pentru, deoarece GDPR poate permite autoritatilor de reglementare sa amendeze companiile cu pana la 4% din veniturile lor globale pentru incalcarea GDPR. Pentru a pune acest lucru in perspectiva, o amenda de 4 la suta pe Amazon ar fi de 7 miliarde dolari. (Interesant, deoarece o companie ca Amazon raporteaza venituri uriase si profituri relativ mici, o amenda de 4% le-ar putea costa peste doi ani de profit).
GDPR ar trebui sa se aplice numai locuitorilor din UE si din UE, dar deoarece atat de multe companii fac afaceri in Europa, industria tehnologica americana se straduieste sa devina conforma cu GDPR. Cu toate acestea, chiar daca debutul mare al GDPR este pe punctul de a fi dezordonat, regulamentul marcheaza o schimbare de mare in modul in care datele sunt tratate in intreaga lume. Americanii din afara Europei nu pot face cereri de acces la datele persoanelor vizate si nu pot cere ca datele lor sa fie sterse. Dar conformitatea cu GDPR va avea efecte de spillover pentru ei oricum. Cerinta de notificare a incalcarii, in special, este mai stricta decat orice alta lege similara din SUA. Speranta este ca, pe masura ce companiile si organismele de reglementare se vor regasi in fluxul de lucruri, protectia sporita a vietii private a GDPR va deveni obisnuita. Intre timp, este doar o lupta nebuna pentru a tine pasul.