Mike Nimród, specialist în dreptul IT: “Protecția datelor nu este un aspect colateral, trebuie să meargă în paralel cu business-ul”

Mike Nimród, specialist în dreptul IT: “Protecția datelor nu este un aspect colateral, trebuie să meargă în paralel cu business-ul”

I-a plăcut informatica încă din liceu, însă a terminat Facultatea de Drept, iar la doctorat a combinat cu succes cele două domenii, aparent fără legătură. Acum practică unul dintre noile job-uri apărute în România odată cu introducerea “celebrului” Regulament General privind Protecția Datelor (GDPR). Este Data Protection Officer (DPO), dar și Legal Advisor la NTT DATA Romania.

“La liceu nu eram un elev eminent la informatică, astfel încât m-am hotărât să mă îndrept spre domeniul juridic, urmând Facultatea de Drept din Cluj-Napoca. Ulterior, am urmat un master în Dreptul Privat al Uniunii Europene, la Universitatea Babeș-Bolyai, un al doilea master în limba engleză, European & International Business Law, iar acum fac doctoratul la Universitatea Corvinus din Budapesta, cu specializarea Media and Information Regulation. Sunt practician în dreptul informatic, dar vreau să devin și cercetător în acest domeniu”, spune Mike Nimród.

Rolul său în cadrul companiei este “de a identifica poziția care deservește cel mai bine interesele organizației, este conformă cadrului legislativ și respectă drepturile și libertățile fundamentale ale persoanelor implicate în activitățile de la locul de muncă”.

Mike Nimród, tânăr specialist în dreptul IT: “Protecția datelor nu este un aspect colateral, trebuie să meargă în paralel cu business-ul”“La început, am ajuns în cadrul departamentului juridic al NTT DATA Romania în postura de  practicant (intern), unde am avut ocazia să învăţ foarte multe din proiectele în derulare, precum și de la colegii care au avut un impact semnificativ asupra carierei mele profesionale. Mă simt norocos pentru că am avut un model foarte bun de urmat, în persoana unui îndrumător care mi-a demonstrat în repetate rânduri că, pe lângă munca serioasă, există loc și pentru colegialitate, și da, chiar şi pentru distracție. Cu trecerea timpului, de la contracte mai ușoare am ajuns la altele complexe, pentru ca acum să particip chiar și la negocieri internaționale. În paralel, din proprie iniţiativă, m-am specializat în materia protecției datelor, o ramură complexă, dar frumoasă în acelaşi timp”, explică Mike Nimród.

Amenzi în funcție de breșele de securitate

Tânărul specialist este de părere că protecția datelor cu caracter personal și securitatea cibernetică se află încă la un nivel incipient în România, dar într-o continuă dezvoltare datorită actelor legislative care se adoptă la nivelul Uniunii Europene: “Firmele care prelucrează date personale vor avea nevoie de un DPO  pentru a fi aliniate cât mai bine la legislaţia privind prelucrarea şi gestionarea informatiilor. Un DPO emite recomandări, politici și linii directoare în acest sens, care se adresează atât către personalul firmei, cât și către clienții acesteia”.

Amenzile introduse odată cu punerea în aplicare a legislaţiei GDPR sunt concepute în așa fel încât operatorii de date cu caracter personal să fie responsabilizați. Este destul de interesantă partea economică a acestor amenzi: în trecut un operator de date își asuma riscul să plătească o amendă nesemnificativă față de profitul pe care îl obținea din activități de prelucrare; noutatea regimului sancționator introdus practic se reflectă în amenzile deja confirmate și publicate de către autoritatea publică din România. Amenzile de obicei se evaluează în funcție de impactul breșei de securitate în relaţie cu numărul de persoane vizate; spre exemplu, s-au publicat informaţii despre amenzi aplicate în România în valoare de până la 150.000 de euro”, spune Mike Nimród.

Cum ne manipulează Google și Facebook

Mike Nimród, tânăr specialist în dreptul IT: “Protecția datelor nu este un aspect colateral, trebuie să meargă în paralel cu business-ul”Prelucrarea datelor personale trebuie să fie transparentă și legală, adică scopurile să fie declarate, explică Mike Nimród: “Facebook și Google folosesc datele noastre în multe feluri și, chiar dacă scopurile sunt declarate, ele nu ne sunt comunicate într-o manieră inteligibilă ori înțelegerea lor este foarte greoaie pentru un om care nu are cunoștințe tehnice aprofundate. În era post-GDPR, operatorii de date ar trebui să ne întrebe dacă vrem să ne folosească preferinţele identificate pe baza istoricului motorului de căutare pentru plasarea de reclame (ceea ce se numește profiling). Platformele de social media sunt folosite și ca platforme de direct marketing: practic, dacă mergem la cumpărături, vom alege de pe raft acele produse pe care deja le-am văzut, chiar şi pentru o fracţiune de secundă, pe una dintre aceste platforme”.

Pentru prevenirea atacurilor cibernetice trebuie să ne ocupăm mai ales de conștientizarea personalului cu privire la posibilitatea apariţiei acestora, spune DPO-ul clujean: “În general, cu cât este mai mare organizația, cu atât este mai predispusă la atacuri; orice hacker își face un titlu de glorie dacă reușește să spargă, de exemplu, Facebook-ul. Totodată, sunt atacuri nețintite trimise pe adrese de mail publice ale organizaţiilor care conţin malware-uri. Acestea sunt capabile să distrugă infrastructura, datele, informațiile din fișiere şi, în mod evident, pe acestea încercăm să le anihilăm cu măsurile pe care le luăm în cadrul companiei”.

Carte de învățătură anti-hackeri

Cum ar trebui să reacționăm la aceste amenințări cibernetice? “În primul rând, modul de adresare: dacă e-mailul pe care îl primim începe cu “Stimate client”, deja sună ciudat, fiindcă e puțin probabil ca Orange, Vodafone sau UPC să nu știe cui se adresează, pe baza abonamentului nostru, nemaivorbind de o bancă. Apoi, dacă apare un link în corpul e-mail-ului, să nu dăm click pe el, ci să verificam ruta link-ului, iar dacă începe cu HTTP:// fără S, deci nu este securizat, atunci nu este de încredere și nu se recomanda accesarea acestuia, deoarece există șanse mari să fie vorba despre o tentativă de phishing. Nu în ultimul rând, dacă primim e-mail de la o adresă care pare cunoscută, să ne uităm la modul de încheiere a comunicării: eu îmi semnez e-mailurile cu numele complet sau cu un simplu “N.”, însă fiecare dintre noi are ceva specific, agreat. Uneori, chiar și modalitatea de adresare poate să fie un element de diferențiere pentru a recunoaște tentativele de spargere a sistemului”, ne explică Mike Nimród.

Tăvălugul GDPR a venit peste România

Un rol important al DPO-ului este să promoveze o cultură a protecției datelor cu caracter personal în cadrul organizației în care activează: “În primul rând, trebuie să ne asigurăm că și colegii noștri sunt antrenați în aceste aspecte, prin training-uri țintite. Protecția datelor nu este un aspect colateral, trebuie să meargă în paralel cu business-ul”. 

Unele meserii vor fi înlocuite, unele vor fi total noi, altele vor dispărea, recunoaște specialistul NTT DATA Romania. “Meseria aceasta a apărut încă din anii ’90 în Germania. La noi nu erau desemnate persoane din organizație cu protecția datelor cu caracter personal, fiind cumva atribuția departamentului juridic, a juristului firmei. Totuși, pentru eficienţa în atingerea scopurilor de mai sus, acest rol presupune cunoștințe atât pe partea de securitate IT, cât și pe partea legislativă. Totodată, ocazional sunt necesare și cunoștințe minimale de marketing şi recrutări, în virtutea faptului ca este în atribuția unui DPO să ofere consultanță și acestor departamente”, conchide Mike Nimród.

Comenteaza