English
O simplă căutare pe Google după General Data Protection Regulation (GDPR) arată, în mai puţin de 50 de secunde, aproape 700 milioane de rezultate (a se citi pagini), ceea ce este un bun indiciu nu doar despre complexitatea subiectului, ci şi despre gradul de interes al jucătorilor din piaţă, fie companii, fie persoane fizice. Pentru că este vorba, pe de o parte, de protejarea datelor şi a informaţiilor din şi despre companie, într-o piaţă puternic concurenţială, iar, pe de altă parte, despre siguranţa datelor personale, oferite şi utilizate în diferite circumstanţe.
Lucrurile dobândesc o şi mai mare anvergură când vine vorba despre fluxurile financiare ale companiilor - intrări şi ieşiri de active - băneşti, digitale şi materiale, bazate pe contracte comerciale. Totul înseamnă date, iar tot ceea ce înseamnă date în timpurile actuale şi, mai ales big data, presupune obligatoriu măsuri de siguranţă, confidenţialitate, protecţie.
Am putea aprecia, fără nicio exagerare, că, din punct de vedere financiar, implementarea normelor GDPR scuteşte compania de potenţiale neplăceri de pe urma nerespectării acestora, fie din neştiinţă, fie din rea-voinţă. Iar înainte de amenzi şi penalizări, sunt procesele costisitoare în instanţă, pe care le pot deschide terţi (persoane fizice sau juridice) pentru a-şi apăra integritatea datelor folosite abuziv sau fără acordul lor precis exprimat.
Regulile generale de protecţie a datelor au fost adoptate şi, ca urmare, impuse în Uniunea Europeană, în anul 2016. Potrivit programului gradual de implementare, România a trebuit să se conformeze regulamentului european începând cu anul 2018.
Vorbim despre o istorie scurtă, chiar la nivelul UE, dar plină de evenimente neplăcute, care s-au concretizat în amenzi absolut ameţitoare, inclusiv în România. Şi, pentru că cei mai la îndemână pentru autorităţi - în cazul României vorbim despre Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - de a fi subiectul unui control sunt întotdeauna marii jucători, amenzile au mers către companii importante din piaţă, inclusiv către bănci. Mai mult, într-un clasament anual al ţărilor în care s-au aplicat amenzi pentru încălcarea Regulamentului, România figura, în anul 2021, pe locul trei, după Italia şi Ungaria.
Este foarte posibil ca mediul economic local, mai ales companiile româneşti mici şi mijlocii, să nu fi luat încă foarte în serios ideea că adoptarea unei politici interne coerente de aplicare şi conformare pe regulile europene GDPR este absolut obligatorie şi depăşeşte cadrul strict al unei cheltuieli prevăzute în bugetul companiei, fie cu o soluţie GDPR, fie cu un angajat care să fie format şi să se ocupe exclusiv de acest aspect în cadrul companiei (data protection officer - DPO).
Exemplele amenzilor pentru nerespectarea regulilor de protecţie a datelor - fie că este vorba despre date interne (financiare sau ale angajaţilor) sau externe (ale clienţilor /partenerilor / acţionarilor) - ar trebui să dea de gândit oricărui coordonator de business, fiind de preferat o investiţie în pachetul de protejare a datelor prelucrate de companie, în locul unei penalizări drastice pentru neconformare.
Implementarea prevederilor GDPR este, de fapt, o investiţie care poate să ducă la creşterea profitabilităţii, astfel cum reiese dintr-un studiu al companiei CISCO dat publicităţii: peste 40% din organizaţiile intervievate au beneficii de cel puţin două ori mai mari, decât cheltuielile lor realizate cu implementarea conformităţii GDPR.
Cel puţin la fel de important ca însăşi adoptarea uneia sau alteia dintre cele două variante rămâne premisa de la care orice top manager sau owner al unei companii trebuie să pornească: oricine, oricând poate face obiectul unui control al autorităţii. Cu alte cuvinte, să nu se bazeze nimeni pe ideea că autoritatea NU va ajunge să controleze respectarea normelor GDPR.
Tocmai de aceea, sunt de avut în vedere trei mari aspecte din această perspectivă: analiza cost versus beneficii a implementării şi respectării regulilor GDPR în companie; analiza consecinţelor pe termen lung a nerespectării regulamentului GDPR, din punct de vedere al notorietăţii, imaginii şi al relaţiilor de business în domeniul de activitate al companiei; poziţionarea ca lider şi impunerea conduitei de conformare în respectarea regulilor GDPR în sectorul de activitate al fiecăruia.
La primul punct, este vorba despre decizia de a implementa regulile, a le monitoriza şi a face update-urile de conformitate pe parcursul anului, astfel încât la evaluarea anuală să existe cât mai puţine puncte de neconformare. Dacă într-un anumit interval, stabilit de echipa de control, compania nu rezolvă aspectele constatate ca fiind în neregulă, urmează sancţiunile.
Vorbim aici despre creşterea eficienţei activităţii, a vânzărilor şi a veniturilor companiei - ceea înseamnă amortizarea cheltuielilor cu implementarea unei formule de GDPR, indiferent care ar fi aceasta: externalizată ori printr-un DPO intern.
Prin urmare, atenţie la: monitorizarea periodică şi actualizarea proceselor de business din companie, astfel încât să respecte normele GDPR, concomitent cu monitorizarea noutăţilor în standardele GDPR, tocmai pentru ca fluxurile interne de lucru şi relaţia cu terţii să fie conforme cu acestea.
Nu mai puţin importantă este educarea personalului prin traininguri în domeniul protecţiei datelor, astfel încât echipa să înţeleagă şi să aplice întocmai regulile în acest domeniu, pentru a evita incidente nedorite, care duc la amenzi şi penalizări.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
