Οι σημαντικότεροι opinion leaders σε θέματα data privacy και ευρωπαϊκής νομοθεσίας, καθώς και εξειδικευμένα στελέχη της αγοράς έδωσαν το παρών στο 2o Data Privacy & Protection Conference, το οποίο άφησε και φέτος δυνατό αποτύπωμα σε ο,τι αφορά την προστασία των δεδομένων, σε Ελλάδα και Ευρώπη.

Περισσότεροι από 200 compliance officers, legal counsels και δικηγόροι, information security officers και IT directors, αλλά και στελέχη HR και Customer Intelligence παρακολούθησαν το «ευρωπαϊκό data privacy συνέδριο της Αθήνας», την Τρίτη 27 Ιουνίου, στο Divani Caravel Hotel.

To GDPR μένει, το ePrivacy έρχεται(;)
Στη δεύτερη διοργάνωσή του, το συνέδριο διέλυσε οποιεσδήποτε αμφιβολίες μπορεί να υπήρχαν περί μη εφαρμογής του GDPR ή περί μειωμένου αντίκτυπού του στο επιχειρείν • «το GDPR ήρθε για να μείνει και αναμφίβολα θα διαφοροποιήσει σημαντικά το επιχειρείν». Κι ενώ το πρώτο στοίχημα αφορά στην έγκαιρη προετοιμασία των επιχειρήσεων για την 25η Μαΐου 2018 (όταν θα τεθεί σε εφαρμογή ο κανονισμός), νομοθετικές πρωτοβουλίες της Ευρωπαϊκής Ένωσης όπως το ePrivacy, το οποίο δημοσιεύθηκε ως αρχικό κείμενο τον περασμένο Ιανουάριο, ανοίγουν νέα μέτωπα, κυρίως για τις εταιρείες digital marketing και τηλεπικοινωνιών. «Βασική αρχή του ePrivacy είναι η διασφάλιση της εμπιστευτικότητας των επικοινωνιών και σε αυτό το πλαίσιο έχει ρόλο στην αρχιτεκτονική της ασφάλειας πληροφοριών.

Ωστόσο, πρέπει να είναι σωστά στοχευμένο και να εναρμονίζεται με τα άλλα πλαίσια προστασίας δεδομένων για να είναι αποτελεσματικό» τόνισε ο Ηλίας Χάντζος, ο οποίος έχει γνωμοδοτήσει πολλάκις για την εφαρμογή του ePrivacy στα αρμόδια όργανα. Σύμφωνα με τον Senior Director Government Affairs της Symantec, το ePrivacy απαιτεί τη συγκατάθεση του υποκειμένου για κάθε meta data set, ακόμα και εάν αυτό δεν αφορά σε προσωπικά δεδομένα, καθιστώντας ακόμα πιο αυστηρό το πλαίσιο της νόμιμης επεξεργασίας προσωπικών δεδομένων που ορίζει το GDPR. Και ένα πολύ περιοριστικό πλαίσιο για τα metadata θα έχει αντίκτυπο στην ανταγωνιστικότητα της ευρωπαϊκής ένωσης στον ψηφιακό μετασχηματισμό και το πεδίο των Big Data. Ο Η. Χάντζος πρόβλεψε επίσης τη δημιουργία νομικού πλαισίου για τη διαχείριση των δεδομένων στο IoT.

DPO, αυτός ο άγνωστος…
Η υποχρέωση διορισμού Data Protection Officer σε ορισμένους οργανισμούς, αλλά και οι διευκρινιστικές οδηγίες των ευρωπαϊκών Αρχών Προστασίας Δεδομένων σχετικά με το υπόβαθρο και τις γραμμές αναφοράς του DPO αποτελούν αφορμές προβληματισμού για τους οργανισμούς στην Ευρώπη. Το ερώτημα εάν μπορεί ο Information Security Officer να είναι ο DPO τέθηκε αρκετές φορές από τους συνέδρους.

Σε αυτό το πλαίσιο, η παρουσίαση του Steve Wright, ο οποίος εκτελεί χρέη DPO και Information Security Officer ταυτόχρονα στον βρετανικό retail κολοσσό συγκαταλέγεται στα highlights του συνεδρίου. Σύμφωνα με τον S. Wright, ένα στέλεχος μπορεί να φορέσει και τα δύο καπέλα, αρκεί να μην έχει εμπλοκή στα operations της Ασφάλειας Πληροφοριών, να έχει αγαστή συνεργασία με την ομάδα στο εν λόγω πεδίο και, φυσικά, να είναι προετοιμασμένο για υπέρογκο φόρτο εργασίας. Σύμφωνα με την Gonca Dhont, Γενική Διευθύντρια του εξειδικευμένου στο privacy recruitment agency The DPO Network, οι εταιρείες έχουν τη δυνατότητα να αναγορεύσουν σε DPO ένα στέλεχος το οποίο ήδη εργάζεται στην επιχείρηση, να αναθέσουν τις αρμοδιότητες του DPO σε εξωτερικό συνεργάτη, να ορίσουν έναν DPO για διαφορετικές θυγατρικές, ακόμα και να τοποθετήσουν τον DPO τους εκτός δικαιοδοσίας Ευρωπαϊκής Ένωσης –όλα αυτά αρκεί να αναλογιστούν τα υπέρ και τα κατά κάθε απόφασης, τα οποία αφορούν, μεταξύ άλλων, σε πιθανές συγκρούσεις συμφερόντων και σε ελλιπή στήριξη του DPO από τα business units.

Οι προκλήσεις που αντιμετωπίζει ο «εσωτερικός DPO» συζητήθηκαν στο πάνελ συζήτησης στο οποίο συμμετείχαν οι Γιάννης Γιαννακάκης, Νομικός Σύμβουλος Νότιας Ευρώπης του Ομίλου G4S, Αντώνης Ευαγγελίδης, Chief Ethics & Compliance Officer της ΒΙΑΝΕΞ, Πέτρος Κρόγκος, Senior Information Security Officer της WIND, Νίκος Μαρουλιανάκης, Head of Enterprise Data Management & Infrastructure της Interamerican, Ανθή Παπαγεωργίου, Υπεύθυνη Κανονιστικής Συμμόρφωσης του Ερρίκος Ντυνάν και Γιώργος Χλωμούδης, Data Protection Officer της AXA Ασφαλιστικής. Οι πανελίστες διατράνωσαν τη σημασία που έχει η ενημέρωση της ανώτατης διοίκησης, αλλά και η εκπαίδευση του προσωπικού για το GDPR.

Ανάπτυξη και καινοτομία υπό το καθεστώς του GDPR
Με αφορμή το GDPR, δεν έχουν λείψει οι κριτικές για τυπολατρεία της Ευρωπαϊκής Ένωσης και ανασταλτική επίδραση του κανονιστικού πλαισίου στην ψηφιακή (και όχι μόνο) ανταγωνιστικότητα της Ευρωπαϊκής Ένωσης. Στην παρουσίασή της, η Άννα Πούλιου, Corporate Privacy & Data Protection Leader της GE για το σύνολο της Ευρώπης απέδειξε ότι, μέσω της εφαρμογής αποτελεσματικών πρακτικών Customer Data De-Identification, Anonymization και Aggregation, οι οργανισμοί μπορούν να εντοπίσουν τις πληροφορίες που χρειάζονται, αλλά όχι τα άτομα από τα οποία προέρχεται η πληροφορία αυτή. Η Α. Πούλιου παρουσίασε τις τεχνικές που εφαρμόζονται στα πεδία των μεταφορών και της υγείας από τη GE • μέσω pseudonymization, η GE μπόρεσε να εξετάσει τα σκάφη που αντιμετώπιζαν πρόβλημα με τον κινητήρα τους, αφαιρώντας στοιχεία όπως τους αριθμούς και τις ημερομηνίες των πτήσεων και καταχωρώντας μόνο την πληροφορία ότι ανά πέντε πτήσεις αεροσκαφών, υπήρχε θέμα με τον κινητήρα καυσίμων τους. Η εφαρμογή της ψευδωνυμοποιησης στα αεροσκάφη, μείωσε κατά 1% τη χρήση καυσίμων, εξοικονομώντας 150 δισεκατομμύρια στις βιομηχανίες καυσίμων τα τελευταία 15 χρόνια.

Πέρα όμως από την εφαρμογή των ευρωπαϊκών κανονισμών (αυτών που θα εφαρμοστούν και αυτών που θα μας απασχολήσουν στο μέλλον) οι επιχειρήσεις και οι ηγέτες δεν πρέπει να ξεχνούν ότι η προστασία της ιδιωτικότητας είναι θεμελιώδες ανθρώπινο δικαίωμα. Ο Trevor Hughes, Πρόεδρος και CEO του International Association of Privacy Professionals και keynote ομιλητής του 2nd Data Privacy & Protection Conference πραγματοποίησε μια πραγματικά διαφωτιστική παρουσίαση για το data privacy, καταδεικνύοντας την παγκόσμια και διαχρονική διάσταση του θέματος, όπως αυτή φαίνεται μέσα από έργα τέχνης σαν την Αφροδίτη της Κνίδου, της ελληνιστικής εποχής.

«Οι άνθρωποι δίνουν αξία στην ιδιωτική τους ζωή. Και είναι σημαντικό να θυμάστε ότι διαφυλάσσετε μια πανανθρώπινη αξία όταν θα ‘παλεύετε’ με τις διατάξεις του GDPR», τόνισε ο T. Hughes, εκπληρώνοντας πλήρως τον σκοπό του συνεδρίου για out of the box ενημέρωση για data privacy.