GDPR și IFN-urile: Aspecte-cheie pentru o prelucrare legală a datelor personale

Mai jos, Mădălina Hristescu, avocat coordonator în cadrul societății Hristescu și Asociații, oferă un punct de vedere introspectiv asupra celor mai importante aspecte care țin de implementarea GDPR în cadrul IFN-urilor.

La nivel macro, intrăm în linie dreaptă cu utilizarea noilor tehnologii

Cred că înainte de toate trebuie discutat despre ceea ce reprezintă GDPR la nivel macro, din perspectiva efectelor în mentalitatea românilor, pe de o parte, și, pe de altă parte, în spațiul economic.

La nivel macro, GDPR nu este altceva decât o inițiativă europeană remarcabilă de reglementare a modului în care sunt administrate datele cu caracter personal pe care în mod direct sau indirect, voit sau implicit persoane fizice le pun la dispoziție unor persoane juridice.

În condițiile în care tehnologii precum inteligența artificială, machine learning și big data capătă putere exponențială și sunt peste tot în jurul nostru, reglementarea modului în care datele cu caracter personal pot fi folosite devine crucială. Dacă Statele Unite ale Americii au făcut primii pași în acest sens cu mulți ani în urmă, GDPR este răspunsul mult mai structurat al Europei și un exemplu de urmat, perfectibil, evident, la nivel mondial.

La nivel micro, individul se desprinde de mase și are importanță în raport cu instituțiile cu care intră în contact

La nivel local, implementarea regulamentului are, în opinia mea, un merit extraordinar, mai cu seamă în contextul fostelor țări comuniste, în care individul, ca entitate, era lipsit de importanță și asimilat unei mase.

GDPR a reamintit și a reconstruit în conștiința și mentalitatea românilor faptul că fiecare dintre noi contează nu doar ca individ, ci ca entitate complexă purtătoare de drepturi consacrate și protejate legal, și prin urmare tot ceea ce descrie sau definește o persoană are o valoare incontestabilă și constituie date personale.

Acum, românii, mai mult ca oricând, știu că orice detaliu al vieții lor, de la date de indentitate până la informații legate de preferințe de cumpărare și activități private, contează și naște obligații în “mâna” oricui s-ar afla.

Au învățat că înmânarea buletinului oricărei persoane care îl solicită într-un magazin sau în orice altă circumstanță este un gest a cărui legalitate poate fi pusă sub semnul întrebării și nu cade întodeauna sub semnul normalității.

Mediul de business se repoziționează

De aici pornind, DA, întregul mediu de business se repoziționează în fața clientului -- consumatorului final -- într-o manieră mai mult sau mai puțin rigidă, însă, în funcție de specificul industriei și al apetitului de risc al fiecărui agent economic, complexitea procesului  de  transformare/ conformarea internă și/sau externă variază semnificativ .

Sistemul bancar și non-bancar, vânzările online, servciile de telecom și în general tot ceea ce se adresează direct persoanei și este reglementat specific, cum este, de exemplu, industria financiară, reprezintă domenii în care GDPR a avut și are un cuvânt extrem de important de spus și, prin urmare, sunt profund afectate de obligativitatea implementării noilor reguli.

Ralierea IFN-urilor la regulile GDPR

Concret vorbind pentru un IFN, GDPR înseamnă, pe de o parte, dechiderea totală către client și punerea la dispoziție de explicații comunicate în scris, sub formă de informări, care răspund la întrebări precum ce, cum, de ce, unde și cât timp sunt folosite /stocate/ prelucrate datele fiecărui aplicant/client în parte, iar, pe de altă parte, restrângerea drastică a accesului propriului personal și a terților colaboratori la bazele de date astfel create.

Consimțământul persoanelor care obțin împrumuturi nu mai este necesar

Astfel, potrivit legislației anterioare intrării în vigoare a regulamentului, raportarea în cadrul Biroului de Credit a persoanelor care obțineau împrumuturi de la IFN-uri avea loc în baza exprimării consimțământului acestor persoane. În prezent, după intrarea în vigoare a GDPR, nu mai este necesară obținerea consimțământului persoanelor vizate, întrucât temeiul juridic a fost modificat în sensul comunicării către Biroul de Credit a datelor personale ale împrumutaților în baza interesului legitim al finanțatorului, constând în prevenirea riscului de neplată, a evaluării solvabilitaţii, al reducerii riscului la creditare şi al determinării gradului de îndatorare a debitorilor persoane fizice.

GDPR în contextul legislației nationale aplicabile IFN-urilor

Totodată, GDPR vine și completează legislații deja existente, familiare mediului financiar, de tipul legii referitoare la prevenirea și sancționarea spălarii banilor, cunoașterea clientelei etc., legislații în baza cărora orice prelucrare a datelor cu caracter personal are loc în baza interesului legitim, ca temei juridic, fără a se impune un acord al persoanei vizate.

Clean desk policy sau cea mai simplă regulă pentru angajați

Dacă înainte de intrarea în vigoare a regulamentului protejarea datelor cu caracter personal era o problemă de interes mai mult sau mai puțin pentru angajații companiilor, astăzi acest subiect se reflectă în comportamentul zilnic al angajaților, pornind de la respectarea cu strictețe a simplei reguli de clean desk (biroul curat) până la înțelegerea detaliată a procedurilor de criptare și anonimizare a datelor personale.

Compania este reconfigurată și regândită

Cu alte cuvinte, așa-numitul și vehiculatul principiu al transparenței cu privire la prelucrarea datelor personale ale clienților și deschiderii către client devine o obligație sacră, în timp ce este completat de principiul confidențialității și protecției acelorași date/infromații, în cadrul instituțiilor financiare, dar și față de terți, impunând schimbări majore, structurale în interiorul IFN-urilor.

Astfel, se implementează proceduri noi, se regândesc fluxuri operaționale, se redefinesc sinergii interdepartamentale, se repartizează atribuții, se transformă și se rescriu politci interne. Sistemele tehnologice/informaționale se reconfigurează pe alocuri și se upgradează cu noi funcții capabile să asigure nivelul de securizare al datelor gestionate, impuse de lege. Nu mai puțin lipsită de importanță este ștergerea bazelor de date ale foștilor clienți și filtrarea acestora în funcție de interesul actual pentru păstrarea lor.

Din perspectivă bugetară, impactul reglementării GDPR se extinde dincolo de angajarea unor costuri externalizate pentru toate cele mai sus descrise, impunând cel puțin în industria finaciară obligația de a deschide o nouă poziție în companie, și anume cea de responsabil cu prelucrarea datelor cu caracter personal, o poziție importantă, cu responsabilități majore, și cu cerințe de specializare și învățare continuă.

GDPR este și va rămâne în continuare o provocare mult timp de acum înainte, aplicabilitatea și acuratețea aplicării regulilor impuse fiind subiect de discuție atât în relație cu autoritățile, cât și în practica companiilor de zi cu zi.