Proiect cofinanţat din Fondul Social European prin Programul Operaţional Capital Uman 2014-2020
Proiect cofinanţat din Fondul Social European prin Programul Operaţional Capital Uman 2014-2020
Autor: Alina Grădinariu
Viteza proceselor în societatea actuală implică și o viteză crescută a comunicării și, implicit a ofertei de terminale mobile și aplicații disponibile care o înlesnesc. Orice aplicație care permite economisirea timpului și a energiei este, de cele mai multe ori, imediat adoptată fără a fi luată în calcul totalitatea consecințelor.
Multe dintre companii folosesc comunicarea prin intermediul aplicației WhatsApp cu utilizatorii din rândul clienților. Dar oare această metodă respectă prevederile GPDR? Oare transferul datelor și stocarea de date cu caracter personal se realizează cu respectarea dispozițiilor legale?
Abordăm subiectul din perspectiva utilizării WhatsApp de către salariatul unei firme deoarece atunci când înțelegem să utilizăm aplicații care prelucrează, transmit și stochează date cu caracter personal de la clienții companiei la care lucrăm, dar fără a informa angajatorul că utilizăm telefonul personal pentru a realiza aceste proceduri, suntem în situația de a expune atât clientul companiei cât și compania în sine la o situație de risc. Datele cu caracter personal nu pot fi protejate decât dacă există o tehnologie implementată la nivelul firmei care să nu permită portabilitatea acestor informații către alte persoane din exteriorul companiei decât cu acordul prealabil al colectorului de date.
Sunt două aspecte pe care am putea să le luăm în calcul atunci când spunem că folosim WhatsApp pentru a lucra, transmite și primi date de la clienții companiei.
Un prim aspect este că ar trebui să aveți certitudinea că metoda utilizată de către companie impune un nivel adecvat de securitate, ceea ce înseamnă că se poate asigura o protecție adecvată a datelor clienților companiei. Cu alte cuvinte, trebuie luat în calcul că agenda telefonică a unui utilizator cu toate datele de contact, inclusiv e-mailurile și numerele de telefon ale acestora, este transferată către WhatsApp, ceea ce înseamnă că nu mai aveți posibilitatea gestionării exclusive a acestor date și, prin urmare, nu s-ar mai asigura respectarea prevederile GDPR.
O soluție vine WhatsApp, în sensul în care furnizorul aplicației asigură fiecare utilizator că beneficiază de securitate automată, respectiv criptarea integrală a tuturor conversațiilor. Comparativ cu alte sisteme, sistemul de criptarea integrală oferită de WhatsApp oferă doar utilizatorului și persoanelor cu care acesta discută (cu care face schimbul de informații) posibilitatea de a putea citi ceea ce se trimite, fără ca nimeni altcineva din afara conversației să o mai poată face, nici măcar WhatsApp. Totodată, Whatsapp garantează utilizatorilor că mesajele sunt protejate prin intermediul unui lacăt, iar cheia specială necesară pentru a-l debloca și a citi se află doar în posesia transmițătorului și a destinatarului, proces care are loc automat, nefiind necesar să fie activată vreo setare în mod expres pentru aceasta. Astfel, WhatsApp încearcă să risipească teama utilizatorilor că altcineva, din exterior, ar putea arunca o privire pe conversațiile acestora.
Consultanții GDPR recomandă companiilor să nu permită angajaților utilizarea telefoanelor personale pentru transferul, stocarea, prelucrarea datelor în raporturile dintre firmă și clienții acesteia, ci utilizarea în acest caz a telefoanelor proprietatea angajatorului, care printr-un regulament de ordine interioară stabilește fluxul de lucru și de utilizare a WhatsApp de către angajat. Mai exact, telefoanele de serviciu sunt utilizate doar în interesul companiei și, printr-o tehnologie pe care firma ar trebui să o implementeze, ar trebui ca datele stocate, prelucrate și transmise să fie imposibil de a fi portate pe un alt dispozitiv care nu este proprietatea angajatorului.
Însă, pentru a nu exista suspiciuni vis-a-vis de transmiterea, stocarea și prelucrarea datelor de către utilizatorul din companie în raporturile cu clienții, se recomandă operatorilor economici să aibă implementată o aplicație de mesagerie pentru întreprinderi. O soluție mai adecvată ar putea fi WhatsApp Business, aplicație gratuită ce oferă micilor întreprinderi posibilitatea de a stabili o prezență oficială și de a comunica ușor cu clienții, ce facilitează interacțiunea folosind instrumente pentru automatizarea mesajelor și pentru a răspunde rapid la acestea.
Recomandarea pentru companii este de a limita utilizarea telefoanelor personale ale angajaților în interes de serviciu și mai ales de a nu permite instalarea pe dispozitive personale a aplicațiilor pe care compania le utilizează în raporturile cu clienții, pentru transmiterea, prelucrarea și stocarea datelor cu caracter personal. Achiziția unor programe care să nu permită sustragerea datelor cu caracter personal, deși poate părea o cheltuială considerabilă, este justificată și chiar benefică oricărei firme, prin protecția pe care această tehnologie o poate oferi.
Un alt aspect care merită punctat ar fi o eventuală interzicere în cadrul companiei a folosirii WhatsApp, în scopuri profesionale, de către angajați. În practică, două instituții financiare din România au fost amendate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru faptul că au transferat date ale clienților prin intermediul WhatsApp.
Astfel, ANSPDCP a finalizat, la 14.04.2020, o investigație la nivelul operatorului Banca Comercială Română S.A., în urma căreia a constat încălcarea dispozițiilor referitoare la securitatea prelucrării, respectiv art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor (GDPR). Pentru aceasta, BCR a fost sancționată contravențional cu amendă în cuantum de 24.163,50 lei (aprox. 5.000 euro). De precizat faptul că investigația a fost demarată în urma primirii unei plângeri, iar în cursul desfășurării acesteia, ANSPDCP a constatat că „Banca Comercială Română S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. În același timp, operatorul nu a luat măsuri pentru a asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern”. S-a constatat și că a avut loc o colectare a copiilor actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal al unei angajate a operatorului, precum și transmiteri ale copiilor acestor acte la nivelul operatorului, prin aplicația WhatsApp, cu încălcarea procedurii de lucru interne.
De asemenea, tot Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat alte două anchete asemănătoare, la data de 01.10.2019, la nivelul operatorilor Raiffeisen Bank S.A. și Vreau Credit S.R.L., în urma cărora a constat că s-au încălcat prevederile art. 32 alin. (4) coroborat cu art. 32 alin. (1) și alin. (2) din RGPD, ceea ce a condus la aplicarea unor amenzi contravenționale în cuantum de 150.000 euro, respectiv 20.000 euro. În ceea ce privește Raiffeisen Bank S.A., ANSPDCP a demarat investigația ca urmare a transmiterii de către bancă a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității conform Regulamentului (UE) 2016/679. Încălcarea securității a constat în faptul că doi angajați ai Raiffeisen Bank S.A., utilizând datele din documentele de identitate ale unor persoane fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin intermediul aplicației WhatsApp, au efectuat interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring. În acest sens, au fost efectuate 1.194 simulări, cu privire la 1.177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat și consultarea bazei de date a ANAF. Simulările de prescoring menționate au fost efectuate prin intermediul aplicației informatice utilizate de Raiffeisen Bank S.A. în activitatea de creditare, iar decizia negativă de creditare a fost comunicată de către angajații Raiffeisen Bank S.A. către angajații Vreau Credit S.R.L., cu încălcarea procedurilor interne. „Sancțiunea a fost aplicată operatorului ca urmare a faptului că acesta nu a luat măsurile corespunzătoare pentru a se asigura că orice persoană fizică care acționează sub autoritatea acestuia și care are acces la date cu caracter personal, nu le prelucrează decât la cererea sa, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern. De asemenea, operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător și nu a evaluat riscurile pe care le prezintă prelucrarea”. Această situație a condus la accesul neautorizat la datele cu caracter personal prelucrate prin aplicația informatică utilizată de Raiffeisen Bank S.A. în activitatea de creditare și la divulgarea neautorizată a datelor cu caracter personal de către angajați ai băncii. În ceea ce privește operatorul Vreau Credit S.R.L., acesta a fost sancționat, de asemenea, pentru încălcarea securității datelor, dar și pentru faptul că până la finalizarea investigației nu a notificat autorității de supraveghere încălcarea securității datelor cu caracter personal, deși constatase producerea acestui incident de securitate încă din luna decembrie 2018, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal ale clienților proprii (persoanele vizate) și la prelucrarea neautorizată/ilegală a datelor cu caracter personal ale acestora.
Așadar, prin prisma exemplelor de mai sus, recomandarea ar fi să analizați modul în care angajații firmei folosesc WhatsApp în scopuri profesionale, pentru a reduce riscul neconformării cu GDPR și să implementați o aplicație de mesagerie dedicată pentru întreprinderi care să asigure o protecție adecvată a datelor.