Τα αποτελέσματα της εφαρμογής του GDPR από τον Μάιο του 2018 μέχρι και σήμερα, αλλά και τον ρόλο και τις αρμοδιότητες των DPOs και των CISOs, καθώς και συγκεκριμένα case studies καλών ή κακών πρακτικών εφαρμογής του GDPR τόσο στην Ελλάδα όσο και στο εξωτερικό, βρέθηκαν στο επίκεντρο του 4ου Data Privacy & Protection Conference που πραγματοποιήθηκε στις 25 Ιουνίου, από την BOUSSIAS και το περιοδικό netweek στο Αμφιθέατρο Maroussi Plaza. Το συνέδριο παρακολούθησαν εκατοντάδες στελέχη επιχειρήσεων, επιστήμονες, νομικοί και τεχνικοί από τον χώρο της Πληροφορικής.

Με αφορμή τα «γενέθλια» του GDPR έγινε αναδρομή στο έτος που πέρασε τόσο από τον Κώστα Λαμπρινουδάκη, Καθηγητή και Πρόεδρο του Τμήματος Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά, μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) (στο άνοιγμα του συνεδρίου), όσο και από τη Μαίρη Δεληγιάννη, Senior Associate της Zepos & Yannopoulos (κατά την ολοκλήρωση αυτού).

Μια εις βάθος ανάλυση των προβλημάτων που παρουσιάστηκαν, αλλά και των λύσεων που προέκυψαν κατά τη διάρκεια του τελευταίου αυτού έτους πραγματοποιήθηκε από τον Παναγιώτη Αναστασάκη, Διευθύνων Σύμβουλο της Priority, ο οποίος παρουσίασε τα διδάγματα που αναδύθηκαν μέσα από την εμπειρία 180 έργων GDPR. Ιδιαίτερη έμφαση στις λύσεις που μπορούν να δοθούν στις ποικίλες προκλήσεις που παρουσιάζει σήμερα το security και το privacy έδωσε ο Simone Vernikov, Legal Data Privacy Counsel της OneTrust.

«Στόχος είναι να εντάξουμε το GDPR στην καθημερινότητα» τόνισε ο Ιωάννης Φραγκουλόπουλος (Senior Manager, Advisory Services στην Ernst & Young Business Advisory Solutions S.A),  καθώς το 82% των διευθυντικών συμβουλίων αποτυγχάνει να ενσωματώσει το cyber security επιτυχώς στην στρατηγική τους ατζέντα. «Η εκπαίδευση αποτελεί κρίσιμο παράγοντα για να δρέψουμε τους καρπούς της 4ης βιομηχανικής επανάστασης» είπε χαρακτηριστικά ο Μιχάλης Σακκάς, Αντιπρόεδρος της  Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).

Κουλτούρα
Ο Jeremy Rollison (keynote speakers και Director, EU Government Affairs, Corporate, External and Legal Affairs (CELA) στην Microsoft Europe),  ανέδειξε το privacy ως αναπόσπαστο τμήμα της κουλτούρας που πρέπει να εκφράζει τον εκάστοτε οργανισμό. Στην αξία της κουλτούρας επέμειναν και άλλοι ομιλητές, όπως ο Αθανάσιος Μητσάκος (MBCI –  Lead Auditor of Management Systems της TÜV Austria Hellas): «Η πιστοποίηση είναι θέμα κουλτούρας» είπε.

Τα τελευταία χρόνια έχει πραγματοποιηθεί μια αλλαγή της κουλτούρας σύμφωνα με τον Στέφανος Βιτωράτο, Αντιπρόεδρο της Homo Digitalis. Το GDPR έφερε στο προσκήνιο μια νέα μορφή εταιρικής κοινωνικής ευθύνης και συμμόρφωσης. Μπορούμε όμως άραγε να αποτρέψουμε το ανθρώπινο λάθος; Ο Ανδρέας Χριστοφορίδης (Head of Technology Risk Services του International Cyber Security Institute στο Ηνωμένο Βασίλειο)  μέσω της εμπειρίας του ισχυρίζεται πως δεν μπορούμε. Για αυτόν ακριβώς τον λόγο τόνισε πως ο άνθρωπος αποτελεί τον πιο αδύναμο κρίκο στα συστήματα ασφαλείας και ως εκ τούτου ιδιαίτερα σημαντική απειλή αποτελούν, πλέον, τα phishing attacks.

Στους τρόπους περιορισμού του ανθρώπινου λάθους εμβάθυνε και η ομιλία της Κατερίνας Βράχα (Chief Legal and Compliance Officer στην Dixons SouthEast Europe). Ένα άλλο θέμα που χρήζει προσοχής είναι τα σκιώδη πληροφοριακά συστήματα, στα οποία αναφέρθηκε ο Ηλίας Χάντζος (Senior Director Government Affairs EMEA and APJ, Global CIP and Privacy Advisor).

Συμβουλές προς DPOs
Ο ρόλος και οι αρμοδιότητες των DPOs αποτέλεσαν δικαίως κομβικό θέμα στο συνέδριο.  Συγκεκριμένα τον τελευταίο χρόνο πάνω από 350.000 οργανισμοί προσέλαβαν DPOs σύμφωνα με τον Νίκο Γεωργόπουλο (Cyber Risks Data Protection Insurance Advisor – Co Founder της DPO Academy). Τις γνώσεις του από τη Γερμανία μετέφερε στους συνέδρους ο Christopher Schmidt (EU and Intl. Affairs Officer, Hessian DPA), παρέχοντας συγκεκριμένες συμβουλές για τους DPOs ως προς τις δράσεις που πρέπει να επιδιώξουν αλλά και αυτές που πρέπει να αποφύγουν.

Συγχρόνως τις εμπειρίες τους από τη θέση του DPO και τις πολύτιμες συμβουλές τους έδωσαν και  στελέχη επιφανών ελληνικών επιχειρήσεων:  η Δήμητρα Ξηντάρα (Data Protection Officer της Eurolife ERB Insurance Group), η Φωτεινή Παπαθανασίου (OTE Group Data Protection Officer), ο Αντώνης Ευαγγελίδης ( Διευθυντής Εταιρικής Συμμόρφωσης & Προστασίας Δεδομένων (DPO) στην ΒΙΑΝΕΞ Α.Ε. – ΒΙΑΝ Α.Ε.) και η Έλενα Βρακατσέλη ( Data Protection Officer του Athens Medical Center). Επίσης ο Δημήτρης Πατσός , Πρόεδρος της ICS2 Hellenic Chapter, παρουσίασε τον ρόλο του CISO και το συνδυασμό δεξιοτήτων που αυτός απαιτεί.

Το φλέγον θέμα των αρμοδιοτήτων και της συμβολής των DPO συζητήθηκε επίσης και στο πάνελ που πραγματοποιήθηκε με συμμετέχοντες τους Σπύρο Τάσση (πρόεδρο του HADPP), Σοφοκλή Καραπιδάκη (Διευθυντή Κανονιστικής Συμμόρφωσης και Υπεύθυνο Προστασίας Δεδομένων της Μυτιληναίος ΑΕ), Μαίρη Δεληγιάννη (Senior Associate στη Zepos & Yannopoulos),  Δημήτρη Ζωγραφόπουλο (Υπεύθυνο Προστασίας Δεδομένων DPO- επικεφαλή αυτοτελούς γραφείου προστασίας δεδομένων Υπουργείο Υγείας), Χρήστο Ξενάκη ( Αναπληρωτή καθηγητή και Διευθυντή Μεταπτυχιακού του Τμήματος Ψηφιακών Συστημάτων στο Πανεπιστήμιο Πειραιά), Βασίλη Βασιλόπουλο ( DPO της EΡΤ) και συντονιστή τον Δημήτρη Γεωργόπουλο (Co Founder- Managing Partner at Rethink Business Lab, Founding Member DPO Academy).

Ο ρόλος και η συμβολή του DPO, καθώς και ο συσχετισμός του instant response με την προστασία δεδομένων, συζητήθηκαν και στη συνέντευξη επί σκηνής που έγινε με συντονιστή τον Δ. Πατσό και συμμετέχοντες τη Λιάνα Κοσμάτου (Δικηγόρο/Αναπληρώτρια Γενική Διευθύντρια, Κ. Παπακωστόπουλος & Συνεργάτες, Δικηγορική Εταιρεία, μέλος του Διεθνούς Νομικού και Φορολογικού Δικτύου της KPMG) και τον Θεόδωρο Στεργίου (Διευθυντή Cyber Security & Risk Consulting της KPMG).

Case studies και κανονιστικό πλαίσιο
Τις λύσεις που προσφέρουν παρουσίασαν ο Νικήτας Κλαδάκης (Information Security Director της Netbull) και ο Κώστας Βούλγαρης (Financial Lines & Casualty Manager της AIG Greece).
Η εμπορική εκμετάλλευση των προσωπικών δεδομένων σε χρήσεις όπως το adtech αναλύθηκε από τον Σπύρο Τάσση (πρόεδρο του Hellenic Association of Data Protection & Privacy: HADPP), ενώ στη χρήση των προσωπικών δεδομένων για την στοχοποίηση κάποιων ανθρώπων για τη διασπορά fake news επικεντρώθηκε ο Αθανάσιος Θ. Κοσμόπουλος (LL.M, Υπεύθυνος Προστασίας Δεδομένων στο Υπουργείο Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης).

Επίσης στο συνέδριο αναλύθηκαν και πιο ιδιαίτερες πτυχές του νέου κανονιστικού πλαισίου, όπως η πιθανή συμβατότητα του GDPR με το blockchain που παρουσιάστηκε από τον Ιωάννη Γιαννάκακη (Managing Partner FIP, CIPM, CIPP/E/US/, CFE, CDPO certified GDPR Practitioner, G+P Lawfirm). Η Λίλιαν Μήτρου (Πρόεδρος του Ινστιτούτου για το Δίκαιο Προστασίας της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία και Καθηγήτρια του Πανεπιστημίου Αιγαίου) επισήμανε πως παρόλη την ανερχόμενη δυναμική της η τεχνητή νοημοσύνη δεν εμφανίζεται πουθενά στo πλαίσιo του κανονισμού.

Επειδή η προστασία δεδομένων αφορά και τα έγγραφα ο Ηλίας Μελισσαρόπουλος (Business Development Manager της Canon) μίλησε για τον κύκλο ζωής ενός εγγράφου στο περιβάλλον του γραφείου. Τι συμβαίνει όμως με το GDPR στο χώρο της εστίασης; Αυτό το θέμα παρουσίασε στην ομιλία του ο keynote speaker Jakub Niesterczuk (Data protection officer, legal counsel at Accor S.A. and Orbis S.A. της Orbis Hotel Group).

Tέλος, το αντίκτυπο του GDPR στους Cloud Service Providers και η διαπραγμάτευση και διαχείριση των data processing agreements είναι ένα θέμα που απασχολεί αρκετούς αυτή την εποχή. Έτσι ο Filipe Lousa, Global Data Protection Officer της Getronics, έδωσε στην παρουσίασή του τις κατάλληλες κατευθυντήριες οδηγίες.

Μεγάλος χορηγός του συνεδρίου ήταν η OneTrust. Χορηγοί του συνεδρίου ήταν η American International Group Inc (AIG), η Canon, η EY, η KPMG, η Netbull LTD, η Priority και η TÜV Austria Hellas. Ως Επιστημονικοί Συνεργάτες συμμετείχαν η DPO ACADEMY, η Homo Digitalis, η  Hellenic (ISC)² και η Hellenic Association of Data Protection & Privacy. Χορηγοί Επικοινωνίας ήταν η EURO2day, το insider.gr, το lawnet.gr και η Νομική Βιβλιοθήκη. Conference Experience Sponsor ήταν το Conferience.