Όσο πλησιάζει η 25η Μαΐου, αυξάνεται μέρα με τη μέρα η συζήτηση, ο προβληματισμός και ο πανικός σε σχέση με την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Πλήθος ενημερωτικών εκδηλώσεων και ημερίδων από πλήθος φορέων και οργανισμών λαμβάνουν χώρα, εξέλιξη θετική σε κάθε περίπτωση καθώς ο εποικοδομητικός διάλογος και η ανταλλαγή γνώσης και απόψεων μόνο μπροστά οδηγούν την κοινωνία και την οικονομία. Ελπίζω αυτό το τσουνάμι ενδιαφέροντος για τον GDPR να μην εξατμιστεί την 26η Μαΐου. Όχι γιατί είναι ένα από τα βασικά αντικείμενα της επαγγελματικής και ακαδημαϊκής μου δραστηριότητας, αλλά γιατί είναι ένα νομοθέτημα το οποίο έχει ήδη και θα έχει καταλυτική επίδραση στις ζωές όλων μας. Το μόνο σίγουρο πάντως είναι ότι δεν πρόκειται για ένα ISO ακόμα. Όλοι ανεξαιρέτως οι ενδιαφερόμενοι με τους οποίους έχω συνομιλήσει σχετικά με τον GDPR με ρώτησαν αν θα υπάρξει κάποια σχετική πιστοποίηση/ISO.

Η απάντηση είναι θετική. Αυτό όμως που πρέπει να γίνει αντιληπτό από όλους τους ενδιαφερόμενους είναι ότι τα σχήματα πιστοποίησης που θα βγουν στην αγορά αποτελούν μόνο ένα δεντράκι στο δάσος που ονομάζεται GDPR. Σίγουρα μια πιστοποίηση είναι κάτι θετικό για όποιον την αποκτά. Και ο ίδιος ο γράφων απέκτησε πιστοποίηση ως DPO από φορέα πιστοποιήσεων και θα συνεχίσει να αποκτά. Αυτό όμως από μόνο του δεν τον καθιστά άτρωτο και ανίκητο στην αγορά των DPO. Αντίστοιχα ένας οργανισμός που θα τρέξει να αποκτήσει μια πιστοποίηση/ISO σχετική με τον GDPR δεν θα είναι ποτέ άτρωτος από data breach, πρόστιμα και δικαστικές περιπέτειες. Σίγουρα θα έχει κάνει πολλά σημαντικά βήματα ως προς τη συμμόρφωση του με την ισχύουσα νομοθεσία και πιθανόν να έχει διαφορετική αντιμετώπιση από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε περίπτωση καταγγελίας/ελέγχου. Εξίσου πιθανό όμως είναι, αν ο οργανισμός πήρε απλά την πιστοποίηση και μετά αμέλησε τις υποχρεώσεις του, η πιστοποίηση να μην τον ωφελήσει σε τίποτα.

Το στοίχημα και ο πρωταρχικός στόχος του GDPR είναι να δημιουργηθεί σε όλους τους οργανισμούς, ανεξαρτήτως μεγέθους, κουλτούρα προστασίας της ιδιωτικότητας. Privacy by design and by default αγγλιστί. Δεν είναι να αποκτήσουν όλοι μια πιστοποίηση, η οποία άλλωστε δεν είναι και εκ του νόμου απαραίτητη. Αν καταφέρει ένας οργανισμός, με τη βοήθεια προφανώς ειδικευμένων συμβούλων ή/και φορέων πιστοποίησης, πάνω από όλα όμως με την προτροπή και επιμονή της ίδιας του της διοίκησης, να αποκτήσει όλο του το δυναμικό κουλτούρα privacy, θα έχει αποκτήσει την ισχυρότερη πιστοποίηση στον κόσμο.

Η 25η Μαίου πλησιάζει. Δεν χρειάζεται πανικός και σπασμωδικές κινήσεις ούτε όμως και εφησυχασμός. Ελάχιστοι είναι έτοιμοι και οι Αρχές το γνωρίζουν αυτό. Στόχος τους δεν είναι να κλείνουν κάθε μέρα αβέρτα επιχειρήσεις. Στόχος τους είναι η ιδιωτικότητα να περάσει στο DNA κάθε επιχείρησης και μέχρι στιγμής φαίνεται ότι θα τον πετύχουν. Με τον ένα ή τον άλλο τρόπο.

* Ο Νίκος Παπαντωνόπουλος είναι δικηγόρος, συνεργάτης της δικηγορικής εταιρείας RΗΕΤOR, πιστοποιημένος DPO από την TUV Austria και υποψήφιος διδάκτωρ του Δ.Π.Θ. στον τομέα της ποινικής προστασίας των δεδομένων προσωπικού χαρακτήρα.