Sopia
Toate articolele
8 minSopia

GDPR Art. 32: de ce politica de securitate scrisă nu te apără singură

GDPR Articolul 32 cere proceduri de securitate a datelor pe care echipa chiar le urmează, nu doar un document semnat. Ce verifică ANSPDCP de fapt.

Cineva din firma ta primește un email care pare de la furnizorul de curierat. Dă click. Introduce parola pe o pagină falsă. Două ore mai târziu, baza ta de clienți e copiată de altcineva. Acum ai 72 de ore să notifici ANSPDCP și, foarte probabil, să-ți anunți clienții că datele lor au plecat.

În momentul ăla, prima întrebare a autorității nu e "aveați o politică de securitate?". E "ce ați făcut concret ca să nu se întâmple, și puteți dovedi?". Iar aici se vede diferența între o firmă care are un PDF semnat în sertar și una care are proceduri pe care oamenii chiar le urmează.

Articolul ăsta e pentru administratori și manageri de firme mici și mijlocii care prelucrează date personale, adică aproape toate. Nu îți explic ce e GDPR. Îți arăt unde se rupe lanțul între documentul scris și ce face efectiv echipa ta.

Ce cere de fapt Articolul 32

Articolul 32 din GDPR (Regulamentul UE 2016/679) cere "măsuri tehnice și organizatorice adecvate" pentru a asigura un nivel de securitate corespunzător riscului. Sună abstract. În practică, textul enumeră lucruri concrete:

  • criptarea și pseudonimizarea datelor unde e cazul
  • capacitatea de a asigura confidențialitatea, integritatea și disponibilitatea datelor
  • capacitatea de a restabili accesul la date după un incident
  • un proces de testare și evaluare periodică a eficacității acestor măsuri

Două cuvinte din lista asta fac toată diferența: "organizatorice" și "periodică".

"Măsuri organizatorice" înseamnă oameni și proceduri, nu doar firewall și antivirus. Înseamnă cine are acces la ce, ce face angajatul când primește un email suspect, cum se închide accesul unui om care pleacă din firmă, cine verifică backup-urile și cât de des. Toate astea sunt proceduri pe care cineva trebuie să le execute, repetat, corect.

"Periodică" înseamnă că nu e suficient să scrii procedura o dată. Trebuie să dovedești că o aplici în continuare. Un document datat 2019 pe care nu l-a deschis nimeni de atunci nu e o măsură. E o hârtie.

De ce documentul singur nu te salvează

GDPR îți cere să poți demonstra conformitatea, nu doar să o afirmi. Ăsta e principiul responsabilității (accountability). Iar o politică scrisă demonstrează un singur lucru: că la un moment dat cineva a scris-o.

Gândește-te ce întreabă un inspector după un incident:

  • Angajatul care a dat click pe phishing făcuse instructajul de securitate? Când? Există dovadă?
  • Omul care a plecat acum 3 luni mai are acces la sistemele firmei? Cine ar fi trebuit să i-l închidă și pe ce procedură?
  • Backup-ul pe care contai chiar exista? Cine l-a verificat ultima dată?
  • Când a apărut breșa, echipa a știut pe cine să anunțe și în cât timp?

La toate astea, politica scrisă răspunde "în teorie, da". Inspectorul vrea "în practică, uite dovada". Diferența dintre cele două răspunsuri se măsoară în amenzi.

Și amenzile nu sunt teoretice. ANSPDCP a sancționat firme din România cu sume care merg de la câteva mii la zeci de mii de euro, deseori nu pentru că nu aveau documente, ci pentru că măsurile descrise nu erau aplicate efectiv. Un document care promite ceva ce nu se întâmplă e mai rău decât niciun document: arată că știai și n-ai făcut.

Unde se rupe lanțul, în firma reală

Problema nu e că firmele nu au politici. Multe au, le-a făcut un consultant sau le-au luat ca template. Problema e execuția zilnică, acolo unde nimeni nu se uită până nu e prea târziu.

Trei locuri în care se rupe lanțul, constant:

Offboarding-ul. Pleacă un angajat. Predarea se face pe fugă, ultima zi e haos. Nimeni nu trece sistematic prin lista de accese: email, CRM, drive, conturi de furnizori, grupul de WhatsApp cu clienții. Trei luni mai târziu, fostul om încă poate intra în sistem. E exact genul de risc pe care Art. 32 ți-l pune în cârcă.

Răspunsul la incident. Cineva observă ceva ciudat. Dar ce face? Pe cine sună? Închide calculatorul sau nu? Schimbă parolele întâi sau notifică întâi? Dacă răspunsul depinde de cine e de tură în ziua aia, nu ai o procedură. Ai noroc.

Instruirea. "Le-am zis oamenilor să fie atenți la email-uri." Nu e instruire. Instruirea înseamnă un proces repetabil, cu dovadă că a avut loc, la angajare și periodic. Fără dovadă, în fața autorității e ca și cum nu s-ar fi întâmplat.

În toate trei, problema nu e că lipsește standardul. E că nu există un mecanism prin care oamenii să execute pașii corect, de fiecare dată, și să rămână o urmă că s-a întâmplat.

NIS2: același principiu, dar cu dinți mai mari

Dacă firma ta intră sub NIS2 (transpusă în România prin OUG 155/2024, aprobată și modificată prin Legea 124/2025), miza crește serios. Aici amenzile ajung până la 10 milioane de euro sau 2% din cifra de afaceri globală, iar răspunderea trece direct la conducere: administratorii pot fi sancționați personal dacă nu supraveghează implementarea măsurilor.

NIS2 vizează sectoare extinse față de trecut, de la producători și distribuitori de alimente la firme de curierat, gestionari de deșeuri, producători de echipamente. Dacă ești pe listă, ai avut și un termen de numire a unui responsabil cu securitatea (20 septembrie 2025) pe care multe firme l-au ratat.

Dar logica de fond e identică cu Art. 32 din GDPR: legea nu cere un document, cere ca măsurile să fie reale, aplicate și demonstrabile. NIS2 doar ridică miza pentru cine nu le aplică.

Cum te ajută Sopia

Sopia nu e un tool de conformare GDPR și nu îți scrie politica de securitate. Pentru standardul în sine, lucrezi cu un consultant DPO sau cu un specialist în securitate.

Ce face Sopia e partea pe care legea o cere și care de obicei se pierde: execuția. Iei procedura pe care o ai deja (offboarding, răspuns la incident, verificare backup, onboarding cu instructaj) și o transformi într-un proces pe care echipa îl parcurge pas cu pas, pe telefon sau laptop. Omul bifează ce a făcut, semnează digital, iar data, ora și cine a executat se completează automat.

Așa, când vine întrebarea "puteți dovedi?", răspunsul nu mai e "în teorie". E un istoric: cine a făcut offboarding-ul lui X pe 12 martie, ce pași a parcurs, că instructajul a avut loc la angajare. Documentul descrie ce ar trebui să se întâmple. Sopia arată că s-a întâmplat.

Pe scurt

  • Art. 32 din GDPR cere măsuri organizatorice (proceduri, oameni, instruire), nu doar tehnice, și cere testarea lor periodică.
  • Trebuie să poți demonstra că le aplici. O politică scrisă pe care nimeni nu o execută nu te apără la o amendă sau o breșă.
  • Lanțul se rupe cel mai des la offboarding, la răspunsul la incident și la instruire, adică la execuție, nu la document.
  • Dacă intri sub NIS2 (OUG 155/2024 + Legea 124/2025), miza e mult mai mare: amenzi până la 10 mil. euro și răspundere personală a conducerii.
  • Procedura scrisă e punctul de plecare. Dovada că echipa o urmează e ce te apără de fapt.

Vrei să vezi cum arată o procedură de securitate pe care echipa ta o execută pas cu pas, cu istoric automat? Încearcă Sopia gratuit 14 zile.

Vrei să vezi cum arată Sopia pentru afacerea ta?

14 zile gratuit, fără card. Sau programează o demonstrație de 30 de minute cu echipa fondatoare.