Profesionist cu o îndelungată experiență în mediul de corporație, Tudor Galoș a ales calea antreprenoriatului într-un domeniu critic pentru companii și, în același timp, extrem de provocator pentru cei care doresc să se specializeze. Consultanța și training-ul pentru GDPR sunt subiectele discuției purtate cu fondatorul Tudor Galoș Consulting.

ITChannel: Ce ne puteți spune despre proiectul dumneavoastră? Înțeleg că se bazează pe un set de competențe acumulate în domeniul aceasta de training. De ce ați formalizat sub această formă experiența acumulată și ce domenii adresați?

Tudor Galoș: Noi, la Tudor Galoș Consulting, derulăm programe de training deja de o perioadă îndelungată. Am lucra în mediul de corporație timp de peste 14 ani și pe parcursul acestui interval am făcut
foarte multe training-uri. Este într-adevăr o pasiune să lucrez cu oameni, să învăț de la ei și la rândul meu să-i învăț pe ei. Acest lucru este valabil atât pentru mine, cât și pentru colegii mei. În legătură cu aceste training-uri, de când a lansat
Tudor Galoș Consulting acum mai bine de 5 ani, lucrând cu peste 150 de clienți de pe 3 continente, adică în Statele Unite, în Europa și în Orientul Apropiat, am acumulat o experiență foarte mare pe care dorim s-o împărtășim cu cei care doresc să învețe.

De-a lungul timpului am dezvoltat mai multe cursuri, cel mai important fiind cel de Data Protection Officer acreditat la
Ministerul Muncii și Protecției Sociale, unde am pregătit deja un număr foarte mare de ofițeri responsabili cu protecția datelor. Este un curs intensiv cu durata de o săptămână care desfășoară în regim mixt, online și offline, examenul fiind bineînțeles în persoană cu inspectori acreditați.

Restul cursurilor pot fi făcute și online și cu prezență fizică, sunt cursuri la cerere cu
diverse teme, precum cum să faci implementarea GDPR într-o zi. Un alt curs pe care l-am pregătit recent este destinat
zonei de ONG-uri și mai avem și o serie de cursuri gratuite dezvoltate împreună cu partenerii externi de la Advisera și care sunt în limba engleză. Acolo, pe platforma
Advisera, cursurile sunt gratuite, iar opțional la final se poate cumpăra o acreditare că ai finalizat acest curs. Până acum aceste cursuri le făceam pornind de pe site-ul 
tudorgaloș.ro, dar mi-am dat seama că e nevoie să separăm puțin lucrurile. Am decis ca pe site activitatea să fie în special legată de consultanță de protecția datelor, de transformare digitală și așa mai departe,
pe când pe platforma Advisera vrem,
într-adevăr, să se existe doar training-uri pe zona de protecție a datelor, deoarece este o nevoie presantă de oameni pregătiți, atât specialiști, cât și oameni care lucrează zi de zi cu datele personale.

ITChannel: Ce subiecte adresează cursul de DPO? Este necesară experiență anterioară într-un domeniu anume?

Tudor Galoș: Cursul de Data Protection Officer se adresează în primul rând celor care vor să facă această meserie, o meserie care se află la intersecția dintre juridic, tehnic și business. Trei domenii uneori aproape complet complementare se întâlnesc în această funcție.

Un responsabil bun cu protecția datelor trebuie să înțeleagă o dată cadrul legislativ, deoarece nu este vorba numai de GDPR, sunt multe alte legi care impactează protecția datelor personale. În același timp, trebuie să înțeleagă tehnologia și tot ce înseamnă zona de securitate cibernetică și trebuie să înțeleagă și business-ul, pentru că degeaba avem un DPO bine pregătit dacă metoda lui de a duce compania la conformitate o duce și la faliment. De aceea rolul DPO-ului este să lucreze. Acesta trebuie să fie un om foarte simpatic, capabil să poată lucra cu întreaga echipă de management și cu echipele din organizație. Contează mai puțin de unde vin, ce contează cu adevărat este o experiență deja acumulată în domeniul protecției datelor personale. De exemplu, să fi lucrat în zona securității cibernetice, nu neapărat cu experiență avansată, dar să o înțeleagă, să înțeleagă totuși bine cazul legislativ. În cursul pe care îl susținem îl învățăm cadrul legislativ, dar nu avem timp să luăm cursantul de la zero. Așadar este necesară o minimă experiență în zona asta și asta o cere chiar și standardul ocupațional de COR pentru DPO, cere să ai o anumită experiență și să poți să vii cu exemple relevante. Acest curs este unul de tip PBL – Problem-Based Learning, adică luăm tot timpul studii de caz din viața reală, lucruri care s-au întâmplat la clienții noștri, astfel încât vedem cum lumea încearcă să le rezolve. Conștientizăm că vorbim și de protecția unor oameni, dar în același timp și de faptul că business-ul trebuie să meargă înainte, trebuie să găsești acele măsuri care în același timp și protejează viețile oamenilor, adică datele lor personale, dar și fac business-ul să funcționeze.

ITChannel: Ce ne puteți spune despre colaborarea cu Advisera?

Tudor Galoș: Colaborarea cu ei durează deja de peste 5 ani. Am început să lucrăm pe zona de webinarii, facem împreună
foarte multe pe zona de GDPR pe diverse subiecte, începând de la pașii necesari pentru a avea conformitatea cu GDPR la chestii destul de concrete cum este, de exemplu, ce faci în caz de apariția unei breșe de date, cum gestionezi interesul legitim, ce pași necesari adiționali trebuie să facă firmele din Statele Unite pentru a fi conforme cu GDPR și așa mai departe. Dar am avut și avem colaborări pe zona de live virtual training, un tip de training one-to-few legate de zona de data breach și pe zona de gestionare a cererilor persoanelor vizate. În plus, avem articole și lucrăm în comunitatea Advisera. Practic, este o companie multinațională care se ocupă cu mai mult training-uri și dezvoltarea de șabloane pentru conformitate pe mai multe standarde de tip ISO și pe zona de GDPR.

Tot în zona de colaborare, cursul de DPO este organizat împreună cu Corporactive Consulting, o companie dedicată organizării de cursuri care se ocupă de logistică și relația cu autoritatea națională de calificări. Suntem deschiși la parteneriate și colaborare și lucrăm în avest sens.

ITChannel: Ce proiecte aveți în viitorul apropiat legat de extinderea gamei de cursuri?

Tudor Galoș: Cu siguranță dorim să aducem și alți traineri în platformă și să găsim și alte tipologii de cursuri în zona de protecție a datelor. Vom încerca să aducem unele mult mai nișate, pe zona de securitate cibernetică avansată, pe subiecte mult mai rafinate din zona de protecție a datelor.

Platforma este la început, în sensul că deocamdată sunt acele cursuri prezentate, te poți înscrie la ele, ai conținut gratuit, dar o să vrem să o ducem la un al nivel. Adică să facem o adevărată platformă de cursuri acolo, unde lumea să poată acumula rapid un set de informații în 5 sau 10 minute, să poată obține răspunsuri la niște întrebări-cheie pe care poate să le aibă, să poată interacționa online și offline cu un trainer și așa mai departe. Repet, este nevoie foarte mare de pregătire în zona aceasta. Începem cu România și, bineînțeles, o să ne extindem și la nivel internațional în funcție de ce fel de parteneriate putem avea. Deocamdată vrem să vedem ce impact are acest proiect pe piața din România.

ITChannel: Am observat că aveți un sediu și la Oradea. Unde sunt organizate exame-nele pentru cursurile pe care le susțineți?

Tudor Galoș: Atât noi, cât și partenerii de la Corporactive Consulting suntem firme cu sediul în Oradea, dar lucrăm în toată țara. Eu sunt în București și lucrez din sediul din București, dar practic putem asigura exa-menul la București și la Oradea fără niciun fel de problemă. Am mai organizat o sesiune de examen și la Cluj, când am avut o grupă destul de mare și suntem deschiși, deoarece am primit solicitări din alte locuri din țară.

ITChannel: Cum apreciați evoluția aplicării măsurilor GDPR în România?

Tudor Galoș: La momentul actual extistă o efervescență legată de amenzile date la autoritatea din România, care deja publică foarte multe amenzi. Au dat amenzi în zona de banking, în cea de sănătate, au dat chiar și câte 2-3 amenzi
la o singură firmă. Sunt foarte multe controale pentru că sunt în același timp și foarte multe breșe de date raportate. Amenzile devin din ce în ce mai serioase, adică dacă coborâseră pe la 1.000-2.000 EUR, deja încep să urce la 5.000-20.000 EUR și așa mai departe, iar în afara României este deja nebunie cu zona de cookie-uri. Spre
exemplu, autoritatea din Belgia a emis 10 decizii de amendă, dintre care două de 50.000 EUR și restul de câte 10.000 EUR la companii care nu aveau implementată corect partea de consimțământ a cookie-urilor.

Deci lucrurile sunt reale, adică efervescența legată de acest subiect a crescut și acum o să vedem foarte multe amenzi. Autoritatea este cea care decide cuantumul amenzii luând în calcul cifra de afaceri, gravitatea faptei, repetarea faptei, măsurile tehnice și organizaționale implementate deja în firmă pentru a asigura conformitatea și așa mai
departe. Sunt foarte mulți factori care se iau în considerare în momentul stabilirii amenzii.

ITChannel: Cum decurge un proiect pe zona de consultanță?

Tudor Galoș: Deja am lucrat în proiecte cu peste 150 de clienți și ușor, ușor ne apropiem de numărul de 200 de clienți. Sunt proiecte de consultanță pentru conformitate la GDPR, ceea ce înseamnă auditarea nivelului de conformitate. Identificăm toate fluxurile de date și resursele unde acele date sunt prelucrate, terțele părți și așa mai departe. După care verificăm toate riscurile existente în cadrul organizației legate de prelucrările de date personale și încercăm să adresăm fiecare risc cu măsuri specifice tehnice și organizaționale, adică literalmente
începe zona asta de reparație. Care în sine este un proiect care poate să dureze între 2 și 6 luni sau chiar mai mult dacă organizația este foarte complexă. Odată implementate aceste măsuri, se pun la punct documentația, procesele, procedurile, apoi angajații încep să fie instruiți pe procese și proceduri pe noul modus operandi, după care periodic, lunar, avem discuții cu clienții pentru a vedea exact ce s-a mai întâmplat în legătură cu cadrul stabilit.

ITChannel: Acționați ca un fel de one-stop-shop, mergeți și în zona de implementare de soluții software?

Tudor Galoș: Asigurăm ma-nagementul de proiect, deci nu punem efectiv mâna acolo să facem modificările deoarece nu ține de noi să facem implementările detaliate. În calitate de consultant ne asigurăm că fiecare persoană care are atribuțiuni are resursele necesare și execută acțiunea care trebuie întreprinsă pentru implementarea proiectului. Nu le facem noi aceste acțiuni, dar ne asigurăm că se întâmplă prin activitatea de project management.

ITChannel: Aveți proiecte și în afara țării?

Tudor Galoș: Da, avem proiecte în Statele Unite, în Marea Britanie, în Franța, în Norvegia, în Croația, în Turcia și sper că n-am uitat nimic.

ITChannel: Se observă o diferență între proiectele din România și cele din alte țări? Se observă o diferență în interesul companiilor în modul în care agreează să implementeze astfel de soluții?

Tudor Galoș: În străinătate, conceptul este de conștientizare a riscurilor. Diferența
între companiile străine și cele românești este că în străinătate se conștientizează faptul că orice risc înseamnă business
liability, adică orice risc duce în jos valoarea firmei. Atunci ei înțeleg că trebuie să investească într-un proiect de consultanță ca să ducă la eliminarea acelor riscuri. În România riscul este perceput ceva de genul „mie nu mi se poate întâmpla”, adică cât de probabil este să mi se întâmple mie? E o problemă clasică, pentru că în România este abordarea „De ce să-mi asigur casa? De ce să-mi asiguri bunurile? De ce să îmi asiguri mașina? Mie nu mi se poate întâmpla.” Momentul în care într-adevăr conștientizează riscul este cel când pierde clienți, când primește o amendă. Amenda este cel mai mic lucru care ți se poate întâmpla. Lumea nu conștientizează încă foarte serios aceste provocări, dar când le conștientizează, într-adevăr, încep să se prindă că lucrurile sunt complicate.

Nivelul de conștienizare este mai mare, paradoxal, în zona asta de start-up-uri, pentru că acolo vin companiile care investesc. Indiferent că vorbim de Angel Investors, de acceleratoare, de fonduri de investiții, de VC-uri, vin și fac un due diligence care cuprinde parte de GDPR. Atunci au nevoie de consultanța și realizează acest acest lucru. Bineînțeles, în momentul în care companiile care se vând au de asemenea nevoie, pentru că tot acolo la due diligence au un impact important în stabilirea prețului final. În străinătate au un nivel de conștientizare mai mare legat de valoarea firmei, și anume faptul că orice risc duce la scăderea valorii companii.

ITChannel: Ce mesaj aveți pentru profesioniștii din România?

Tudor Galoș: Le recomand să înceapă de la cursurile gratuite și apoi să investească în pregătire, să facă aceste cursuri nu neapărat de la noi. Noi suntem un vendor care vorbim din experiență. Sunt și mulți alți furnizori buni pe piață, dar măcar să investească să facă niște cursuri plătite, să învețe din ele și să aplice cunoștințele, pentru că este foarte mare nevoie de specialiști în piață. Este nevoie uriașă de DPO, sunt foarte multe anunțuri și lumea nu are efectiv de unde recruta. Este o meserie bănoasă, o meserie care pe viitor o să crească și mai mult. Deja este cerere foarte mare, iar cererea va deveni uriașă și mă aștept ca lucrurile să se complice. Drept urmare, acum este momentul să se investească în acest gen de cursuri.