Divulgarea ilegală de date şi prelucrarea de date fără temei legal, printre faptele sancţionate în primul an de GDPR

Cuantumul primei amenzi pentru incalcarea GDPR ne plaseaza pe locul al doilea in Europa Centrala si de Est

Divulgarea ilegală de date şi prelucrarea de date fără temei legal s-au numărat printre faptele sancţionate în ultimul an, la nivel european, după intrarea în vigoare a regulamentului european privind protecţia datelor (GDPR), în contextul în care autorităţile naţionale au aplicat sancţiuni de peste 55 milioane de euro, potrivit datelor transmise de firma de consultanţă Boboc & Asociatii Consulting, la solicitarea News.ro.

În 25 mai, Regulamentul European privind protecţia datelor (GDPR) a aniversat un an de la data punerii lui în aplicare. În această perioadă, gradul de conştientizare a actorilor implicaţi – operatori şi persoane vizate, a crescut şi datorită publicităţii exacerbate a cuantumului semnificativ mărit al amenzilor care sancţionează nerespectarea prevederilor GDPR, iar mult mai puţină publicitate a fost dedicată aspectelor privind conformarea la prevederile legale, potrivit firmei de consultanţă.

Creşterea preocupării persoanelor vizate vis a vis de prelucrarea datelor lor cu caracter personal rezultă şi din informaţiile transmise la data de 28 ianuarie 2019 de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în cadrul Conferinţei cu tema Asigurarea respectării Regulamentului european privind protecţia datelor şi a reglementărilor naţionale aplicabile.

Astfel, în anul 2018, ANSPDCP a primit peste 5000 de plângeri şi sesizări de la persoanele vizate, dintre care 3000 după momentul 25 mai 2018, numărul total al acestora fiind simţitor mai mare decât în anii precedenţi. Totodată, operatorii de date cu caracter personal s-au conformat parţial cerinţelor legale sau nu s-au conformat, consideră un consultant senior din cadrul firmei de consultanţă, specialist în protecţia datelor, Mădălina Cristea.

”În ceea ce priveşte operatorii de date cu caracter personal, practica ne arată că mulţi dintre aceştia, la trecerea unui an de la momentul aplicării GDPR, s-au conformat parţial cerinţelor legale sau nu s-au conformat, iar dintre aceştia din urmă un număr semnificativ consideră în mod eronat faptul că GDPR nu este aplicabil activităţii pe care o desfăşoară. Această perspectivă este susţinută şi de numărul mic de sesizări ale ANSPDCP cu privire la incidentele de securitate, puţin peste 300 la finalul anului 2018, având în vedere faptul că la nivelul Uniunii Europene numărul acestora se apropie de 90.000 conform datelor disponibile pe site-ul Comisiei Europene”, a spus Cristea.

Costurile ridicate pe care le implică conformarea, o provocare serioasă 

Printre operatorii conştienţi de obligaţiile care le revin, o provocare serioasă o reprezintă costurile relativ ridicate pe care le implică conformarea, având în vedere resursele necesar a fi angajate în proces. Printre acestea se numără costurile cu măsuri tehnice, organizatorice şi de securitate, specialişti în GDPR cu nivel de înţelegere atât a prevederilor legale, cât şi a implicaţiilor tehnice şi de securitate, responsabili cu protecţia datelor, acolo unde este cazul. Aşadar, deşi gradul de conştientizare al actorilor implicaţi este în creştere, specialiştii apreciază că, până la îndeplinirea dezideratelor urmărite prin GDPR, suntem abia la primii paşi.

”La nivelul Uniunii Europene, atât European Data Protection Board, cât şi autorităţile de supraveghere naţionale, inclusiv cea din România, au emis sau au participat la elaborarea unor norme legale, recomandări, opinii, decizii de implementare în domeniul protecţiei datelor cu caracter personal. De asemenea, acestea au organizat sau au participat la o serie de evenimente ce au tratat aspecte legate de implementarea prevederilor GDPR şi au luat anumite măsuri pentru creşterea gradului de informare a publicului larg”, a spus Cristea.

În acest prim an de aplicare a GDPR, autorităţile naţionale au efectuat şi o serie de investigaţii, în urma cărora au aplicat sancţiuni de peste 55 milioane de euro, dintre care, de notorietate, este cea aplicată Google de către autoritatea naţională franceză, în valoare de 50 milioane de euro.

”Au fost însă investigate şi o serie de companii mici şi mai puţin cunoscute prin comparaţie, acest lucru arătând încă o dată că autorităţile de supraveghere tratează cu acelaşi grad de seriozitate toate tipurile de încălcări (de exemplu, amenda de 220.000 de euro aplicată unui operator din Polonia pentru lipsa de informare a persoanelor vizate ale căror date au fost obţinute indirect)”, a spus Cristea.

Sancţiunile au fost aplicate pentru fapte precum divulgarea ilegală de date, prelucrarea de date fără temei legal, informarea incorectă a persoanelor vizate, comunicări comerciale nesolicitate, măsuri tehnice neadecvate.

”Deşi sancţiunile impuse de către ANSPDCP nu sunt de notorietate ca în cazul altor autorităţi din state membre, acestea există cu siguranţă, la fel şi investigaţiile în curs. Probabil că Raportul anual privind activitatea Autorităţii pentru anul 2018 ne va oferi mai multe detalii, atât în ceea ce priveşte sancţiunile aplicate, cât şi din perspectiva încălcărilor prevederilor aplicabile”, a transmis firma de consultanţă.

GDPR a influenţat şi legislaţia altor state care nu sunt parte din Uniunea Europeană, cel mai probabil şi în considerarea faptului că acestea au sau intenţionează să dezvolte relaţii de afaceri cu statele membre. Astfel, cu titlu de exemplu, legislaţia specifică a fost deja modificată de către Elveţia, Islanda, Liechtenstein, Brazilia, Statul California din Statele Unite ale Americii, este în curs de modificare în cazul Coreei de Sud sau există intenţia de aliniere în mai multe state din Africa şi Asia.

”La un an de aplicare GDPR, putem afirma cu tărie ca acesta este doar începutul unui proces de durată, conformarea fiind o activitate continuă care nu se opreşte odată cu implementarea unui simplu set de proceduri sau numirea unui responsabil cu protecţia datelor, iar crearea unei culturi de privacy reprezintă, în proces, un element determinant şi, cu siguranţă, cel mai important”, a spus Cristea.