Camelia Lung, manager IC Consulting Cluj: Aproape 5 mii de plângeri  pentru prelucrarea ilegală a datelor personale, în primul an de GDPR în România

Primul an de la intrarea în vigoare a Regulamentului general privind protecția datelor (GDPR) a trecut pe nesimțite. Începând cu data de 25 mai 2018, toate statele membre  ale Uniunii Europene au fost nevoite să-și adapteze legislația națională pentru a se alinia la normele GDPR. Autoritățile naționale de protecție a datelor, cele responsabile de punerea în aplicare a acestora, au primit o mână de ajutor și din partea noilor mecanisme de cooperare și Comitetului european pentru protecția datelor, organisme care emit periodic sugestii privind aspectele esențiale ale Regulamentului pentru o mai bună punere în aplicare a acestuia.

Conformitatea cu GDPR nu este deloc ușoară și presupune eforturi, dar și provocări. În anul ce a trecut, am realizat că conformarea la cerințele Regulamentului presupune găsirea de resurse deloc de neglijat, atât în ce privește partea financiară, dar și în cea umană. Din mai 2018 și până în prezent, a devenit evident că nu este ușor să găsești oamenii potriviți pentru a-i folosi în activitatea de Responsabili cu protecția datelor (DPO), mai ales în contextul în care cererea de profesioniști în domeniul confidențialității datelor personale este în continuă creștere.

Conformarea nu este o chestiune de opțiune

Principalul câștig al apariției GDPR îl reprezintă o mai mare conștientizare a necesității protejării informațiilor personale. Acum, companiile, societățiile, instituțiile, au ajuns să înțeleagă într-un final ce se așteaptă de la ele în privința confidențialității și riscurilor privitoare la utilizarea datelor personale. Doar că, marea problemă o constituie, în continuare, conformarea continuă la cerințele GDPR. Și nu mă refer aici doar la eforturile financiare sau de personal ale organizațiilor, ci și la faptul că fiecare angajat în parte trebuie să adopte o mentalitate riguroasă pentru a adera la protocoalele Regulamentului, să își asume responsabilitatea personală și să colaboreze intuitiv pentru a păstra și proteja datele personale cu care intră în contact. La toate acestea, să mai adăugăm și o lacună, să spunem, a GDPR, anume faptul că nu a luat în considerare modul de gestionare a confidențialității datelor personale colectate de companii înainte de apariția noului regulament, dar și faptul că autoritățile de reglementare și supraveghere au început să aplice primele amenzi de ordinul milioanelor de euro pentru companiile care s-au confruntat cu încălcări masive a protecției datelor personale, precum Google sau Facebook.

În general, însă, primul an de GDPR s-a caracterizat prin faptul că mult vehiculatele amenzi pentru neconformarea la acesta s-au lăsat așteptate, autoritățile preferând în general să ofere un termen rezonabil pentru aplicarea normelor celei mai revoluționare măsuri în privința respectării datelor cu caracter personal. Un lucru e sigur însă, și anume că acest lucru nu va mai dura mult, iar sancțiunile vor începe să apară. În consecință, este cu atît mai important ca organizațiile să treacă cât mai rapid la aplicarea noilor reglementări, asigurând astfel o protecție a datelor personale atât din perspectiva proprie, dar și în fața amenințărilor de breșe de securitate venite din exterior. Conformarea nu este o chestiune de opțiune, iar aplicarea GDPR ar trebui să aducă cu sine încrederea consumatorilor că datele lor personale se află în siguranță..

În concluzie, la un an de la apariția GDPR, putem spune că acesta a reușit să sporească gradul de conștientizare cu privire la problemele de confidențialitate, și că, încet dar sigur, pășim într-o nouă eră în care viața privată este pusă în prim plan.

În România, investigațiile referitoare la protecția datelor cu caracter personal intră în autoritatea ANSPDCP, Autoritatea națională de supraveghere și prelucrare a datelor cu caracter personal. Modul de acțiune al instituției se bazează în principal pe două direcții. Prima, se referă la verificări din oficiu, ca urmare a transmiterii notificărilor de încălcare a securității datelor, pentru verificarea unor informații și date obținute de ANSPDCP din alte surse decât cele care fac obiectul unor plângeri, în cadrul operațiunilor comune și al acordării de asistență reciprocă, audituri privind protecția datelor etc. Apoi, vorbim de investigații demarate în urma unor plângeri., care se pot efectua pe teren, dar și la sediul ANSPDCP. În cadrul controalelor, instituția poate audia persoane, poate solicita asistență din partea organelor de poliție, poate aplica sigilii, dar poate și să propună efectuarea de expertize suplimentare.

Sancțiunile ce pot fi acordate sunt diverse și încep de la avertisment sau amendă. În funcție de gravitatea faptelor constatate, autoritatea poate dispune și măsuri drastice: respectarea cererilor persoanelor vizate de exercitare a drepturilor, conformitatea cu dispozițiile legale aplicabile, informarea persoanei vizate cu privire la o încălcare a protecției datelor, limitare/interdicție a prelucrării, rectificarea/ștergerea datelor/restricționarea prelucrării, dar și amenzi al căror cuantum pot pune lacătul pe multe organizații.

Perioada de grație e pe terminate

După cum afirmam mai sus, principiul după care s-a ghidat Autoritatea de control în domeniu după intrarea în vigoare a GDPR a fost clemența, însoțită de investigații exploratorii și oferirea de recomandări și îndrumări pentru companiile defavorizate, dar și pentru comunitatea de afaceri în ansamblu.

Cu toate acestea, se pare că perioada de grație în ce privește aplicarea de sancțiuni se apropie de sfârșit pe măsură ce GDPR a intrat deja în atenția marii majorități a organizațiilor. De anul trecut, de la intrarea în vigoare a GDPR, Autoritatea națională de control a efectuat aproape o mie de investigații și a primit nu mai puțin de 5.000 de plângeri și 400 de notificări de încălcari de securitate în materia protecției datelor personale.

Nici în Uniunea Europeană, lucrurile nu stau altfel. Un recent eurobarometru evidenția faptul că 67 la sută dintre europeni au auzit de GDPR, și că 57 la sută dintre aceștia știu că există o autoritate publică în țara de origine, responsabilă cu drepturile lor în privința datelor personale. În ce privește numărul întrebărilor și al plângerilor depuse la nivel comunitar, acestea au depășit cifra de 144.000.

Plângerile au fost formulate, în marea lor majoritate, în ce privește activitatea de telemarketing, împotriva ofertelor promoționale de tot felul primite pe email, dar și în ce privește activitatea de supraveghere video.

De asemenea, din mai 2018, la nivel european, au fost semnalate aproape 90.000 de breșe de securitate.

Spre deosebire de țara noastră, la nivelul UE au apărut deja primele sancțiuni, una dintre ele de ordinul milioanelor de euro. Este vorba despre gigantul Google, care a fost amendat cu 50 de milioane de euro pentru reclame difuzate fără a deține consimțământul necesar din partea utilizatorilor. De asemenea, în Polonia a fost aplicată o amendă de 200.000 de euro pentru o companie de brokeraj, care a omis să-și informeze clienții că le sunt utilizate datele lor personale. Și în Germania, o companie de social-networking a primit o amendă de 20.000 de euro pentru că nu a securizat datele personale ale utilizatorilor, după cum și în Austria o casă de pariuri a fost penalizată pentru supraveghere video neautorizată.

Camelia Lung

manager general IC Consulting Cluj

Aceste text are caracter de ADVERTORIAL

Nici un comentariu

Actual de Cluj