La data de 25 Mai 2019 s-a împlinit un an de când GDPR a devenit obligatoriu pentru societățile care în activitatea lor prelucrează date cu caracter personal. Acest lucru înseamnă că, până la data de 25 Mai 2018, societățile aveau obligația să își regândească activitatea din prisma prelucrării datelor, să facă un audit, să identifice acele breșe de securitate (dacă ele existau), să aplice măsuri tehnice adecvate și să efectueze pașii prevăzuți de GDPR.
Clientul nostru stăpânul nostru din prisma GDPR
Acest dicton ar trebui să devină motto-ul oricărei organizații atunci când se discută despre protecția datelor. Unul din principalele scopuri al GDPR a fost acela de a proteja persoana fizică, expusă în prezent tot mai mult tehnologizării și digitalizării serviciilor. Dacă în trecut puteai sa faci plăți cash, să plătești furnizorul fără să ții o contabilitate complicată, să apelezi la servicii doar prezentându-te personal, astăzi, datorită tehnologizării, persoana fizică devine un număr, prin care poate fi foarte ușor identificat și identificabil. Ori, dacă nu există o protecție reală a datelor cu caracter personal, însăși securitatea personală este afectată.
Din acest punct de vedere, GDPR a acordat o mare putere persoanelor fizice, prin punerea la dispoziție a următoarelor drepturi: dreptul de a fi informat, dreptul de a restricționa datele, dreptul la portabilitate, dreptul de a fi uitat (dreptul la ștergerea datelor), dreptul cu privire la crearea de profiluri și la procesul decizional automat.
Așa cum vom vedea mai jos și cum, de altfel, constată și autoritatea în investigațiile sale, persoanele vizate devin din ce în ce mai conștiente și informate despre drepturile lor. Așa cum informația este putere, rămâne de văzut până la ce limită pot folosi clienții aceste drepturi împotriva operatorilor, pentru că de la exercitarea unui drept cu bună credință la abuz e doar un pas mic.
Valul de amenzi după un an de la intrarea în vigoare a GDPR și angoasa operatorilor
La mai bine de un an de când a intrat în vigoare noul regulament de protecția datelor, temperatura GDPR-ului s-a încins atingând cote nemaiîntâlnite. În luna iulie au fost aplicate primele trei amenzi în România, iar la nivel european a fost publicată intenția de a acorda cele mai mari amenzi din istoria protecției datelor.
La începutul lunii iulie 2019 au fost finalizate și date publicității primele trei investigații din România, de la intrarea în vigoare a GDPR, în care s-a aplicat amendă, adică cea mai gravă dintre sancțiunile prevăzute de GDPR. Este vorba despre amenda de 130.000 euro aplicată în domeniul bancar operatorului UniCredit Bank, amenda de 15.000 euro aplicată în domeniul hotelier operatorului de date World Trade Center și amenda de 3.000 euro aplicată prestatorului de servicii legale Avocatoo. În toate cazurile, ANSPDCP a aplicat amenzi semnificative deoarece operatorii nu au luat, în principal, măsuri tehnice pentru a proteja securitatea datelor cu caracter personal și nu au respectat principiile prelucrării datelor cu caracter personal ale clienților.
La nivel european, ICO (autoritatea de supraveghere din Marea Britanie) a publicat la începutul lunii iulie, intenția de a amenda două mari companii: compania aeriană British Airways cu o amenda de £183.39M (aprox. 200 milioane euro) ca urmare a unui incident cibernetic și lanțul hotelier Merriot, cu £99.2M (aprox. 100 milioane euro) pentru faptul că a expus fraudări cibernetice un număr de 339 milioane de clienți.
În urma acestor măsuri date publicității atât în România, cât și la nivelul Uniunii, și preluate la scară largă de presă, s- a creat în societate o mare angoasă pe tema, iar această stare escaladează pe zi ce trece.
Sursa acestei stări de neliniște este lipsa unei informări eficiente și pe înțelesul operatorilor, în ciuda eforturilor de informare publică din prima jumătate a anului 2018, înainte ca GDPR-ul să intre în vigoare. Autoritatea a făcut puține eforturi în sensul acesta, lăsând administratorul unei societăți mai mici sau mai mari să se lovească cu capul de paginile stufoase ale GDPR, din care nu înțelege mai nimic sau să apeleze la un consultant specializat. Varianta a doua ar fi o opțiune ideală însă pentru majoritatea firmelor mici și mijloci ar reprezenta un efort financiar pe care, din păcate, nu și-l asumă.
Tendința autorității
Dacă ne uităm la raportul publicat de autoritate la un an de la intrarea în vigoare a GDPR, observăm că s-au primit 5.260 plângeri și sesizări care s-au finalizat cu 57 de măsuri corective, 23 avertismente și ultimele masuri aplicate în iulie, 3 amenzi.
Așadar observăm că practica autorității, până la data publicării raportului, respectiv 23 mai 2019, a fost aceea de a aplica inițial măsuri de corecție, avertisment și în ultimă instanță amendă. În primul an, autoritățile au ridicat steagul galben care indică că marea este agitată, iar scăldatul este permis doar înotătorilor experimentați. Semnalul avertizare indica faptul că GDPR-ul agită apele și doar cei care au implementat regulamentul au șanse de supraviețuire.
Observând aceste ultime evenimente, este legitim să ne întrebăm dacă nu cumva în luna iulie autoritățile au ridicat steagul roșu ca semnal de alarmă și dacă nu cumva autoritățile prin ultimele amenzi uriașe propuse doresc să transmită mesajul că nu e de joacă cu GDPR-ul. Așa cum putem înțelege din declarația reprezentantului autorității din Marea Britanie, datele cu caracter personal au o valoare reală, iar companiile au obligația legală să le securizeze așa cum o fac cu orice bun al lor. În măsura în care se va constata că nu sunt luate măsuri serioase, autoritățile nu vor ezita să recurgă la măsuri drastice.
Așadar, recomandăm societăților prudență în activitatea lor și o analiză a businessului și din perspectiva GDPR, pentru că limita între sancțiuni este fină, iar o sancțiune de 4% din cifra de afaceri uneori înseamnă finalul acesteia.
Un articol semnat de Adoriana Terescu, Attorney Associate la Hațegan Attorneys.