Firmă de consultanță: Divulgarea ilegală de date, printre faptele sancționate în primul an de GDPR

Firmă de consultanță: Divulgarea ilegală de date, printre faptele sancționate în primul an de GDPR
scris 24 mai 2019

Divulgarea ilegală de date și prelucrarea de date fără temei legal s-au numărat printre faptele sancționate în ultimul an, la nivel european, după intrarea în vigoare a regulamentului european privind protecția datelor (GDPR), în contextul în care autoritățile naționale au aplicat sancțiuni de peste 55 milioane de euro, potrivit datelor transmise de firma de consultanță Boboc & Asociatii Consulting, la solicitarea News.ro.

În 25 mai, Regulamentul European privind protecția datelor (GDPR) a aniversat un an de la data punerii lui în aplicare. În această perioadă, gradul de conștientizare a actorilor implicați – operatori și persoane vizate, a crescut și datorită publicității exacerbate a cuantumului semnificativ mărit al amenzilor care sancționează nerespectarea prevederilor GDPR, iar mult mai puțină publicitate a fost dedicată aspectelor privind conformarea la prevederile legale, potrivit firmei de consultanță.

Facebook a eliminat în primul trimestru al anului aproximativ 2,2 miliarde de conturi false CITEȘTE ȘI Facebook a eliminat în primul trimestru al anului aproximativ 2,2 miliarde de conturi false

Creșterea preocupării persoanelor vizate vis a vis de prelucrarea datelor lor cu caracter personal rezultă și din informațiile transmise la data de 28 ianuarie 2019 de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în cadrul Conferinței cu tema Asigurarea respectării Regulamentului european privind protecția datelor și a reglementărilor naționale aplicabile.

Astfel, în anul 2018, ANSPDCP a primit peste 5000 de plângeri și sesizări de la persoanele vizate, dintre care 3000 după momentul 25 mai 2018, numărul total al acestora fiind simțitor mai mare decât în anii precedenți. Totodată, operatorii de date cu caracter personal s-au conformat parțial cerințelor legale sau nu s-au conformat, consideră un consultant senior din cadrul firmei de consultanță, specialist în protecția datelor, Mădălina Cristea.

”În ceea ce privește operatorii de date cu caracter personal, practica ne arată că mulți dintre aceștia, la trecerea unui an de la momentul aplicării GDPR, s-au conformat parțial cerințelor legale sau nu s-au conformat, iar dintre aceștia din urmă un număr semnificativ consideră în mod eronat faptul că GDPR nu este aplicabil activității pe care o desfășoară. Această perspectivă este susținută și de numărul mic de sesizări ale ANSPDCP cu privire la incidentele de securitate, puțin peste 300 la finalul anului 2018, având în vedere faptul că la nivelul Uniunii Europene numărul acestora se apropie de 90.000 conform datelor disponibile pe site-ul Comisiei Europene”, a spus Cristea.

Costurile ridicate pe care le implică conformarea, o provocare serioasă

Printre operatorii conștienți de obligațiile care le revin, o provocare serioasă o reprezintă costurile relativ ridicate pe care le implică conformarea, având în vedere resursele necesar a fi angajate în proces. Printre acestea se numără costurile cu măsuri tehnice, organizatorice și de securitate, specialiști în GDPR cu nivel de înțelegere atât a prevederilor legale, cât și a implicațiilor tehnice și de securitate, responsabili cu protecția datelor, acolo unde este cazul. Așadar, deși gradul de conștientizare al actorilor implicați este în creștere, specialiștii apreciază că, până la îndeplinirea dezideratelor urmărite prin GDPR, suntem abia la primii pași.

”La nivelul Uniunii Europene, atât European Data Protection Board, cât și autoritățile de supraveghere naționale, inclusiv cea din România, au emis sau au participat la elaborarea unor norme legale, recomandări, opinii, decizii de implementare în domeniul protecției datelor cu caracter personal. De asemenea, acestea au organizat sau au participat la o serie de evenimente ce au tratat aspecte legate de implementarea prevederilor GDPR și au luat anumite măsuri pentru creșterea gradului de informare a publicului larg”, a spus Cristea.

În acest prim an de aplicare a GDPR, autoritățile naționale au efectuat și o serie de investigații, în urma cărora au aplicat sancțiuni de peste 55 milioane de euro, dintre care, de notorietate, este cea aplicată Google de către autoritatea națională franceză, în valoare de 50 milioane de euro.

”Au fost însă investigate și o serie de companii mici și mai puțin cunoscute prin comparație, acest lucru arătând încă o dată că autoritățile de supraveghere tratează cu același grad de seriozitate toate tipurile de încălcări (de exemplu, amenda de 220.000 de euro aplicată unui operator din Polonia pentru lipsa de informare a persoanelor vizate ale căror date au fost obținute indirect)”, a spus Cristea.

Sancțiunile au fost aplicate pentru fapte precum divulgarea ilegală de date, prelucrarea de date fără temei legal, informarea incorectă a persoanelor vizate, comunicări comerciale nesolicitate, măsuri tehnice neadecvate.

”Deși sancțiunile impuse de către ANSPDCP nu sunt de notorietate ca în cazul altor autorități din state membre, acestea există cu siguranță, la fel și investigațiile în curs. Probabil că Raportul anual privind activitatea Autorității pentru anul 2018 ne va oferi mai multe detalii, atât în ceea ce privește sancțiunile aplicate, cât și din perspectiva încălcărilor prevederilor aplicabile”, a transmis firma de consultanță.

GDPR a influențat și legislația altor state care nu sunt parte din Uniunea Europeană, cel mai probabil și în considerarea faptului că acestea au sau intenționează să dezvolte relații de afaceri cu statele membre. Astfel, cu titlu de exemplu, legislația specifică a fost deja modificată de către Elveția, Islanda, Liechtenstein, Brazilia, Statul California din Statele Unite ale Americii, este în curs de modificare în cazul Coreei de Sud sau există intenția de aliniere în mai multe state din Africa și Asia.

”La un an de aplicare GDPR, putem afirma cu tărie ca acesta este doar începutul unui proces de durată, conformarea fiind o activitate continuă care nu se oprește odată cu implementarea unui simplu set de proceduri sau numirea unui responsabil cu protecția datelor, iar crearea unei culturi de privacy reprezintă, în proces, un element determinant și, cu siguranță, cel mai important”, a spus Cristea.

viewscnt

Informaţiile publicate de Profit.ro pot fi preluate doar în limita a 500 de caractere şi cu citarea în lead a sursei cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor.

Afla mai multe despre
gdpr
boboc & asociatii consulting