Daniela-Irina Cireașă, președintă a Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD)
Regulamentul (UE) 679/2016, cunoscut sub denumirea de Regulamentul General privind Protecția Datelor (GDPR), reprezintă un cadru legislativ semnificativ în Uniunea Europeană privind protecția datelor personale. Pus în aplicare începând cu 25 mai 2018, GDPR stabilește drepturile și obligațiile privind prelucrarea datelor personale, garantând astfel un nivel ridicat de protecție a vieții private a cetățenilor europeni. Încălcarea acestui regulament poate atrage sancțiuni serioase, iar consecințele pot fi complexe și costisitoare pentru organizații. În acest articol, vom explora în profunzime implicațiile sancționării pentru încălcarea GDPR, evidențiind măsurile de conformitate necesare pentru evitarea acestora.
I. Contextul Regulamentului GDPR
GDPR a fost adoptat pentru a asigura un nivel uniform de protecție a datelor personale în întreaga Uniune Europeană. Acesta se aplică atât organizațiilor din UE, cât și celor din afara UE care prelucrează datele cetățenilor europeni. Scopul principal al GDPR este să ofere controlul asupra informațiilor personale individuale și să impună obligații stricte privind prelucrarea acestora.
II. Sancțiuni pentru încălcarea GDPR
- Amenzi administrative
Una dintre cele mai semnificative implicații ale încălcării GDPR este posibilitatea de a primi amenzi financiare substanțiale. Autoritatea de supraveghere a datelor (ANSPDCP în România) are dreptul de a impune amenzi de până la 20 de milioane de euro sau de până la 4% din cifra de afaceri anuală globală, în funcție de care dintre aceste sume este mai mare. Aceste amenzi pot fi aplicate pentru diverse încălcări, inclusiv nerespectarea principiilor de prelucrare a datelor, neobținerea consimțământului adecvat sau nesecurizarea adecvată a datelor. Menționăm aici că instituțiile publice din România au un regim sancționator (foarte) diferit față de cel al organizațiilor private sau al persoanelor fizice. Astfel, Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor) stabilește pentru instituțiile publice un maxim al amenzii de 200.000 de lei, precum și posibilitatea de a beneficia anterior sancționării de un termen de remediere.
1.1 Situația amenzilor în România
Deși amenzile aplicate în România nu se ridică la valoarea celor din alte state membre ale Uniunii Europene, reținem totuși numărul semnificativ al acestora, care a pus România în topul statelor cu cele mai multe amenzi aplicate. În 2023 amenzile s-au dublat ca valoare, ajungând la peste 460.000 de euro, 98% dintre acestea fiind aplicate mediului privat. Așa cum menționam anterior, riscul sancționării unei instituții publice este destul de mic, iar dacă se ajunge la sancționare, cuantumul amenzii este mult redus comparativ cu cel ce poate fi aplicat unui privat.
- Măsurile corective
Dacă GDPR „s-a lansat” ca fiind Regulamentul European cu cele mai mari amenzi, să nu uităm că autoritățile naționale de supraveghere au competențe de investigare, corective, dar și de autorizare și consiliere. Vom menționa din rândul competențelor de investigație pe cele de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal și la toate informațiile necesare pentru îndeplinirea sarcinilor sale precum și de a obține accesul la oricare dintre incintele operatorului și ale persoanei împuternicite de operator, inclusiv la orice echipamente și mijloace de prelucrare a datelor.
În ceea ce privește competențele corective, în afara impunerii de amenzi administrative, considerăm că riscul aplicării unor măsuri, cum ar fi de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile regulamentului sau de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării, precum și de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională, poate fi mult mai costisitor pentru operator sau, în unele cazuri, poate însemna întreruperea/încetarea activității acestuia.
- Încetarea prelucrării datelor
Autoritatea națională de supraveghere poate impune și încetarea prelucrării datelor în cazul unei încălcări grave a GDPR. Aceasta înseamnă că organizația vinovată poate fi forțată să înceteze complet activitățile de prelucrare a datelor, ceea ce poate avea consecințe semnificative asupra activității comerciale. Imaginați-vă un magazin online căruia i se impune această măsură! Sau o farmacie care vinde majoritatea medicamentelor în baza rețetelor compensate! Nu e deloc exagerat să pui egal între oprirea prelucrării datelor personale și faliment.
- Repararea daunelor
GDPR oferă persoanelor ale căror drepturi au fost încălcate dreptul de a solicita repararea daunelor morale și materiale. Acest aspect adaugă o presiune suplimentară pentru organizații, deoarece consecințele financiare pot crește semnificativ în urma unui proces de reparație a daunelor.
- Întreruperea activității în urma pierderii bazei de date
Un alt risc, în cazul unui incident de securitate care constă în pierderea bazei de date este acela că, în lipsa unui back-up regulat, care să asigure disponibilitatea imediată a datelor, operatorul se va vedea nevoit să întrerupă activitatea pentru a reconstitui baza de date, iar orice zi de întrerupere se traduce în bani pierduți pentru acesta.
- Riscul reputațional
Poate cel mai important dintre riscurile aplicării unei sancțiuni este riscul reputațional. Amenzile GDPR se publică pe site-ul Autorității naționale de supraveghere, devin studii de caz, în unele situații se publică pe site-ul operatorului informații despre incidente/investigații iar în contractele dintre operatori/persoane împuternicite vedem din ce în ce mai des o clauză care se referă la istoricul incidentelor de securitate sau al sancțiunilor aplicate operatorilor în cauză. Devine din ce în ce mai probabil ca un operator sau o persoană împuternicită să piardă contracte comerciale din cauza unui istoric legat de aplicarea unei sancțiuni pentru încălcarea GDPR.
III. Evaluarea riscurilor și protecția datelor
- Evaluarea impactului asupra protecției datelor (DPIA)
Organizațiile trebuie să efectueze DPIA atunci când se preconizează că prelucrarea datelor cu caracter personal poate implica un risc ridicat pentru drepturile și libertățile persoanelor fizice. Neglijarea DPIA poate duce la sancțiuni mai mari în cazul unei încălcări, deoarece autoritatea de supraveghere poate considera că organizația nu a luat măsurile adecvate pentru evaluarea și gestionarea riscurilor.
- Implementarea măsurilor de securitate (tehnice și organizatorice)
Un alt aspect crucial pentru conformitatea cu GDPR este implementarea măsurilor de securitate adecvate pentru protecția datelor. Aceste măsuri ar trebui să includă criptarea datelor, controalele de acces, monitorizarea securității, proceduri de lucru cu datele personale, instruirea angajaților, încheierea de acorduri de confidențialitate și alte practici care să asigure confidențialitatea și integritatea informațiilor personale.
Subliniem că măsurile organizatorice trebuie dublate de măsuri tehnice, în caz contrar, vestitul „Dosar GDPR” nu apără pe nimeni nici de incidente de securitate cibernetică, nici de sancțiuni.
IV. Concluzii și recomandări
În încheiere, sancțiunile pentru încălcarea Regulamentului UE 679/2016 sunt extrem de serioase și pot avea consecințe de lungă durată asupra organizațiilor. Este esențial ca acestea să adopte măsuri proactive pentru a asigura conformitatea cu GDPR, inclusiv evaluarea regulată a riscurilor, implementarea măsurilor de securitate adecvate și formarea continuă a personalului în privința obligațiilor legale.
Prin respectarea normelor GDPR, organizațiile pot evita nu numai sancțiunile financiare, ci și deteriorarea reputației și pierderea încrederii clienților. Protejarea datelor personale nu este doar o cerință legală, ci și o responsabilitate etică, iar adoptarea unui abordări proactive în acest sens este esențială pentru succesul pe termen lung al oricărei organizații în era digitală.
O măsură tehnică sau organizațională luată la timp costă întotdeauna mai puțin decât un incident de securitate urmat de o investigație a Autorității naționale de supraveghere.