GDPR: enervant sau și util?

Foto: Olivier26/ depositphotos.com

Într-o lume în care datele cu caracter personal reprezintă moneda unei multitudini de tranzacții, Uniunea Europeană a încercat să pună stop abuzurilor. Începând cu data de 25 mai 2018 se aplică regulamentul general privind protecția datelor (cunoscut ca GDPR), care urmărește să ofere utilizatorilor mai mult control asupra datelor personale și mai multă putere în relația cu organizațiile care prelucrează astfel de date. În bilanțul la un an de aplicare apar diferențe semnificative în funcție de țară.

Pe portalul GDPR Today, publicat de Open Rights Group, sunt evaluate cifrele relevante de la autoritățile de protecție a datelor din zece țări. Accentul principal este pus pe reclamații și pe notificările primite de aceste autorități în cazul unor încălcări a protecției datelor. Până la data de 1 martie majoritatea reclamațiilor – peste 33.000 – s-au înregistrat în Marea Britanie, unde au fost primite și 11.600 de notificări. În Germania au existat aproape 15.000 de plângeri și puțin peste 3.300 de notificări.

Cifrele pentru România sunt mult mai mici: potrivit GDPR Today, au fost înregistrate 5.544 de plângeri la autoritatea cu abrevierea impronunțabilă ANSPDCP, iar de 414 ori au fost sesizate încălcări a protecției datelor.

Uniunea Europeană a raportat oficial mai mult de 95.000 de plângeri și peste 41.500 de notificări de încălcări pentru întregul teritoriu în intervalul mai 2018 și ianuarie 2019. Potrivit UE, cele mai multe plângeri se referă la telemarketing, e-mailuri nesolicitate și supraveghere video.

Companiile și organizațiile au depus în parte eforturi susținute pentru a fi pregătite de noua realitate de după 25 mai 2018. Nu puține s-au speriat de spectrul unor sancțiuni draconice prevăzute de Regulamentul general: companiile pot fi pedepsite cu până la 4% din cifra lor de afaceri la nivel mondial, în funcție de încălcarea constatată, alte organizații se pot aștepta la o amendă de până la 20 de milioane de euro.

Din acest motiv, utilizatorii s-au trezit că trebuie să facă clic pe tot felul de formulare agasante de cookieuri, iar în săptămânile de dinaintea datei de 25 mai 2018, un val de e-mailuri a inun­dat căsuțele poștale ale oamenilor din întreaga Europă. Companiile și organizațiile au vrut să meargă la sigur că au permisiunea de a procesa date cu caracter personal și chiar de a trimite newslettere. Pentru a afla despre pregătirile pentru momentul aplicării GDPR, DeBizz a vorbit cu Claudiu Baciu, ofițer de protecție a datelor la ASRO, organismul național de standardizare în România. El consideră că agitația care a cuprins lumea a fost în multe cazuri oarecum exagerată: „Și până la acel moment era necesar să existe consimțământul pentru a trimite buletine informative – deci dacă abia la acel moment obțineai un OK, practic recunoșteai că încălcai regulile până la acel moment – iar în multe cazuri, organizația avea oricum un interes legitim în prelucrarea datelor”, spune el.

Cu toate acestea, pe lângă temeiul legal de prelucrare a datelor cu caracter personal, și alte obligații joacă un rol important în contextul GDPR: de exemplu, trebuie luate măsuri de precauție adecvate pentru a proteja datele prelucrate. Deoarece acest lucru ține în mare de tehnologia informației, deseori responsabilii IT au fost cei recalificați pentru a deveni data protection officer (DPO), deși „dacă privim la conținut, tematica e de fapt undeva la intersecția dintre IT și drept – un DPO bun e pe jumătate specialist IT și pe cealaltă jumătate avocat”, explică Claudiu Baciu. GDPR nu indică în mod explicit cum să se procedeze pentru a proteja datele, dar stabilește răspunderea procesatorului. Pentru organizații, acest lucru a dus uneori la costuri mai mari în perioada premergătoare noilor reguli – „cei care stochează, de exem­plu, datele de salarizare ale angajaților pe calculatoare vechi cu un software de server depășit, pentru care nu se mai emit actualizări de securitate, sau care țin un magazin online fără certificat SSL, nu pot afirma că au luat măsuri de securitate adecvate”, spune reprezentantul ASRO. El amintește că multe organizații au strâmbat din nas după ce au realizat că GDPR înseamnă mai mult decât cookieuri și aprobări de buletine informative și că este așadar nevoie de măsuri mai costisitoare. Ofițerii de protecție a datelor au trebuit să depună muncă de lămurire din greu: „La început am făcut un inventar al măsurilor de securitate existente, am văzut unde trebuie să ajungem, am verificat fluxul intern de date, am făcut propuneri de măsuri și le-am discutat cu ceilalți angajați. A fost destul de lucru”, admite el.

Experiența europeană în anul care a trecut a demonstrat că o atitudine prea lejeră față de securitatea datelor poate avea costuri serioase în noul context juridic – rețeaua germană de chat Knuddels a trebuit să plătească 20.000 de euro după ce hackeri au furat mai bine de 800.000 de adrese de e-mail și aproape 2 milioane de nume de utilizator și parolele, într-un atac asupra sistemelor companiei. Ceea ce e a sărit în ochi a fost că aceste date – inclusiv unele neesențiale, oferite voluntar de utilizatori – erau stocate pe serverele companiei fără nicio protecție prin criptare.

Ce se petrece cu datele este o chestiune deosebit de sensibilă atunci când ele sunt schimbate între diferiți actori – în Polonia, o societate care prelucra în scopuri comerciale date personale provenind din surse publice (inclusiv Registrul electronic central) și unele referitoare la activitatea economică a persoanelor vizate a fost amendată cu aproape 220.000 de euro. Compania a informat doar o mică parte dintre persoanele listate despre prelucrarea datelor lor, și anume pe cele pentru care a avut o adresă de e-mail. Din motive de costuri, restul persoanelor nu au mai fost informate. Autoritatea poloneză de supraveghere a protecției datelor a constatat în acest caz o încălcare a obligațiilor de informare în cadrul GDPR. În ambele cazuri, autoritățile au evaluat atitudinea (cooperantă la Knuddels, recalcintrantă în cazul firmei din Polonia) ca atenuantă sau agravantă.

Autoritățile franceze joacă între timp în altă ligă. Ele au impus grupului Google o amendă mai mare de 50 de milioane de euro – ceea ce este, desigur, un mizilic în comparație cu cele două miliarde de euro pe care oficiul anticartel din UE le-a impus americanilor. Potrivit autorităților franceze de protecție a datelor, informațiile privind utilizarea datelor colectate și perioada de stocare nu sunt suficient de ușor accesibile utilizatorilor de servicii Google. Acestea sunt distribuite pe mai multe documente, iar utilizatorii trebuie să facă clic pe mai multe linkuri și butoane. În plus, unele informații sunt formulate neclar.

Faptul că protecția datelor este luată mai în serios în România a fost resimțit în septembrie anul trecut de administrația locală din Cluj. De ceva timp, primăria mizează mai mult pe digitalizare, iar cetățenii au putut primi răspunsuri la solicitări prin e-mail. Cu toate acestea, un angajat al primăriei a comis o greșeală, iar autoritatea pentru protecția datelor a trebuit să intervină – funcționarul a trimis răspunsul la o solicitare de la o adresă de e-mail înregistrată la Yahoo. Datele personale ale solicitantului au fost transmise prin intermediul serverelor companiei Yahoo, asupra cărora orașul Cluj nu avea niciun control real, au considerat cei de la autoritatea de protecție a datelor și au sancționat administrația.

În afară de acesta, nu se prea cunosc cazuri mai brizante în România. Cu toate acestea, autoritatea pentru protecția datelor a intrat chiar și așa în atenția publicului: a amenințat jurnaliștii de investigație din rețeaua Rise Project cu amenzi colosale dacă nu dezvăluie sursele unei scurgeri de date din care au publicat pe Facebook informații despre posibile cazuri de corupție. Cazul a fost uitat rapid, după ce și autoritatea UE pentru protecția datelor a clarificat că noul GDPR nu poate fi folosit de către autorități pentru a avea acces la sursele jurnaliștilor. O dezbatere privind prelucrarea datelor cu caracter personal de către stat este în curs, după ce legea de implementare a GDPR acordă partidelor politice drepturi foarte largi în prelucrarea datelor – în cadrul cărora partidele și ONG-urile pot procesa date cu caracter personal fără consimțământul expres, atât timp cât notifică persoanele și le informează despre posibilitățile de rectificare și ștergere a datelor. Activiști ai digitalizării din România, reuniți în asociația APTI, au semnalat acum această situație Comisiei Europene.

Primele experiențe europene cu GDPR arată că oamenii îl consideră util și relevant. Ei apelează la el și pentru a-și cere ștergerea datelor – cum au făcut-o recent 5.000 de români la biroul de credit – sau ca să se plângă de manipularea ilegală a datelor lor. Pe de altă parte, reglementările sunt pe neplăcute pentru companii, deoarece nevoia de a res­pecta normele generează costuri noi.

Unele preferă să profite. GDPR a creat o nouă nișă de piață, nenumărați furnizori de servicii oferă consultanță și instruire. Chiar și după ce situația se va fi calmat, nevoia de sfaturi competente nu va scădea, pentru că în anii ce vin se conturează deja următoarea provocare: noul cadru legal european privind drepturile de autor.

Alex Gröblacher



German
Citește articolul precedent:
Anul circului

Anul show-ului politic debutează formal în luna mai. Pe 26 mai europenii aleg membrii viitorului Europarlament. Dar cursa pentru „europene”...

Închide