Analiză: Un an de GDPR: Ce s-a schimbat și ce se mai poate întâmpla

GDPR-ul a intrat în vigoare acum un an și a creat foarte multe întrebări, pentru toate părțile vizate - de la companii care riscă amenzi uriașe la persoane fizice care își dau seama de importanța protecției datelor și, astfel, adresează plângeri autorităților cu atribuții în domeniul protecției datelor (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP - în România) pentru încălcarea drepturilor lor în baza GDPR-ului.

Avocatnet.ro a scris constant, de la intrarea în vigoare a Regulamentului și până în prezent, articole despre chestiuni legate de actul normativ privind protecția datelor. Articolele vizează atât chestiuni elementare (precum ce reprezintă o prelucrare de date, când poate fi o prelucrare permisă sau ce reprezintă o breșă de date) la chestiuni foarte specifice și practice (cum trebuie raportată o breșă de date, ce măsuri tehnice pot să ia companiile, pentru a se asigura că instaureză un cadru de securitate eficient, de exemplu). Puteți citi tot ce s-a scris despre GDPR, aici. 

În acest context, este important de privit în ansamblu două chestiuni: ce s-a întâmplat, până acum, cât de mult s-a îndeplinit din ceea ce se aștepta, la momentul intrării în vigoare, și la ce ne putem aștepta în viitor.

S-a schimbat practica entităților care prelucrează date?

Răspunsul depinde foarte mult în funcție de entitățile de care vorbim. În privința marilor companii care oferă servicii de tehnologie și online (precum Facebook sau Google), GDPR a avut un impact major, determinând schimbări ale politicilor de prelucrare a datelor și îmbunătățiri ale mecanismelor de prelucrare sau de stocare.

În afara marilor companii tech precum Facebook sau Google, se pare că GDPR a dus la anumite schimbări, însă mai este mult de modificat și implementat. De exemplu, într-un articol apărut pe site-ul computerweekly.com, este menționat faptul că multe companii nu au implementat încă măsuri tehnice suficiente. Bineînțeles, acest lucru nu înseamnă că unele măsuri nu au fost implementate - câteva chiar în privința securității cibernetice, însă destul de multe în privința măsurilor de conformare legale și în privința documentației.

Un alt efect pe care articolul apărut pe computerweekly.com îl menționează este faptul că multe firme se gândesc la necesitatea prelucrării (și mai ales a stocării) datelor. Mai degrabă se uită să vadă de ce date au, cu adevărat, nevoie, în loc să le colecteze într-un mod „nediscriminatoriu”. 

De asemenea, GDPR-ul a dus și la o schimbare în atitudinile din interiorul firmelor cu privire la date și la prelucrarea acestora. Mai exact, se ajunge la o conștientizare tot mai clară a importanței datelor și la mai multe măsuri de precauție în privința modalității cum aceste date circulă, în cadrul organizațiilor unde se prelucrează date.

Care e situația amenzilor

De departe, cea mai des-auzită discuție legată de GDPR a fost cuantumul amenzilor potențiale pentru încălcări ale regulamentului. Totuși, într-un an de la intrarea în vigoare a GDPR-ului, a fost dată o singură amendă de 50 de milioane de euro, celălalte amenzi (cunoscute public) fiind, de principiu, de câteva sute de mii de euro sau chiar de câteva zeci sau mai puțin. În România, în schimb, ANSPDCP nu a aplicat nicio amendă.

În același timp, trebuie reținut că primul an de GDPR a fost, oarecum, și un an de adaptare. Conform unui articol apărut pe site-ul cnet.com, lipsa sancțiunilor cu adevărat severe s-a datorat și perioadei de acomodare pentru autoritățile relevante în privința protecției datelor, care au trebuit să înțeleagă ce puteri au și să învețe să le folosească. De asemenea, în același articol este menționat faptul că sancționarea drastică, din start, ar putea expune autoritățile de protecție a datelor la foarte multe contestații, în special din partea firmelor care beneficiază de reprezentare juridică extinsă. 

Este interesant, totuși, că din amenzile acordate deja pot fi trase anumite concluzii, pentru firme (cum spuneam și mai sus, nu contează că astfel de amenzi au fost acordate în alte state europene, ele au fost date în aplicarea GDPR-ului). Potrivit unui articol apărut pe site-ul techrepublic.com, există o serie de „lecții” pe care firmele (dar și consumatorii) le pot învăța:

• nu contează intenția de a comite încălcările obligațiilor stabilite de Regulament (maximum, s-ar putea ține cont de intenție la stabilirea amenzii);
• persoanele fizice încep să înțeleagă importanța protecției datelor personale și a respectării confidențialității acestora, de către firme; de aceea, a crescut și numărul de sesizări adresate autorităților de protecție a datelor;
• GDPR funcționează pe mecansimul „se poate și mai rău”: mai exact, încălcările reglulamentului, chiar dacă vor atrage amenzi, ar putea atrage amenzi mai mici cu cât există mai multă remediere și cooperare din partea firmelor vizate cu autoritățile; cu alte cuvinte, încercarea de ascundere a faptelor care sunt contrare GDPR va duce la amenzi mult mai usturătoare (mai ales atunci când nici nu sunt implementate măsuri de remediere).

GDPR nu este singurul act normativ care se aplică în privința datelor personale

Firmele românești, de exemplu, nu trebuie să respecte doar GDPR-ul. În baza acestuia, au fost emise o serie de acte normative de punere în aplicare, care concretizează multe obligații pe care firmele trebuie să le respecte.

În acest context, ANSPDCP a emis un ghid de aplicare a GDPR-ului (puteți citi mai multe detalii despre acest ghid aici). În cadrul acestui ghid, a fost prevăzut și cadrul normativ românesc care a fost adoptat în baza GDPR-ului și care arată, cu adevărat, întinderea obligațiilor existente. 

Cel mai relevant act de punere în aplicare este Legea nr. 190/2018, care concretizează multe obligații pe care le au firmele și care nu erau prevăzute expres în GDPR. De exemplu, legea în cauză prevede care sunt condițiile în care datele personale ale angajaților pot fi obținute, prin monitorizare video. 

Companiile românești beneficiază de ghiduri de aplicare a GDPR-ului

O foarte valoroasă sursă de inspirație, pentru conformare, este Comitetul European pentru protecția datelor. Acesta elaborează o serie de acte, printre care și ghiduri, pentru a facilita punerea în aplicare și conformarea cu GDPR.

Ghidurile, de obicei, sunt împărțite pe teme specifice. Astfel, de exemplu, există ghiduri cu privire la transparență (în special cu privire la informațiile date persoanelor vizate de prelucrări de date). În același timp, există și ghiduri cu privire la consimțământ sau ghiduri cu privire la clarificarea dreptului la portarea datelor. Toate ghidurile pot fi consultate aici.

Ce s-ar putea întâmpla în viitor

În primul rând, s-ar putea să existe o amplificare a activităților autorităților de protecție a datelor, și mai mult decât în prezent. Cum spuneam mai sus, primul an a fost și un an de adaptare. Acest lucru este confimat și de un articol de pe site-ul betanews.com, unde se menționează faptul că autoritățile de protecție a datelor vor fi mult mai puțin tolerante, în viitor. Acest lucru înseamnă, bineînțeles, că firmele vor fi anchetate și mai des și mai în profunzime decât acum, astfel încât ele vor trebui să investească în mod constant resurse, în scopul conformării.

În același timp, presiunile nu vor veni doar din partea autorităților și din partea riscului de sancționare administrativă. Cu cât conștientizarea importanței protecției datelor personale crește, cu atât va exista mai multă presiune și din partea persoanelor fizice. Dincolo de faptul că ele pot sesiza autoritățile cu privire la posibilele încălcări ale GDPR-ului, ele pot și să renunțe să mai folosească serviciile sau să cumpere produsele firmelor. Astfel, există și un risc comercial pentru acestea. 

Prin urmare, se poate spune că măsurile de conformare și investițiile aferente abia au început. În același timp, având în vedere că există doar un an de aplicare a GDPR-ului, mai sunt multe necunoscute care vor fi clarificate odată ce practica se extinde și mai tare. 

GDPR se aplică de un an de zile deja, acesta fiind cadrul legal european unic referitor la prelucrarea datelor personale ale persoanelor fizice. Companiile care nu respectă prevederile regulamentului riscă amenzi de până la 4% din cifra de afaceri, dar și alte tipuri de sancțiuni.