Data privacy by design: Firmele trebuie să ia măsuri înainte de a începe prelucrarea datelor personale

Pentru a asigura respectarea principiului „data privacy by design”, companiile trebuie să ia anumite măsuri înainte de a începe o prelucrare de date personale. În esență, trebuie evaluat riscul prelucrării și trebuie identificate măsurile ce trebuie implementate. Asta înseamnă că vorbim inclusiv de verificarea infrastructurii IT.

„Principiul «data privacy by design» activează ca o umbrelă și presupune încorporarea celorlalte principii din GDPR sub o singură prevedere - spre exemplu, principiul minimizării datelor. Conformarea cu «data privacy by design» implică o etapă preliminară de evaluare a riscului prelucrării, prin intermediul căreia operatorii identifică eventuale măsuri de implementat. Mai mult decât atât, pe lângă evaluarea de natură juridică (de exemplu, identificarea datelor prelucrate ca fiind necesare în raport cu scopurile, perioada de retenție, temeiul utilizat etc.), acest principiu presupune verificarea temeinică a infrastructurii IT (sisteme, aplicații etc.), urmată de remodelarea acesteia, în cazul în care se identifică neconformități”, au explicat specialiștii Deloitte România într-o opinie remisă azi redacției noastre.

Ce înseamnă asta? Păi, firmele trebuie să se conformeze nu doar procedural, prin adoptarea de proceduri de lucru și politici interne, ci și prin modificări la infrastructura IT. Adică să se implementeze măsurile necesare, în funcție de riscurile unei prelucrări de date, și siguranța lor să fie testată și îmbunătățită constant.

„Astfel, respectarea «data privacy by design» nu se va putea realiza prin simpla adoptare a unor proceduri și politici, ci numai prin implementarea și testarea periodică a bunei funcționări a modificărilor sistemice ce asigură respectarea procedurilor și politicilor în materie de protecție a datelor. Implementarea unui nou proces de business sau a unui nou software în cadrul companiei ar trebui făcută cu sprijinul responsabililor de protecția datelor. Cea mai bună metodă de a verifica dacă atât controalele tehnice, cât și cele non-tehnice funcționează este de a simula periodic un incident cibernetic ce are ca rezultat accesul neautorizat la date cu caracter personal”, detaliază cei de la Deloitte.

Un asemenea exercițiu implică identificarea datelor care au fost accesate, sistemele care stocau aceste informații și procesele de business care au fost afectate. În acest fel, echipele interne verifică dacă informațiile existente sunt de actualitate și identifică procesele sau aplicațiile care permit accesul la date unor furnizori externi (acces nedocumentat în prealabil sau care este nejustificat).

Principiul „data privacy by design” face referire, conform GDPR, la faptul că firmele, atât la stabilirea mijloacelor de prelucrare, cât și la prelucrare în sine, trebuie să ia măsuri adecvate (de exemplu, pseudonimizarea) pentru a respecta principiile regulamentului (cum este cel de minimizare a prelucrării datelor) și a proteja drepturile persoanelor fizice vizate.

De asemenea, companiile sunt obligate să aplice măsuri tehnice și organizatorice adecvate, ca să se asigure că se prelucrează numai datele personale necesare fiecărui scop specific al prelucrării. „Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane”, este punctat în GDPR.

Încălcarea principiului „data privacy by design” a făcut subiectul primei amenzi aplicate în România de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Mai precis, aceasta a amendat o bancă cu 130.000 de euro pentru dezvăluirea unor date personale ale clienților.

Cei de la Deloitte spun că numeroasele investigații aflate acum în derulare la nivelul ANSPDCP vor duce la noi amenzi (până acum avem trei sancțiuni aplicate în România), multe dintre ele urmând (probabil) să fie contestate în instanță. În aceste condiții, deoarece vorbim de o reglementare recentă, există riscul să vedem o practică neunitară la nivelul instanțelor în următoarea perioadă.

„Contestațiile înregistrate pe rolul secțiilor de contencios administrativ și fiscal ale tribunalelor suspendă doar plata amenzii, nu și obligația de a aplica măsuri corective, așadar cel mai probabil acestea vor fi dublate de cereri de suspendare a măsurilor corective, în temeiul prevederilor din Legea contenciosului administrativ. În lipsa unei jurisprudențe cristalizate pe diferitele tipologii de încălcări aduse legislației în materie, generată și de faptul că legislația anterioară prevedea praguri semnificativ mai mici pentru amenzi (aproximativ 10.000 de euro), va trebui ca instanțele de judecată să stabilească o optică proprie în soluționarea acestor cauze. Vom avea, deci, o potențială practică neunitară la nivel național”, au mai precizat specialiștii Deloitte.

Pentru încălcarea articolului 25 din GDPR, care se referă la principiul „data privacy by design”, operatorii de date personale riscă amenzi administrative de până la zece milioane de euro sau de până la 2% din cifra de afaceri mondială totală anuală din anteriorul exercițiu financiar.

GDPR reprezintă cadrul legal unic la nivel european în materie de protecție a datelor personale și se aplică, inclusiv în România, din 25 mai 2018.