GDPR: Ce măsuri corective dispune, de obicei, Autoritatea română de protecție a datelor

GDPR permite ANSPDCP-ului să oblige firmele care sunt investigate pentru activitatea lor de prelucrare a datelor să impună o serie de măsuri corective. Scopul lor este de a facilita conformarea cu Regulamentul, mai ales din perspectiva faptului că o Autoritate cum este ANSPDCP are experiență și cunoștințe pentru a putea îndruma o persoană în vederea conformării. De aceea, Autoritatea română de protecție a datelor a publicat o notă de informare cu privire la măsurile corective aplicate recent (în perioada 1 iunie-30 septembrie 2019), pentru a permite o înțelegere a activității acesteia cu privire la astfel de chestiuni.

Atenție! Măsurile corective nu sunt alternative pentru sancțiunile administrative pe care le-ar putea aplica Autoritatea (avocatnet.ro a scris, constant, despre amenzile aplicate de către ANSPDCP - puteți să găsiți articolele relevante, aici). Conform GDPR, este posibilă aplicarea celor două în paralel, întrucât ele îndeplinesc funcții oarecum diferite.

În ceea ce privește măsurile cele mai des aplicate de către ANSPDCP (cel puțin în perioada de referință menționată mai sus), acestea sunt:

1) Avertismentul, care este și cea mai des aplicată măsură corectivă. Avertismentul poate fi dat pentru orice neconformare: de exemplu, pentru lipsa măsurilor de securitate adecvate, pentru lipsa unor notificări care trebuia trimise ANSPDCP, într-un anumit termen, sau pentru notificări inadecvate etc.

2) Solicitări specifice, pentru ca activitățile unei persoane să devină conforme cu Regulamentul. Astfel de solicitări pot viza adoptarea de măsuri tehnice și de securitate adecvate (puteți citi mai multe despre cum trebuie implementat un cadru de securitate conform cu GDPR, aici). O altă solicitare se poate referi la instruirea angajaților, în vederea respectării procedurilor stabilite pentru conformarea cu Regulamentul. De asemenea, solicitările pot fi mai vagi: de exemplu, persoana vizată de ANSPDCP să ia măsuri ca, pe viitor, prelucrările de date să se facă în baza unui temei legal clar determinat.

3) O categorie care ar merita menționată separat este cea referitoare la drepturile persoanelor vizate de prelucrările de date și la cererile unor astfel de persoane. Persoanelor vizate de investigații ANSPDCP ar putea să le fie cerut să ofere un răspuns complet unei persoane care și-a exercitat dreptul la ștergere. Sau să i se ofere un răspuns complet unei persoane care și-a exercitat, prin mail, dreptul de acces. În privința acestui din urmă exemplu, firmele trebuie să aibă grijă să nu interpreteze acest lucru ca fiind o obligație de a răspunde oricând unui mail. Trebuie implementate măsuri pentru identificarea solicitantului, pentru ca nu cumva cineva să încerce să obțină, în mod fraudulos, date personale despre altcineva (puteți citi mai multe despre un astfel de risc și despre cum poate fi prevenit, aici). 

4) Un alt exemplu este solicitarea de informații, din partea ANSPDCP. Mai mult, această solicitare poate viza, potențial, o serie foarte variată de activități. În esență, regula e ca o firmă va trebui să trimită toate informațiile solicitate, pentru a se putea verifica dacă există conformitate cu GDPR.

Atenție! În esență, ANSPDCP este liberă să aleagă dintr-o serie foartă variată de măsuri corective acea măsură pe care o consideră potrivită, într-un anumit context. De aceea, istoria măsurilor aplicate nu garantează că, în cazuri asemănătoare, ANSPDCP va aplica aceleași măsuri. Totul depinde de la caz la caz și, fiind un domeniu într-o evoluție continuă, este de așteptat să existe variațiuni.