Articolul 32 din Regulamentul general privind protecția datelor (GDPR) obligă pe cei ce prelucrează date personale să acorde o atenție deosebită riscurilor prezentate de prelucrările de date pe care le fac, riscuri care se pot materializa în: distrugeri, pierderi, modificări, divulgări neautorizate de date personale. Consecințele pentru persoanele ale căror date au fost astfel divulgate, pierdute ori modificate pot fi uriașe uneori: prejudicii materiale, morale sau chiar fizice. Actualizarea constantă a cadrului de securitate este esențială în contextul protecției datelor.
Dacă ne gândim că printre aceste date periclitate sunt și date bancare, atunci riscul este cu atât mai mare.
Pe încălcarea articolului 32 din regulament avem deja o listă lungă de sancțiuni prezentate de autoritățile de protecția datelor din Uniune:
- autoritatea spaniolă impune o amendă de 60.000 de euro unei companii de radio și televiziune care a rătăcit șase stickuri cu date personale criptate;
- în Olanda, o firmă de asigurări pentru salariați primea în octombrie o sancțiune de 900.000 de euro pentru că nu a implementat un sistem de autentificare multi-factor și a permis astfel accesul terților;
- o amendă de aproape 645.000 de euro a fost dată în Polonia unei companii care a permis accesul neautorizat la datele personale ale peste două milioane de persoane;
- la vecinii bulgari, o amendă de 2,6 milioane de euro a fost impusă unei autorități de stat care, din cauza lipsei unor măsuri adecvate de securitate a datelor, a făcut posibil accesul ilegal la datele a peste șase milioane de persoane, în urma unui atac cibernetic; tot în Bulgaria, autoritatea de protecția datelor a sancționat o bancă cu 511.000 de euro pentru accesul neautorizat la datele bancare ale peste 33.000 de consumatori (nume, cetățenie, coduri personale, adrese, copii ale actelor de identitate și date biometrice);
- autoritatea franceză a sancționat o companie de asigurări auto cu 180.000 de euro pentru că a permis accesarea neautorizată, chiar fără parolă, a multor conturi ale clienților săi; tot în Franța, o amendă de 400.000 de euro a fost impusă unei companii imobiliare pentru că a permis accesarea neautorizată, online, la mai multe tipuri de documente ale clienților săi (de la copii ale actelor de identitate, până la acte de divorț);
- în Slovacia, o amendă de 50.000 de euro a fost impusă Agenției de Asigurări Sociale pentru că cererile pentru beneficii sociale trimise prin poștă unor entități străine au fost pierdute și, odată cu ele, numeroase date personale.
În România, cea mai recentă sancțiune pentru încălcarea articolului 32 din GDPR a fost impusă unui important jucător din piața de curierat din țară: 11.000 de euro pentru pierderea și accesul neautorizat la date personale (peste o mie de persoane afectate). Printre datele implicate în incident s-au numărat prenumele și numele, codul numeric personal, seria și numărul actului de identitate, numărul de card bancar sau numărul de cont bancar.
Pe încălcarea aceluiași articol s-au mai dat o amendă de 3.000 de euro pentru accesul neautorizat la datele personale ale clienților unei companii (nume, e-mail, număr de telefon și detalii ale tranzacțiilor), una de 15.000 de euro, dată unei companii care a permis ca date personale a 46 de clienți să ajungă în presă și o amendă ceva mai mare, de 150.000 de euro, aplicată unei bănci - în acest caz, încălcarea a vizat modul în care angajații băncii s-au decis să prelucreze "de capul lor" date personale și să facă interogări în Biroul de Credit la cererea angajaților unei alte instituții de creditare, vizată și ea de o sancțiune în același context - 20.000 de euro.
Dimensiunea sancțiunii, în contextul GDPR, cu atât mai mult cu cât vorbim de o marjă de stabilire a amenzii foarte ridicată (4% din cifra de afaceri), depinde de mulți factori, inclusiv acela al numărului persoanelor afectate de un incident de securitate, precum și de conduita firmei (dacă și-a anunțat rapid persoanele afectate, dacă a raportat incidentul la timp la Autoritate). Cu toate acestea, sancțiunea, fie că vorbim de GDPR sau de un alt domeniu de aplicare, are, în mod cert, un rol secundar: acela de a forța prevenția prin contraexemplu. O sancțiune subdimensionată poate transmite însă un semnal nedorit, acela că fapta nu e suficient de gravă, că consecințele sale nu sunt suficient de importante, iar în contextul unui raport costuri de securitate versus consecințe ale neimplementării ar putea să ducă la înclinarea balanței în defavoarea celor ale căror date personale sunt prelucrate.
"(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3) Aderarea la un cod de conduită aprobat, menționat la articolul 40, sau la un mecanism de certificare aprobat, menționat la articolul 42, poate fi utilizată ca element prin care să se demonstreze îndeplinirea cerințelor prevăzute la alineatul (1) din prezentul articol.
(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern", prevede articolul 32 din GDPR.