„Am observat o creştere a gradului de conştientizare asupra aspectelor legate de protecţia datelor, atât la nivelul companiilor, dar şi la nivelul cetăţenilor. Acest lucru a determinat şi o atenţie sporită din partea operatorilor economici care prelucrează date, în sensul de a revizui politicile existente şi a de investi în programe de conformitate, pentru a se asigura că modul în care îşi desfăşoară activitatea corespunde cerinţelor legislaţiei în domeniu”, descrie Raluca Puşcaş, partener şi head of data protection în cadrul Filip & Company, evoluţia asupra GDPR în ultimii ani. Ea observă că acesta este un proces continuu, în care operatorii economici au parcurs etape importante, cum ar fi, de pildă, transparentizarea operaţiunilor de prelucrare a datelor.

De la la aplicarea GDPR (25 mai 2018) şi până în prezent, România a ajuns pe locul doi în UE la numărul total de amenzi aplicate (31 de amenzi în România, în valoare totală de aproximativ 517.000 de euro), pe locul I fiind Spania, cu 96 de amenzi, urmată apoi de Ungaria (cu 28 de amenzi), Germania (26 de amenzi), Bulgaria (20), potrivit datelor publicate pe platforma enforcementtracker.com, citate de specialist. Potrivit aceleiaşi surse însă, ca valoare totală a amenzilor, pe primele locuri sunt Marea Britanie, care a ajuns la o valoare totală a amenzilor de peste 300 de milioane de euro (unele dintre acestea fără o decizie definitivă), Franţa (cu aproximativ 51 milioane de euro), Italia (aproximativ 39 de milioane de euro), Germania (aproximativ 26 de milioane de euro), Austria (aproximativ 18 milioane de euro).

Anul trecut, românii au adresat 5.808 de plângeri, iar motivele cele mai frecvente ale acestora se leagă de dezvăluirea datelor cu caracter personal fără consimţământul persoanelor vizate, încălcarea drepturilor şi a principiilor prevăzute de GDPR, primirea de mesaje comerciale nesolicitate,  nerespectarea condiţiilor privind consimţământul în mediul online sau încălcarea măsurilor de securitate şi confidenţialitate. Au existat de asemenea şi alte sesizări şi notificări privind incidente de securitate, observă specialista de la Filip & Co.

Cea mare mare amendă aplicată unui operator din România a ajuns la 150.000 de euro şi a fost aplicată unei bănci în octombrie 2019 pentru neaplicarea măsurilor tehnice şi organizatorice adecvate pentru a asigura securitatea datelor. La polul opus, cea mai mică amendă a fost de 500 de euro şi a fost aplicată unei asociaţii de proprietari pentru utilizarea unui sistem de supraveghere video fără informarea adecvată şi fără a aplica măsurile de securitate necesare. 

Atât în România, cât şi în celelalte state membre ale Uniunii Europene, au fost aplicate amenzi pentru încălcări ale legislaţiei privind protecţia datelor, iar cele mai frecvente motive pentru aplicarea sancţiunilor includ, potrivit Ralucăi Puşcaş: neimplementarea măsurilor tehnice şi organizatorice adecvate care să asigure securitatea datelor cu caracter personal (fapt care a determinat divulgarea sau accesul neautorizat al datelor de către terţi), lipsa sau nevalabilitatea temeiului legal al prelucrării (de exemplu, nu a existat un consimţământ informat sau valabil exprimat pentru transmiterea unor mesaje comerciale, ori au fost transmise astfel de mesaje ulterior dezabonării de către persoana vizată, utilizarea unor căsuţe prebifate de acordare a consimţământului), nerespectarea drepturilor persoanelor vizate (de exemplu autorităţile de supraveghere au identificat situaţii în care operatorii nu au dat curs solicitărilor persoanelor vizate privind accesul de date) etc. 

Raluca Puşcaş observă că există mai multe paliere asupra cărora regulile de protecţie a datelor au un impact, printre care transmiterea mesajelor de marketing (prin e-mail sau SMS), dar şi în utilizarea social media, a studiilor de satisfacţie a consumatorilor, programelor de loialitate, instrumentelor de monitorizarea sau prelucrare automată, care pot folosi şi construirea unor profiluri ale consumatorilor sau campaniilor de marketing în diverse forme. „Mesajul cheie în această privinţă este că GDPR nu trebuie privit ca un obstacol sau interdicţie de a folosi aceste instrumente, ci ar trebui ca cerinţele de privacy să fie analizate de la început, de la momentul designului strategiei de marketing sau campaniei respective, astfel încât să poată fi găsite soluţiile corespunzătoare.”

Cum poate şti un business dacă este sau nu aliniat standardelor impuse de GDPR? „Ar trebui să pornim de la principiul conform căruia protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Orice consumator sau angajat al unei companii doreşte să ştie că datele sale sunt protejate conform legii şi că drepturile sale sunt respectate. Derivând din aceste principii, conformitatea cu cerinţele GDPR este de fapt un proces continuu, care trebuie inclus în activitatea zilnică a companiei”, descrie Raluca Puşcaş modul în care orice business ar trebui să se poziţioneze faţă de alinierea la standardele impuse de GDPR.

Cel mai recent motiv pentru care GDPR-ul a revenit din nou în atenţia publicului larg este dat de contextul stării de alertă, în care proprietarii de terase sunt obligaţi să deţină un registru cu evidenţa clienţilor care fac rezervare, context în care operatorii de restaurante trebuie să fie atenţi la potenţialele amenzi pe care le-ar putea aduce standardele GDPR. În acest sens, Raluca Puşcaş îi sfătuieşte să nu prelucreze mai multe date decât sunt necesare pentru realizarea scopului avut în vedere, datele trebuie păstrate strict pentru acest scop şi stocate şi prelucrate în condiţii de siguranţă. Instruirea angajaţilor este esenţială, fiindcă, potrivit avocatului deseori expunerea operatorilor la amenzi conform GDPR a avut la bază neglijenţa sau lipsa de conştientizare din partea angajaţilor. Stocarea datelor trebuie făcută doar pentru perioada de timp necesară îndeplinirii acestui scop şi, nu în ultimul rând, clienţii trebuie prelucraţi cu privire la această prelucrare de date, prin comunicarea unei note de informare conform cerinţelor GDPR. 

Raluca Puşcaş subliniază şi oportunităţile aduse de acest regulament european, considerat deseori o piedică în desfăşurarea activităţilor operatorilor economici: „Înainte de GDPR, unele activităţi de prelucrare de date se desfăşurau în mod netransparent, de multe ori fără ca persoana vizată să ştie în ce scop sunt prelucrate datele sau ce terţe părţi au acces la ele. GDPR a restabilit controlul persoanelor asupra datelor. Prin urmare, respectarea acestor cerinţe de către companii este importantă în stabilirea unei relaţii de încredere cu clienţii lor, ceea ce facilitează dezvoltarea de noi produse şi servicii, folosind tehnologii inovatoare şi care se bazează în mare măsură pe prelucrări de date.”