Autoritatea a pus accent pe îndrumarea operatorilor, nu pe amenzi
Cifrele prezentate în comunicat confirmă faptul că autoritatea de supraveghere a pus accentul în primul an de implementare GDPR „pe îndrumarea operatorilor în vederea asigurării unei conformări adecvate la noile reguli de protecția datelor”.
ANSPDCP a derulat o activitate complexă în aplicarea normelor GDPR, primind 5260 de plângeri și sesizări. Multe au avut ca obiect primirea de mesaje comerciale nesolicitate, dezvăluirea de date personale pe Internet, încălcarea principiilor de prelucrare a datelor cu caracter personal în legătură cu prelucrarea datelor în sistemul bancar.
Investigațiile din oficiu în număr aproape egal cu investigațiile la plângere
În ceea ce privește investigațiile derulate de către ANSPDCP, cifrele confirmă atât interesul ridicat al persoanelor vizate, cât și al autorității. Desfășurarea de investigații a avut loc ca urmare a formulării de plângeri de către persoane vizate sau din oficiu, în măsură aproape egală – 485 investigații din oficiu față de 496 investigații la plângere. Totodată, interesant ar fi de identificat care ar fi proporția operatorilor entități de drept privat vs. autorități publice între cei care au făcut obiectul procedurilor în fața ANSPDCP.
Astfel cum menționam într-un material anterior, este foarte important de cunoscut faptul că ANSPDCP are posibilitatea legală de a declanșa investigații din oficiu, independent de depunerea unei plângeri de către o persoană vizată și pot fi inițiate, printre altele, pentru a verifica informații primite de la alte autorități sau din alte surse (mass-media, internet).
Rezultatele investigațiilor
Una dintre principalele griji ale societăților și tema foarte dezbătută constă în aplicarea unor amenzi semnificative pentru nerespectarea normele GDPR. Deși autoritatea a derulat aproape 1000 de investigații, nu rezultă că s-ar fi aplicat vreo amendă, ci doar 23 de avertismente și 57 de măsuri corective.
De altfel, aceasta pare a fi abordarea celor mai multe dintre autoritățile naționale de supraveghere în ceea ce privește primul an de aplicare a GDPR, deși există și excepții. Una dintre acestea este amenda de 50 mil. EUR, cea mai mare până la ora actuală, aplicată Google de autoritatea franceză pentru nerespectarea obligației de transparență față de utilizatori. Bouygues Telecom si Uber au fost de asemenea amendate de către autoritatea franceză.
Impactul GDPR este mai mare în unele țări decât în altele. La nivel local putem observa un interes progresiv în rândul operatorilor pentru asigurarea conformității GDPR, față de faptul că 9439 de responsabili cu protecția datelor au fost înregistrați la ANSPDCP. Cu toate acestea, menționăm, cu titlu de exemplu, că potrivit raportului autorității franceze de supraveghere 51.000 operatori și-au desemnat un DPO, între care 16.000 sunt autorități publice.
Mediul de afaceri – necesitate comună de identificare a aspectelor celor mai problematice care ar impune optimizarea procedurilor de prelucrare și care ar implica și riscuri majore de sancționare
Deși comunicatul ANSPDCP descrie în mod sintetic întreaga activitate a autorității după implementarea GDPR, apreciem că datele generice prezentate nu sunt de natură a crea o imagine mai clară cu privire la încălcările pe care autoritatea de supraveghere le consideră ca fiind cele mai grave, susceptibile de a sta la baza unei sancțiuni severe.
Sub acest aspect, în mediul de afaceri, din perspectiva operatorilor, se observă o necesitate comună de identificare a preocupărilor principale în materie, respectiv a aspectelor cele mai problematice care ar impune optimizarea procedurilor de prelucrare și care ar implica și riscuri majore de sancționare.