Momentul punerii în aplicare a Regulamentului UE nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), respectiv data de 25 mai 2018, a marcat un punct de cotitură pentru prelucrarea datelor cu caracter personal și protecția acestora.
Dacă după un an și jumătate de la punerea în aplicare a Regulamentului scriam despre greutățile întâmpinate de către responsabilul cu protecția datelor respectiv că „o idee eronată a operatorilor este aceea că responsabilul trebuie să întocmească toată documentația și, în general, că, dacă au „Dosarul GDPR” sunt conformi, ignorând de multe ori implementarea măsurilor tehnice și organizatorice” apreciez astăzi, la aproape 5 ani de aplicare a Regulamentului că situația s-a îmbunătățit parțial pentru responsabilii cu protecția datelor în sensul că aceștia au mai multe surse de informare pentru a motiva recomandările făcute conducerii operatorilor de date dar, pe de altă parte, majoritatea sancțiunilor aplicate de către Autoritatea Națională de Supraveghere sunt în continuare aplicate pentru lipsa implementării de măsuri tehnice și organizatorice.
Apreciam în decembrie 2020, în urma amenzii aplicate Băncii Transilvania de către ANSPDCP că “angajații sunt cea mai mare vulnerabilitate și că anul 2021 ar trebui să fie despre conștientizare și instruiri repetate ale personalului.” Ulterior, prin hotărârile instanțelor din România, s-a confirmat această obligație a operatorilor de date personale de a instrui personalul dar și de a verifica nivelul cunoștințelor asimilate de către angajați în urma instruirilor. Astfel, Tribunalul Cluj precizează “pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat că nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunoștințe și informații.”
Deși la o primă vedere s-ar părea că subiectul alegerii corecte a temeiului de prelucrare a datelor cu caracter personal este depășit și mai ales lămurit, în continuare consimțământul este ales eronat în locul celorlalte temeiuri. Am scris în anul 2020 pe larg în articolul „De unde provine falsa supremație a consimțământului ca temei legal al prelucrarii datelor personale” despre motivele alegerii eronate a acestui temei și despre resursele pe care le aveam deja la acea dată pentru a identifica corect temeiul prelucrării și concluzionam atunci că “Regulamentul European nr. 679/2016 a schimbat fundamental paradigma ierarhiei din Directiva 95/46/EC și din Legea 677/2001 cu care eram obișnuiți, înlocuind-o cu egalitatea între temeiurile legale de prelucrare. Mai mult, consimțământul ar trebui utilizat ca temei legal doar după ce s-a verificat imposibilitatea aplicării celorlalte 5 temeiuri juridice de prelucrare a datelor personale.”
Subiectul alegerii corecte a temeiului de prelucrare a datelor cu caracter personal în condițiile respectării articolului 6 din Regulamentul UE nr. 679/2016 este în continuare o piatră de încercare pentru operatorii din întreaga Uniune Europeană.
Față de vechea legislație în materia protecției datelor personale, GDPR a uniformizat normele europene, ușurând munca operatorilor cu activități în mai multe țări europene prin introducerea acelorași reguli de prelucrare și protecție a datelor în toate statele membre.
Sancțiunile aduse de nerespectarea GDPR nu ar fi fost posibile în baza Directivei 95/46/EC și pare că autoritățile de supraveghere europene au depășit etapa 2018-2019 când sancțiunile erau puține ca număr iar valorile acestora reduse ca valoare. Menționez aici amenda record primită de către Amazon în valoare de 746.000.000 euro pentru nerespectarea principiilor de protecție a datelor personale, nenumăratele amenzi aplicate Meta Platforms, Facebook, Google, Whatsapp. În ultimii 2 ani numai platformele Meta au fost amendate cu peste 1,3 miliarde de euro iar primele 5 amenzi ca valoare aplicate în Uniunea Europeană depășesc 2 miliarde de euro.
Drepturile conferite persoanei vizate prin GDPR au înclinat spectaculos balanța de putere, doar dacă ne gândim câte s-au schimbat de la punerea în aplicare a Regulamentului în urma sesizărilor unor persoane fizice vizate: invalidarea Deciziei Privacy shield, conformitatea cookie banners-urilor, o companie de mărimea Meta forțată să-și schimbe temeiul de prelucrare a datelor.
Astăzi, ianuarie 2023, apreciez că rolul Responsabilului cu protecția datelor este mult mai complex decat în mai 2018. Acesta trebuie să respecte Regulamentul, să fie la curent cu hotărârile CJUE în materia protecției datelor personale, să urmărească recomandările și ghidurile CEPD, să studieze drafturile acestor documente, să verifice permanent existența unor decizii de adecvare pentru țările unde operatorul face transferuri de date, să țină cont de transpunerile directivelor NIS dacă activează în sectoarele vizate dar și de sancțiunile aplicate de către autoritățile naționale de supraveghere șamd. În anul 2023 confidențialitatea și prelucrarea de date cu caracter personal implică mult mai mult decât simpla implementare a Regulamentului UE nr. 679/2016 (GDPR).
Activitatea specialiștilor în confidențialitate şi protecția datelor, a consultanților care oferă servicii de implementare a GDPR sau a responsabililor cu protecția datelor (DPO) se axează astăzi pe un set de norme care are la bază GDPR dar care s-a completat recent cu Regulamentul UE privind guvernanța datelor (DGA), Regulamentul UE privind serviciile digitale (DSA) şi Regulamentul UE privind piețele digitale (DMA).
Normele privind inteligența artificială (AI Act) și Actul privind datele (Data Act) se află sub consultări legislative la Bruxelles.
În lumina tuturor acestor noutăți legislative apreciez Responsabilul cu protecția datelor ca fiind o figură de bază în activitatea operatorilor de date cu caracter personal.
Regulamentul UE nr. 679/2016 (GDPR) a devenit un exemplu pentru toate legislațiile referitoare la protecția datelor cu caracter personal din lume, stabilind protecție suplimentară pentru datele personale ale persoanelor vizate, întărind drepturile existente și adaugând drepturi noi (ștergere, portabilitate) și a mutând controlul asupra datelor în mâna persoanelor vizate. Creșterea gradului de conștientizare a persoanelor a obligat, pe lângă dispozițiile GDPR, și companiile (sau o parte dintre acestea) să se conformeze. Pe scurt, Uniunea Europeană a setat tonul în materia confidențialității și a protecției datelor stabilind cum ar trebui să arate legislația în acest domeniu.