Posted by 
Deși nu există o centralizare a sancțiunilor la nivelul Uniunii Europene, cazuistica disponibilă este o sursă importantă de evaluare, analiză și prognoză în acest domeniu, cu impact direct asupra companiilor și a deciziilor autorităților de supraveghere. Fiecare decizie de sancționare conturează regimul juridic al datelor cu caracter personal raportat la realitatea unei tehnologii a informației care se autodepășește constant. GDPR în cifre Informațiile disponibile despre aplicarea GDPR, deși nu au o acuratețe ireproșabilă datorită dificultăților de colectare a datelor, pot fi analizate prin prisma statisticilor întocmite de organizațiile Uniunii Europene sau de companii private. Mai jos prezentăm două surse de informații care arată, în cifre, dinamica aplicării GDPR: Potrivit comunicatului European Data Protection Board din 22 mai 2019, la 1 an de la aplicare se înregistrau 281.088 de cazuri naționale (plângeri în baza GDPR). Dintre acestea 82.271 sunt breach notifications. 144.000 sunt plângeri din care: – 63% au fost soluționate. – 37% sunt în curs de soluționare Din statistică, se remarcă o creștere importantă a procedurilor inițiate de autoritățile de supraveghere începând cu ianuarie 2019, culminând cu luna aprilie 2019. Un raport al al DLA Piper dat publicității pe 6 februarie 2019 estimează că în primele 8 luni de la intrarea în vigoare a regulamentului au fost înregistrate 59.000 de notificări privind încălcarea securității datelor și au fost raportate 91 de sancțiuni aplicate în baza GDPR. Cele mai multe notificări sunt înregistrate în Olanda, Germania și Marea Britanie.
TOP 5 amenzi în baza GDPR
Dacă până în februarie 2019 consideram amenda acordată Google inc. un record (50,000,000 euro), luna iulie a anului 2019 a adus în atenție două cazuri în care amenzile propuse unor companii cunoscute au depășit cu mult suma precedentă. Aceasta vine să confirme validitatea statisticilor și a prognozelor efectuate în baza lor. (a se vedea comunicatul DLA Piper). Topul amenzilor disponibil mai jos sperăm să ofere o imagine clară asupra situației actuale: 1. MAREA BRITANIE – British Airways (204,600,000 euro) Cel mai mare cuantum al amenzii a fost înregistrat de curând în Marea Britanie. Information Commissioner (ICO) și-a arătat intenția de a aplica companiei British Airways o amendă de 204,600,000 euro (£183.39m) pentru încălcarea art. 32 din GDPR. Amenda nu este încă finală potrivit comunicatului ICO din 8 iulie 2019. Traficul de pe website-ul British Airways a fost redirecționat pe un website fals, datele a peste 500,000 de clienți fiind compromise. 2. MAREA BRITANIE – Marriott International, Inc (110,390,200 euro) Pe locul doi se află amenda aplicată tot de ICO companiei Marriott International, Inc în cuantum de 110,390,200 euro (£99 million) pentru încălcarea aceluiași art. 32. Amenda nu este încă finală potrivit comunicatului ICO din 9 iulie 2019. În cazul Marriott o breșă de securitate a condus expunerea a 339 de milioane de înscrieri de clienți. 3. FRANȚA – Google inc. (50,000,000 euro) A treia amendă în cuantum de 50,000,000 euro a fost aplicată în Franța de French Data Protection Authority (CNIL) companiei Google inc. pentru încălcarea art. 13 GDPR, art. 14 GDPR, art. 6 GDPR, art. 4 GDPR, art. 5 GDPR, potrivit comunicatului CNIL din 21 ianuarie 2019. Google a fost acuzat de lipsă de transparență, furnizarea de informații inadecvate și lipsa unui consimțământ valabil în ceea ce privește personalizarea anunțurilor. 4. OLANDA – Haga Hospital (460,000 euro) În Olanda, Dutch Supervisory Authority for Data Protection (AP) a sancționat Haga Hospital cu o amendă în cuantum de 460,000 euro pentru încălcarea art. 32 GDPR, potrivit comunicatului din data de 16 iulie 2019. Haga Hospital a fost amendat pentru nerespectarea măsurilor de securitate și siguranță privind accesul la dosarele pacienților. 5. FRANȚA – Sergic, PORTUGALIA – Centro Hospitalar Barreiro Montijo (400,000 de euro) – În Franța, CNIL a aplicat o amendă de 400,000 de euro companiei Sergic pentru încălcarea articolelor 5 și 32 GDPR. Sergic a fost acuzat de lipsa măsurilor de securitate a datelor și nerespectarea duratei de stocare. – Cu aceeași sumă a fost amendat un spital public de către Portuguese Data Protection Authority (CNPD) pentru încălcarea articolelor 5 și 32 GDPR. Centro Hospitalar Barreiro Montijo a fost acuzat de acces neautorizat la date sensibile și lipsa procedurilor interne care să asigure protecția datelor. INDUSTRII – COMPANII Reacția opiniei publice este cu atât mai mare cu cât companiile implicate fac parte dintre principalii jucători ai pieței. Cazuistica în care sunt implicate nume mari precum Google, Facebook (sub vechea reglementare), British Airways sau Marriott International oferă indicii privind stadiul actual al securității datelor, plecând de la premiza că forța financiară a companiei îi permite să implementeze cele mai eficiente măsuri. Realitatea arată însă că există dificultăți de interpretare a normelor și problemele pot apărea în cele mai variate domenii. Prezentarea de mai jos oferă o imagine de ansamblu a industriilor afectate (numele companiilor sunt prezentate în funcție de disponibilitatea datelor): Financiar-Bancar: România (Unicredit Bank SA), Ungaria (bancă, colector de debite), Bulgaria (bănci), Republica Cehă (agenție brokeraj), Spania (colector de debite) Medical: Olanda (Haga Hospital), Portugalia (Centro Hospitalar Barreiro Montijo), Cipru (spital), Bulgaria (centru medical) Autorități: Norvegia (Bergen Municipality), Malta (Lands Authority), Ungaria (Primărie), Belgia (Primar), Germania (Ofițer de poliție) Hoteluri: Marea Britanie (Marriott International, Inc); România (World Trade Center Bucharest SA) Telecomunicații: Spania (Vodafone Espagna), Bulgaria (furnizor de servicii de telecomunicații) Tehnologie, software: Franța (Google inc.), Danermarca (IDdesign A/S) Partide politice: Italia (Italian political party Movimento 5 Stelle), Ungaria (partid politic) Sport: Spania (Ligă profesionistă de fotbal – LaLiga), Polonia (Asociație sportivă) Media: Germania (N26), Cipru (ziar) Companii de aviație: Marea Britanie (British Airways) Real estate: Franța (Sergic) Energie: Spania (Endesa) Fără a avea pretenția de a fi exhaustivă lista de mai sus indică domeniile sensibile și confirmă faptul că protecția datelor devine o problemă care trebuie să intereseze serios orice companie sau persoană privată, în exercitarea unei funcții sau nu (în acest sens sunt cazurile din Austria: utilizarea camerelor video la domiciliu sau pe mașina personală).
467