De la multinaționale la mari companii guvernamentale, de la hoteluri la asociații de locatari, de la primari la polițiști, mulți operatori de date personale au luat amenzi. Apărute ca ”Bau-Baul” GDPR-ului și anunțate oarecum timid în a doua jumătate a anului 2018, amenzile acordate de autoritățile de supraveghere din țările Uniunii Europene au devenit o realitate. Circa 135 de amenzi au fost anunțate până la sfârșitul lui 2019, în valoare totală de aproximativ 418 milioane de Euro (de reținut că nu există date complete, unele autorități nu au anunțat valoarea și numele operatorului).

Încă din mai 2016, când s-a anunțat aprobarea GDPR, cea mai comentată noutate a fost cea legată de mărimea amenzilor. Pentru marii operatori, multinaționalele care m-ai avuseseră de furcă cu prevederile vechii Directive europene, nu părea o amenințare foarte mare, fiind oarecum obișnuiți să aloce o parte din profit pentru plata unor penalități iminente. Drama se anunța pentru firmele mici și mijlocii, pentru care plata a 2%-4% din cifra de afaceri era o mare amenințare pentru business. Încă de la început au fost ”prooroci” care anticipau probleme ”de viață și de moarte” pentru companiile care nu dispun de abilitatea și flexibilitatea de a se adapta la cerințele de conformitate impuse de GDPR.

Nu știm dacă chiar au apărut astfel de situații, cert este că amenzile stabilite de autoritățile de supraveghere nu numai că au devenit o realitate, dar, de cele mai multe ori, se dovedesc și deosebit de intransingente. După un an și jumătate de la anunțarea primei sancțiuni, putem să facem deja o analiză în care să vedem care au fost cele mai mari amenzi, cam care este repartiția acestora pe țări, care sunt cele mai frecvente motive pentru care s-au dat și ce articole GDPR sunt cele mai frecvent nerespectate.

Record de amenzi în ultimul trimestru din 2019

Prima amendă a fost de 400 000 Euro și a fost anunțată în iulie 2018 de autoritatea de supraveghere din Portugalia (CNPD) care a penalizat un spital pentru insuficiente măsuri tehnice și organizatorice de asigurare a securității datelor personale (art.5 și art.32). Începuturile au fost destul de timide, cu o ritmicitatea scăzută, până la sfârșitul anului 2018 fiind acordate încă opt amenzi cu o  valoare totală ceva mai mare de 36 000 de Euro. Deși mulți și-au pierdut interesul pentru GDPR, văzând că nu se întâmplă nimic serios, era de fapt calmul de dinaintea furtunii.

Prin amenda de 50 de milioane de Euro cu care a fost penalizat Google de către autoritatea franceză (CNIL) în ianuarie 2019, se anunța un an în care, în sfârșit, părea că începe să se întâmple ceva. Și s-a întâmplat… Din februarie până în iunie 2019 au mai fost anunțate 42 amenzi, în valoare totală de peste 2 milioane și jumătate de Euro. Iulie 2019 deține până acum recordul de luna cu cea mai mare valoare a amenzilor, peste 315 milioane de euro… Cea mai mare amendă anunțată după intrarea în vigoare a GDPR este cea de cca 204, 6 milioane Euro (183 milioane lire) cu care autoritatea din Marea Britanie (ICO) a decis să penalizeze British Airlines pentru o breșă de securitate care a afectat datele personale a peste 500 000 de pasageri. Valoarea anunțată a penalității ar reprezenta 1.5% din cifra de afaceri a operatorului aerian în anul 2017. Tot ICO a venit la numai o zi cu un alt anunț bombă, ce viza penalizarea lanțului hotelier Marriott Internațional cu peste 110 milioane Euro (99 milioane lire), iar cauza tot o breșă de securitate care ar fi afectat datele a peste 339 milioane de clienți, dintre care peste 7 milioane cu cetățenie britanică.

Deși amenzi de asemenea amploare nu au mai fost anunțate, ritmicitatea penalităților a început să crească progresiv, ultimul trimestru al anului 2019 încheindu-se cu un bilanț de 62 de amenzi (valoare totală de peste 45 milioane Euro), comparabil cu numărul total al amenzilor anunțate în perioada iulie 2018 – septembrie 2019.

Conform unei evidențe publicate pe site-ul enforcementtracker.com, numărul total al amenzilor anunțate în perioada iulie 2018 – decembrie 2019 este de 135, iar valoarea cumulată de aproape 418 milioane de Euro. Dacă nu ținem cont de cele trei amenzi record prezentate mai sus (cca 365 milioane Euro), bilanțul perioadei discutate se rezumă la un număr de 132 de amenzi, în valoare totală de aproape 53 milioane de Euro. Rezonabil, am putea zice…

Cele mai severe autorități de supraveghere

E interesant de văzut  cum putem comenta repartiția acestor penalități pe țări. Din punctul de vedere al valorii amenzilor anunțate, după Marea Britanie, cele mai severe autorități de supraveghere s-au dovedit cele din Franța cu peste 51 milioane Euro (din 5 amenzi, unde penalitatea Google este predominantă), Germania (cca 24, 6 milioane Euro din 17 amenzi), Austria (18 milioane Euro din 8 amenzi), Bulgaria (cca 3,2 milioane Euro din 16 amenzi), Olanda (1,4 milioane Euro din 3 amenzi) și Spania (1,3 milioane Euro din 38 de amenzi).

În clasamentul care ia în considerare numărul de amenzi, pe primul loc se află Spania (38), urmată de Germania, România și Republica Cehă (fiecare cu 17 amenzi), Bulgaria (16) și Ungaria (14).

Mituri spulberate: amenzile nu ocolesc pe nimeni

Multe dintre părerile preconcepute din perioada de dinainte de intrarea în vigoare a GDPR au fost infirmate în urma apariției amenzilor. De multe ori am auzit comentarii de genul: ”amenzile GDPR nu sunt pentru noi, sunt pentru Facebook, Google și firmele mari, care oricum au de unde să plătească…”  S-a dovedit că nu e adevărat. Au primit amenzi firme mici și mijlocii, persoane fizice autorizate, asociații de locatari, primari și polițiști. O altă părere preconcepută: ”firmele de stat nu vor fi niciodată amendate” este contrazisă de cei câțiva operatori naționali, companii guvernamentale, partide politice, autorități publice locale sau unități de poliție care au primit penalizări.

Continuând analiza celor mai importante penalități anunțate în perioada selectată, după BA, Marriott și Google, clasamentul este urmat de Austrian Post (18 milioane Euro), Deutsche Wohnen (14,5 milioane Euro), 1&1 Telecom GmbH (9,5 milioane Euro) și Agenția Națională de Venituri (NAP) din Bulgaria (2,6 milioane Euro).

Care sunt cele mai invocate încălcări

Dar haideți să vedem și care sunt motivele cele mai des invocate de autoritățile de supraveghere pentru acordarea penalităților. Conform evidenței publicate de enforcementtracker.com, cele mai scumpe penalități s-au dat pentru:

• insuficiente măsuri tehnice și organizatorice pentru asigurarea securității informației (40 amenzi, valoare peste 332 milioane Euro)
• lipsa bazelor legale pentru procesarea datelor (58 amenzi, peste 69 milioane Euro)
• nerespectarea principiilor GDPR (22 amenzi, 15,7 milioane Euro)
• insuficienta respectare a drepturilor persoanelor vizate (20 amenzi, 790 mii Euro)
• insuficienta respectare a obligațiilor GDPR (11 amenzi, 535 mii Euro)
• nerespectarea obligațiilor legate de anunțarea breșelor (5 amenzi, 138 mii Euro)
• insuficienta cooperare cu autoritățile de supraveghere (5 amenzi, 15 mii Euro)
• încălcarea obligație de numire a unui DPO (o amendă, 10 mii Euro)

Care sunt cele mai nerespectate articole

Mergând mai departe cu profunzimea analizei, e interesant să vedem care sunt articolele din GDPR cel mai des invocate ca motiv de nerespectare a conformității. Trebuie ținut cont de faptul că unei penalități îi pot fi asociate mai multe articole încălcate.

Deloc surprinzător este faptul că analiza relevă că cel mai des încălcat este art.5, referitor la nerespectarea principiilor GDPR (diferite alineate) (66 amenzi, valoare peste 85 milioane Euro).

Greu de anticipat este faptul că multe dintre amenzile acordate au avut în vedere încălcarea art.6, adică nerespectarea legalității prelucrării (54 amenzi, valoare 69,6 milioane Euro)

În fine, așa cum era de așteptat, o motivare de bază este nerespectarea condițiilor tehnice și organizatorice adecvate pentru securitatea prelucrării (45 amenzi, 332 milioane Euro)

Informarea persoanei vizate, drepturile de acces și transparența (articolele 13, 15, respectiv 12) sunt alte motive importante pentru care operatorii au fost penalizați

De notat că neanunțarea breșelor de securitate (art.33) a fost sancționată în 6 cazuri, nerespectarea dreptului la ștergerea datelor personale (art.17) în 5 cazuri, respectiv nerespectarea condițiilor de securitate by default și by design în alte 5 cazuri.

Repartiția amenzilor pe industrii

Un alt subiect interesant este identificarea industriilor cu cea mai mare expunere la rigorile de neconformitate GDPR. Pentru aceasta am făcut o analiză statistică a operatorilor care au fost sancționați, în funcție de principalul domeniu de activitate.

Ținând cont de faptul că cele mai mari amenzi acordate pot influența analiza din punct de vedere al valorii sancțiunilor, am preferat o eșalonare a industriilor de care aparțin operatorii amendați în funcție de numărul sancțiunilor. Așa cum se vede din figura de mai sus, domeniile cele mai afectate sunt telecomunicațiile, financiar (bănci, instituții de credite) și cel de sănătate (spitale, clinici).

Alte domenii destul de expuse la sancțiuni, prin volumul datelor personale prelucrate,  sunt turismul, utilitățile și asigurările. Lista domeniilor de activitate expuse e întregită de transporturi și imobiliare.

Interesant este că doar două companii din IT au fost amendate, una fiind Google, ceea ce ne face să sperăm că cel puțin în acest domeniu preocupările de menținere a conformității au început să fie mai serioase.

O mențiune specială pentru zona guvernamentală care s-a remarcat prin 4 sancțiuni acordate, ce însumează peste 2,6 milioane de Euro. Ce comentariu putem face aici? În primul rând că nimeni nu este imun, iar în al doilea că sunt foarte multe instituții deosebit de expuse care au fost supuse unor anchete, dar au scăpat doar cu avertismente.

Contradicții legate de amenzile acordate în România

După cum se vede din statistici, autoritatea de supraveghere din România s-a remarcat la nivel european printr-un număr destul de mare de sancțiuni, în perioada studiată (iulie 2018 – decembrie 2019) fiind anunțate 17 amenzi în valoare totală de aproape 455 mii euro, ceea ce o poziționează pe locul 2-3 într-o ierarhie europeană, la egalitate cu Germania.

Nu vreau să comentez aici cauzele individuale pentru care au fost acordate aceste sancțiuni și nici controversele generate pe marginea acestora. Important este să vedem că mulți dintre operatorii de date sancționați reprezintă companii care au fost obligate să respecte prevederile legii 677/ 2001, fiind anterior înregistrate în evidența națională a operatorilor autorizați gestionată de ANSPDCP. De ce s-a ajuns la astfel de situații? Cum se poate întâmpla ca multinaționalele să nu țină cont de niște reguli tehnice și de organizare elementare, în condițiile în care dispun de toate resursele necesare pentru asigurarea unui nivel optim de conformitate? La asta e greu de răspuns. Cert este că aici apare o neconcordanță între un nivel de conformitate teoretică, asigurată prin dosare și documente, și realitatea din cadrul organizațiilor, unde e clar că există carențe reale în aplicarea unor principii elementare de prevenire, transparență, asigurarea drepturilor și respectarea obligațiilor de informare a persoanei vizate. Cum putem explica oare faptul că 5 dintre cele mai mari amenzi din România, în valoare de 382 mii de euro s-au dat unor bănci internaționale care în mod normal dispun de toate resursele pentru asigurarea și menținerea conformității? Încă o dată se dovedește că cel mai grei lucru este demonstrarea acestei conformități.

Referitor la motivele pentru care s-au dat sancțiunile din România, 9 dintre cele 17 amenzi s-au dat pentru nerespectarea art.32 referitor la condițiile tehnice și organizatorice adecvate pentru asigurarea securității datelor. Oarecum neașteptat este faptul că trei amenzi au fost date  pentru nerespectarea art.58 legat de cooperarea deficitară cu autoritatea de supraveghere, ceea ce confirmă o părere personală pe care am susținut-o public de câte ori am avut ocazia: companiile din România nu sunt pregătite pentru GDPR în primul rând din punct de vedere managerial. Daca cineva te bate pe umăr și îți spune că la tine în companie ceva nu este corect, este bine să asculți și să ai măcar curiozitatea să vezi despre ce e vorba…

Același comentariu rămâne valabil și pentru cazurile de nerespectare a art.13 – informarea corectă a persoanelor vizate, art.15 – dreptul la acces și art.17 – dreptul la ștergerea datelor. O companie care nu dă atenție principiilor GDPR și drepturilor elementare ale persoanelor vizate nu are cum să obțină și să-și demonstreze responsabilitatea și riscă pierderea credibilității pentru ecosistemul de business.

Încă o confirmare a tuturor celor comentate mai sus. La ora la care închid acest articol, Autoritatea din România a anunțat deja prima amendă din 2020 pentru un operator din zona financiară care deși a fost sesizat că trimite mesaje email pe adrese greșite, nu a făcut nimic pentru a remedia acest lucru, nu are mecanisme de verificare și validare a exactității datelor, nu este capabil să păstreze confidențialitatea datelor și nu a semnalat incidentul de securitate în termenul de 72 de ore de la luarea la cunoștință.