Dupa cum ar trebui sa se cunoasca, incepand cu data de 25 mai 2018, sunt aplicabile prevederile Regulamentului (UE) nr. 679/2016, al Parlamentului European si al Consiliului Uniunii Europene, privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor - GDPR). In principiu, avand in vedere dispozitiile Regulamentului General privind Protectia Datelor, toate persoanele fizice/juridice care au furnizat, prin mijloace online sau de alta natura, informatii unor alte companii, institutii etc. trebuie sa-si exprime consimtamantul (acordul) cu privire la prelucrarea acelor date cu caracter personal pe care le furnizeaza, in vederea accesarii serviciilor oferite de terti.
Din pacate, desi in acest moment GDPR a intrat in vigoare, fiind obligatoriu in toate tarile membre UE, potrivit unui studiu realizat de institutul independent Intrum, circa un sfert dintre reprezentantii companiilor din majoritatea tarilor europene nu au cunostinta despre prevederile noului Regulament General privind Protectia Datelor.
Regulamentul este obligatoriu pentru toate companiile, institutiile (publice sau private) si orice alte entitati care gestioneaza date privind cetatenii statelor membre UE. Toate companiile si organizatiile trebuie sa adopte GDPR pana la data de 25 mai 2018. Evident, in cazul in care pierd legatura cu clientii sau sunt reclamate de acestia ca nu au adoptat GDPR, agentii economici care deruleaza activitati cu caracter comercial vor inregistra pierderi. Insa, „cand au fost intrebati de impactul GDPR asupra platilor, 27% din managerii companiilor europene au raspuns ca «nu au auzit niciodata de GDPR». Statele in care managerii celor mai multe companii nu au cunostinta despre noul Regulament General privind Protectia Datelor sunt Grecia (69%), Bosnia si Hertegovina (67%), Slovenia (62%) si Norvegia (51%)”, se precizeaza in cercetarea Intrum.
Dupa cum relateaza The Guardian, multe companii cu activitate online, care au sediul social in afara Europei, pentru a nu fi penalizate (desi nu este tocmai clar cum functioneaza raspunderea juridica in asemenea situatii), au blocat deja accesul la serviciile lor pentru toti utilizatorii europeni, prin suspendarea acestora sau pur si simplu prin deconectare, in momentul accesarii de la posturi cu adrese IP din Europa. In principiu, acestea au recunoscut ca nu pot garanta „respectarea noilor reglementari europene”.
Nici autoritatile nu au o reactie potrivita fata de GDPR
Potrivit agentiei Reuters, nici autoritatile mandatate sa supravegheze in tarile europene aplicarea GDPR nu sunt in totalitate pregatite sa faca fata noilor cerinte. De vreme ce noul regulament (ce se vrea a fi cea mai mare reforma in domeniul legislatiei pentru protejarea datelor personale, din ultimele doua decenii) vizeaza mai ales companiile cu caracter comercial, ce opereaza cu volume mari de date ale consumatorilor, in tarile membre UE, trebuie sa existe foruri nationale sau regionale de reglementare si supraveghere. Astfel, nu cu mult timp in urma, reputata agentie Reuters a efectuat un sondaj la care au raspuns 24 de asemenea autoritati din Europa. Dintre acestea, 17 au declarat ca sunt complet nepregatite sa exercite actiuni de supraveghere sau penalizare, fie pentru ca nu au inca finantarea necesara, fie pentru ca le lipsesc atributiile necesare, conferite prin lege, sa-si desfasoare activitatea legata de GDPR. Multe dintre aceste institutii nu au capacitatea sa actioneze pentru ca, in tarile lor, forurile legislative sau puterea executiva nu au actualizat legile, pentru a se alinia la noile reglementari europene. Acest proces ar putea dura mai multe luni, dupa intrarea in vigoare a GDPR. In aceste conditii, autoritatile participante la sondajul Reuters arata, in general, ca vor reactiona la plangerile trimise de consumatori si vor investiga cazurile respective, in functie de importanta lor. Doar cateva din autoritatile (ce urmeaza sa fie) mandatate vor reactiona proactiv in a investiga daca firmele se conformeaza si in a aplica sanctiuni in cazul incalcarilor grave.
Raspunsurile date de autoritati sugereaza ca regimul de implementare a GDPR va fi mai slab decat cel referitor la legislatia antitrust, de care se ocupa Comisia Europeana in mod direct, afirma specialistii in materie de drept international ai agentiei Reuters.
Romania - controlata prin ANSPDCP
Formal, in Romania exista toate sansele ca, din punct de vedere al protectiei datelor consumatorilor, sa se aplice sanctiuni tuturor celor care nu s-au conformat si nu au adoptat prevederile GDPR. Putini cunosc, probabil, ca tara noastra n-a fost nevoita sa-si creeze de la zero o autoritate care sa supravegheze implementarea GDPR, in conditiile in care exista deja una pe care legiuitorul doar o va imputernici in acest sens. Este vorba despre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP, institutie infiintata in 2005, in baza Legii nr. 102/2005, tocmai in scopul de a-i ajuta (sau a-i obliga, dupa caz) pe operatorii romani de date sa tina pasul cu reglementarile europene in domeniu. Insa, in maniera autohtona, puterea legislativa (Parlamentul Romaniei) si cea executiva (Guvernul) au lasat pe ultima suta de metri adoptarea legii care sa stabileasca atributiile si conditiile in care urmeaza sa functioneze ANSPDCP, dupa intrarea in vigoare a GDPR. Mai precis, proiectul de modificare a Legii nr. 102/2005 a fost lansat de Ministerul Afacerilor Interne (MAI) in dezbatere publica la inceputul lunii septembrie 2017, la aproape un an si jumatate din momentul publicarii textului GDPR in Jurnalul Oficial al Uniunii Europene. Ulterior, in aprilie 2018, acest proiect a fost prezentat de Guvern Biroului Permanent al Camerei Deputatilor care, constientizand urgenta adoptarii sale, l-a pus rapid pe ordinea de zi si, in numai 15 zile, acesta a fost votat si trimis la Senat. La randul lor, senatorii au adoptat proiectul de lege dupa 25 de zile de la primirea acestuia, mai precis la 22 mai 2018. Stadiul actual permite contestarea la Curtea Constitutionala a Romaniei (CCR) a legii tot de catre Camera decizionala care a adoptat-o (Senatul), insa, pentru ca acest demers pare a fi absurd, varianta votata de ambele Camere parlamentare va fi trimisa la Presedintia Romaniei, pentru promulgare. Evident, presedintele poate decide fie sa o promulge, fie sa o conteste la CCR, fie sa o intoarca in Parlament. Intrucat nu este o lege cu caracter politic pronuntat si are impact (prin controale si amenzi) doar asupra agentilor economici, institutiilor etc. (care nu voteaza), cel mai probabil, presedintele va promulga actul normativ in forma adoptata de Parlament.
Dupa ce actul normativ care modifica prevederile Legii nr. 102/2015 va intra in vigoare (ca urmare a publicarii in Monitorul Oficial), ANSPDCP va putea incepe sa controleze modul in care operatorii de date (institutii sau companii) au implementat prevederile GDPR. Aceste controale se vor face insa doar in prezenta operatorului verificat si numai intre orele 8:00-18:00 (in afara cazului in care operatorul consimte in scris ca verificarile sa continue si in afara acestor ore). In timpul acestor controale, inspectorii cu atributie de control ai ANSPDCP pot constata nereguli in respectarea GDPR, pot dispune remedierea lor, dar, in plus, pot da amenzi care - in functie de anvergura prelucrarii datelor si de gravitatea abaterii - pot ajunge pana la 20 de milioane de euro sau 4% din cifra de afaceri a companiei.
Legea care permite sanctionarea institutiilor de stat este inca in faza de avizare, la Senat. Daca aceasta va fi adoptata de senatori in forma in care a trecut de Camera Deputatilor, institutiile statului ce nu respecta GDPR vor putea fi penalizate cu amenzi maxime de 100.000 de lei si, cu titlu exceptional doar, risca sanctiuni de cel mult 200.000 de lei.
Cum se vor face verificarile si cum se vor da amenzile ramane de vazut, pentru ca, potrivit MAI (in subordinea caruia se afla ANSPDCP) autoritatea romana de supraveghere are momentan 50 de posturi, dintre care unele sunt vacante, dar, dupa ce noua lege de functionare a institutiei va intra in vigoare, numarul de posturi va creste la 85.
La randul sau, institutia recunoaste ca are nevoie de personal si de fonduri, subliniind ca „noua reforma (europeana) a cadrului normativ in domeniu implica, pe termen scurt, pentru ANSPDCP, o evaluare complexa a instrumentelor specifice asigurarii protectiei datelor personale, in scopul adaptarii cadrului normativ national si pregatirii institutionale pentru aplicarea noilor reglementari europene, inclusiv sub aspectul realizarii unei cooperarii eficiente cu Comitetul European pentru Protectia Datelor si cu celelalte autoritati in domeniu din Uniunea Europeana. Astfel, consolidarea capacitatii administrative a ANSPDCP reprezinta o prioritate si necesita alocarea unor resurse materiale, financiare si umane adecvate exercitarii noilor noastre atributii specifice, pentru efectiva aplicare a standardelor Uniunii Europene continute in noile reglementari adoptate”. Informatii suplimentare, la www.dataprotection.ro, iar pentru a descarca legea de functionare a ANSPDCP, ce va fi trimisa la presedinte pentru promulgare, click aici!