Dincolo de o constientizare a importantei respectarii si asigurarii drepturilor persoanelor vizate, interesul marit fata de prevederile GDPR a fost creat de sanctiunile usturatoare pe care noua lege le prevede. Concret, in functie de obligatiile incalcate si de gravitatea situatiei, companiile risca amenzi administrative de pana la 20 de milioane euro sau de pana la 4% din cifra de afaceri mondiala totala, anuala, corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare dintre acestea.
In plus, odata cu campaniile de informare a cetatenilor si cu conturarea unei noi arii de practica in materia litigiilor creste proportional si riscul reputational. Dupa cele impotriva bancilor, nu excludem un nou val de procese colective, de aceasta data industriile tintite putand fi multiple precum: societatile de asigurare, companiile farmaceutice, spitale si clinici medicale, agentii de marketing, media, agentii de turism. Sunt vizate practic toate companiile care au portofolii mari de clienti persoane fizice, inclusiv supermarketuri si benzinarii (prin cardurile de fidelitate / clienti).
GDPR aduce o serie de elemente de noutate, dintre care cele mai insemnate ar fi:
- obligativitatea numirii, in anumite conditii, a unui responsabil cu protectia datelor la nivel de companie sau grup care, poate deloc surprinzator, va actiona in fapt mai mult ca un reprezentant ”in teritoriu” al autoritatii, avand rolul de a se asigura ca toate procesele si procedurile operatorului sunt conforme cu legea si de a notifica autoritatea competenta in termen de 72 de ore atunci cand are loc o incalcare a securitatii datelor cu caracter personal;
- redefinirea unor drepturi si definirea unor drepturi noi pentru persoanele vizate (de exemplu, dreptul de a fi uitat, dreptul la portabilitatea datelor);
- conditii mult mai stricte pentru o procesare legala in baza consimtamantului persoanei vizate;
- o mai mare raspundere in sarcina persoanelor imputernicite sa proceseze date cu caracter personal in numele operatorului;
- desfasurarea de evaluari de impact in cazul in care operatorul: i) prelucreaza automat date cu caracter personal si care produce efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa (vorbim aici in special de profilarea clientilor), ii) prelucreaza pe scara larga anumite categorii speciale de date (cel mai des intalnit exemplu fiind datele privind sanatatea, datele genetice si biometrice) sau date cu caracter personal privind condamnari penale si infractiuni sau iii) monitorizeaza sistematic pe scara larga o zona accesibila publicului.
Nu putem ignora impactul masiv pe care dezvoltarea tehnologiei - sub toate aspectele sale - il are asupra relatiilor sociale la nivel global, iar metadatele sunt o realitate de ani buni. In acest context, GDPR impune in primul rand schimbarea mentalitatii privind modul in care intelegem sa utilizam datele cu caracter personal si sa respectam si sa protejam dreptul la viata privata. Asa cum a fost nevoie de o educare a pietei in domeniul concurentei, este nevoie ca atat operatorii de date, cat si persoanele vizate sa isi insuseasca, intr-un mod adaptat fiecaruia, reglementarile GDPR si sa devina mai responsabili si mai constienti de obligatiile si drepturile lor. In acest moment, nu putem anticipa foarte clar cat de pro-activa va fi autoritatea de supraveghere in a doua jumatate a anului dar, cel putin sub aspectul sanctiunilor si masurilor coercitive, care pot duce chiar la suspendarea sau incetarea activitatii unei companii, GDPR merita o atentie deosebita.