Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat de curând un operator de date cu o amendă în valoare de aproximativ 3000 Euro, pentru încălcarea dispozițiilor Regulamentului General privind Protecția Datelor.
Ce s-a întâmplat în fapt?
O persoană vizată a atras atenția faptului că a primit un e-mail cu conținut comercial, e-mail ce avea mai mulți destinatari, iar toate adresele acestora de e-mail erau vizibile. Astfel, s-a produs o divulgarea adreselor de-email, având calitatea de date cu caracter personal ale 810 destinatari ai comunicării de marketing, ANSPDCP începând investigațiile cu privire la aceste eveniment.
Care este problema de drept?
Conform art. 32 din Regulamentul General de Protecție a Datelor (GDPR), operatorul de date cu caracter personal și persoana împuternicită au obligația de a lua măsuri temeinice astfel încât să fie asigurată securitatea datelor cu caracter personal. Această normă este o urmare imediată a dezvoltării tehnologiei în zilele noastre. Într-o lume în care digitalizarea devine indispensabilă, iar mediul on-line reprezintă o provocare pentru business-uri și nu numai, normele de securitate a datelor sunt absolut necesare pentru o bună desfășurare a activității operatorilor de date cu caracter personal. Astfel, Regulamentul propune, fără a limita însă soluțiile, măsuri precum pseudonimizarea și criptarea datelor cu caracter personal, instituirea sistemelor și a serviciilor de prelucrare care să asigure confidențialitatea și integritatea datelor sau implementarea unor proceduri de testare periodică a eficacității măsurilor deja implementate.
Chiar dacă datele sunt pseudonimizate, acestea sunt în continuare considerate date cu caracter personal întrucât pseudonimizarea reprezintă un proces reversibil de prelucrare de date în așa fel încât acestea să nu mai poată fi asociate cu o anumită persoană vizată în mod direct, ci doar cu condiția accesului la informații suplimentare.
În cazul prezentat, operatorul nu a luat aceste măsuri, având în vedere faptul că prin e-mail s-au dezvăluit un număr mare de date cu caracter personal. Chiar dacă persoanele vizate și-au exprimat consimțământul în vederea folosirii adreselor lor de e-mail pentru comunicări din sfera marketingului, acest consimțământ nu ar putea justifica divulgarea datelor în mod public. Consimțământul exprimat vizează strict acordul dintre utilizator și societatea în cauză în vederea primirii/ trimiterii de comunicări prin poșta electronică, similar cu situația abonării la newslettere, în care utilizatorul (persoană vizată) trebuie să își dea consimțământul în mod expres, iar actul său nu este defintiv, astfel că el își poate retrage oricând consimțământul dat, notificând operatorul în acest sens.
Mai mult decât atât, operatorul ar trebui să poată dovedi în mod concret implementarea și aplicarea acestor măsuri. În cazul prezentat, ANSPDCP i-a recomandat operatorului să implementeze măsuri tehnice și organizatorice adecvate în situația transmiterii la distanță a datelor personale, în mod corelativ operatorul având obligația ca pe viitor să poată face dovada acestor implementări.
Atât aprecierea autorității competente a acestui eveniment ca fiind unul grav, divulgarea datelor atâtor persoane vizate aducând probleme operatorului, cât și faptul că nu este un caz singular, ANSPDCP atrăgând în repetate rânduri atenția asupra necesității implementării măsurilor tehnice și organizatorice, duc la concluzia că operatorii trebuie să fie diligenți în activitățile pe care le desfășoară și să fie atenți la riscurile ce pot apărea.
Ștefania Văcareanu
