Protecţia datelor cu caracter personal reprezintă o preocupare continuă a autorităţilor, atât la nivel local, cât şi european, în special în contextul dezvoltărilor din economia digitală, astfel că operatorii din domeniu trebuie să ţină pasul cu reglementările şi cu recomandările acestora pentru a se conforma cerinţelor legale în vigoare. În România, autoritatea competentă recomandă, pe baza aspectelor constatate în cadrul controalelor din 2021, intensificarea măsurilor organizatorice interne pentru asigurarea securităţii datelor prelucrate. Printre acestea se numără pregătirea periodică a angajaţilor, revizuirea soluţiilor tehnice, dar şi respectarea regulilor privind transferul internaţional al datelor cu caracter personal.
Autoritatea Naţională de Supraveghere privind Prelucrarea Datelor cu Caracter Personal (ANSPDCP) a înregistrat, în 2021, peste 5.000 de plângeri, sesizări şi notificări privind incidentele de securitate cu privire la protecţia datelor, pe baza cărora a derulat 691 de investigaţii. Pe parcursul anului, autoritatea a aplicat 36 de amenzi, în cuantum total de aproximativ 75.000 de euro. Dincolo de cifre, însă, din raportul instituţiei se desprind şi câteva aspecte importante de care operatorii ar trebui să ţină cont în perioada următoare.
Neregulile constate de autoritate
Unul dintre acestea se referă la instruirea permanentă a angajaţilor responsabili cu gestionarea datelor personale colectate de un operator. Factorul uman se dovedeşte a fi, în continuare, cel mai relevant în ceea ce priveşte asigurarea conformării privind protecţia datelor cu caracter personal. Este extrem de important ca angajaţii societăţilor să cunoască şi să înţeleagă foarte bine atribuţiile pe care le au în legătură cu protejarea datelor, să aplice în cadrul activităţii regulile şi politicile care guvernează acest domeniu şi să respecte măsurile de securitate adoptate la nivelul societăţii. De altfel, instruirea angajaţilor se numără printre măsurile corective impuse de ANSPDCP în urma constatării unor încălcări ale legislaţiei, alături de revizuirea procedurilor sau de aplicarea unor politici interne pentru asigurarea respectării cadrului legal în domeniu (precum gestionarea procesului de soluţionare a cererilor persoanelor vizate etc.).
Printre neregulile constate de autoritate se numără şi încălcarea măsurilor de securitate şi confidenţialitate a prelucrării de date cu caracter personal. Aşadar, un alt aspect important desprins din raportul autorităţii este cel legat de necesitatea intensificării controalelor interne, astfel încât societăţile să se asigure că aplică măsuri tehnice şi organizaţionale corespunzătoare pentru garantarea securităţii datelor.
În plus, ANSPDCP a analizat un număr impresionant de reguli corporatiste obligatorii, în calitate de autoritate principală sau autoritate de cooperare, precum şi recomandările emise în legătură cu acestea. Această analiză ar putea indica faptul că autoritatea intenţionează să evalueze, în perioada următoare, transferul de date către state terţe şi maniera în care sunt încheiate clauzele standard obligatorii adoptate de Comisia Europeană, în vigoare de la 27 septembrie 2021, acestea reprezentând, de altfel, cel mai des întâlnit instrument pentru fundamentarea unor astfel de transferuri.
Prevenţia, armă împotriva atacurilor cibernetice
În plus, pentru viitor, organizaţiile trebuie să îşi exerseze capacitatea de a anticipa şi de a răspunde rapid la atacurile cibernetice sau la erorile interne care intervin în procesul de protecţie a datelor cu caracter personal, astfel încât să reducă riscul de compromitere a datelor. În acest sens, este important să desfăşoare exerciţii de testare a proceselor de management al crizelor, având în vedere că incidentele de securitate cibernetică sunt deja percepute ca având cel mai mare risc asupra afacerii.
Nu în ultimul rând, analiza preventivă a nivelului de maturitate în domeniul securităţii datelor, inclusiv a celor cu caracter personal, şi identificarea unui parcurs pentru sporirea acestuia rămân măsuri clasice, dar extrem de aplicate, menite să reducă riscul de exploatare a unor vulnerabilităţi tehnice, organizatorice şi umane, şi implicit riscul unui impact major asupra operaţiunilor, asupra reputaţiei şi, în final, de natură financiară.
Material de opinie de Sergiu Zaharia, Director, Cyber Strategy Advisory, Deloitte România, şi Silvia Axinescu, Senior Managing Associate, Reff & Asociaţii Deloitte Legal
