Ştiri economice

articolul anterior articolul urmator

2,6 milioane de euro amendă GDPR acordată unei autorităţi publice europene

0
13 Sep 2019 18:43:44
Marius Dumitrescu

Cel mai mare furt de date din Balcani s-a lăsat şi cu cea mai mare sancţiune financiară din zona balcanică, fiind totodată cea mai mare amendă primită de o autoritate publică din Uniunea Europeană, pentru neasigurarea protecţiei corespunzătoare a datelor personale.

Mai mult, aceasta este oficial cea de-a doua amendă ca valoare din UE, după intrarea în vigoare a GDPR-ului. Am folosit termenul „oficial” pentru că cele două amenzi de proporţii astronomice pe care ICO le-a propus în urma analizelor breşelor de securitate suferite de Marriott International (110 milioane €) şi British Airways (230 milioane €) se vor poziţiona în fruntea clasamentului la nivelul Uniunii Europene odată ce ICO va lua o decizie finală asupra valorii sancţiunilor după consultarea celorlalte părţi implicate în aceste anchete. 

Cititi mai mult despre aceasta bresă de securitate in articolul din iulie de pe Blogul Adevarul. 

Sancţiune de 5,1 milioane de leva (aproximativ 2,6 milioane de euro)

Autoritatea bulgară pentru protecţia datelor cu caracter personal a publicat un comunicat prin care a anunţat sancţiunea de 5,1 milioane de leva (aproximativ 2,6 milioane de euro) acordată Agenţiei Naţionale a Veniturilor (echivalentul ANAF-ului nostru) pentru încălcarea care a dus la furtul datelor cu caracter personal de aproximativ 4,1 milioane de persoane (contribuabili), un procent considerabil din totalul de 7 milioane de locuitori ai Bulgariei.

În comunicat se arată că amenda a fost acordată pentru încălcarea art. 32, 1 litera (b) din Regulamentul (UE) 2016/679, în vederea unei încălcări a datelor privind accesul neautorizat, divulgarea neautorizată şi difuzarea datelor cu caracter personal ale persoanelor fizice din bazele de date a agenţiei. 

Pe langa amenda, autoritatea bulgară a impus o serie de măsuri ce vor trebui implementate de administraţia fiscală bulgară în următoarele 6 luni:

  • îmbunătăţirea protecţiei procesării datelor cu caracter personal în serviciile electronice oferite cetăţenilor (aplicaţii);
  • efectuarea analizei de risc a sistemelor şi operaţiunilor de procesare, inclusiv a normelor şi obligaţiilor funcţionale stabilite pentru prelucrarea fiecărui sistem informaţional;
  • efectuarea evaluărilor de impact în cazul identificării „riscului ridicat” pentru fiecare sistem şi a măsurilor corespunzătoare care trebuie luate;
  • efectuarea unei evaluări de impact la lansarea iniţială a noilor sisteme de informaţii şi aplicaţii.

Oficialii bulgari au declarat că instituţiile publice din Bulgaria nu cheltuiesc suficient pentru securitatea cibernetică. Unii experţi care au examinat datele fiscale furate spun că tehnicile utilizate în atac au fost relativ de bază şi au indicat lipsa unei protecţii adecvate a datelor.

De ce ar trebui să ne îngrijoreze breşa de securitate din Bulgaria? 

Nu este un secret fragilitatea sistemului informatic al ANAF-ului nostru. Acesta a clacat de mai multe ori de-a lungul timpului făcând imposibilă accesarea "Spaţiul Privat Virtual" [SPV].

"În prezent, portalul ANAF generează erori de accesare, deoarece resursele TIC disponibile sunt suprasolicitate. Se identifică soluţii de utilizare optimă a tuturor resurselor." afişa pagina ANAF prin februarie 2019.

Un articol DIGI24 publicat anul trecut trăgea un semna de alarma asupra faptului ca sistemul IT al ANAF pică aproape zilnic, deoarece funcţionează la o capacitate de 99,99%.  Curtea de Conturi a atras atunci atenţia Guvernului că sistemul e foarte vechi şi poate ceda în orice moment. Actualul sistem informatic al ANAF datează din 1998, când au fost cumpărate primele servere şi sisteme de stocare a informaţiei de la IBM, cel care a pus în funcţiune sistemul şi l-a întreţinut până în 2016. Din 2016, IBM a refuzat să mai asigure mentenanţa sistemului IT după ce ANAF ar fi folosit licenţe fără să plătească. 

Nu avem sediu, nu avem mentenanţă, nu avem upgradările făcute, avem litigiu cu IBM-ul, am blocat proiectul cu Banca Mondială”, declara la acel moment Gelu Diaconu, fost preşedinte al ANAF.

Judecând după toate acestea, oare cât de mare este riscul ca noi să călcăm pe urme vecinilor bulgari?  Noi nu ne întrebăm DACĂ ci mai degrabă ne întrebăm CÂND?!?

De ce autorităţile publice din România nu fac din protecţia datelor o prioritate? Cât de reală este o astfel de amendă ?

Cele 2,6 milioane de euro cu care a fost sancţionată  agenţia bulgară pot părea o sancţiune mică raportată la dimensiunea şi sensibilitatea datelor care au sustrase însă dacă ne raportăm la maximul amenzilor pe care autorităţile din România le riscă, acea amendă capătă proporţii astronomice. Să nu uităm şi că o amendă aplicată unei autorităţi nu aduce practic sume suplimentare la bugetul statului, fiind doar mutate sume dintr-un capitol bugetar în altul.  

Conform legislaţiei româneşti, pentru încălcarea articolului 32 din GDPR, cum a fost cazul în Bulgaria, amenda prevăzută de legea 190 din 18 iulie 2018 este de 10.000 lei până la 100.000 lei (prima treaptă valorică). Practic a fost introdusă această derogare de la regimul juridic al contravenţiilor (OUG 2/2001) prin care autorităţile publice din România beneficiază de un tratament special, atât de special încât am putea să îl considerăm profund discriminatoriu. Mai exact, amenda maxima pe care o institutie publica din România o poate primi este de 200.000 lei, adică puţin peste 40.000 euro iar asta pentru încălcări a regulamentului pentru care o societate privată risca un maxim de 4% sau 20.000.000 euro. Asta da interpretare a principiului proporţionalităţii.

Mai mult, în cazul unei breşe (asta doar dacă nu se poate ascunde existenţa acesteia) sancţionată este instituţia, care de altfel va marja pe ideea ca nu a avut buget pentru asigurarea securităţii datelor. Dar oare este normal să fie sancţionată instituţia atâta timp cât deciziile aparţin managementului instituţiei respective? Poate preluarea modelului din Republica Moldova ne-ar ajuta să rezolvăm această dilemă. Mai exact, în Republica Moldova responsabilitatea privind respectarea cerinţelor de protecţie a datelor aparţine factorilor de decizie, acestia fiind direct sanctionabili. 

Adauga Comentariu

Pentru a comenta, alege una din optiunile de mai jos

Varianta 1

Autentificare cu contul adevarul.ro
Creeare cont

Varianta 2

Autentificare cu contul de Facebook
Logare cu pseudonim

0 Comentarii