Greşelile României în aplicarea GDPR. Cetăţenii de rând sancţionaţi, giganţii Big Tech trataţi cu indulgenţă

0
Publicat:
Ultima actualizare:
Ionel Orza este expert GDPR şi a fost implicat în zeci de proiecte  FOTO Arhivă personală
Ionel Orza este expert GDPR şi a fost implicat în zeci de proiecte  FOTO Arhivă personală

Se împlinesc doi ani şi jumătate de când România a adoptat GDPR (Regulamentul General pentru Protecţia Datelor), ale cărui prevederi sunt obligatorii la nivelul UE. România este însă una dintre ţările în care giganţii Big Tech precum Google şi Facebook nu au fost niciodată „deranjaţi” de autorităţi, în timp ce în ţările din Vest au adunat amenzi uriaşe.

România a adoptat în 2018 GDPR - abrevierea în engleză de la General Data Protection Regulation sau în română  Regulamentul General pentru Protecţia Datelor. Aşa cum arată şi numele, GDPR are ca rol o protecţie mult mai strictă pentru viaţa privată şi drepturile cetăţenilor în raport cu entităţile care au acces la informaţii despre ei. 

Expert în acest domeniu, Ionel Orza a fost implicat pe parcursul perioadei 2018 - 2021 în zeci de proiecte de implementare GDPR la instituţii publice şi companii private de toate mărimile din România, la crearea de cursuri de pregătire online şi aplicaţii software destinate conformării la cerinţele GDPR. 

Noul regulament a adus nu doar o protecţie sporită cetăţeanului de rând, ci a venit şi cu amenzi mult mai mari faţă de companiile care nu respectă legile. 

„GDPR-ul şi Directiva 95/46/CE aveau multe aspecte în comun, poate 70% dintre ele, mă refer la principii, drepturi, obligaţii, autorităţi de supraveghere, puterea de control etc.

Cu toate acestea, lucrul care poate a impus o schimbare mai mare în rândul operatorilor a fost că posibilitatea de aplicare a sancţiunilor este mult mai vastă: dacă înainte amenzile întâlnite în România erau de maxim 20.000 - 25.000 lei, de data aceasta, vorbim de amenzi mult mai mari, de sute de mii de lei 480.000 lei cum este la Banca Transilvania sau pot fi aplicate amenzi chiar de milioane de lei sau milioane de euro, după cum vedem în alte state din UE. De exemplu, Franţa a aplicat pentru companii multinaţionale precum Facebook amenzi de sute de milioane de euro”, spune Orza.

De altfel, în cei aproape trei ani de când a intrat în vigoare GDPR la nivelul întregului bloc european unit, cea mai mare amendă dată în România nu trece de 100.000 de euro. 

„Cea mai mare amendă aplicată per număr de persoane vizate ale căror drepturi au fost afectate: Banca Transilvania a primit o amendă de 100.000 euro pentru divulgarea de date pe Facebook a unui client. A mai fost un caz mediatizat, o amendă aplicată unei persoane fizice (care deţinea funcţia de secretar general în cadrul unei filiale de sector a unui partid politic), deoarece pe pagina personală de Facebook a fost publicată o listă cuprinzând 10 poziţii de persoane semnatare / susţinători pentru alegerea Consiliului General şi a Primarului Municipiului Bucureşti”, arată expertul.

De ce giganţii din domeniul tehnologiei sunt intangibili în România

În opinia lui Ionel Orza, România este una dintre ţările care au luat în serios GDPR. Asta nu înseamnă însă că nu există scăpări şi că GDPR este respectat în totalitate. 

Dacă state precum Regatul Unit, Franţa, Italia sau Germania au sancţionat cu amenzi de sute de milioane de euro compani de talia Facebook, în România nu au fost luate niciodată niciun fel de măsuri împotriva unor giganţi precum Google, Facebook sau Twitter. 

La polul opus, ultimul exemplu în acest sens îl reprezintă Italia, care a amendat Google cu 102 milioane de euro, la un an după ce Franţa procedase la fel. Şi tot Autoritatea Antitrust Italia a sancţionat din nou Facebook, de curând, pentru prelucrarea „înşelătoare” a datelor abonaţilor. Ba mai mult, Franţa a amendat din nou Google cu 200 de milioane de euro, de curând. 

De altfel, la nivelul Uniunii Europene s-a discutat şi se discută despre faptul că giganţii din domeniul tehnologiei, care controlează accesul şi datele la propriile platforme, ar putea fi amendaţi cu până la 10% din cifra lor anuală de afaceri, pentru încălcarea reglementărilor menite să le reducă din putere, printre companiile vizate aflându-se Amazon.com, Apple, Facebook şi Google, subsidiara Alphabet.

În schimb, marile companii par de neatins în România, astfel că întrebarea este dacă acestea respectă aici în totalitate GDPR, aşa cum nu o fac în alte ţări sau dacă autorităţile române „închid ochii”. 

Există însă explicaţii pentru faptul că în acest moment marile companii amintite par intangibile în România. 

„Nu, nu se poate spune că în România se respectă mai mult bunele practici de către coloşii amintiţi. Vorbim strict de lipsa iniţierii unor procese mari împotriva lor, la iniţiativa fie a persoanelor vizate, a asociaţiilor de specialitate sau de ce nu chiar la iniţiativa Autorităţii.

Nu ştim dacă statul român evită să «se pună prost», credem însă că este vorba strict de o chestiune practică în care cetăţenii din Vest sunt mai conştienţi despre drepturile avute şi caută să şi le apere cu o mai mare îndârjire”, spune Orza.

GDPR, călcat în picioare pe timpul stării de urgenţă

Pe de altă parte, în România au existat şi mai există numeroase feluri în care autorităţile au încălcat GDPR. Cel mai bun exemplu în acest sens în reprezintă şi felul în care a acţionat Poliţia Română pe durata stării de urgenţă, când mulţi dintre poliţişti, dar nu numai ei, au călcat în picioare GDPR.

„Au existat mai multe tipuri de încălcări. Au fost cazuri în care declaraţiile pe proprie răspundere ale persoanelor vizate au fost fotografiate de către poliţiştii care verificau dacă persoanele aveau asupra lor acest document. Au fost cazuri de instituţii publice care au divulgat în mod neautorizat liste cu persoane infectate cu virusul Sars-CoV-2. Au existat de asemenea suprasolicitări ale sistemelor informatice, lucru care a dus la depăşirea capacităţilor tehnice şi divulgări de date neautorizate  - acces la conturile altor cetăţeni”, susţine expertul. 

Cum se va proceda la marile evenimente cu public, în pandemie

Şi în prezent planează semne de întrebare cu privire la modul în care fie autorităţile, fie anumite companii respectă GDPR în România. Întrebări pe care mulţi şi le pun, precum cele care ţin de protecţia datelor persoanelor vaccinate şi a celor testate care iau sau vor lua parte la diverse evenimente, îi preocupă pe mulţi dintre români şi nu doar pe ei. Aici este vorba inclusiv despre meciurile de fotbal cu spectatori din Liga 1 sau de cele de la Euro, care se joacă la Bucureşti, pe Arena Naţională.

„Cluburile de fotbal sunt şi ele operatori de date, iar prelucrările efectuate de ei, în contextul pandemiei, sunt mult mai multe. Cu toate acestea, cluburile sunt de multe ori găsite nepregătite să prelucreze date medicale aşa cum legislaţia specifică o cere – adică să colecteze la intrarea pe stadioane date privitoare la vaccinarea sau testarea spectatorilor.

În baza Ordinului nr. 310/708/2021 şi a Regulamentul privind accesul spectatorilor la evenimentele sportive, din 18.05.2021, aceste verificări trebuie făcute şi doar persoanele care sunt testate negativ sau vaccinate cu întreaga schemă de vaccinare şi pentru care au trecut 10 zile de când s-a realizat ultimul vaccin, pot participa la evenimentele sportive.

Dificultatea cluburilor este să îşi creeze politici, proceduri şi documentaţii specifice pentru informarea persoanelor vizate, obţinerea consimţămintelor în anumite cazuri, dar şi luarea unor măsuri tehnice şi organizatorice de protecţie a acestor date. De exemplu, cum, pe ce suport şi unde se ţin copiile după dovezile vaccinării sau ale testării? Cine are acces la ele? Cui sunt transmise? Cât timp se stochează?” 

Temperatura măsurată la supermarket

Un alt exemplu banal este dat de supermarketurile în care clienţilor li se ia temperatura chiar la intrare. Şi aici există loc de discuţii, pentru că nu este foarte clar în ce măsură este protejată identitatea clienţilor. 

„Supermarketurile încearcă să respecte legea prin măsurarea temperaturii, însă adesea practica măsurării este foarte deficitară deoarece nu se iau măsuri de protejare a datelor persoanei vizate. Nu de puţine ori vedem în supermarketuri aparate de măsurare a temperaturii care arată temperatura persoanei tuturor celorlalţi din jur. Pe când scopul colectării este altul, nu acela de a aduce la cunoştinţă publicului despre un posibil indicator al stării noastre de sănătate.

Totodată, atunci când se inventariază date de acest tip cum ar fi luarea temperaturii, când se stochează  - de exemplu avem un registru în care notăm ori există o cameră de filmat îndreptată spre aparatul care înregistrează temperaturile persoanelor care intră în magazin - lucrurile ajung să fie mai problematice deoarece trebuie luate o serie de măsuri de protejare a acestor date”, adaugă Orza.

Ce pot face oamenii simpli când sunt hărţuiţi de anumite firme

De aici poate rezulta şi întrebarea în ce măsură legile şi mai ales ordonanţele de urgenţă din ultimul an şi jumătate pe timp de pandemie ajung în conflict cu GDPR, contrazicând astfel regulamentul impus de Bruxelles tuturor ţărilor membre UE.

„Conflictul legislativ între obligaţiile impuse de GDPR şi obligaţiile impuse de legislaţia specifică sănătăţii populaţiei, este doar unul aparent sau minor adesea. În fapt, interpretarea normelor şi neatenţia este cea care naşte conflicte între persoanele vizate nemulţumite de supravegherile excesive şi operatori. De exemplu, o persoană este identificată cu temperatură peste 37.5, îi este refuzat accesul în supermarket, însă aceasta susţine că aparatul are o eroare şi se ceartă cu portarul care refuză intrarea.

Totodată camera de supraveghere surprinde acest conflict. Acesta escaladează şi dintr-o neglijenţă a administratorului sistemului CCTV, se fac capturi de ecran care se postează pe Facebook pentru a demonstra «vinovăţia» persoanei vizate, de a avea febră. Această situaţie poate naşte foarte multe probleme atât de legalitate cât şi de conformitate la GDPR”, crede expertul.

Nu în ultimul rând, numeroase persoane se plâng în România de faptul că sunt „hărţuite” de diverse companii şi firme care le trimit fie e-mailuri, fie îi sună la telefon pentru a le prezenta diverse oferte comerciale. Este vorba despre firme care nu au obţinut acceptul clienţilor pentru a le lua şi a le prelucra datele personale şi care de multe ori au cumpărat la pachet baze de date cu sute de mii de persoane. 

„Pentru astfel de cazuri încurajăm să se apeleze de fiecare dată la ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării datelor cu Caracter Personal). Astfel, întâi recomandarea ar fi să se ceară lămuriri direct companiei care ne hărţuieşte, să solicităm ştergerea din baza de date, însă dacă nu se dă curs, să depunem o plângere pe www.dataprotection.ro”, mai spune Orza.

Vă mai recomandăm şi:

Cum a ajuns o româncă cea mai bogată femeie din Portugalia

Expertă în medierea conflictelor armate cu studii în SUA: „Îmi doresc să mă întorc acasă pentru a mă implica în guvernare“

Cluj-Napoca



Partenerii noștri

Ultimele știri
Cele mai citite