Expert EY: Regulamentul General privind Protecţia Datelor poate genera un val de procese colective împotriva companiilor

Dragoş Radu, partener EY Law, consideră că, pe fondul elementelor de noutate existente în GDPR, demararea de procese colective este iminentă în industria bancară, farmaceutică sau de turism.

‘Dincolo de o conştientizare a importanţei respectării şi asigurării drepturilor persoanelor vizate, interesul mărit faţă de prevederile Regulamentului General privind Protecţia Datelor (General Data Protection Regulation – GDPR) a fost creat de sancţiunile usturătoare pe care noua lege le prevede. Concret, în funcţie de obligaţiile încălcate şi de gravitatea situaţiei, companiile riscă amenzi administrative de până la 20 de milioane euro sau de până la 4% din cifra de afaceri mondială totală, anuală, corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare dintre acestea. În plus, odată cu derularea campaniilor de informare a cetăţenilor şi cu conturarea unei noi arii de practică în materia litigiilor creşte proporţional şi riscul reputaţional. După cele împotriva băncilor, nu excludem un nou val de procese colective, de această dată industriile ţintite putând fi multiple precum: societăţile de asigurare, companiile farmaceutice, spitale şi clinici medicale, agenţii de marketing, media, agenţii de turism. Sunt vizate, practic, toate companiile care au portofolii mari de clienţi persoane fizice, inclusiv supermarketuri şi benzinării (prin cardurile de fidelitate/clienţi)’, a explicat Radu.

Potrivit expertului, GDPR aduce o serie de elemente de noutate, unul dintre acestea fiind obligativitatea numirii, în anumite condiţii, a unui responsabil cu protecţia datelor la nivel de companie sau grup care, poate deloc surprinzător, va acţiona în fapt mai mult ca un reprezentant ‘în teritoriu’ al autorităţii, având rolul de a se asigura că toate procesele şi procedurile operatorului sunt conforme cu legea şi de a notifica autoritatea competentă în termen de 72 de ore atunci când are loc o încălcare a securităţii datelor cu caracter personal.

De asemenea, se are în vedere redefinirea unor drepturi şi definirea unor drepturi noi pentru persoanele vizate (de exemplu, dreptul de a fi uitat, dreptul la portabilitatea datelor), precum şi condiţii mult mai stricte pentru o procesare legală în baza consimţământului persoanei vizate.

‘Noul Regulament european implică o mai mare răspundere a persoanelor împuternicite să proceseze date cu caracter personal în numele operatorului şi desfăşurarea de evaluări de impact în cazul în care operatorul prelucrează automat date cu caracter personal sau prelucrează pe scară largă anumite categorii speciale de date (cel mai des întâlnit exemplu fiind datele privind sănătatea, datele genetice şi biometrice) sau date cu caracter personal privind condamnări penale şi infracţiuni (…) GDPR impune în primul rând schimbarea mentalităţii privind modul în care înţelegem să utilizăm datele cu caracter personal şi să respectăm şi să protejăm dreptul la viaţa privată. Aşa cum a fost nevoie de o educare a pieţei în domeniul concurenţei, este nevoie ca atât operatorii de date, cât şi persoanele vizate să îşi însuşească, într-un mod adaptat fiecăruia, reglementările GDPR şi să devină mai responsabili şi mai conştienţi de obligaţiile şi drepturile lor’, a spus partenerul EY.

Un studiu EY Global Forensic Data Analytics Survey, publicat recent, arată că o treime (33%) dintre companiile globale derulează, la ora actuală, planuri de aliniere la noile prevederi din GDPR, iar 78% dintre respondenţi susţin că sunt tot mai îngrijoraţi de capacitatea lor de a implementa normele impuse de reglementările privind protecţia datelor personale şi respectarea confidenţialităţii acestora.

Regulamentul General privind Protecţia Datelor (General Data Protection Regulation – GDPR) va trebui să-şi producă efectele începând cu data de 25 mai 2018, în România, iar din acel moment sistemele informatice ale companiilor ce stochează date personale vor trebui să permită un control foarte bun al identităţii utilizatorilor şi al accesului la acestea, urmând principiul ‘Privacy by Design’.

Parlamentul European a adoptat, în data de 14 aprilie 2016, pachetul legislativ privind protecţia datelor personale, ce cuprinde un Regulament General privind Protecţia Datelor, cu aplicabilitate directă la nivelul tuturor statelor membre, şi o Directivă privind protecţia datelor personale în cadrul activităţilor desfăşurate de autorităţile de aplicare a legii. Practic, din 25 mai 2018, se va abroga Directiva nr. 95 şi va intra în vigoare Regulamentul European nr. 679.

Prevederile Regulamentului au intrat în vigoare în primăvara anului trecut, odată cu publicarea în Jurnalul Oficial al Uniunii Europene, pe 27 aprilie 2017, dar vor fi aplicabile după expirarea unui termen de doi ani, începând cu primăvara anului 2018.

Regulamentul asigură dreptul persoanelor vizate de a obţine informaţii clare şi cuprinzătoare cu privire la scopul şi modul în care le sunt prelucrate datele personale, şi exprimă într-o manieră mai clară dreptul de a fi uitat. De asemenea, documentul prevede dreptul la portabilitatea datelor, adică posibilitatea persoanei vizate de a-şi transfera în totalitate datele la un alt operator de date, oferindu-i astfel un mai bun control asupra modului în care aceste date sunt prelucrate.

În plus, prin noul Regulament, protecţia vieţii private a minorilor beneficiază de mai multă atenţie, mai ales în mediul online.

Regulile stabilite de noul document sunt aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliţi aceştia, în măsura în care serviciile acestora presupun prelucrarea datelor personale ale cetăţenilor Uniunii Europene.

În acelaşi timp, Regulamentul vine în sprijinul operatorilor de date şi împuterniciţilor acestora, stabilind un set unic de reguli aplicabile pe teritoriul întregii Uniuni Europene. Astfel, sunt reduse în mod semnificativ şi procedurile administrative pe care operatorii de date trebuie să le urmeze, fiind oferită posibilitatea de a avea un ‘interlocutor’ unic la nivel european.

La nivel de sancţiuni, companiile care vor încălca Regulamentul General privind Protecţia Datelor, ce va trebui implementat şi de România începând din mai 2018, vor plăti amenzi de 10 de milioane de euro sau 2% din cifra de afaceri globală pentru încălcări privind protecţia datelor, respectiv de 20 de milioane de euro sau 4% din cifra de afaceri globală pentru încălcări ale principiilor de bază privind prelucrarea datelor.