Autoritățile de supraveghere a prelucrării datelor cu caracter personal au fost indulgente în primul an de la intrarea în vigoare a GDPR. Cu o atitudine mai mult educativă decât corectivă, au oferit un răgaz generos entităților vizate să facă schimbările necesare pentru obținerea conformității. Începând cu jumătatea lui 2019, situația s-a schimbat radical.
Regulamentul General privind Protecția Datelor (GDPR) fusese în lucru ani buni înainte de intrarea în vigoare în luna mai a lui 2018. Multe dintre organizațiile vizate de noul regulament - în esență, orice entitate care prelucrează date cu caracter personal - încă se luptă cu adoptarea unor procese și tehnologii menite să asigure procesarea datelor personale în regim de conformitate cu noul regulament.
Specialiștii în securitate informatică observă că autoritățile responsabile cu sancționarea au fost permisive în acest prim an al adoptării GDPR, oferind răgaz operatorilor de date să își intre în ritm și, totodată, dându-și șansa să judece corect și la rece momentul în care primele amenzi aveau să fie aplicate.
"Prevederile GDPR implică numeroase schimbări procedurale și tehnologice în vederea conformității, iar autoritățile știau asta. Astfel, acestea încă erau permisive la momentul intrării in vigoare a GDPR. Totul s-a schimbat în vara lui 2019, la un an după intrarea în vigoare a noii legi. În doar trei zile, autoritățile de supraveghere a prelucrării datelor cu caracter personal au împărțit amenzi de peste 300 de milioane de euro. Rapiditatea cu care pedepsele se aplică reprezintă un semnal de alarmă pentru entitățile care încă se regăsesc în neconformitate cu GDPR", spune Filip Truță, analist în securitate informatică în cadrul Bitdefender.
Mega breșele expun datele personale a sute de mii de clienți
Printre primele entități amendate sub GDPR este compania aeriană British Airways. Transportatorul a primit una dintre cele mai usturătoare asemenea amenzi în urma unei breșe suferite anul trecut în care datele personale a 500.000 de clienți au fost compromise. Amenda aplicată de autoritatea britanică Information Commissioner’s Office (ICO) s-a ridicat la 183 de milioane de lire sterline. A doua zi, același ICO anunța intenția de a amenda lanțul hotelier Marriott cu suma de 99 de milioane de lire sterline pentru o altă breșă colosală care se desfășurase pe parcursul a mai bine de patru ani. Numeroase alte entități au primit pedepse costisitoare în urma unor stângacii similare în prelucrarea datelor clienților, ridicând cuantumul primelor amenzi la 315 milioane de euro în numai trei zile.
Amploarea ridicată face ca incidentele precum cele suferite de British Airways și Marriott sa intre la categoria "mega breșe".
Marriott a fost ținta unui atac sofisticat și sistematic, iar autorii acestui atac au avut un scop foarte bine definit: furtul datelor unor persoane bogate în vederea comiterii de fraudă.
"Mega-breșa Marriott servește drept exemplu că, pe lângă măsurile procedurale, este nevoie de tehnologii performante de securizare a datelor, și totodată de instrumente capabile să detecteze potențiale atacuri informatice în desfășurare, înainte ca atacatorii sa obțină acces persistent in infrastructura victimei", spune specialistul Bitdefender.
Și România urmează trendul european privitor la cuantumul de amenzi pentru nerespectarea prevederilor GDPR. Între 27 iunie și 5 iulie 2019, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat trei sancțiuni ca urmare a nerespectării noului regulament. Printre cei amendați se numără Unicredit Bank S.A. (circa 130.000 euro) și World Trade Center Bucharest S.A. (aprox. 15.000 euro).
În cazul Unicredit, când clienții efectuau plăți prin intermediul tranzacțiilor online, CNP-ul și adresa acestora erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont. 337 de mii de persoane au fost afectate de această eroare.
"La prima vedere, divulgarea acestor date nu pare a fi o greșeală capitală. Până la urma, de câte ori nu ne-am oferit CNP-ul și adresa completând un formular? În acest caz, problema este că datele au fost dezvaluite unor persoane neautorizate, fără acordul deținătorilor datelor respective. Conform principiului minimizării datelor, banca avea obligația de a prelucra date limitate raportat la scopul folosirii acelor date", spune Truță.
Penalizarea de 130.000 de euro primită de Unicredit a propulsat România pe locul 2 în Europa Centrală și de Est pentru cea mai mare amendă de încălcare a GDPR.
Cazul hotelului Pullman, deținut de centrul de business World Trade Center Bucharest, a implicat date tipărite pe hârtie. Conform ANSPDCP, o listă cu date personale utilizată pentru verificarea a 46 de clienți care luau micul dejun la respectivul hotel a fost fotografiată de către persoane neautorizate. Ulterior, aceste date au fost publicate pe internet, conducând la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de articolele 7 și 8 din GDPR.
Dacă la Marriott si British Airlines amenzile au fost aplicate ca urmare a unei breșe informatice, în cazurile Unicredit și Pullman din România, entitățile amendate au expus datele clienților mai mult din neglijență.
"Ambele cazuri din România stau drept dovadă că asigurarea conformității începe cu o politică strictă de protejare a datelor personale. În absența unor politici eficiente, sistemele informatice de protecție pot deveni nule", spune specialistul Bitdefender.
Perseverența atacatorilor în ziua de azi nu mai permite prelucrarea neglijentă a datelor personale. De aceea, a devenit imperativ ca entitățile care prelucrează date cu caracter personal să se alinieze la noile standarde de securizare a acestor date. Dacă până de curând autoritățile au fost indulgente, începând cu mijlocul lui 2019, amenzile pentru neconformitate cu GDPR devin rapid o normalitate.
2
3
