Companiile riscă, în funcție de obligațiile din legislația GDPR încălcate și de gravitatea situației, amenzi administrative de până la 20 de milioane euro sau de până la 4% din cifra de afaceri totală, anuală, spune Dragoş Radu, partener EY Law.
În plus, odată cu campaniile de informare a cetățenilor și cu conturarea unei noi arii de practică în materia litigiilor crește proporțional și riscul reputațional. „După cele împotriva băncilor, nu excludem un nou val de procese colective, de această dată industriile țintite putând fi multiple precum: societățile de asigurare, companiile farmaceutice, spitale și clinici medicale, agenții de marketing, media, agenții de turism. Sunt vizate practic toate companiile care au portofolii mari de clienți persoane fizice, inclusiv supermarketuri și benzinării, prin cardurile de fidelitate”, spune Dragos Radu, într-un comunicat.
Noua legislaţie europeană privind protecţia datelor cu caracter personal – GDPR – aduce o serie de elemente de noutate.
Astfel, companiile sunt obligate să numească, în anumite condiții, un responsabil cu protecția datelor la nivel de companie sau grup care va acționa în fapt mai mult ca un reprezentant ”în teritoriu” al autorității, având rolul de a se asigura că toate procesele și procedurile operatorului sunt conforme cu legea și de a notifica autoritatea competentă în termen de 72 de ore atunci când are loc o încălcare a securității datelor cu caracter personal.
Unele drepturi vor trebui redefinite, iar altele noi vor trebui definite pentru persoanele vizate (de exemplu dreptul de a fi uitat sau dreptul la portabilitatea datelor).
Apar condiții mult mai stricte pentru o procesare legală în baza consimțământului persoanei vizate, iar persoanele împuternicite să proceseze date cu caracter personal în numele operatorului vor avea o mai mare răspundere.
Companiile vor tebui să desfășoare evaluări de impact în cazul în care prelucrează automat date cu caracter personal care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă (vorbim aici în special de profilarea clienților), sau în cazul în care prelucrează pe scară largă anumite categorii speciale de date (cel mai des întâlnit exemplu fiind datele privind sănătatea, datele genetice și biometrice) sau date cu caracter personal privind condamnări penale și infracțiuni. O a treia situație care presupune evaluări de impact este monitorizarea sistematică, pe scară largă, a unei zone accesibilă publicului.
„Nu putem ignora impactul masiv pe care dezvoltarea tehnologiei – sub toate aspectele sale – îl are asupra relațiilor sociale la nivel global, iar metadatele sunt o realitate de ani buni. În acest context, GDPR impune în primul rând schimbarea mentalității privind modul în care înțelegem să utilizăm datele cu caracter personal și să respectăm și să protejăm dreptul la viața privată. Așa cum a fost nevoie de o educare a pieței în domeniul concurenței, este nevoie ca atât operatorii de date, cât și persoanele vizate să își însușească, într-un mod adaptat fiecăruia, reglementările GDPR și să devină mai responsabili și mai conștienți de obligațiile și drepturile lor. În acest moment, nu putem anticipa foarte clar cât de pro-activă va fi autoritatea de supraveghere în a doua jumătate a anului dar, cel puțin sub aspectul sancțiunilor și măsurilor coercitive, care pot duce chiar la suspendarea sau încetarea activității unei companii, GDPR merită o atenție deosebită”, a adăugat Dragoș Radu.
Sursa: Mediafax
