Studiu realizat de DLA Piper | Amenzi în valoare de 272,5 mil. E aplicate de autoritățile europene de reglementare a protecției datelor în baza RGPD. Romania a aplicat amenzi în valoare totală peste 650.000 Euro

Amenzi în valoare de 272.5 milioane Euro (aproximativ 332,4 milioane USD/245,3 milioane GBP) au fost aplicate unei game variate de încălcări ale legislației europene stricte privind protecția datelor, potrivit societății internaționale de avocatură DLA Piper. Această cifră este preluată din cel mai recent raport anual al societății privind amenzile aplicate în baza Regulamentului general privind protecția datelor (RGPD) și încălcări ale securității datelor din cele 27 state membre ale Uniunii Europene plus Regatul Unit, Norvegia, Islanda și Liechtenstein.

Autoritatea de reglementare din Italia se află în fruntea clasamentului cu o valoare totală a amenzilor ce depășește 69,3 milioane Euro (aproximativ 84,5 milioane USD/62,4 milioane GBP) de la intrarea în vigoare a RGPD la 25 mai 2018. Germania și Franța se situează pe locul al doilea și al treilea, cu o valoarea totală a amenzilor de 69,1 milioane Euro și, respectiv, 54,4 milioane Euro.

În total, au existat mai mult de 281.000 de notificări privind încălcarea securității datelor de la intrarea în vigoare a RGPD la 25 mai 2018, Germania (77.747), Olanda (66.527) și Marea Britanie (30.536) fiind în fruntea tabelului în funcție de numărul de încălcări ale securității datelor notificate autorităților de reglementare. Franța și Italia, țări cu o populație ce depășește 67 milioane și, respectiv, 62 de milioane de locuitori, au consemnat doar 5389 și 3460 notificările privind încălcarea securității datelor pentru aceeași perioadă, fapt ce ilustrează diferențele culturale în abordarea notificării privind încălcarea securității datelor.  
Rata zilnică totală de notificări privind încălcarea securității datelor în Europa a cunoscut o creștere de două cifre pentru al doilea an consecutiv, cu 331 de notificări pe zi începând cu 28 ianuarie 2020, o creștere de 19 % comparativ cu 278 de notificări pe zi pentru anul anterior.

Analizând rezultatele în funcție de numărul de locuitori, Danemarca ocupă primul loc anul acesta înaintea Olandei, cu 155,6 și, respectiv, 150 de încălcări raportate la 100.000 de persoane. Irlanda se află pe locul trei cu 127,8 încălcări raportate la 100.000 de persoane. Grecia, Italia și Croația au raportat cel mai mic număr de încălcări pe cap de locuitor de la 28 ianuarie 2020.

Cea mai mare amendă aplicată în baza RGPD până în prezent rămâne cea de 50 de milioane Euro (aproximativ 61 milioane USD/45 milioane GBP) aplicată companiei Google de autoritatea de reglementare a protecției datelor cu caracter personal din Franța, pentru presupuse încălcări ale principiului transparenței și lipsa consimțământului valabil.

În urma a două importante încălcări ale securității datelor, autoritatea britanică pentru protecția datelor (UK Information Commissioner’s Office - ICO) a publicat în iulie 2019 două notificări privind intenția de a aplica amenzi în valoare totală de 282 milioane GBP (aproximativ 313 milioane Euro/382 milioane USD). Cu toate acestea, autoritatea de reglementare din Regatul Unit și-a retras poziția, aplicând în cele din urmă, în octombrie 2020, amenzi reduse la 20 milioane GBP (aproximativ 22,2 milioane Euro/27,1 milioane USD) și 18,4 milioane GBP (aproximativ 20,4 milioane Euro/25 milioane USD). Autoritatea de supraveghere din Austria a suferit o înfrângere considerabilă când amenda în valoare de 18 milioane Euro aplicată (aproximativ 16,2 milioane GBP/22 milioane USD) a fost contestată cu succes în decembrie 2020.

Comentând raportul, Ross McKean, președintele grupului privind protecția și securitatea datelor din cadrul DLA Piper din Marea Britanie, a declarat: „Amenzile și notificările privind încălcările își continuă creșterea anuală de două cifre, iar autoritățile de reglementare europene și-au arătat dorința de a pune în aplicare atribuțiile de executare pe care le dețin. De asemenea, au adoptat și unele interpretări extrem de stricte ale RGPD conturând cadrul pentru disputele aprinse din anii ce vor urma. Cu toate acestea, s-a putut constata și un grad de clemență a autoritățile de reglementare în acest an ca răspuns la pandemia în desfășurare, unele amenzi importante fiind reduse ca urmare a dificultăților financiare. În anul ce va urma, anticipăm primele măsuri de aplicare a restricțiilor RGPD privind transferurile de date cu caracter personal către SUA și alte „țări terțe”, pe măsură ce urmările hotărârii pronunțate de cea mai înaltă instanță europeană în cazul Schrems II sunt încă resimțite."


Irina Macovei, Counsel în cadrul DLA Piper Dinu SCA, a declarat: ”Analizând sancțiunile aplicate, putem conchide că autoritățile de supraveghere din statele membre pun accent pe aspecte diferite din materia protecției datelor cu caracter personal. Pentru România și ANSPDCP, incidentele de securitate au fost și rămân un punct de mare interes, de aceea operatorii trebuie să fie diligenți în măsurile tehnice și organizatorice pe care le implementează dar și în reacția după un incident”.

N.B. Nu toate statele membre din Spațiul Economic European publică detalii ale statisticilor privind notificarea încălcărilor. Unele state membre au pus la dispoziție statistici incomplete sau statistici pentru o parte din perioada inclusă în acest raport, astfel încât cifrele au fost rotunjite și, în unele cazuri, extrapolate pentru a oferi cele mai bune aproximări. În mod similar, nu toate amenzile RGPD sunt raportate public și unele date au acoperit doar o parte din perioada inclusă în acest raport.