Autoritățile europene de supraveghere a protecţiei datelor cu caracter personal au aplicat, în 2022, amenzi GDPR în valoare de 2,92 miliarde Euro – o creștere cu 168% față de anul precedent, conform firmei globale de avocatură DLA Piper

Firma globală de avocatură DLA Piper publică ediția din 2023 a raportului său anual GDPR and Data Breach, care analizează amenzile totale emise pentru o gamă largă de încălcări ale regulamentului protecţiei datelor cu caracter personal (GDPR) și topul amenzilor emise în fiecare țară începând cu 28 ianuarie 2022. Sondajul acoperă toate cele 27 de state membre din Uniunea Europeană, plus Regatul Unit, Norvegia, Islanda și Liechtenstein.


Firma globală de avocatură DLA Piper a publicat astăzi concluziile raportului său anual GDPR and Data Breach. Studiul realizat la nivel european a dezvăluit un alt an al recordurilor, cu o creștere anuală de 50% a valorii totale a amenzilor aplicate în Europa.

Printre cele mai mari amenzi aplicate s-au numărat cele împotriva Meta Platforms Ireland Ltd. (Meta), care demonstrează că rețelele de socializare și dependența acestora de prelucrarea extinsă a datelor cu caracter personal au prezentat un interes special pentru autorităţile de reglementare. Câteva dintre cele mai mari amenzi impuse Meta în acest an de către autoritatea irlandeză se referă la profilarea utilizatorilor de către Facebook și Instagram și la folosirea temeiului contractual ca bază legală pentru a legitima colectarea în masă a datelor cu caracter personal. În timp ce autoritatea irlandeză a concluzionat inițial că acest lucru este posibil, influentul Comitet European pentru Protecția Datelor nu a fost de acord. Amenzile rezultate ridică întrebări serioase cu privire la acordul încheiat între consumatori și furnizorii de servicii și la modul cum vor fi finanțate serviciile online „gratuite” în viitor. Având în vedere aceste aspecte, DLA Piper se așteaptă ca aceste decizii să fie atacate în instanță, generând litigii care se vor întinde pe o perioadă de mai mulţi ani.

Studiul arată, de asemenea, un an în care volumul încălcărilor privind securitatea datelor notificate autorităților de supraveghere a scăzut ușor față anul precedent. Totalul mediu zilnic a scăzut de la 328 de notificări pe zi la 300 pe zi în acest an. Acest lucru poate fi un indiciu că organizațiile devin din ce în ce mai precaute în a notifica încălcările către autoritățile de reglementare de teama investigațiilor, amenzilor sau a cererilor de despăgubire.

În timp ce problemele legate protecția datelor în contextul publicității online și rețelelor de socializare au dominat titlurile acestui an, trebuie remarcată și utilizarea din ce în ce mai extinsă a datelor cu caracter personal pentru a antrena inteligența artificială. Relevant pentru acest an este faptul că au avut loc o serie de investigații asupra companiei de recunoaștere facială Clearview AI, în urma cărora au fost aplicate amenzi substanțiale. Pe măsură ce platformele de inteligență artificială și de învățare automată vor deveni tot mai prezente, este de așteptat o intensificare a activității autorităților de supraveghere şi în acest domeniu.

Studiul prezintă, de asemenea, unele decizii notabile dispuse de autorități în aplicarea hotărârii CJUE Schrems II și a prevederilor Capitolului V GDPR referitoare la transferurile internaționale de date cu caracter personal. Anumite autorități de supraveghere au considerat că nu este posibilă adoptarea unei abordări bazate pe risc atunci când se evaluează transferurile de date cu caracter personal către “țări terțe”, în esență argumentând că transferurile sunt interzise dacă simpla posibilitate de acces a unui guvern străin la date dă naștere unui risc pentru drepturile și libertățile unor persoane vizate - oricât de nesemnificativ și de puțin probabil ar fi acesta.

Irina Macovei, Counsel în cadrul DLA Piper: “Studiul anual al DLA Piper este un instrument cheie pentru profesioniștii în protectia datelor cu caracter personal în a înțelege tendinţele în această materie – oricât de dezamăgitoare sau surprinzătoare ar putea fi aceste tendinţe, şi un suport extraordinar în transmiterea mai departe a acestor tendinţe către cei interesaţi. Studiul este o imagine de ansamblu care confirmă, constant, că particularitățile naționale trebuie întotdeauna luate în considerare, deși ne referim la un regulament UE”.

“Mă îngrijorează în mod special interpretarea absolutistă a regulilor de transfer de date prevăzute în GDPR de către anumite autorități de supraveghere, pe parcursul anului trecut”, a adăugat Andrei Stoica, Senior Associate. “Nu numai că această abordare intră în coliziune cu principiul proporționalității statuat în legislatia UE, dar poate, de asemenea, să împiedice fluxul legitim de informații dinspre și către Europa, să descurajeze inovaţia și, în cele din urmă, să încetinească progresul. Sper că în 2023 vom asista la o schimbare de atitudine față de astfel de transferuri.”