Ce trebuie să ştii despre Regulamentul General pentru Protecţia Datelor, care va intra în vigoare în UE în luna mai

Legislaţia UE a rămas în urmă – directiva în vigoare pentru protecţia datelor a fost adoptată tocmai în 1995. Între timp, au avut loc numeroase incidente de securitate informatică încheiate cu furtul datelor personale ale utilizatorilor, culminând cu compromiterea generalizată a sistemelor companiei americane Yahoo, dezvăluită la câţiva ani după ce a avut loc.

Regulamentul General pentru Protecţia Datelor a fost adoptat în aprilie 2016 şi va intra în vigoare în luna mai a acestui an, UE oferind companiilor şi instituţiilor vizate doi ani să se alinieze la noile norme.

Orice companie care stochează sau procesează date personale ale cetăţenilor europeni trebuie să se alinieze regulamentului pentru protecţia datelor.

Principala noutate o reprezintă introducerea acestei obligativităţi pentru companiile din afara UE, care nu au vreo prezenţă încorporată în cele 28 de state membre. Astfel, datele personale ale europenilor ar urma să fie protejate în centrele de date ale companiilor americane de servicii online, sub ameninţarea cu amenzi care pot ajunge până la 4% din cifra de afaceri.

Tot la capitolul drepturi noi pentru consumatori, cetăţenii europeni vor trebui notificaţi în termen de 72 de ore în cazul în care sunt afectaţi de compromiterea datelor personale şi fiecare persoană va putea obţine informaţii privind datele colectate despre ea, scopul pentru care au fost colectate, şi unde sunt stocate şi procesate. De asemenea, cetăţenii europeni vor putea obţine, gratuit, copii în format electronic privind datele persoale care au fost colectate, practică asemănătoare descărcării istoricului personal de la Google sau Facebook.

De asemenea, regulamentul extinde „dreptul de a fi uitat”: orice persoană va putea cere companiilor să şteargă datele care o vizează, inclusiv în cazul în care informaţiile au fost diseminate către terţi.

O altă obligaţie nouă pentru companii este comunicarea permanentă cu autorităţile de protecţie a datelor din statele membre şi, în cazul organizaţiilor care procesează volume mari de date personale, înfiinţarea unui departament de protecţie a datelor condus de un director de protecţie a datelor (data protection officer – DPO).

Aceste prevederi principale şi restul drepturilor, obligaţiilor şi procedurilor din noul regulament de protecţie a datelor din UE ar putea genera costuri semnificative pentru compani şi a stimulat deja dezvoltarea unui ecosistem de firme de consultanţă care oferă sprijin contra-cost companiilor în implementarea noilor reglementări.

Comisia Europeană estimează însă că regulamentul va genera reduceri de cheltuieli de 2,3 miliarde de euro pe an pentru companii, deoarece va omogeniza legislaţia de resort din toate statele membre UE. În prezent, fiecare stat UE are propria lege pentru protecţia datelor cu caracter personal.

Regulamentul General pentru Protecţia Datelor va schimba felul în care companiile pot folosi şi procesa datele personale pe care le adună despre clienţii şi angajaţi. Cel mai mare impact va fi probabil resimţit de industria de publicitate online, dependentă în mare măsură de procesarea datelor privind obiceiurile de navigare pe internet, interesele utilizatorilor şi profilul lor demografic.

Datele care intră sub incidenţa regulamentului sunt împărţite în două categorii: date personale, care se referă la informaţii de identificare – nume, adresă, adresă IP etc.; date personale sensibile: convingeri politice şi religioase, orientare sexuală, informaţii medicale. Astfel de informaţii sunt deja protejate de legile naţionale de protecţie a datelor şi de vechea directivă UE, însă regulamentul aduce ca noutate protejarea datelor colectate anonim sau sub pseudonim.