Amendă GDPR record acordată fiscului bulgar

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

Cel mai mare furt de date din Balcani (așa cum l-am numit în articolul din iulie) s-a lăsat și cu cea mai mare sancțiune financiară din zona balcanică, fiind totodată cea mai mare amendă primită de o autoritate publică din Uniunea Europeană, pentru neasigurarea protecției corespunzătoare a datelor personale.

Mai mult, aceasta este oficial cea de-a doua amendă ca valoare din UE, după intrarea în vigoare a GDPR-ului. Am folosit termenul „oficial” pentru că cele două amenzi de proporții astronomice pe care ICO le-a propus în urma analizelor breșelor de securitate suferite de Marriott International (110 milioane €) și British Airways (230 milioane €) se vor poziționa în fruntea clasamentului la nivelul Uniunii Europene odată ce ICO va lua o decizie finală asupra valorii sancțiunilor după consultarea celorlalte părți implicate în aceste anchete.

Sancțiune de 5,1 milioane de leva (aproximativ 2,6 milioane de euro)

Autoritatea bulgară pentru protecția datelor cu caracter personal a publicat un comunicat prin care a anunțat sancțiunea de 5,1 milioane de leva (aproximativ 2,6 milioane de euro) acordată Agenției Naționale a Veniturilor (echivalentul ANAF-ului nostru) pentru încălcarea care a dus la furtul datelor cu caracter personal de aproximativ 4,1 milioane de persoane (contribuabili), un procent considerabil din totalul de 7 milioane de locuitori ai Bulgariei.

În comunicat se arată că amenda a fost acordată pentru încălcarea art. 32 alin. (1) lit. (b) din Regulamentul (UE) 2016/679, în vederea unei încălcări a datelor privind accesul neautorizat, divulgarea neautorizată și difuzarea datelor cu caracter personal ale persoanelor fizice din bazele de date a agenției.

Pe langa amenda, autoritatea bulgară a impus o serie de măsuri ce vor trebui implementate de administrația fiscală bulgară în următoarele 6 luni:

– îmbunătățirea protecției procesării datelor cu caracter personal în serviciile electronice oferite cetățenilor (aplicații);

– efectuarea analizei de risc a sistemelor și operațiunilor de procesare, inclusiv a normelor și obligațiilor funcționale stabilite pentru prelucrarea fiecărui sistem informațional;

– efectuarea evaluărilor de impact în cazul identificării „riscului ridicat” pentru fiecare sistem și a măsurilor corespunzătoare care trebuie luate;

– efectuarea unei evaluări de impact la lansarea inițială a noilor sisteme de informații și aplicații.

Oficialii bulgari au declarat că instituțiile publice din Bulgaria nu cheltuiesc suficient pentru securitatea cibernetică. Unii experți care au examinat datele fiscale furate spun că tehnicile utilizate în atac au fost relativ de bază și au indicat lipsa unei protecții adecvate a datelor.

De ce ar trebui să ne îngrijoreze breșa de securitate din Bulgaria? 

Nu este un secret fragilitatea sistemului informatic al ANAF-ului nostru. Acesta a clacat de mai multe ori de-a lungul timpului făcând imposibilă accesarea „Spațiul Privat Virtual” (SPV).

„În prezent, portalul ANAF generează erori de accesare, deoarece resursele TIC disponibile sunt suprasolicitate. Se identifică soluții de utilizare optimă a tuturor resurselor”, afișa pagina ANAF prin februarie 2019.

Un articol DIGI24 publicat anul trecut trăgea un semna de alarma asupra faptului ca sistemul IT al ANAF pică aproape zilnic, deoarece funcționează la o capacitate de 99,99%. Curtea de Conturi a atras atunci atenția Guvernului că sistemul e foarte vechi și poate ceda în orice moment. Actualul sistem informatic al ANAF datează din 1998, când au fost cumpărate primele servere și sisteme de stocare a informației de la IBM, cel care a pus în funcțiune sistemul și l-a întreținut până în 2016. Din 2016, IBM a refuzat să mai asigure mentenanța sistemului IT după ce ANAF ar fi folosit licențe fără să plătească.

„Nu avem sediu, nu avem mentenanță, nu avem upgradările făcute, avem litigiu cu IBM-ul, am blocat proiectul cu Banca Mondială”, declara la acel moment Gelu Diaconu, fost președinte al ANAF.

Judecând după toate acestea, oare cât de mare este riscul ca noi să călcăm pe urme vecinilor bulgari?  Noi nu ne întrebăm DACĂ, ci mai degrabă ne întrebăm CÂND?!?

De ce autoritățile publice din România nu fac din protecția datelor o prioritate? Cât de reală este o astfel de amendă ?

Cele 2,6 milioane de euro cu care a fost sancționată agenția bulgară pot părea o sancțiune mică raportată la dimensiunea și sensibilitatea datelor care au fost sustrase, însă ,dacă ne raportăm la maximul amenzilor pe care autoritățile din România le riscă, acea amendă capătă proporții astronomice. Să nu uităm și că o amendă aplicată unei autorități nu aduce practic sume suplimentare la bugetul statului, fiind doar mutate sume dintr-un capitol bugetar în altul.

Conform legislației românești, pentru încălcarea art. 32 din GDPR, cum a fost cazul în Bulgaria, amenda prevăzută de Legea nr. 190 din 18 iulie 2018 este de 10.000 lei până la 100.000 lei (prima treaptă valorică). Practic a fost introdusă această derogare de la regimul juridic al contravențiilor (O.U.G. nr. 2/2001) prin care autoritățile publice din România beneficiază de un tratament special, atât de special încât am putea să îl considerăm profund discriminatoriu. Mai exact, amenda maxima pe care o institutie publica din România o poate primi este de 200.000 lei, adică puțin peste 40.000 euro iar asta pentru încălcări a regulamentului pentru care o societate privată risca un maxim de 4% sau 20.000.000 euro. Asta da interpretare a principiului proporționalității.

Mai mult, în cazul unei breșe (asta doar dacă nu se poate ascunde existența acesteia) sancționată este instituția, care de altfel va marja pe ideea ca nu a avut buget pentru asigurarea securității datelor. Dar oare este normal să fie sancționată instituția atâta timp cât deciziile aparțin managementului instituției respective? Poate preluarea modelului din Republica Moldova ne-ar ajuta să rezolvăm această dilemă. Mai exact, în Republica Moldova responsabilitatea privind respectarea cerințelor de protecție a datelor aparține factorilor de decizie, aceștia fiind direct sancționabili.