Securitatea cibernetică și GDPR – de ce se poate lăsa cu amenzi usturătoare. Detaliile pe care mulți români nu le cunosc

Într-o lume din ce în ce mai digitalizată, Regulamentul General privind Protecția Datelor (GDPR) și securitatea cibernetică sunt două elemente esențiale care, atunci când sunt neglijate, pot aduce sancțiuni financiare serioase. Mulți români încă nu sunt conștienți de responsabilitățile concrete pe care le implică prelucrarea datelor personale și riscurile majore generate de breșele de securitate.

În realitate, nu doar marile companii sunt vizate de aceste reguli stricte, ci orice entitate care procesează date personale, de la firme mici de contabilitate la platforme de e-commerce sau chiar site-uri de facturare online.

Amenzile pentru lipsa măsurilor de securitate sunt din ce în ce mai dure

Un exemplu recent și relevant este cel al unei companii de facturare online, sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu aproximativ 20.000 de euro. Firma a fost victima unui atac cibernetic, iar în urma investigațiilor s-a constatat că nu implementase măsuri suficiente de protecție a bazei de date.

Atacatorii au accesat informații personale extrem de sensibile, precum nume, adrese, CNP-uri și date bancare ale clienților. Această situație a evidențiat lipsa procedurilor de jurnalizare a accesului, a testării periodice a sistemelor de securitate și a realizării de backup-uri regulate, obligații impuse clar de GDPR.

Un alt caz notabil a implicat o firmă de contabilitate, sancționată cu 10.000 de euro pentru că a transmis prin WhatsApp un tabel cu parole de acces în platforma Revisal. Pe lângă amenda semnificativă, compania a fost obligată să schimbe toate credențialele de acces ale entităților afectate, implicând costuri suplimentare și pierdere de timp.

Aceste spețe demonstrează că simpla expunere accidentală sau intenționată a datelor personale poate atrage nu doar amenzi, ci și măsuri corective costisitoare, care afectează reputația și funcționarea unei afaceri.

Ce spune Curtea de Justiție a Uniunii Europene despre responsabilitatea operatorilor

O decizie recentă a Curții de Justiție a Uniunii Europene (CJUE) clarifică un aspect important: faptul că o breșă de securitate cauzată de un atac extern nu exonerează automat operatorul de responsabilitate. Instanțele trebuie să analizeze concret dacă măsurile de securitate aplicate de operator au fost adecvate riscurilor.

În cazurile în care operatorul nu poate dovedi că a luat toate măsurile rezonabile de protecție, răspunderea este reținută, chiar dacă atacul cibernetic a fost inițiat de un terț. Mai mult, CJUE a stabilit că simpla teamă justificată a utilizării abuzive a datelor constituie un prejudiciu moral și poate atrage despăgubiri.

Prin urmare, implementarea măsurilor de securitate nu mai este doar o recomandare bună, ci o obligație legală fermă. Lipsa unor proceduri clare de protecție, monitorizare și reacție rapidă la incidente poate costa enorm, indiferent de dimensiunea companiei.

În concluzie, este esențial să fii conștient că atât protecția datelor, cât și securitatea cibernetică nu mai sunt opționale. Evaluarea riscurilor, testarea periodică a sistemelor și educarea angajaților devin măsuri de bază dacă vrei să eviți amenzi usturătoare și probleme juridice grave.