La data de 27 aprilie 2023, în cauza C-340/21, VB împotriva Natsionalna agentsia za prihodite, Avocatul General Pitruzzella a prezentat concluziile sale cu privire la interpretarea unor texte din Regulamentul GDPR privitoare, inter alia, la responsabilitatea operatorului privind implementarea normelor GDPR, răspunderea și exonerarea de răspundere pentru atacurile cibernetice și evaluarea prejudiciului moral.
Litigiul principal a luat naștere în Bulgaria. La 15 iulie 2019, mass‑media bulgară a relatat că a avut loc un acces neautorizat la sistemul informatic al Natsionalna agentsia za prihodite (Agenția Națională a Veniturilor Publice, Bulgaria) și că au fost publicate pe internet diferite informații fiscale și legate de asigurări sociale referitoare la milioane de persoane, atât cetățeni bulgari, cât și străini. Mai multe persoane au acționat în instanță Agenția Națională a Veniturilor Publice pentru repararea prejudiciului moral. Una dintre instanțele din Bulgaria a trimis cauza la Curtea de Justiție a Uniunii Europene (CJUE) pentru a oferi răspunsuri cu privire la modul de interpretare al Regulamentului GDPR. Întrebările preliminare au vizat, printre altele, următoarele aspecte: responsabilitatea operatorului privind implementarea unor măsuri adecvate pentru protecția datelor cu caracter personal, răspunderea și exonerarea de răspundere pentru atacuri cibernetice și evaluarea prejudiciului moral.
Concluziile Avocatului General – pe scurt
Avocatul General a explicat faptul că simpla existență a unui incident de securitate nu este suficientă pentru a concluziona că măsurile tehnice și organizatorice implementate de operator nu au fost «adecvate» pentru a asigura protecția datelor în cauză. Potrivit Avocatului General, măsurile pentru implementarea GDPR nu trebuie să fie perfecte, ci să fie proporționale cu soluțiile pe care trebuie le oferă stadiul actual al științei, tehnicii, tehnologiei și cercetării. Mai mult, Avocatul General a subliniat că aceste măsuri trebuie să fie proporționale și cu costurile implementării.
Implementează GDPR și evită amenzile!
Astfel, operatorul trebuie să găsească un echilibru între asigurarea protecției datelor cu caracter personal, pe de o parte, și interesele economice și capacitatea tehnologică a operatorului, pe de altă parte. Avocatul General afirmă faptul că „aprecierea caracterului adecvat al unor astfel de măsuri trebuie să se bazeze pe o evaluare comparativă între interesele persoanei vizate, care tind, în general, să se situeze la un nivel mai ridicat de protecție, și interesele economice și capacitatea tehnologică a operatorului, care uneori tind să se situeze la un nivel de protecție mai scăzut. Această evaluare comparativă trebuie să respecte cerințele principiului general al proporționalității”.
Avocatul General explică faptul că, deși operatorul are libertatea de a-și implementa propriile măsuri pentru respectarea Regulamentului GDPR, aceste măsuri trebuie să fie adecvate și să fie revizuite și actualizate în mod constant. El subliniază că simpla aderare la coduri de conduită sau măsuri de certificare nu este suficientă deoarece operatorului îi revine sarcina de a dovedi că a luat efectiv măsurile pe care acesta le prevede, în conformitate cu principiul responsabilității. Atunci când evaluează caracterul adecvat al măsurilor tehnice și organizatorice implementate de operatorul de date cu caracter personal, instanțele naționale sesizate trebuie să efectueze un control care să cuprindă o analiză concretă atât a conținutului acestor măsuri, cât și a modului în care au fost implementate și a efectelor practice ale acestora.
În privința atacurilor cibernetice săvârșite de terți, Avocatul General precizează că operatorul poate fi exonerat de răspundere dacă dovedește că nu este în niciun fel răspunzător pentru acea breșă de securitate. Pentru a nu fi răspunzător, operatorul trebuie să dovedească că a depus toate mijloacele pentru a asigura respecta GDPR și pentru a asigura securitatea sistemelor informatice. Împrejurarea că incidentul de securitate a fost cauzat de o persoană aflată în afara controlului său nu îl exonerează automat de răspundere pe operator. Operatorul trebuie să demonstreze și că și-a respectat obligațiile de diligență conform principiului responsabilității.
În privința prejudiciilor morale, Avocatul General explică faptul că, pentru acordarea unor despăgubiri, persoana vizată trebuie să demonstreze că a suferit în mod individual un prejudiciu emoțional real și cert.
Te-ar putea interesa și: