Autoritățile își asumă riscuri în materia GDPR prin folosirea WhatsApp. RAPORT al Autorității naționale de supraveghere

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) avertizează autoritățile și instituțiile publice asupra riscurilor privind utilizarea WhatsApp. 

În raportul de activitate aferent anului 2022, autoritatea subliniază necesitatea respectării GDPR și a menționat cazul Cambridge Analytica ca exemplu de riscuri în folosirea aplicațiilor de acest tip.

„Unele autorități și instituții publice (inclusiv poliții locale) au solicitat autorității naţionale de supraveghere opinia privind utilizarea mijloacelor de comunicare între aceste autorități/instituții atât cu cetățenii, cât și în cadrul acestora, între angajați, prin intermediul telefonului personal sau prin aplicația WhatsApp.

Având în vedere principiul responsabilității operatorilor (în speță, autorități/instituții publice), autoritatea națională de supraveghere a subliniat că prelucrarea datelor fără luarea și respectarea măsurilor tehnice și organizatorice adecvate riscului prelucrării poate aduce o atingere gravă dreptului la viață privată și la protecția datelor persoanelor fizice, prin raportare la principiile de prelucrare, în special al legalității și al asigurării confidențialității și securității prelucrării datelor”, se precizează în raportul ANSPDCP.

Potrivit autorității, având în vedere natura datelor prelucrate de către o instituție publică, este necesară respectarea obligaţiilor stabilite de prevederile legale din Regulamentul (UE) 2016/679 – privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special a măsurilor privind confidenţialitatea și securitatea datelor.

Riscuri de securitate de care autoritățățile publice trebuie să țină cont

„Ca atare, la evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

Măsurile au în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării”, se mai precizează în raportul ANSPDCP.

Autoritatea națională de supraveghere susține că instituțiile publice, în calitate de operatori, au obligația de a pune în aplicare măsurile tehnice şi organizatorice adecvate care, dacă este necesar, se revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu Regulamentul (UE) 2016/679.

De asemenea, potrivit art. 29 din Regulamentul (UE) 2016/679, orice persoană care acţionează sub autoritatea operatorului care are acces la date cu caracter personal (de ex. angajații) nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru.

Scandalul „Cambridge Analytica” și o amendă uriașă pentru WhatsApp în Irlanda

„Raportat la asigurarea conformității operațiunilor de prelucrare de către WhatsApp Irlanda, această companie a fost supusă investigației Autorității naţionale de supraveghere irlandeze, constatându-se încălcarea principiului transparenței consacrat de articolul 5 alin. (1) lit. a) din Regulamentul (UE) 2016/679 și, implicit, a dreptului la informare a persoanelor vizate situate pe teritoriul mai multor state membre, stabilindu-se o sancțiune cu amendă semnificativă în acest sens (225 mil. Euro).

Totodată, din aceeași investigație, a rezultat faptul că <WhatsApp face schimb de informații cu companiile Facebook>, iar pentru evitarea unor cazuri similare celui în care a fost implicat Facebook (Cambridge Analytica) este necesară asigurarea unei protecții reale a datelor persoanelor fizice, prin adoptarea măsurilor adecvate.

Ca atare, s-a comunicat că modalitatea de comunicare a datelor aleasă de către unele instituții publice în îndeplinirea atribuțiilor legale, respectiv prin intermediul telefonului personal sau prin aplicația WhatsApp, ridică problema conformității prelucrării sub aspectul legalității și proporționalității prelucrării, prevăzute de art. 5 și 6 din Regulamentul (UE) 2016/679”, se mai precizează în raportul ANSPDCP.

sursa: dataprotection.ro