Bucuresti - 19 ianuarie 2021
-
• Amenzi în valoare de 158,5 milioane Euro aplicate începând cu 28 ianuarie 2020, o creștere de 39 % față de perioada precedentă de 20 de luni de la intrarea în vigoare a RGPD
• Creștere de două cifre a notificărilor privind încălcările securității datelor pentru al doilea an consecutiv, cu 121.165 încălcări notificate începând cu 28 ianuarie 2020 față de 101.403 încălcări notificate în anul anterior - o creștere de 19%
• Romania a aplicat amenzi în valoare totală peste 650.000 Euro de la intrarea în vigoare a RGPD
• Danemarca este în fruntea clasamentului pentru notificările privind încălcarea datelor, raportat la numărul de locuitori
• Italia a impus cele mai mari amenzi ca valoare totală, iar Franța a aplicat cea mai mare amendă individuală până în prezent
Amenzi în valoare de 272.5 milioane Euro (aproximativ 332,4 milioane USD/245,3 milioane GBP) au fost aplicate unei game variate de încălcări ale legislației europene stricte privind protecția datelor, potrivit societății internaționale de avocatură DLA Piper. Această cifră este preluată din cel mai recent raport anual al societății privind amenzile aplicate în baza Regulamentului general privind protecția datelor (RGPD) și încălcări ale securității datelor din cele 27 state membre ale Uniunii Europene plus Regatul Unit, Norvegia, Islanda și Liechtenstein.
Autoritatea de reglementare din Italia se află în fruntea clasamentului cu o valoare totală a amenzilor ce depășește 69,3 milioane Euro (aproximativ 84,5 milioane USD/62,4 milioane GBP) de la intrarea în vigoare a RGPD la 25 mai 2018. Germania și Franța se situează pe locul al doilea și al treilea, cu o valoarea totală a amenzilor de 69,1 milioane Euro și, respectiv, 54,4 milioane Euro.
În total, au existat mai mult de 281.000 de notificări privind încălcarea securității datelor de la intrarea în vigoare a RGPD la 25 mai 2018, Germania (77.747), Olanda (66.527) și Marea Britanie (30.536) fiind în fruntea tabelului în funcție de numărul de încălcări ale securității datelor notificate autorităților de reglementare. Franța și Italia, țări cu o populație ce depășește 67 milioane și, respectiv, 62 de milioane de locuitori, au consemnat doar 5389 și 3460 notificările privind încălcarea securității datelor pentru aceeași perioadă, fapt ce ilustrează diferențele culturale în abordarea notificării privind încălcarea securității datelor.
Rata zilnică totală de notificări privind încălcarea securității datelor în Europa a cunoscut o creștere de două cifre pentru al doilea an consecutiv, cu 331 de notificări pe zi începând cu 28 ianuarie 2020, o creștere de 19 % comparativ cu 278 de notificări pe zi pentru anul anterior.
Analizând rezultatele în funcție de numărul de locuitori, Danemarca ocupă primul loc anul acesta înaintea Olandei, cu 155,6 și, respectiv, 150 de încălcări raportate la 100.000 de persoane. Irlanda se află pe locul trei cu 127,8 încălcări raportate la 100.000 de persoane. Grecia, Italia și Croația au raportat cel mai mic număr de încălcări pe cap de locuitor de la 28 ianuarie 2020.
Cea mai mare amendă aplicată în baza RGPD până în prezent rămâne cea de 50 de milioane Euro (aproximativ 61 milioane USD/45 milioane GBP) aplicată companiei Google de autoritatea de reglementare a protecției datelor cu caracter personal din Franța, pentru presupuse încălcări ale principiului transparenței și lipsa consimțământului valabil.
În urma a două importante încălcări ale securității datelor, autoritatea britanică pentru protecția datelor (UK Information Commissioner’s Office - ICO) a publicat în iulie 2019 două notificări privind intenția de a aplica amenzi în valoare totală de 282 milioane GBP (aproximativ 313 milioane Euro/382 milioane USD). Cu toate acestea, autoritatea de reglementare din Regatul Unit și-a retras poziția, aplicând în cele din urmă, în octombrie 2020, amenzi reduse la 20 milioane GBP (aproximativ 22,2 milioane Euro/27,1 milioane USD) și 18,4 milioane GBP (aproximativ 20,4 milioane Euro/25 milioane USD). Autoritatea de supraveghere din Austria a suferit o înfrângere considerabilă când amenda în valoare de 18 milioane Euro aplicată (aproximativ 16,2 milioane GBP/22 milioane USD) a fost contestată cu succes în decembrie 2020.
Comentând raportul, Ross McKean, președintele grupului privind protecția și securitatea datelor din cadrul DLA Piper din Marea Britanie, a declarat: „Amenzile și notificările privind încălcările își continuă creșterea anuală de două cifre, iar autoritățile de reglementare europene și-au arătat dorința de a pune în aplicare atribuțiile de executare pe care le dețin. De asemenea, au adoptat și unele interpretări extrem de stricte ale RGPD conturând cadrul pentru disputele aprinse din anii ce vor urma. Cu toate acestea, s-a putut constata și un grad de clemență a autoritățile de reglementare în acest an ca răspuns la pandemia în desfășurare, unele amenzi importante fiind reduse ca urmare a dificultăților financiare. În anul ce va urma, anticipăm primele măsuri de aplicare a restricțiilor RGPD privind transferurile de date cu caracter personal către SUA și alte „țări terțe”, pe măsură ce urmările hotărârii pronunțate de cea mai înaltă instanță europeană în cazul Schrems II sunt încă resimțite."
Irina Macovei, Counsel în cadrul DLA Piper Dinu SCA, a declarat ”Analizând sancțiunile aplicate, putem conchide că autoritățile de supraveghere din statele membre pun accent pe aspecte diferite din materia protecției datelor cu caracter personal. Pentru România și ANSPDCP, incidentele de securitate au fost și rămân un punct de mare interes, de aceea operatorii trebuie să fie diligenți în măsurile tehnice și organizatorice pe care le implementează dar și în reacția după un incident”.
N.B. Nu toate statele membre din Spațiul Economic European publică detalii ale statisticilor privind notificarea încălcărilor. Unele state membre au pus la dispoziție statistici incomplete sau statistici pentru o parte din perioada inclusă în acest raport, astfel încât cifrele au fost rotunjite și, în unele cazuri, extrapolate pentru a oferi cele mai bune aproximări. În mod similar, nu toate amenzile RGPD sunt raportate public și unele date au acoperit doar o parte din perioada inclusă în acest raport.
Despre DLA Piper
DLA Piper este o firmă internaţională de avocatură cu birouri în peste 40 de ţări din America de Nord și de Sud, Europa, Orientul Mijlociu, Africa și regiunea Asia Pacific, care oferă servicii de asistență juridică pentru clienţii săi din întreaga lume. În anumite jurisdicții, aceste informații pot fi considerate publicitate pentru servicii juridice. dlapiper.com
Contact
Peter Otero, PR Manager, DLA Piper, tel +44 207 153 7617 e-mail: peter.otero@dlapiper.com
EUR272.5 million in fines imposed by European regulators under GDPR - Survey by international law firm DLA Piper
• EUR158.5 million of fines imposed since 28 January 2020, a 39% increase on the previous 20 month period since the application of GDPR
• Double digit growth for breach notifications for the second year running with 121,165 breaches notified since 28 January 2020 compared to 101,403 breaches notified in the previous year – a 19% increase
• Romania imposed fines in total value of more than EUR650,000 since the application of GDPR
• Per capita Denmark tops the rankings for data breach notifications
• Italy has imposed the highest aggregate fines with France imposing the highest individual fine to date
• Regulators have not had everything their own way this year with several multi-million euro fines being successfully appealed or significantly reduced
EUR272.5 million (about USD332.4 million / GBP245.3 million) of fines have been imposed for a wide range of infringements of Europe’s tough data protection laws according to international law firm DLA Piper. The figure is taken from the law firm’s latest annual General Data Protection Regulation (GDPR) fines and data breach report of the 27 European Union Member States plus the UK, Norway, Iceland and Liechtenstein.
Italy’s regulator tops the rankings for aggregate fines having imposed more than EUR69.3 million (about USD84.5 million / GBP 62.4 million) since the application of GDPR on 25 May 2018. Germany and France came second and third with aggregate fines of EUR69.1 million and EUR54.4 million respectively.
In aggregate there have been more than 281,000 data breach notifications since the application of GDPR on 25 May 2018 with Germany (77,747), The Netherlands (66,527) and the UK (30,536) topping the table for the number of data breaches notified to regulators. France and Italy, countries with populations over 67 million and 62 million people respectively, only recorded 5389 and 3460 data breach notifications for the same period illustrating the cultural differences in approach to breach notification.
The aggregate daily rate of breach notifications in Europe experienced double digit growth for the second year running with 331 notifications per day since 28 January 2020, a 19% increase compared to 278 breach notifications per day for the previous year.
Weighting the results against country populations, Denmark takes pole position this year ahead of The Netherlands with 155.6 and 150 reported breaches per 100,000 people respectively. Ireland is in third place with 127.8 reported breaches per 100,000 people. Greece, Italy and Croatia reported the fewest number of breaches per capita since 28 January 2020.
The highest GDPR fine to date remains the EUR50 million (about USD61 million / GBP45 million) imposed by the French data protection regulator on Google, for alleged infringements of GDPR’s transparency principle and lack of valid consent.
Following two high profile data breaches, the UK Information Commissioner’s Office (ICO) published two notices of intent to fine in July 2019 totaling GBP282 million (about EUR313 million / USD382 million). However in a significant climbdown by the UK regulator, the final fines imposed in October 2020 were greatly reduced to GBP20 million (about EUR22.2 million / USD27.1 million) and GBP18.4 million (aboutEUR20.4 million /USD25 million). The Austrian supervisory authority suffered a setback when its EUR18 million fine (about GBP16.2 million / USD22 million) was successfully appealed in December 2020.
Commenting on the report, Ross McKean, Chair of DLA Piper’s UK Data Protection & Security Group, said: "Fines and breach notifications continue their double digit annual growth and European regulators have shown their willingness to use their enforcement powers. They have also adopted some extremely strict interpretations of GDPR setting the scene for heated legal battles in the years ahead. However we have also seen regulators show a degree of leniency this year in response to the ongoing pandemic with several high profile fines being reduced due to financial hardship. During the coming year we anticipate the first enforcement actions relating to GDPR’s restrictions on transfers of personal data to the US and other “third countries” as the aftershocks from the ruling by Europe’s highest court in the Schrems II case continue to be felt."
Irina Macovei, Counsel at DLA Piper Dinu SCA, said "Looking at the sanctions applied, we can conclude that the supervisory authorities of the Member States focus on different aspects of personal data protection. For Romania and ANSPDCP, the security incidents were and remain a point of great interest, therefore the operators must be diligent in the technical and organizational measures they implement but also in the reaction after an incident."
N.B. Not all Member States of the European Economic Area make details of breach notification statistics publicly available. Several have only provided incomplete statistics or statistics for part of the period covered by this report so the figures have been rounded up and in some cases extrapolated to provide best approximations. Similarly not all GDPR fines are publicly reported and some data only covered part of the period covered by this report.
About DLA Piper
DLA Piper is a global law firm with lawyers located in more than 40 countries throughout the Americas, Europe, the Middle East, Africa and Asia Pacific, positioning us to help clients with their legal needs around the world. In certain jurisdictions, this information may be considered attorney advertising. dlapiper.com
Contact
Peter Otero, PR Manager, DLA Piper, tel, +44 207 153 7617 email: peter.otero@dlapiper.com
Comunicat de presă furnizat și asumat de DLA Piper
.
Cuvinte cheie:
DLA Piper Regulamentul general privind protecția datelor Ross McKean Schrems II Irina Macovei ANSPDCP Spațiul Economic European