Ce este o încălcare a securității datelor cu caracter personal?

O încălcare a securității datelor cu caracter personal este definită la articolul 4 din Regulamentul general privind protecția datelor (GDPR) ca “distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal” (Regulamentul (UE) 2016/679). Analiza incidentelor recente evidențiază faptul că încălcările pot apărea atât prin erori neintenționate, cât și prin atacuri deliberate. Vectorii comuni includ:

• Atacuri de tip phishing: Exploatarea încrederii utilizatorilor pentru a obține acces neautorizat.
• Infecții cu malware: Compromiterea sistemelor pentru a extrage sau a manipula date.
• Eroare umană: Partajarea sau expunerea accidentală a datelor prin e-mail sau prin stocare în cloud configurată greșit.

GDPR impune la articolul 33 ca operatorii de date trebuie să raporteze orice încălcare autorității de supraveghere competente în termen de 72 de ore de la luarea la cunoștință a acesteia. Nerespectarea poate duce la amenzi administrative semnificative.

Constatările cheie din cercetarea empirică demonstrează impactul încălcărilor de date asupra organizațiilor și persoanelor fizice:

• Pierderi financiare: Costul mediu al unei încălcări de date în 2023 a fost estimat la 4,45 milioane de dolari pe incident (IBM, 2023).
• Prejudiciu de reputație: Organizațiile se confruntă cu o scădere a încrederii și cu o deteriorare a imaginii de marcă în urma unei încălcări.
• Prejudiciu psihologic adus persoanelor vizate: Victimele raportează o anxietate crescută și o pierdere a controlului asupra datelor cu caracter personal.

În special, cerința de raportare prevăzută la articolul 33 a dus la o creștere a notificărilor de încălcare în întreaga UE, cu peste 160.000 de încălcări raportate în primii doi ani de la aplicarea GDPR (Comitetul European pentru Protecția Datelor, 2020). Cu toate acestea, persistă lacune în ceea ce privește detectarea și raportarea la timp, în special în rândul întreprinderilor mici și mijlocii.

În concluzie, încălcarea securității datelor cu caracter personal este un concept complex care cuprinde accesul, pierderea sau divulgarea neautorizată a datelor cu caracter personal din cauza unor erori umane și tehnice. Cadrul de reglementare (articolele 4 și 33 din GDPR) pune accentul pe raportarea rapidă și pe responsabilitate, însă provocările practice în materie de detectare, prevenire și atenuare persistă. Aceste constatări se aliniază cu peisajul în evoluție al amenințărilor și subliniază necesitatea continuă de controale organizaționale solide și de conștientizare a utilizatorilor.