Opinii

Octombrie acest an a fost una dintre cele mai intense si interesante pentru Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), cel putin din perspectiva amenzilor aplicate. Dintr-o lista mai lunga, din care au rezultat aproape 43.000 euro colectati in urma amenzilor aplicate, cele mai multe companii sanctionate provin din sectorul energetic. Controalele Autoritatii au vizat in mod special acest domeniu al economiei, avand semnale despre posibila neconformare care, in buna masura s-au dovedit a fi reale. Astfel, se explica de ce peste 70% din valoarea totala a amenzilor a provenit din aceasta zona de activitate. Un nivel-record al cuantumului amenzii l-a avut E.On Energie, cu peste 25.000 euro cuantum al amenzii aplicate pentru neconformitate GDPR. De asemenea, apare si Hidroelectrica, cu o suma de cinci ori mai mica, e drept, dar semnalul este ca sunt aspecte de revizuit in ambele cazuri pe partea conformarii cu regulile GDPR in vigoare.

Din comunicarea oficiala a Autoritatii reiese un aspect comun de neconformitate, ce pare, de altfel, a fi specific organizatiilor mari, care lucreaza si prelucreaza volume ridicate de date si au sisteme IT complexe. Vorbim in primul rand despre lipsuri in procedurile de filtrare si utilizare a bazelor de clienti, fie si numai daca luam in consderare faptul ca s-a constatat transmiterea unor date personale ale clientilor catre alte persoane. Chiar daca acest lucru s-a intamplat fara o intentie oneroasa ca atare, a fost evident ca procesele de validare si filtrare nu sunt inca bine puse la punct, iar operatorii nu s-au asigurat, prin suficiente controale interne, ca vor preveni accesul neautorizat la datele clientilor sau transmiterea eronata de informatii personale catre terti. In al doilea rand, dar nu mai putin important , s-au constatat intarzieri nejustificate ale notificarilor privind incidentele de Securitate , unele dintre acestea nefiind raportate in termenul de 72 de ore, incalcand art. 33 din Regulamentul GPDR. De unde rezulta o alta problema de procedura interna si instruire a personalului, mai ales in companiile mari cu procese decizionale fragmentate. In fine, putem adauta si lipsa unei evaluari corespunzatoare a riscurilor de neconformare, i ata, mai putin sau deloc luata in considerare.

Cum ar trebui abordat GDPR-ul in companiile din energie, si am luat ca exemplu acest sector pentru ca poate fi reprezentativ pentru alte organizatii care lucreaza si prelucreaza volume mari de date, despre clienti, persoane fizice si juridice deopotriva,

Regulamentul GDPR, tratat inteligent, ca un instrument de protectie si de respectare a dreptului celor carora li se utilizeaza datele, nu trebuie privit ca un obstacol, ci ca o infrastructura de incredere care permite parteneriate de date mai sigure (cu traderi, distribuitori, platforme digitale), care creste valoarea perceputa de clienti (prin transparenta si responsabilitate) si reduce costurile viitoare cu potentiale brese de securitate, sanctiuni, amezi si litigii ulterioare. Necesitatea unei analize proactive de risc asupra prelucrarilor de date si a fluxurilor intre sistemele informatice se impune de la sine, dar Autoritatea a reiterat acest aspect de fiecare data. Sectorul energetic, prin natura sa - cu retele distribuite, contorizare inteligenta si numeroase interfete digitale - este expus in mod particular riscurilor de confidentialitate. Si asemenea acestuia, si alte sectoare economice care, prin definitie, lucreaza cu baze mari de date.

Conformarea minimala, ar putea fi realizata, in opinia mea, urmand acesti pasi:

Integrare in guvernanta - adica, include DPO-ul in board sau in comitetul de risc, trateaza conformitatea GDPR ca parte a sustenabilitatii corporative (ESG) - S din ESG include protectia datelor si increderea digital - si defineste indicatori de performanta (KPI GDPR) clari, precum timp de reactie la incident, nivel conformitate training, numar de accesari neautorizate prevenite etc.

Automatizare si date etice , care s-ar traduce prin automatizarea fluxurile de consimtamant si drepturi (drept de acces, stergere etc.) - acestea devin parte din experienta clientului, nu un disconfort birocratic. Obligatoriu de implementat privacy by design in proiectele de digitalizare energetica (smart grid, IoT, aplicatii client). De asemenea, se impune crearea unui set intern de principia ("Data Ethics Charter"), care depaseste cerinta legala, definind modul in care compania foloseste si protejeaza datele

Educatie si cultura interna - aici vorbim despre o serie de masuri, care pot fi aplicate in dinamica, prin care, practic, formarea GDPR devine un program de constientizare continua, cu exemple din realitatea companiei, nu doar teoretic, prin articole de lege. Sigur ca si performanta personalului din front-office poate fi legata de respectarea procedurilor de protectie a datelor.

Alte masuri interne, prin care angajatii sa fie angrenati in respectarea regulilor pot merge de la a avea "ambasadori GDPR" in fiecare divizie operationala (energie, comercial, IT, HR), pana la comunicarea constanta a conformarii ca valoare reputationala si utilizarea conformarii ca instrument de marketing strategic. Apoi, publicarea rapoarte de transparenta privind incidentele gestionate si imbunatatirile aduse devine, in acest context, esentiala, astfel incat, cu tot acest pachet de masuri bine aplicate intern, compania se poate pozitia drept lider de incredere digitala in energie - real diferentiator in contextul liberalizarii pietei.

Nota bene, am spune ca sectorul energetic are un profil unic de risc: date voluminoase, sisteme SCADA/IoT, infrastructuri critice, retele distribuite si o amprenta IT complexa. Articolul 32 din Regulamentul GDPR cere "masuri tehnice si organizatorice adecvate riscului". In energie, "adecvate" inseamna proportionale cu impactul potential asupra continuitatii serviciului si asupra datelor clientilor.

Masurile tehnice recomandate ar fi:

a) Securitate la nivel de infrastructura , care se refera, in principal, la segmentarea retelelor IT/OT (SCADA vs. corporate) - izolarea fizica si logica intre sistemele de control industrial si reteaua de birouri. Crearea Zonelor DMZ pentru schimbul de date cu furnizori si operatori de retea, precum si Actualizari de securitate automatizate pentru sistemele utilizate.

b) Controlul accesului prin autentificare multifactor (MFA) pentru toate interfetele de administrare si aplicatiile de facturare, aplicarea principiul "least privilege" implementat granular (separarea accesului la date de consum, la profilul financiar si la sistemele de comanda), plus revizuiri trimestriale ale drepturilor de acces.

c) Protectia datelor clientilor ar cuprinde trei aspecte importante: Pseudonimizarea si criptarea datelor din contorizare inteligenta (smart metering), Mascarea datelor (masking ) pentru zonele de testare si pentru subcontractanti si Transferul securizat intre partenerii de distributie si furnizori prin canale certificate (TLS 1.3, VPN IPSec).

d) Rezilienta si reactie la incidente , ceea ce s-ar traduce prin existenta unor Planuri de continuitate si recuperare (BCP/DRP) testate periodic , inclusiv simulari de tip "data breach drill". Infiintarea unor Centre de operatiuni de securitate (SOC) cu monitorizare 24/7, integrat cu mecanisme GDPR de detectie si notificare si Automatizarea notificarii incidentelor - sistemul sa declanseze alerta interna in mai putin de o ora si notificare DPO/autoritate in mai putin de 72 ore.

In loc de concluzie

Observam o directie strategica a ANSPDCP: accentul se muta din ce in ce mai mult spre operatorii de infrastructuri esentiale, unde bresele de securitate pot genera consecinte extinse asupra consumatorilor si stabilitatii serviciilor. Faptul ca industria energetica domina topul amenzilor din octombrie nu este intamplator. Este un semnal ca autoritatea urmareste cu prioritate domeniile cu impact sistemic si volum mare de prelucrari. Pentru companiile din energie, investitia in controale de securitate, audituri periodice si formarea personalului devine esentiala pentru evitarea riscurilor reputationale si financiare.

Raportul GDPR Enforcement Tracker 2025 noteaza, la capitolul "Transport & Energie", faptul ca numarul de amenzi este relativ mic, dar valoarea medie este ridicata, de unde rezulta ca, atunci cand apar, cazurile de neconformare sunt serioase si duc la amenzi mari.