Despre vinovăția operatorilor de date cu caracter personal care sunt victime ale atacurilor informatice
30 ianuarie 2023 | Andrei SĂVESCU
Andrei Săvescu
Importanța problemei
1. GDPR leagă de vinovăție amenda care poate fi aplicată de către autoritățile naționale responsabile cu supravegherea prelucrării datelor cu caracter personal operatorilor care se confruntă cu breșe de securitate informatică[1]. Opțiunea legiuitorului european este firească, având în vedere că răspunderea se întemeiază pe culpă.
Cercetarea vinovăției
2. În cazul breșelor de securitate a căror victimă este operatorul de date cu caracter personal, Autoritatea națională de supraveghere a prelucrării datelor cu caracter personal trebuie să cerceteze vinovăția victimei. Acest proces se realizează în doi pași: mai întâi Autoritatea trebuie să cerceteze dacă există sau nu vinovăție, iar dacă apreciază că există, trebuie să continue cercetarea cu privire vinovăție.
3. Astfel, atunci când ia decizia de administrare a unei amenzi, precum și atunci când decide cu privire la cuantumul amenzii pentru încălcarea dispozițiilor art. 32 GRPR, referitor la securitatea prelucrării, Autoritatea trebuie, potrivit art. 83 alin. 2 lit. d) GDPR, să cerceteze gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându-se seama de măsurile tehnice și organizatorice implementate de aceștia. În cazul breșelor de securitate informatică, cauza acestor este caracterul insuficient al măsurilor tehnice sau organizatorice[2]. Ceea ce Autoritatea urmează să aprecieze este dacă insuficiența măsurilor se sprijină pe vinovăție sau cauza lor exclude vinovăția.
4. În prima situație, Autoritatea trebuie, potrivit art. 83 alin. 2 lit. b) GDPR, să cerceteze dacă încălcarea a fost comisă intenționat sau din neglijență. Apreciem că Autoritatea trebuie să facă o asemenea apreciere nu doar cu privire la faptele comisive, ci și cu privire la faptele omisive. Cu alte cuvine, atunci când apreciază că există vinovăție, Autoritatea trebuie să cerceteze tipul vinovăției: intenție sau culpă.
5. În cea de a doua situație, Autoritatea va cerceta dacă nu cumva vinovăția operatorului lipsește. În acest caz, Autoritatea nu va aplica o amendă, întrucât o amendă nu ar satisface exigențele art. 81 alin. a GDPR, adică nu ar fi nici eficace, nici proporțională și nici disuasivă.
Ce înseamnă “măsuri adecvate”
6. Potrivit art. 32 alin. 1 GDPR, operatorul și persoana împuternicită trebuie să implementeze măsuri tehnice și organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului, cu diferite grade de probabilitate, și gravității în privința drepturilor și libertăților persoanelor fizice. Așadar, operatorul nu trebuie să implementeze măsuri de protecție absolută, ci măsuri adecvate nivelului de risc și gravității (eventualei) breșe de securitate.
7. Această idee este susținută și de precizarea, cuprinsă în același text, că executarea obligației de implementare a măsurilor tehnice și organizatorice se face având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal.
8. Modul în care art. 32 GDPR reglementează obligațiile operatorilor referitoare la măsuri tehnice și organizatorice referitoare la securitatea datelor lasă Autorității un spațiu larg de apreciere, circumscris noțiunii de “adecvat”: măsurile tehnice și organizatorice de protecție a datelor cu caracter personal trebuie să fie “adecvate”[3].
9. Într-adevăr, un spațiu larg de apreciere, dar nu foarte larg, din pricina unei porțiuni de text care se abate de la ideea centrală a art. 32 GDPR. Ne referim la textul de la alin. 1 lit. c), potrivit căruia operatorul și persoana împuternicită trebuie să ia măsuri tehnice și organizatorice care includ, printre altele, “capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare”. În încercarea de a sugera în ce constă măsurile tehnice și organizatorice, art. 32 GDPR care reia idei din standardul de securitate ISO/IEC 27001, însă porțiunea de text menționată mai sus distruge economia textului articolului 32, din pricină că pare să stabilească în sarcina operatorului o obligație de rezultat. Obligația de a avea “capacitatea de a asigura confidențialitatea” nu este îndeplinită în cazul în care apare un incident, o breșă de securitate, întrucât în acest caz este limpede că operatorul nu a avut capacitatea de a asigura confidențialitatea[4]. Cu alte cuvinte, din textul-problemă citat mai sus pare să rezulte că răspunderea operatorului în cazul unei breșe de securitate este o răspundere obiectivă, care intervine îndată ce incidentul de securitate s-a produs, întrucât operatorul nu a avut capacitatea de a asigura confidențialitatea.
10. O astfel de interpretare, în sensul că răspunderea operatorului în cazul unei breșe de securitate este obiectivă, nu întemeiată pe culpă, este greșită. În pofida textului citat mai sus, ideea că răspunderea se întemeiază pe culpă trebuie să rămână nezdruncinată. Motivul pentru care este imposibilă o răspundere obiectivă ține de forța principiului exonerării de răspundere în caz de lipsă de vinovăție, precum și de câteva argumente pe care le vom prezenta în continuare.
Exonerarea de răspunderea în cazul breșelor de securitate
11. Legiuitorul european a redactat art. 32 GDPR pornind de la standardul ISO/IEC 27001, care conține măsuri tehnice și organizatorice, precum și meta-instrucțiuni cu privire la măsurile tehnici și organizatorice care să asigure securitatea datelor informatice[5]. Obligația de a avea “сapacitatea de a asigura” confidențialitatea nu este specifică standardului ISO/IEC 27001, ci apare în textul art. 32 în mod intempestiv, nu este o exprimare teleologică. Nu acesta a fost scopul legiuitorului european, să răstoarne cu doar două cuvinte întreaga economie a art. 32, care lasă autorităților naționale o marjă de apreciere cu privire la vinovăție.
12. Pe de altă parte, securizarea informațiilor este cel mai frecvent imposibilă. Prevenirea absolută a breșelor de securitate informatic este imposibilă, în privința majorității operatorilor. Protecția informatică se realizează de către majoritatea operatorilor în mod pasiv, adică utilizând software actualizat, produse de tip firewall, antivirus, alerte care generează bucle de feedback ș.a. Protecția informatică activă presupune un centru de securitate informatic, adică un operator uman care veghează permanent, comută traficul din porturile atacate ș.a., un specialist în securitate informatică sau o echipă de specialiști care blochează atacurile informatice în timp real. Firește, când există protecție activă, ea se bazează întotdeauna pe o protecție pasivă consistentă. Dar protecția informatică activă este foarte costisitoare, astfel încât este accesibilă doar operatorilor care au anvergura economică necesară.
13. Costul protecției informatice active este foarte ridicat din pricină că numărul specialiștilor în securitate informatică este prea mic față de necesitățile pieței. Deficitul de specialiști în acest domeniu face ca prețul serviciilor pe care ei le oferă să fie atât de mare încât are un efect economic dirimant. Cu alte cuvinte, firmele mici nu-și pot permite costurile protecției informatice active.
14. Pe de altă parte, este de notorietate că sistemele informatice sunt vulnerabile la atacuri cibernetice. În mod repetat sistemele informatice ale unor companii care cheltuie sume uriașe pentru securitatea informatică au fost penetrate de către atacatori.
15. Fără îndoială, măsurile de securitate informatică pe care și le permite un procesator de plăți electronice, sau un furnizor de semnătură electronică calificată, sau un mare magazin online, sau un operator de telefonie mobilă, sau o bancă, sunt cu totul diferite de măsurile pe care și le permite un magazin online obișnuit sau un furnizor de servicii care utilizează o platformă online pentru a livra produsele proprii, de exemplu produse hand-made sau mâncare gătită.
16. Protecția informatică pasivă, mai ieftină și totodată mai puțin eficientă din punct de vedere tehnic, este totuși adecvată pentru operatorii care nu-și permit costurile unei protecții active, din același motiv pentru care protecția activă este costisitoare: numărul redus de persoane care au aptitudinea de a depăși pavăza mijloacelor de protecție informatică pasivă. Cu alte cuvinte, protecția pasivă este eficientă pentru operatorii mici la fel cum este protecția peștilor fitofagi față de peștii răpitori: răpitorii sunt puțini. În mod asemănător, majoritatea contravențiilor rutiere rămân nepedepsite din pricina numărului mic de polițiști.
17. Deficitul numeric al atacatorilor face ca numărul breșelor de securitate să fie mic. Toți operatorii cu măsuri de securitate informatică pasivă sunt vulnerabili la atacuri informatice, dar doar puțini dintre ei sunt atacați, pentru că atacatorii care au priceperea de a depăși măsurile de securitate pentru a produce o breșă, sunt puțini, cu mult mai puțini decât operatorii care nu-și permit măsuri de securitate informatică activă.
18. Protecția adecvată pentru operatorii slabi este protecția pasivă, dar pentru operatorii puternici adecvată este protecția activă. Așa cum arătam la începutul acestei note de studiu (pct. 6 supra), din textul art. 32 GDPR rezultă că operatorul nu trebuie să implementeze măsuri de protecție absolută, ci măsuri adecvate nivelului de risc și gravității (eventualei) breșe de securitate. Măsurile de protecție absolută[6] sunt măsurile de protecție activă, care costă atât de mult încât asfixiază economic operatorul.
19. Sărăcia nu înseamnă vinovăție. Lipsa resurselor patrimoniale necesare pentru implementarea măsurilor de protecție informatică activă nu are semnificația că operatorul de date personale în cauză este vinovat pentru această situație. Deopotrivă, nu este rezonabil ca el să fie exterminat cu amenzi care în realitate sancționează slăbiciunea sa economică. O interpretare contrară ar însemna ca doar agenții economici care sunt rezultatul unei puternice concentrări și centralizări a capitalului să supraviețuiască. Nu acesta este scopul GDPR, și nici al autorităților naționale.
20. Un argument suplimentar rezidă în faptul că instituțiile publice nu primesc amenzi în cazul breșelor de securitate, doar operatorii privați.
Concluzie
21. În concluzie, nivelul adecvat al securității informatice trebuie apreciat atât în corelație cu (i) riscurile de securitate și (ii) gravitatea (eventualelor) breșe de securitate, la care se referă art. 32 GDPR, cât și în corelație cu (iii) forța economică a operatorului de date cu caracter personal care a fost victima unui atac informatic.
22. Deși nu este prevăzut de textul GDPR, acest criteriu de evaluare a vinovăției operatorului de date cu caracter personal, al treilea, trebuie totuși luat în considerare de către autoritate națională, așadar chiar dacă el nu este scris. Corelația dintre nivelul adecvat al securității informatice cu forța economică a operatorului de date cu caracter personal dă expresie unui principiu fundamental al dreptului Uniunii Europene: principiul proporționalității. Forța juridică a acestui principiu izvorăște, în dreptul român, din art. 1 alin. 1 Cod civil, potrivit căruia principiile generale ale dreptului sunt izvoare de drept.
23. Așadar, în cazul unei breșe de securitate, rămâne în sarcina Autorității naționale de supraveghere a prelucrării datelor cu caracter personal să aprecieze, luând în considerare circumstanțele concrete, nivelul adecvat al securității informatice, potrivit art. 32 GDPR, în corelație cu cele trei criterii menționate mai sus: două întemeiate pe textul art. 32 și unul întemeiat pe principiul proporționalității.
[1] Componentele securității informatice sunt (i) confidențialitatea, (ii) integritatea și (iii) disponibilitatea. Confidențialitatea se obține prin criptare, integritatea prin mecanisme de dispersie, disponibilitatea prin întărirea securității rețelei sau rețelelor de sisteme informatice și copii de siguranță.
[2] Caracterul insuficient nu se cuvine să fie dovedit, căci breșa de securitate este dovada vie că măsurile nu au fost suficiente ca să prevină.
[3] Precizăm că ne referim aici la adecvare în sensul de protecție tehnică și organizatorică. Precizarea este necesară întrucât noțiunea de protecție adecvată are în cuprinsul GDPR accepțiuni diferite: tehnico-organizatoric și juridic. Aici ne referim la primul sens, nu la sensul de protecție juridică, adică nu la art. 45 GDPR, care privește nivelul adecvat al nivelului de protecție, nici la art. 46 GDPR, care privește garanțiile adecvate (pentru transferuri transfrontaliere de date cu caracter personal).
[4] Originea textului-problemă pare să fie considerentul 39 din preambulul GDPR, potrivit căruia “Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare.” Evidențiem, în treacăt, faptul că expresia „să asigure în mod adecvat” are caracter pleonastic, întrucât dacă prelucrarea asigură securitatea și confidențialitate, atunci de bună seamă că prelucrarea este adecvată.
[5] ISO/IEC 27001 se referă la politica de securitate a informațiilor, organizarea securității informațiilor, evaluarea și tratarea riscurilor, gestionarea activelor, controlul accesului, criptografie, siguranță fizică, securitatea operațiunilor, securitatea comunicațiilor, achiziții, dezvoltare și întreținere a sistemului, relații cu furnizorii, respectarea cerințelor legale și a standardelor industriale, managementul calității informațiilor, monitorizarea și revizuirea riscurilor. Recent, în 25 octombrie 2022, Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) au publicat o nouă versiune a standardului ISO/IED 27001, care are o perioadă de tranziție de 3 ani, adică se va finaliza la 31 octombrie 2025.
[6] Există opinii potrivit cărora protecția absolută este imposibilă.
Av. dr. Andrei Săvescu, SĂVESCU & ASOCIAȚII
* Ideile din acest articol au fost susținute în cadrul conferinței Efectivitatea aplicării GDPR într-o lume interconectată / 27 ianuarie 2023
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
