În contextul digitalizării accelerate și al integrării sistemelor inteligente în infrastructura clădirilor (smart buildings), sectoarele IT și HVAC sunt expuse unor riscuri juridice din ce în ce mai complexe în materia protecției datelor cu caracter personal. Utilizarea sistemelor CCTV, a senzorilor inteligenți și a platformelor bazate pe inteligență artificială implică prelucrări de date care, în multe cazuri, depășesc sfera unor operațiuni pur tehnice și intră sub incidența strictă a normelor GDPR.
În acest context, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a intensificat controalele și a adoptat o abordare mai riguroasă în aplicarea Regulamentului General privind Protecția Datelor (GDPR), cu accent deosebit pe obligația realizării evaluărilor de impact asupra protecției datelor (DPIA).
- Riscuri specifice în sectoarele IT și HVAC
Prelucrarea datelor prin sisteme CCTV și tehnologii de supraveghere
Sistemele de supraveghere video reprezintă una dintre cele mai frecvente surse de risc. În practică, se constată adesea o tendință de extindere excesivă a monitorizării, fie prin amplasarea camerelor în zone sensibile (de exemplu, spații destinate exclusiv angajaților), fie prin utilizarea unor tehnologii avansate (zoom, analiză video automată) fără o justificare proporțională. În plus, obligațiile de informare sunt adesea tratate formal, iar perioadele de stocare nu sunt corelate cu scopul declarat al prelucrării.
Integrarea sistemelor HVAC cu infrastructura IT
Evoluția sistemelor HVAC către soluții inteligente implică colectarea unor date care, în mod indirect, pot conduce la identificarea persoanelor. De exemplu, corelarea datelor de temperatură, prezență și acces cu alte sisteme IT (badge‑uri, sisteme de acces, aplicații interne) poate genera profiluri comportamentale ale angajaților. În lipsa unor măsuri adecvate de minimizare și separare a datelor, aceste prelucrări pot deveni incompatibile cu principiile GDPR.
Vulnerabilități de securitate generate de interconectare
Un risc major îl reprezintă interconectarea sistemelor HVAC cu rețelele IT ale organizației. În multe cazuri, aceste sisteme nu sunt proiectate cu același nivel de securitate ca infrastructura IT tradițională, ceea ce le transformă în potențiale puncte de intrare pentru atacuri cibernetice. Lipsa segmentării rețelelor și a controalelor de acces adecvate poate conduce la compromiterea unor volume semnificative de date.
Utilizarea inteligenței artificiale
Implementarea soluțiilor bazate pe AI, inclusiv pentru analiză video sau optimizare operațională, ridică probleme suplimentare, în special în ceea ce privește profilarea și luarea deciziilor automate. Aceste activități sunt considerate de regulă cu risc ridicat și necesită o analiză aprofundată din perspectiva legalității, proporționalității și transparenței.
- Intensificarea controalelor ANSPDCP – accent pe DPIA
Tendința recentă a practicii Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal indică o creștere atât a numărului investigațiilor, cât și a complexității acestora. Autoritatea nu se mai limitează la verificări formale, ci analizează în mod substanțial modul în care operatorii au evaluat riscurile asociate prelucrării datelor.
Un element central al acestor controale îl reprezintă DPIA. În numeroase cazuri, sancțiunile nu derivă doar din existența unui incident, ci din lipsa unei evaluări adecvate a riscurilor anterior implementării sistemelor. Astfel, DPIA devine nu doar un instrument de conformitate, ci și un element probator esențial în cadrul investigațiilor.
- Exemple relevante de sancțiuni recente în România
Practica sancționatorie recentă evidențiază o serie de deficiențe recurente.
În primul rând, au fost aplicate sancțiuni pentru neimplementarea unor măsuri tehnice și organizatorice adecvate, în special în contextul unor breșe de securitate. Aceste situații sunt relevante în mod direct pentru organizațiile care operează sisteme HVAC conectate, unde nivelul de securitate este adesea subestimat.
În al doilea rând, autoritatea a sancționat divulgarea ilegală a datelor, inclusiv prin publicarea online a unor documente care conțineau date personale. Astfel de incidente pot apărea și în contextul utilizării necorespunzătoare a sistemelor CCTV sau al platformelor interne de monitorizare.
De asemenea, lipsa unui consimțământ valabil și a unei informări adecvate a condus la aplicarea unor amenzi, în special în mediul digital. Aceste aspecte sunt relevante pentru toate interfețele software asociate sistemelor tehnice (aplicații, dashboard‑uri, platforme de management).
Nu în ultimul rând, atacurile cibernetice au generat sancțiuni în situațiile în care operatorii nu au putut demonstra implementarea unor măsuri preventive adecvate. În cazul sistemelor interconectate, impactul unor astfel de incidente poate fi semnificativ amplificat.
- DPIA – o obligație esențială, nu formală
Unul dintre principalele aspecte urmărite în cadrul controalelor este calitatea DPIA. În practică, se constată frecvent fie absența acesteia, fie existența unor documente formale, care nu reflectă realitatea tehnică a sistemelor utilizate.
În contextul utilizării CCTV, AI sau al monitorizării sistematice a persoanelor, DPIA devine obligatorie. Mai mult, aceasta trebuie să conțină o analiză reală a riscurilor, să evalueze proporționalitatea prelucrării și să propună măsuri concrete de mitigare.
- Soluții de conformitate pentru companii
Din perspectiva practică, conformitatea necesită o abordare integrată, care să combine analiza juridică cu măsuri tehnice eficiente. Realizarea unei DPIA trebuie să fie corelată cu arhitectura sistemelor utilizate, iar principiul minimizării datelor trebuie aplicat în mod real, nu doar declarativ.
De asemenea, securitatea datelor trebuie abordată în mod diferențiat, inclusiv prin segmentarea rețelelor și limitarea accesului la date. Transparența față de persoanele vizate și instruirea personalului rămân elemente esențiale, la fel ca și gestionarea relațiilor cu furnizorii implicați în implementarea soluțiilor tehnice.
- Concluzii
Evoluțiile recente din practica Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal confirmă o orientare clară către o aplicare mai strictă și mai tehnică a normelor GDPR, în special în domeniile IT și HVAC.
În acest context, conformitatea nu mai poate fi tratată ca o formalitate. Absența unei abordări riguroase, în special în ceea ce privește DPIA și măsurile de securitate, poate conduce nu doar la sancțiuni, ci și la riscuri operaționale și reputaționale semnificative.
Pentru mai multe detalii privind serviciile de asistență juridică în domeniul protecției datelor cu caracter personal, puteți contacta Mocanu și Asociații folosind datele din pagina Contact.