Datele sensibile reprezintă un concept care, după intrarea în vigoare a Regulamentului general privind protecția datelor (GDPR), a primit multă atenție. În cadrul GDPR, ele se referă la date care țin de anumite aspecte foarte importante ale persoanei (sănătatea, sexualitatea, orientările politice etc.). Prelucrarea lor poate fi făcută mult mai strict și în cazuri mult mai rare decât datele personale obișnuite. În viitor, va mai exista un tip de date cu caracter sensibil, pe care firmele care oferă servicii de plată vor trebui să le respecte – e vorba, mai exact, de date sensibile privind tranzacțiile financiare, și anume acele informații care ar putea fi utilizate în scopul fraudării, scrie avocatnet. Pentru că regulile privind aceste noi date sensibile sunt cuprinse într-un act normativ altul decât GDPR, și obligațiile ce îi vizează pe operatorii care lucrează cu ele vor fi diferite decât cele prevăzute în Regulament.
În concret, astfel de date sunt prevăzute în Directiva Europeană 2015/2366. Din cauză că România nu a transpus, încă, această directivă (obligațiile din cadrul ei devenind efective doar după transpunere), firmele care oferă servicii de plată nu sunt obligate, deocamdată, la respectarea prevederilor ei. În acest context, a apărut, deja, un proiect de lege de transpunere, care a fost adoptat tacit de Senat zilele trecute, iar acum trebuie să treacă și de Camera Deputaților pentru a se aplica. În privința obligațiilor nou-introduse de directivă (puteți citi, aici, aspecte legate de alte obligații conținute în același act normativ), o importanță ridicată o au cele referitoare la respectarea datelor sensibile privind plățile. Practic, prin date sensibile, conform actului normativ european, se înțeleg acele date „care pot fi utilizate în scopul fraudării”. În ele sunt incluse expres elemente de securitate personalizate, însă sunt excluse:
- numele titularului contului și
- numărul de cont.
În privința modalităților de protecție a astfel de date, directiva prevede, în primul rând, că trebuie obținută o autorizație de către entitățile care oferă servicii de plată. Conform directivei, pentru obținerea unei astfel de autorizații, va fi nevoie – printre altele – ca entitatea care vrea să o obțină să ofere informații cu privire la „procesul existent pentru evidența, monitorizarea, supravegherea și restricționarea accesului la datele sensibile privind plățile”. În același timp, trebuie oferite informații și cu privire la politica de securitate și cu privire la măsurile implementate în vederea protejării datelor sensibile.
Legea de transpunere, în schimb, nu conține asemenea prevederi. Tot ce este prevăzut este faptul că Banca Națională a României va fi cea care va emite autorizația. În acest scop, ea va adopta reglementări unde va fi prevăzută documentația necesară pentru obținerea autorizației. S-ar putea ca reglementările în cauză să conțină și prevederile netranspuse, la acest moment. După aceea, entitățile care oferă servicii de inițiere a plății nu vor putea stoca datele sensibile privind plățile făcute de clienți. În privința entității care oferă servicii de informare cu privire la conturi, aceasta nu va putea să solicite date sensibile privind plățile aferente conturilor de plăți.
În ceea ce privește sancțiunile pe care le vor risca firmele care nu vor respecta astfel de obligații (după ce directiva va fi transpusă și legea de transpunere va intra în vigoare), directiva nu prevede ceva specific. Totuși, este prevăzut faptul că statele membre, în legea de implementare, trebuie să adopte sancțiuni care să fie eficace, proporționale și disuasive. Astfel, nerespectarea obligațiilor pe care le-am menționat mai sus va fi sancționată, doar că, la acest moment, nu se știe cum. Mai mult decât atât, în unele cazuri, sancționarea unei firme care oferă servicii de plată va putea fi făcută publică.