UE a aplicat Amazon o amendă GDPR de 746 de milioane de euro în 2021. Meta a primit 1,2 miliarde de euro în 2023. Acestea nu sunt excepții – sunt semnale clare. Autoritățile de reglementare au trecut de la scrisori de avertizare la executare reală, iar organizațiile care tratează GDPR ca pe o bifă administrativă operează pe timp împrumutat.
Indiferent dacă ești inginer de securitate care vrea să înțeleagă ce cere GDPR la nivel tehnic, sau responsabil de conformitate la o companie din SUA care și-a dat seama că produsul său SaaS procesează date personale ale cetățenilor UE, această listă de verificare acoperă substanța, nu umpluturile.
Ce este GDPR și cui se aplică?
Regulamentul General privind Protecția Datelor a intrat în vigoare pe 25 mai 2018, înlocuind mozaicul de legi naționale de protecție a datelor de sub Directiva 95/46/CE. Textul legal autoritar este disponibil pe EUR-Lex, iar site-ul informativ gdpr.eu oferă o versiune mai accesibilă.
Iată ce subestimează constant companiile din SUA: GDPR se aplică oricărei organizații care procesează date personale ale rezidenților UE, indiferent de locul în care se află organizația respectivă. Un startup din Austin care vinde abonamente utilizatorilor din Berlin intră în sfera sa. O companie B2B SaaS din Singapore care găzduiește date ale cetățenilor francezi intră în sfera sa. Domeniul de aplicare extrateritorial este explicit conform Articolului 3.
Articolele GDPR esențiale
Există 99 de articole GDPR în total, dar cele mai relevante din punct de vedere al executării se concentrează în jurul câtorva teme. În loc să descarci un PDF GDPR și să speri că totul va fi bine, înțelege-le în substanță.
Articolul 5 — Principiile prelucrării datelor
Șase principii guvernează orice prelucrare legală: legalitate, corectitudine și transparență; limitarea scopului; minimizarea datelor; exactitate; limitarea stocării; integritate și confidențialitate. Responsabilitatea — al șaptelea principiu — stă la baza tuturor. Dacă nu poți demonstra conformitatea, Articolul 5(2) o tratează ca neconformitate.
Articolul 32 — Securitatea prelucrării
Aici GDPR devine tehnic. Articolul 32 impune măsuri tehnice și organizatorice adecvate — pseudonimizare, criptare, confidențialitate, integritate, disponibilitate și reziliența sistemelor. „Adecvat" este intenționat vag, dar autoritățile îl evaluează față de stadiul tehnicii. În 2025, asta înseamnă arhitectură zero-trust, criptare end-to-end și management automatizat al vulnerabilităților.
Articolul 33 — Notificarea breșelor
72 de ore. Acesta este intervalul tău pentru a notifica autoritatea de supraveghere după descoperirea unei breșe. Nu 72 de ore lucrătoare. 72 de ore din momentul în care ai aflat.
Lista de verificare pentru conformitate GDPR
1. Cartografierea datelor și Registrul activităților de prelucrare
Articolul 30 impune operatorilor și procesatorilor să mențină registre ale activităților de prelucrare. Instrumentul Cloud Inventory este direct relevant — nu poți cartografia fluxurile de date pe care nu le poți vedea.
2. Stabilirea bazelor legale pentru fiecare activitate de prelucrare
Șase baze legale există conform Articolului 6: consimțământ, contract, obligație legală, interese vitale, sarcină publică și interese legitime. Consimțământul conform GDPR trebuie să fie liber exprimat, specific, informat și neambiguu. Căsuțele pre-bifate nu se califică.
3. Evaluarea impactului asupra protecției datelor (DPIA)
Articolul 35 impune DPIA-uri pentru prelucrările cu risc ridicat. Nu este un exercițiu birocratic — este o evaluare structurată a riscurilor. Dacă DPIA ta identifică un risc rezidual inacceptabil de ridicat, trebuie să consulți autoritatea de supraveghere înainte de prelucrare.
4. Numirea unui Responsabil cu Protecția Datelor (DPO)
Articolul 37 impune un DPO pentru autorități publice, organizații care realizează monitorizare sistematică la scară largă și cei care procesează categorii speciale de date. DPO-ul trebuie să raporteze la cel mai înalt nivel de management.
5. Implementarea măsurilor tehnice de securitate conform Articolului 32
Criptare, controale de acces, segmentarea rețelei, evaluări regulate ale vulnerabilităților și planuri de răspuns la incidente. Platforma de Conformitate de la SECRAILS ajută echipele să mapeze controalele tehnice la cerințele de reglementare. Pentru infrastructura cloud, instrumentele CSPM sunt esențiale pentru detectarea configurațiilor greșite care ar putea expune date personale.
6. Gestionarea procesatorilor terți cu acorduri conform Articolului 28
Fiecare procesator terț care gestionează date personale UE în numele tău necesită un Acord de Prelucrare a Datelor (DPA). Lista ta de furnizori este aproape sigur mai lungă decât lista de DPA-uri. Auditează-le pe ambele.
7. Transferurile internaționale de date
Transferul datelor personale în afara UE/SEE necesită un mecanism de transfer adecvat. Post-Schrems II, Clauzele Contractuale Standard (SCC) sunt cel mai comun mecanism — dar trebuie să efectuezi și o Evaluare a Impactului Transferului (TIA) pentru fiecare transfer.
Conformitate GDPR pentru companiile din SUA
Dacă site-ul tău acceptă comenzi de la rezidenții UE sau aplicația ta este disponibilă în App Store în Germania, ești în domeniu de aplicare. Asta înseamnă: numirea unui reprezentant UE conform Articolului 27 și implementarea tuturor elementelor de mai sus. Standardele juridice americane nu satisfac obligațiile GDPR.
Capacitățile de Securitate Cloud și Policy-as-Code de la SECRAILS oferă echipelor de inginerie gardurile de protecție pentru a preveni configurațiile care violează intimitatea să ajungă în producție.
Ce verifică auditorii și autoritățile de reglementare
Autoritățile de supraveghere nu se uită doar dacă a existat o breșă. Verifică dacă existau controale adecvate, dacă puteai să le demonstrezi și dacă ai răspuns corespunzător când ceva a mers prost. Principiul responsabilității din Articolul 5(2) este principiul meta. Echipele care folosesc VM Scans și instrumente automatizate de conformitate pot genera trasabilitate automată de audit — infinit mai bine decât să reconstruiești dovezile după fapt.
Organizațiile prinse în ciuda unor controale puternice se descurcă mult mai bine în acțiunile de executare decât cele cu controale slabe. Această distincție contează enorm atunci când autoritățile decid între măsuri corective și amenzi de opt cifre.