GDPR, după primii 5 ani | Ce au constat, ‘în teren’, avocații NNDKP, firma cu cea mai veche practică de protecția datelor din România: Companiile care au făcut analize de conformare în 2018, după care au mears înainte din inerție, folosind aceleași recomandări, sunt în pericol. Societatea se dezvoltă rapid, în special din punct de vedere al noilor tehnologii, iar GDPR-ul nu ține pasul cu aceste evoluții. Iurie Cojocaru, partener: Provocările cele mai mari apar în proiectele care presupun prelucrarea unor date care nu au fost anticipate de GDPR sau de autoritățile de resort

În România, interesul pentru domeniul protecției datelor se menține la un nivel înalt. La cinci ani de la intrarea vigoare a prevederilor Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date, avocații constată o dinamică în creștere pentru acest sector.„Explicații pentru acest interes constant pot fi multiple. Un prim răspuns, la suprafață, ar fi că multe dintre societăți sunt încurajate să se conformeze de solicitările și plângerile depuse de persoanele vizate, precum și de controlul autorității de protecția datelor, cu amenzile aferente.Persoanele au devenit mai conștiente de drepturile lor în ceea ce privește confidențialitatea și protecția datelor, astfel că orice încălcare a acestora poate afecta reputația companiilor și poate duce la pierderea încrederii clienților”, precizează Iurie Cojocaru, Partener și coordonator al practicii de protecția datelor din cadrul NNDKP.

În piață se observă din ce în ce mai multe companii care își fac din conformarea cu cerințele de protecția datelor una dintre priorități, chiar dacă nu sunt apăsate de anumite cereri din partea persoanelor vizate și din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Expertul NNDKP apreciază că interesul companiilor poate fi alimentat și de faptul că mulți clienți sau parteneri de afaceri pot solicita garanții privind respectarea legislației în domeniu, ceea ce poate duce la un avantaj competitiv pentru firme.

De cealaltă parte, Autoritatea de protecția datelor poate fi motivată să mențină interesul crescut pentru respectarea legislației în domeniu deoarece acest lucru contribuie la protecția drepturilor și datelor cu caracter personal ale persoanelor vizate.


De altfel, firmele care acum cinci ani au făcut demersurile necesare alinierii la prevederile legislației GDPR, trebuie să fie atente în continuare, deoarece în perioada scursă de la intrarea în vigoare a Regulamentului UE s-au schimbat multe.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Iurie Cojocaru atrage atenția asupra pericolului ca o companie să își fi făcut o analiză de conformare la momentul când a devenit aplicabil Regulamentul, în 2018, după care să meargă înainte din inerție, folosind aceleași recomandări care s-au făcut în trecut.

„Avem un număr semnificativ de ghiduri publicate de Comitetul European pentru Protecția Datelor (EDPB) și de hotărâri emise de Curtea de Justiție a Uniunii Europene (CJUE), care interpretează conceptele din GDPR în mod diferit față de cum erau ele văzute și interpretate în practică în anul 2018. Datele cu caracter special și operatorii asociați sunt doar două exemple în acest sens. În plus, tehnologia este într-o continuă dezvoltare. Măsurile de securitate pe care le-a adoptat o companie în 2018 și care erau bune și suficiente atunci s-ar putea să nu mai fie de ajuns azi. Așadar, este obligatorie o verificare periodică a conformării, cu integrarea noilor interpretări date de EDPB, CJUE și de ceilalți jucători din piață”, nuanțează Partenerul NNDKP.

La cinci ani de la intrarea în vigoare a normelor din domeniul prelucrării datelor cu caracter personal este evident că Regulamentul General privind Protecția Datelor este un document crucial în protejarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

„Cu toate acestea, există și anumite dificultăți. Un prim aspect se referă la claritatea prevederilor GDPR. Se constată că unele articole și definiții din Regulament sunt vagi și pot fi interpretate în mai multe feluri, lăsând loc pentru incertitudine. Această lipsă de claritate poate genera dificultăți pentru companii în determinarea modului corect de interpretare și aplicare a legii. În al doilea rând, s-au observat și interpretări divergente ale anumitor prevederi la nivel european. CJUE și EDPB au emis anumite decizii și orientări care pot fi interpretate în mod diferit de statele membre și de organizațiile implicate în prelucrarea datelor. Această diversitate în interpretarea GDPR poate duce la inconsecvențe în abordarea protecției datelor la nivel european, ceea ce poate compromite scopul principal al regulamentului de a oferi un nivel ridicat și uniform de protecție a datelor cu caracter personal în întreaga UE. În al treilea rând, societatea se dezvoltă rapid, în special din punct de vedere al noilor tehnologii, iar GDPR-ul nu ține pasul cu aceste evoluții. Tehnologiile emergente precum inteligența artificială, IoT și analiza big data, ridică noi provocări în ceea ce privește protecția datelor și confidențialitatea”, atenționează interlocutorul ^BizLawyer.

Totodată, avocatul subliniază faptul că sunt zone în care atât EDPB, cât și autoritățile de protecția datelor sunt foarte precaute în a se pronunța. „Mai mult, unele din aceste zone sunt cruciale pentru înțelegerea și interpretarea Regulamentului. De exemplu, cu privire la noțiunea de „date cu caracter personal”, EDPB s-a pronunțat cu mulți ani în urmă, în 2007, prin predecesorul său, Grupul de Lucru Art. 29. Este clar nevoie de o revizuire a acelei poziții. De asemenea, pe partea de interpretări constrângătoare cred că ar trebui să amintim hotărârile emise de CJUE în ultimele luni în privința datelor cu caracter special. Aceste hotărâri extind exagerat de mult sfera respectivelor date, impunând o sarcină în plus pe umerii companiilor. La fel, o discuție mai veche este legată de anonimizarea datelor. Standardul de anonimizare impus de Grupul de Lucru Art. 29 este foarte greu de atins, ca să nu spunem imposibil”, detaliază specialistul.

---

---

Anul 2022 a fost unul în care, la nivel comunitar, s-au aplicat amenzi GDPR în valoare de 2,92 miliarde euro, în creștere cu 168% față de 2021. Avocatul NNDKP pune acest fenomen pe seama faptului că autoritățile de supraveghere s-au axat mai mult pe aplicarea sancțiunilor și au devenit mai stricte în combaterea încălcărilor legate de protecția datelor cu caracter personal. „Acest lucru poate fi rezultatul unei presiuni crescute din partea opiniei publice și a societății civile pentru o aplicare mai riguroasă a GDPR. Vedem din ce în ce mai multe ONG-uri care pun presiune pe autorități în această privință. Apoi, trebuie menționat faptul că și confuziile legate de anumite reglementări GDPR pot juca un rol în creșterea amenzilor. Regulamentul GDPR este complex și poate fi interpretat diferit de către diferitele autorități naționale de supraveghere. Companiile pot avea dificultăți în a înțelege și a se conforma în mod corespunzător acestor reglementări, ceea ce poate duce la sancțiuni. Indiferent de motiv, această creștere ar trebui să reprezinte un avertisment pentru companii să acorde o atenție sporită securității datelor și să adopte măsuri adecvate de conformare cu prevederile GDPR pentru a evita sancțiunile”, argumentează Iurie Cojocaru.  

Partenerul NNDKP este de părere că sancțiunile pot fi un mijloc eficient în asigurarea respectării legislației, însă ar trebui să fie considerate o măsură secundară. „În primul rând, este important să existe o conștientizare amplă a importanței domeniului și a respectării legislației privind protecția datelor cu caracter personal. Mi se pare că multe din companii nu înțeleg toată complexitatea unui proces de conformare cu cerințele de protecția datelor. Uneori, ceea ce companiile înțeleg prin „deplina conformare” nu e decât un prim pas, insuficient, iar măsurile care sunt luate trebuie să fie completate cu altele. În ceea ce privește autoritatea, aceasta poate interveni pe zona de popularizare a domeniului prin canalele pe care le are la îndemână. La fel, autoritatea are un rol important în a face interpretările mai previzibile. Multe din companii au nevoie de această îndrumare, să cunoască modul în care ANSPDCP citește anumite prevederi din GDPR, pentru a urma aceeași optică. În lipsa acestui ghidaj, uneori se întâmplă ca o sancțiune să nu fie impusă din cauza unei încălcări cu rea credință a normei legale, ci din cauză că o normă este interpretată de companie diferit față de ANSPDCP”, comentează avocatul.

Echipa NNDKP dedicată acestei practici au avut și are în lucru un număr important de mandate, care se caracterizează, în primul rând prin diversitate.

În cadrul analizelor pe care le fac, experții NNDKP acordă o atenție deosebită conformării cu cerințele de privacy by design și privacy by default, având în vedere atenția acordată de ANSPDCP verificării conformității.

În ceea ce privește proiectele M&A, analiza privind protecția datelor a devenit foarte importantă în ultimii ani, fiind un element indispensabil în astfel de proiecte. Orice proiect M&A presupune prelucrarea unor date personale, în diverse volume și cu un grad variabil de sofisticare, având astfel nevoie de respectarea regulilor în domeniu.

„În ultima vreme, provocările cele mai mari în ceea ce privește protecția datelor apar în proiectele care presupun prelucrarea unor date care nu au fost anticipate de GDPR sau de autoritățile de protecție a datelor. Acestea sunt în general proiecte care implică tehnologii avansate, dar putem regăsi și proiecte mai simple cu o componenta tehnică mai redusă, dar care implică prelucrări atipice de date”, susține Iurie Cojocaru.

De asemenea, NNDKP acordă asistență într-o gamă largă de proiecte care includ redactarea de documente de informare și politici interne, realizarea de analize de impact privind protecția datelor (DPIA) și evaluarea intereselor legitime (LIA), elaborarea de clauze contractuale și furnizarea de asistență în implementarea măsurilor de securitate. Aceste activități le permit avocaților să sprijine organizațiile în îndeplinirea cerințelor legate de protecția datelor și să le ajute să rămână conforme cu legislația în vigoare.

„În ceea ce privește proiectele mai complexe, acestea rezultă, de multe ori, din natura datelor supuse prelucrărilor (fiind vorba, de exemplu, de date de sănătate, date biometrice sau alte date cu caracter special) sau din caracterul înalt tehnologic al proiectelor (de exemplu proiectele cu o componentă de inteligență artificială)”, mai spune interlocutorul ^BizLawyer.

În mandatele în care se implică, echipa NNDKP lucrează în mod constant cu firme de avocatură din străinătate, în special din Uniunea Europeană, Marea Britanie și SUA, dar mai colaborează și cu firme din Japonia sau China.

„De obicei, avem proiecte de mare amploare care implică prelucrarea datelor în mai multe state. Adesea suntem solicitați să oferim asistență în ceea ce privește protecția datelor în România. De exemplu, putem fi implicați în tranzacții la nivel de grup, unde societatea-mamă este achiziționată și trebuie să facem auditul privind protecția datelor la toate companiile din grup, inclusiv cele din România. Sau putem fi solicitați să oferim sprijin în cazul unui incident de securitate cu impact internațional, inclusiv în România. Apoi mai sunt cazuri în care ni se solicită să realizăm un audit pentru companiile din România în contextul unor analize de conformare la nivel de grup”, amintește Iurie Cojocaru.

Legat de litigiile generate de această practică, situațiile cele mai frecvente sunt cele în care companiile contestă amenzile aplicate de autoritate. Cu toate acestea, firma de avocatură a avut și situații în care a sprijinit persoane vizate în demersurile lor de apărare a drepturilor încălcate în contextul prelucrării datelor.

Cea mai veche practică de protecția datelor din România

În liga firmelor de avocatură de business, NNDKP se detașează și datorită faptului că are cea mai veche practică de protecția datelor de sine stătătoare din România, departamentul fiind activ de peste 14 ani.

Practica este coordonată de Iurie Cojocaru, Partener, iar în acest moment, în echipă sunt șapte avocați specializați în domeniu. Printre aceștia se numără și avocați certificați CIPP/E (Certified Information Privacy Professional/Europe). Este vorba de o certificare emisă de Asociația Internațională a Profesioniștilor în Protecția Datelor (International Association of Privacy Professionals – IAPP). În plus, unii dintre avocații din departament sunt certificați ca formatori, ceea ce le permite să desfășoare cursuri de pregătire pentru clienți, inclusiv pentru responsabilii cu protecția datelor ai acestora.

„În era digitală în care trăim, datele sunt considerate resurse valoroase, putând apărea riscuri semnificative în ceea ce privește confidențialitatea și integritatea acestora. Protecția datelor nu este doar o idee bună pentru a evita problemele legale, ci și o necesitate în activitatea de business. Companiile care nu iau măsuri pentru a proteja datele celor care le încredințează riscă să își deterioreze reputația și să-și piardă clienții. În viitor, anticipez o creștere continuă a preocupării pentru protecția datelor, datorită evoluției tehnologiei și creșterii volumului de date generate și prelucrate de companii. Această evoluție va genera noi provocări și amenințări în ceea ce privește securitatea datelor. Mă aștept și că reglementările în materie de protecție a datelor vor continua să fie adoptate. Într-un asemenea context, anticipez să se mențină și să crească nevoia de consultanță juridică din partea avocaților specializați în protecția datelor”, punctează Iurie Cojocaru.

Avocatul consideră că Inteligența Artificială și alte instrumente de Legal Tech pot fi de mare ajutor pentru companii în conformarea cu GDPR, menționând faptul că instrumentele acestea pot automatiza anumite componente, reducând astfel efortul și timpul necesare pentru a se asigura conformitatea.

„În ceea ce privește utilizarea tehnologiei în departamentul nostru, folosim deja un tool dezvoltat pentru cercetare juridică. Acesta ne ajută să analizăm și să căutăm rapid în mediul online informațiile și documentele necesare în procesul nostru de lucru. Cu toate acestea, utilizarea unei astfel de tehnologii nu înlocuiește experiența noastră juridică și consultanța pe care o oferim clienților noștri. Tehnologia este un instrument valoros care ne ajută să ne desfășurăm activitatea mai eficient, dar care nu poate înlocui pe deplin rolul avocaților. Un avocat cu experiență în acest domeniu este capabil să ofere o înțelegere profundă a legislației GDPR și să aplice principiile sale într-un mod specific pentru fiecare companie. De asemenea, avocații pot face corelări de interpretare din practică și pot oferi consultanță juridică personalizată de care o mașină la acest moment nu este capabilă”, arată Partenerul NNDKP.

Referitor la situațiile care pot interveni în anii următori în domeniul GDPR, avocatul indică faptul că o zonă importantă unde autoritatea de protecția datelor din România are un cuvânt de spus este cea a codurilor de conduită. „Anul acesta, autoritatea a adoptat criteriile de acreditare a organismelor de monitorizare a codurilor de conduită. În plus, cunoaștem că anumite coduri se află în prezent în consultare la autoritate. La nivel european, se lucrează la anumite acte care sunt în legătură sau chiar se întrepătrund cu GDPR-ul. Mă gândesc, în primul rând, la Regulamentul privind Inteligența Artificială și la Regulamentul privind e-Privacy. Pe de altă parte, actele din pachetul european privind serviciile digitale au devenit deja, parțial, aplicabile. Există și anumite voci la nivel european care consideră că există anumite aspecte ale GDPR-ului care trebuie revizuite. Cu toate acestea, este important de menționat că solicitările de modificare a regulamentului GDPR sunt în prezent doar voci izolate și nu există nicio propunere oficială în acest sens. Este posibil ca numărul de sancțiuni bazate pe GDPR să crească în continuare în următorii ani. Acest lucru se datorează, cum spuneam și mai sus, unei conștientizări din ce în ce mai mari în rândul populației cu privire la respectarea drepturilor privind protecția datelor. De asemenea, din ce se poate vedea, autoritățile de supraveghere pentru protecția datelor sunt tot mai active și mai hotărâte să investigheze, să colaboreze și să sancționeze încălcările GDPR”, încheie Iurie Cojocaru.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică