GDPR, după primul an | Mai mult de 60% din proiectele în care avocații Mușat & Asociații au activat pe partea de protecție a datelor au vizat multiple jurisdicții. Iulian Popescu, Deputy Managing Partner: Ne propunem să investim în continuare în domenii de drept emergente ce vizează tehnologii precum IoT, MssA, Blockchain, agregând cunoștințele juridice cu cele tehnice

Practica de Data Protection a cunoscut o creștere semnificativă în ultimul an, odată cu intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679. Anterior GDPR, majoritatea companiilor au cam neglijat acest sector.“Solicitările primite din partea clienților au fost dintre cele mai diverse, de la realizarea procedurilor standard de implementare și până la asistența în cadrul unor anchete de conformitate realizate de către autoritatea competentă în materia protecției datelor. Cu toate că fiecare proces de implementare este diferit, implicând atât înțelegerea unor aspecte complexe privind specificul activității fiecărui client, cât și analiza aprofundată a legislației aplicabile domeniului în care acesta activează, apreciem că mandatele cel mai dificil de rezolvat au fost cele care au implicat investigații în desfășurare, dat fiind faptul că, în cazul în care avocații noștri constată neregularități cu privire la conformitate, acestea trebuie remediate întotdeauna într-un termen extrem de redus”, explică Iulian Popescu, Deputy Managing Partner Mușat & Asociații.

Consultanța pe care echipa de experți din cadrul Mușat & Asociații a oferit-o clienților săi s-a axat, în principal, pe procedurile standard de implementare a dispozițiilor GDPR, care implică activități precum analiza complexă a proceselor de prelucrare a datelor, evaluări de impact, redactare de politici de confidențialitate și note de informare specifice fiecărei categorii de persoane vizate.

De asemenea, avocații au acordat consultanță și în ceea ce privește implementarea anumitor procese ce implicau date sensibile, ce au necesitat o atentă analiză pentru a nu risca încălcarea drepturilor și libertăților persoanelor vizate.

Nu în ultimul rând, Mușat & Asociații a oferit servicii de asistență în cadrul unor proceduri ample de control efectuate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal la scurt timp după intrarea în vigoare a Regulamentului.

Cele mai afectate companii de noile reguli au fost cele care lucrează cu date sensibile (date biometrice, date privind sănătatea etc.), precum și cele care au o activitate intensă pe segmentele de banking, social media și marketing/sales (indiferent de industrie). Înainte de 25 mai 2018, multe dintre aceste firme aveau implementate măsuri minime în ceea ce privește protecția datelor cu caracter personal.

“Misiunea noastră a vizat o înțelegere aprofundată a scopurilor și a necesității de a prelucra în continuare astfel de date, precum și pregătirea angajaților și asigurarea unor proceduri eficiente pentru a evita breșele de securitate”, explică Iulian Popescu.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Profesionistul Mușat & Asociații menționează că, în cadrul dosarelor vizând GDPR, cele mai sensibile aspecte au plecat de la lipsa unor proceduri minime de securitate, precum și de la lipsa pregătirii personalului privind modul în care datele cu caracter personal trebuie prelucrate. “Astfel, implementarea GDPR a început prin sesiuni de training organizate la sediul companiilor, pentru ca angajații să cunoască procedurile ce vor fi implementate și modul în care trebuie să acționeze în special în cazul unor breșe de securitate. De asemenea, documentele au fost redactate pe măsură ce s-a discutat cu toate departamentele pentru a nu omite vreun proces, indiferent cât de neînsemnat ar fi părut la o prima vedere. Echipa noastră a asistat clienți în cadrul investigațiilor desfășurate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, însă până la acest moment niciuna dintre companiile asistate de către Mușat & Asociații nu este implicată în vreun dosar aflat pe rolul instanțelor privitor la acest subiect”, punctează Iulian Popescu.

Dintre proiectele pe care avocații le-au avut în lucru, două dintre cele mai mari au vizat implementarea GDPR pentru clienți din domenii precum retail și automotive. “Implementarea inițială s-a efectuat în decursul a 3-4 luni pentru fiecare dintre aceste companii, însă chiar și la acest moment există o permanentă comunicare între avocații noștri și departamentele de legal/regulatory pentru actualizarea registrelor de prelucrare a datelor și a oricăror alte documente ce trebuie întocmite sau modificate, astfel încât compania să își desfășoare activitatea în conformitate cu prevederile Regulamentului. Dintre proiectele noastre majore amintim și procesele de analiză și conformare pentru clienții din industria de farmaceutice și studii clinice, precum și implementarea unor proiecte de conformare transfrontaliere pe segmentul de financing. Volumul de muncă inițial pentru o asemenea implementare este unul considerabil, dar și ulterior, pe măsură ce business-ul evoluează și  nevoile de prelucrare se diversifică, activitatea noastră capătă un caracter de continuitate și predictibilitate, fiind  în permanență la curent cu legislația pentru fiecare domeniu în parte, orice modificare putând declanșa noi aspecte ce trebuie revizuite în zona de protecție a datelor”, arată avocatul.

Din analiza Mușat & Asociații rezultă că mai mult de 60% din proiectele în care avocații au activat pe partea de protecție datelor au vizat multiple jurisdicții (printre care și România). Clienții firmei, în majoritate formați din corporații internaționale, își desfășoară o parte a activităților pe teritoriul României sau colaborează cu companii locale, astfel încât necesită expertiza unor avocați locali specializați în domeniul protecției datelor care beneficiază de capacitați de integrare prin structuri eficiente de cooperare profesională la nivel european și mondial.

Casa de avocatură colaborează îndeaproape cu firme de avocați de talie mondială precum Baker McKenzie, Hogan Lovells, Herbert Smith Freehills, Norton Rose Fulbright etc., ce asistă companiile pe teritoriul Europei și Statelor Unite, în general fiind solicitată asistența privind aplicabilitatea legii locale (Legea nr. 190/2018) asupra diferitelor politici și/sau note de informare folosite pe teritoriul României, precum și a contractelor de prelucrarea a datelor cu caracter personal încheiate între operatori asociați sau între operator și împuternicit.

---

---

Florina Homeghiu, Country Legal Manager Coca-Cola HBC România: Vom apela la expertiza și ajutorul avocaților externi, în funcție de nevoile business-ului

 
Având în vedere că practica GDPR este strâns legată de practica de Telecom, Media & IT (TMT), în cadrul societății Mușat & Asociații aceste două sectoare au fost structurate împreună, rezultând „TMT/Data Protection”.

Protectia datelor implică numeroase elemente din sfera de tehnologie și flux informațional, fiind esențial ca departamentul IT al fiecărei companii să fie puternic implicat în timpul implementării prevederilor Regulamentului, precum și ulterior.

Echipa Mușat & Asociații este coordonată de către Iulian Popescu (Deputy Managing Partner), fiind formată din cinci avocați: Andrei Ormenean (Managing Associate), Ana Maria Abrudan (Senior Associate), Cristina Mircea (Associate), Ioana Niculae (Associate) și Sebastian Mihăilă (Junior Associate).

Proiectele sunt gestionate de către coordonatorul departamentului TMT/Data Protection, Iulian Popescu împreuna cu echipa formată din cei cinci avocați niminalizați mai sus.

În ceea ce priveste certificarea ca Data Protection Officer (DPO), în firmă sunt colegi care au obținut certificări în acest domeniu, printre care și Cristina Mircea care a urmat și cursurile Universității din Maastricht pentru obținerea unei certificări la nivel european.

“Cu excepția vârfului generat de intrarea în vigoare a regulamentului, activitatea noastră pe partea de conformare în ceea ce privește protecția datelor a fost întotdeauna într-o creștere constantă; asta în strânsă legătură cu gradul de conștientizare și iminența unor controale punctuale ale autorității de resort. În ceea ce privește prognoza activităților viitoare, având în vedere că este un proces de durată, contăm pe continuarea implementării GDPR, cât și pe creșterea gradului de complexitate pe fondul implementării de noi tehnologii, cum ar fi 5G. Este adevărat în același timp că există și companii care nu s-au grăbit să efectueze implementarea, având în acest moment proiecte în derulare care sunt abia la început, în faza de mapare a proceselor ce privesc prelucrarea de date cu caracter personal. Separat de partea de conformare, capacitatea noastră de a combina specialiști pe partea de reglementare și conformare cu cei pe partea de litigii ne conferă un avantaj competitiv în legătură cu protejarea clienților în situații contencioase față de persoane vizate, ANSPDCP și/sau autorități omoloage din Uniunea Europeană”, apreciază Iulian Popescu.

Avocatul mai atrage atenția că spre deosebire de situațiile unde mandatele se încheie, spre exemplu, prin semnarea unui contract sau prin soluționarea definitivă a unui dosar, în domeniul protecției datelor există un ritm susținut de muncă și după finalizarea implementării, datorită fluxurilor de date cu caracter personal ce pot suferi modificări în permanență. „În același timp, pot interveni și noi procese la nivelul fiecărei companii, fapt ce aduce noi provocări, fiind necesară analizarea acestor procese pentru a putea decide dacă respectă cerințele GDPR. În aceste condiții, majoritatea companiilor își desemenează un Ofițer responsabil cu protecția datelor (DPO), însă există puncte sensibile, precum evaluările de impact (DPIA) ce necesită o analiză aprofundată și o viziune obiectivă, puncte susținute de către avocați specializați. De asemenea, în cadrul investigațiilor ANSPDCP sau ulterior în situația unor litigii, asistența și reprezentarea specializată din partea avocaților este imperios necesară pentru buna gestionare a riscurilor la care sunt expuși clienții”, completează expertul.

Alegerea experților este importantă

Imediat după 25 mai 2018, piața locală a fost invadată de o serie de consultanți mai mult sau mai puțin avizați în acest domeniu. Astfel, s-a înregistrat o avalanșă de pseudo-produse și pseudo-servicii oferite pentru punerea în aplicare a Regulamentului. Totuși companiile interesate de aceste servicii au știut cum să facă diferența și au preferat să lucreze cu experții deja consacrați.

“Clienții societății noastre au ales să continue colaborarea motivați fiind de experiența vastă a avocaților care alcătuiesc departamentul TMT/Data Protection al Mușat & Asociații, precum și de atenția acordată fiecărui caz în parte, aspecte ce nu pot fi suplinite de utilizarea unor servicii surogat sau documente cu aplicabilitate quasi-generală, ce nu pot cuprinde aspecte specifice fiecărui domeniu în parte și, în final, o protecție reală a business-ului unei firme. Atât clienții existenți în portofoliu, cât și cei care ne-au contactat în legătură cu  momentul intrării în vigoare a Regulamentului, sunt în majoritatea lor societăți cu activitate la nivel european sau global, având un volum considerabil și complex de date prelucrate, dorind o implementare adaptată specificului activității pe care o desfășoară și considerând totodată că acest rezultat poate fi obținut în mod optim prin consultanța acordată în mod personalizat de către avocații noștri, iar nu prin intermediul unor metode precum kit-uri sau platforme GDPR, cu aplicabilitate generală și nepersonalizată, ce nu pot garanta o implementare corectă și nici completă”, subliniază Iulian Popescu.

În proporție de 90%, proiectele lucrate de Mușat & Asociații au vizat entități private (multinaționale) din domenii precum automotive, pharma, instituții bancare, producători de electrocasnice sau retail, însă au fost derulate, într-un procent redus și activități de implementare pentru instituții publice.

De altfel, companiile mari, de tipul multinaționalelor, au conștientizat cel mai rapid impactul puternic pe care îl poate avea pierderea, sustragerea sau ștergerea datelor cu caracter personal, iar unele dintre acestea au dorit să se asigure că încep implementarea chiar din anul 2017, pentru ca la momentul 25 mai 2018 să se apropie de finalul acestui proces complex.

Intră pe portalul de concurență pentru mai multe articole despre proiectele din această arie de practică