Noul ghid al Comitetului European pentru Protecția Datelor ar putea aduce o creștere statistică a sancțiunilor, spun avocații Wolf Theiss, firmă cu o echipă dedicată proiectelor din acest domeniu | Biroul din București a asistat clienții în tranzacții complexe, care au implicat aspecte mai sofisticate de protecția datelor. Potențialii cumpărători ai unei afaceri sunt din ce în ce mai interesați să înțeleagă riscurile la care se expun din perspectiva protecției datelor și care sunt modalitățile de a se proteja

Avocații Wolf Theiss atrag atenția că atât progresul tehnologic din ultimii ani, cât și abundența de date care ne înconjoară, precum și riscurile generate de un volum uriaș de date stocate în general de companii au făcut ca preocuparea sporită pentru protecția datelor cu caracter personal să fie absolut obligatorie. Mai mult, ei consideră că nici în viitor latura aceasta nu va trece în plan secund. Astfel că, avansul tehnologic, însoțit de creșterea constantă a volumelor de date cu caracter personal prelucrate obligă întreaga societate să acorde o atenție crescută protecției datelor cu caracter personal, în scopul protejării optime a drepturilor persoanelor vizate.

În România, deși a avut resurse limitate la îndemână, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a reușit să aducă în prim plan interesul pentru zona protecției datelor cu caracter personal și să sancționeze cu succes abaterile grave de la prevederile GDPR.

Referindu-se la zona sancțiunilor, Flavius Florea, Counsel și Coordonator al practicii de TMT (Telecomunicații, Media și Tehnologie), IP & Data Protection din cadrul Wolf Theiss București, amintește faptul că noul ghid al Comitetului European pentru Protecția Datelor (EDPB) ar putea duce la o creștere statistică a sancțiunilor. „Nu credem că aceasta a fost intenția EDPB, ci mai degrabă EDPB a dorit să stimuleze uniformizarea sancțiunilor aplicate de autoritățile de supraveghere la nivel european. De altfel, noul ghid nu impune amenzi minime, ci mai degrabă poate ajuta în determinarea potențialei amenzi maxime pentru o anumită încălcare a GDPR.  În orice caz, în practică am simțit până acum lipsa unui instrument care să asigure un anumit grad de predictibilitate în ceea ce privește amenzile, astfel că noul ghid a fost cu siguranță mult așteptat de către practicieni”, explică avocatul.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Consultanții au observat în practică că, deși în țara noastră nu a existat în mod tradițional o preocupare crescută pentru domeniul protecției datelor cu caracter personal anterior adoptării GDPR, în ultimii ani operatorii au făcut progrese remarcabile și unii dintre ei au implementat programe extrem de complexe de conformare, demonstrând un interes veritabil pentru protejarea datelor clienților lor.

„Nu credem că este absolut necesar să se urmărească ridicarea cuantumului amenzilor, ci mai degrabă aplicarea unitară a sancțiunilor. La momentul actual, ne aflăm încă în situația în care amenzile sunt aplicate de cele mai multe ori fie în urma unei plângeri depuse de persoana vizată, fie în urma unei încălcări de securitate raportată de operatori. Un pas esențial pentru conștientizarea importanței pe care o are protecția datelor cu caracter personal ar putea fi și identificarea unor practici incorecte care sunt propagate la nivel de sector și corectarea acestora, indiferent dacă a existat o plângere a persoanei vizate, o încălcare a securității datelor sau niciuna dintre acestea. Nu ne referim aici în mod specific la sancționare, ci în special la îndrumarea operatorilor înspre adoptarea unor bune practici în ceea ce privește prelucrarea datelor cu caracter personal. Ne putem referi aici în mod specific la zona de module de tip cookie, unde există o multitudine de practici, atât în ceea ce privește informarea utilizatorilor cu privire la utilizarea modulelor de tip cookie, cât și în ceea ce privește obținerea consimțământului utilizatorilor”, subliniază Nina Lazăr (foto), Associate în cadrul echipei Wolf Theiss București de TMT (Telecomunicații, Media și Tehnologie) și IP & Data Protection.

Cei doi specialiști Wolf Theiss insistă asupra faptului că s-au observat în practică progrese remarcabile în acest domeniu.

Totuși, continua să existe acea categorie de operatori care s-au limitat la implementarea unor modele standard de politici și proceduri, fără a acorda o atenție deosebită procesului și fără a le personaliza efectiv prin raportare la activitățile de prelucrare de date cu caracter personal derulate efectiv de compania respectivă.

„Până la acest moment, ANSPDCP a fost activă în sancționarea abaterilor privind cerințele GDPR și, în același timp, s-a implicat în acțiuni de popularizare a regulilor privind protecția datelor, fiind prezentă la diverse evenimente de specialitate. Considerăm că o responsabilizare și mai mare a companiilor poate fi realizată nu neapărat prin creșterea cuantumului amenzilor, ci mai degrabă printr-un proces continuu de  educare, atât în rândul operatorilor economici cât şi al populaţiei, şi creșterea gradului de conștientizare în ceea ce priveşte riscurile inerente prelucrării datelor cu caracter personal în contextul erei digitale și a evoluției tehnologice”, precizează Flavius Florea.

---

---

Avocații implicați în practicile care vizează zona de GDPR se confruntă permanent cu proiecte care necesită abordări speciale din cauza gradului de dificultate pe care îl implică. „Am observat că în general, clienții se îndreaptă către avocați cu probleme legate de protecția datelor cu caracter personal în două situații: fie atunci când, deși problema juridică nu este una extrem de complexă, aceștia au un deficit de personal și volumul de muncă este dificil de gestionat intern (de ex. pentru realizarea evaluărilor de impact privind protecția datelor sau pentru gestionarea încălcărilor de securitate – unde termenul de evaluare și de raportare este foarte strâns) sau atunci când problema juridică de care se lovesc este una foarte complexă, care nu a fost încă tranșată la nivel reglementar”, arată Nina Lazăr.

Expertul mai spune că un exemplu de zonă neacoperită de orientările emise până acum este chestiunea interesului legitim ca temei de prelucrare, unde s-a simțit de-a lungul timpului nevoia unei îndrumări actuale, uniforme și coerente la nivel european. „Nu ne așteptăm ca o astfel de îndrumare să clarifice în mod exhaustiv toate chestiunile controversate (și avem aici exemplul consimțământului ca temei de prelucrare, caz în care, deși există orientări emise de Comitetul European de Protecția Datelor, în practică întâlnim interpretări contrare), însă credem că practicienii vor primi cu entuziasm noi orientări în această materie.”, nuanțează avocatul.

În primii doi ani de aplicare a GDPR, proiectele derulate pentru clienții Wolf Theiss s-au axat foarte mult pe conformarea inițială cu cerințele Regulamentului, în diverse stadii ale acesteia – analiză inițială de conformitate, implementare măsuri de remediere.

Ulterior, clienții au solicitat asistență fie în legătură cu proiecte punctuale (asistență pentru realizarea evaluărilor de impact, asistență în legătură cu încălcarea securității datelor), fie în proiecte mai cuprinzătoare din domeniul fuziunilor și achizițiilor (M&A), proiecte care la momentul actual au o componentă importantă legată de protecția datelor cu caracter personal. „Acest domeniu devine tot mai relevant din perspectiva procesului de due diligence, unde potențialii cumpărători ai unei afaceri sunt din ce în ce mai interesați să înțeleagă riscurile la care se expun din perspectiva protecției datelor și care sunt modalitățile de a se proteja de eventualele riscuri”, argumentează Flavius Florea.

Proiectele cele mai provocatoare din ultimii doi ani au fost legate de achiziția unor companii din domeniul online și al tehnologiei.

Experții Wolf Theiss și-au asistat clienții în tranzacții complexe care au implicat aspecte mai sofisticate de protecția datelor, ce au făcut obiectul analizei în contextul tranzacțional, cum ar fi asistarea unuia dintre cei mai importanți jucători la nivel global din industria livrărilor, într-o tranzacție strategică care a vizat achiziția multi-jurisdicțională a unui jucător din aceeași industrie, lansarea pe piața românească a unei platforme de e-commerce, sau prelucrarea datelor cu caracter personal în contextul utilizării tehnologiilor inovatoare în domeniul serviciilor financiare. „Astfel de proiecte  au făcut parte din activitatea de zi cu zi a echipei noastre în ultimii doi ani, fiind plină de provocări generate de lipsa de claritate  a reglementarilor, dar şi de noutatea pe care o aduce evoluția tehnologică. E de la sine înțeles faptul că un astfel de efort vine însoțit de satisfacția lucrului bine făcut, dar şi de împlinirea ca profesionist”, mai spune Flavius Florea.

„Proiectele de care ne lovim la momentul actual sunt suficient de variate, începând cu asistarea clienților în zona tranzacțională, unde aspectele legate de protecția datelor sunt din ce în ce mai relevante și continuând cu activitatea zilnică a companiei, caz în care asistăm clienții în proiectele legate de exercitarea drepturilor de acces de către persoanele vizate, realizarea evaluărilor de impact, gestionarea incidentelor de securitate. În ultima perioadă, am observat un interes sporit pentru asistență în legătură cu realizarea transferurilor internaționale de date cu caracter personal, aceasta fiind cel mai probabil o consecință a propagării către țara noastră a interesului sporit la nivel european pentru acest subiect”, completează Nina Lazăr.

Echipă dedicată acestui tip de proiecte

Wolf Theiss are o echipă dedicată proiectelor din domeniul protecției datelor cu caracter personal, care are, în același timp, competențe de tehnologie și de proprietate intelectuală, având în vedere faptul că aceste trei arii de practică sunt complementare.

Practica de TMT, Proprietate intelectuală și Protecția datelor cu caracter personal este coordonată de Flavius Florea (Counsel), sub supervizarea Ilenei Glodeanu (Partner).

Echipa de TMT, IP & Data Protection include cinci avocați, în timp ce echipa implicată strict în proiecte de Protecția datelor este formată din trei avocați, între care Nina Lazăr (Associate) și Adelina Iftime-Blagean (Counsel) – ea având un focus pe aspectele de protecția datelor ce sunt interconectate cu cele de dreptul muncii.

Echipa constă în avocați ce dețin certificări de specialitate recunoscute la nivel internațional, precum: CIPP/E - certificare emisă de International Association of Privacy Professionals, ECPC-B Professional DPO Certification - certificare emisă de European Centre on Privacy and Cybersecurity, Maastricht University.
Reprezentanții firmei de avocatură estimează că preocuparea pentru protecția datelor cu caracter personal va crește în viitorul apropiat, în special în situația în care se va ajunge la un consens privind intrarea în vigoare a mult-așteptatului regulament ePrivacy.

„Noile reglementări ce se prefigurează în contextul strategiei europene privind datele, precum Regulamentul privind guvernanța datelor la nivel european (Data Governance Act), Regulamentul privind datele (Data Act), precum şi cele ce țin de strategia digitală a Europei, vor deschide, cu siguranță, noi perspective în ceea ce privește practica de protecția datelor, adaptate contextului pieței unice digitale la nivel european. Totodată, estimăm o creștere a volumului proiectelor în această arie de practică generată și de progresul tehnologic, acesta implicând o creștere constantă a cantității de date cu caracter personal prelucrate și generând, în același timp, o creștere a cererii de servicii de consultanță juridică”, susține Flavius Florea (foto).

În contextul în care Wolf Theiss București este parte integrantă a unei firme de avocatură cu prezență în 13 țări din Europa Centrală, de Est și de Sud-Est, majoritatea proiectelor de protecția datelor și tehnologie în care avocații români sunt implicați au o componentă multi-jurisdicțională.

De asemenea, ei colaborează cu firme de avocatură de talie internațională, fiindu-le solicitată asistența în diverse spețe cu referire la particularitățile legislației locale privind protecția datelor, incidente de securitatea datelor și notificarea autorității de supraveghere, prelucrarea datelor în context de direct marketing,  comerț electronic etc. Astfel de proiecte vizează domenii diverse de activitate, precum sectorul financiar, telecomunicații, IT, sectorul medical, sectorul farmaceutic, retail etc.

„Pandemia Covid-19 a generat o tendință nemaiîntâlnită până la acel moment de digitalizare accelerată a tuturor tipurilor de servicii și de interacțiuni dintre instituții, companii și persoane fizice, atât în domeniul public, cât și în cel privat. Adaptarea la funcționarea afacerii de la distanță a fost cu siguranță o provocare pentru toți jucătorii din domeniu, atât pentru cei din sectorul public, cât și pentru cei din mediul privat. Însă credem că în decursul acestui proces, clienții au acordat în continuare atenția necesară prelucrărilor datelor cu caracter personal și au continuat să implementeze, în general, măsuri tehnice și organizatorice adecvate. Pandemia Covid-19 a accelerat digitalizarea și a generat provocări noi în ceea ce privește protecția datelor cu caracter personal și a vieții private”, precizează Nina Lazăr.

În tot acest timp, echipa Wolf Theiss a fost foarte ocupată să răspundă numeroaselor solicitări privind prelucrarea datelor în context de tele-muncă, cu privire la măsurarea temperaturii angajaților şi vizitatorilor, colectarea datelor angajaților în legătură cu vaccinarea împotriva Covid-19, sau prelucrarea datelor în contextul utilizării aplicațiilor eHealth. „Nu putem spune că în ultimii doi ani am observat compromisuri privind protecția datelor, ci mai degrabă efortul companiilor de a se adapta rapid într-o situație excepțională şi de a identifica soluții practice, menite să asigure atât protejarea sănătății angajaților și un mediu de lucru sigur, cât și protecția datelor cu caracter personal în conformitate cu cerințele GDPR”, conchide Flavius Florea.