Conformarea cu cerințele de ‘privacy by design’ și ‘privacy by default’ reprezintă o componentă importantă a analizelor derulate de NNDKP, casa de avocați cu cea mai „veche” practică de sine stătătoare de protecția datelor din cadrul firmelor de avocatură din România. În ultima vreme, provocările cele mai mari vin din zona proiectelor care presupun prelucrări de date ce nu au fost avute în vedere nici de legiuitorul european care a adoptat GDPR-ul, nici de autoritățile de protecția datelor

Cerințele în domeniul protecției datelor cu caracter personal necesită un efort permanent de îmbunătățire și de aducere la zi.Avocații Nestor Nestor Diculescu Kingston Petersen (NNDKP) atrag atenția că măsurile de securitate care ieri erau suficiente, astăzi s-ar putea să nu mai fie la fel de bune.În acest moment, se observă în cazul companiilor o sporire, în linii mari, a gradului de conformare și de responsabilizare. Astfel că, în mod obișnuit, firmele au desemnat persoane cu atribuții în domeniul protecției datelor, fie că vorbim despre responsabilii cu protecția datelor (DPO) sau despre alte poziții în interiorul organizației. „Provocarea lor principală, din câte vedem, este să reușească să comunice și să explice cât mai bine regulile de protecția datelor, așa încât să asigure o bună înțelegere a acestora în interiorul companiei. De aceea, nu putem vorbi neapărat de societăți care cunosc sau nu cerințele de protecția datelor, ci de anumiți angajați și colaboratori ai societăților care nu au asimilat îndeajuns principiile și noțiunile din domeniu. Sigur că, în acest caz, este responsabilitatea conducerii organizațiilor să asigure însușirea acestor reguli în organizație, iar noi le suntem alături în acest demers cu instrumentele de care dispunem (analize de conformare, cursuri de pregătire, materiale suport)”, punctează Iurie Cojocaru, Partener NNDKP.

Consultanții axați pe practica de Data Protection se confruntă cu o serie de provocări care vin la pachet cu mandatele primite. Experiența acumulată până acum în acest domeniu le permite să depăsească toate aceste obstacole și să identifice cele mai bune soluții pentru fiecare proiect în parte.

Roxana Ionescu, Partener NNDKP, menționează faptul că provocările principale sunt date de faptul că societatea în general și tehnologia în particular sunt într-o continuă evoluție, așa încât norma de protecția datelor trebuie aplicată la niște realități la care legiuitorul nu s-a gândit. „Într-adevăr, se emit periodic ghiduri atât de către EDPB, cât și de către autoritățile naționale de protecția datelor. În plus, și Curtea de Justiție a Uniunii Europene (CJUE) își aduce contribuția. Totuși, rămân destule zone care nu sunt și nici nu au cum să fie integral acoperite. Apoi, se observă și o anumită nehotărâre a actorilor implicați în reglementare și îndrumare de a tranșa anumite zone mai sensibile din domeniu. Există și arii unde până acum s-au emis opinii divergente, ca să nu spunem contradictorii. Este un proces continuu de ajustare și de așezare care va mai dura”, explică avocatul.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

La rândul său, Iurie Cojocaru amintește că, dacă în perioada imediat anterioară lui 25 mai 2018 și în prima fază de după această dată erau mai frecvente proiectele legate de conformarea generală cu cerințele GDPR-ului care devenea aplicabil, în timp solicitările au devenit mai granulare și mai sofisticate. „Nu mai vorbim despre compania care vrea să se pună la punct cu cerințele de protecția datelor, ci despre o companie care vrea să lanseze un proiect, să deruleze o campanie de marketing, să dezvolte o aplicație. Pentru o bună perioadă, pandemia a făcut ca atenția să fie orientată spre cerințele de protecția datelor aplicabile în contextul COVID-19. Și aici ne gândim la regulile de protecția datelor în contextul triajului la intrare, al colectării datelor de sănătate ale celor suspectați de infectare cu virusul COVID-19 sau ale celor trecuți prin boală, precum și al colectării datelor privind vaccinarea”, detaliază Partenerul NNDKP.

Ca element de noutate, în ultimii doi ani, avocații din echipa de Data Protection din cadrul NNDKP au început să asiste clienții și în calitatea lor de responsabili cu protecția datelor (DPO). De asemenea, în acest interval de timp s-au implicat și în sprijinirea clienților firmei în elaborarea unor coduri de conduită de sector privind prelucrarea de date.

„Conformarea cu cerințele de privacy by design și privacy by default reprezintă o componentă importantă a analizelor pe care le derulăm, mai ales că am văzut că ANSPDCP acordă o atenție deosebită verificării conformării sub acest aspect. În ceea ce privește proiectele de tip M&A, analiza din perspectiva protecției datelor a devenit în ultimii ani o constantă, daca nu, un element indispensabil. Orice proiect de acest fel presupune o accesare și o prelucrare de date cu caracter personal, într-un volum mai mare sau mai mic, având un grad de sofisticare mai mare sau mai mic, ceea ce atrage necesitatea respectării unor reguli de privacy. Dacă vorbim de complexitate, în ultima vreme provocările cele mai mari vin din zona proiectelor care presupun  prelucrări de date care nu au fost avute în vedere nici de legiuitorul european care a adoptat GDPR-ul, nici de autoritățile de protecția datelor. Ar fi vorba aici de anumite proiecte de tehnologii înalte, dar putem aduce în discuție și proiecte cu o componentă tehnică mai redusă, dar care și ele ies din tiparele unor prelucrări obișnuite de date (de exemplu, prelucrarea datelor legate de starea de sănătate în contextul virusului COVID-19, a datelor de vaccinare, precum și a datelor persoanelor refugiate în contextul războiului)”, completează Roxana Ionescu.

---

---

Situația grea pe care a traversat-o și o traversează economia nu a fost folosită de companii ca o scuză pentru a face compromisuri în domeniul protecției datelor cu caracter personal.

De altfel, în toată această perioadă, autoritatea de protecția datelor și-a continuat activitatea în parametrii normali, desfășurând controale (chiar dacă mai mult prin corespondență) și aplicând sancțiuni și măsuri corective. „Drept urmare, nici companiile nu au avut motive să lase garda jos în ce privește conformarea. Ceea ce putem spune este că în prima fază a pandemiei, atenția clienților noștri se concentrase îndeosebi pe problematica colectării datelor în context COVID-19, dar asta nu înseamnă că celelalte zone au fost neglijate”, arată Iurie Cojocaru.

Avocatul subliniază faptul că GDPR codifică un set de reguli care trebuie respectate din perspectiva protecției datelor. „Nu poți avansa cu dezvoltarea aplicației tale, a paginii tale de internet sau a dispozitivului tău inteligent, dacă nu ții cont de aceste reguli. Așadar, nu este vorba de un interes sau de o curiozitate, ci de o necesitate, o cerință care trebuie realizată pentru asigurarea conformării”, detaliază Partenerul NNDKP.

Faptul că, după patru ani de la intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679, Comitetul European pentru Protecția Datelor (EDPB) propune un nou ghid pentru calcularea amenzilor aplicabile în cazul încălcărilor prevederilor GDPR, ar putea avea drept consecință indirectă ridicarea pragului sancțiunilor din acest domeniu.

Totuși, avocații NNDKP sunt de părere că textul documentului se referă la nevoia unei armonizări a metodologiei de calcul, și nu este vorba despre o armonizare a rezultatului, adică despre o nivelare a cuantumului amenzilor. Dar rămâne de văzut cum se vor aplica aceste reguli în practică.

„În ceea ce privește interesul privind respectarea regulilor de protecția datelor, acesta într-adevăr există și este unul constant, la fel cum este constantă și publicarea de către ANSPDCP (autoritatea din domeniu) a informațiilor privind noile amenzi aplicate. În ultimele luni, autoritatea a dat publicității cel puțin două comunicate pe lună privind aplicarea unor noi amenzi. Dar nu trebuie să credem că frica de amenzile autorității de supraveghere reprezintă singurul motor care întreține activitatea de conformare. Opinia publică devine din ce în ce mai avizată în legătură cu domeniul protecției datelor, iar persoanele vizate devin tot mai conștiente de drepturile pe care le au în acest sens. Companiile, la rândul lor, trebuie să facă față solicitărilor venite din partea persoanelor vizate, așa că o bună conformare cu cerințele de protecția datelor poate reduce numărul de solicitanți nemulțumiți de modul în care li s-au gestionat cererile. Nu în ultimul rând, o organizare deficitară pe partea de protecția datelor poate duce la incidente de securitate care sunt de natură să submineze încrederea publicului în compania respectivă, mai ales dacă aceasta activează în domenii care se bazează mult pe interacțiunea cu publicul”, declară Roxana Ionescu.

Specialiștii NNDKP sunt de părere că ridicarea pragului amenzilor nu ar fi soluția pentru a crește importanța domeniului. „Așa cum a fost gândit de autorii săi, Regulamentul (UE) 2016/679 (GDPR) se bazează mult pe auto-evaluarea entităților care participă la prelucrarea datelor. Nu mai suntem ca în situația înainte de 25 mai 2018, când fiecare prelucrare, ca regulă, se notifica la autoritate. Acum operatorul stabilește care îi sunt temeiurile de prelucrare, duratele de prelucrare, nivelurile de risc și tot operatorul stabilește în care parte înclină balanța analizei de interes legitim. În toate aceste auto-evaluări, legiuitorul european a mizat pe buna-credința a operatorului. Niște amenzi prea mari ar descuraja buna-credință și transparența companiilor. Gândiți-vă că notificările de încălcare de securitate au fost concepute inițial ca o modalitate prin care autoritățile de protecția datelor să poată veni în ajutorul operatorilor afectați de incident, sprijinindu-i în demersurile de remediere și, în cele din urmă, de reducere a riscurilor pentru drepturile persoanele vizate. Or, dacă un operator ar ști că este pasibil de o amendă usturătoare în urma notificării de incident, s-ar gândi de două ori înainte să notifice”, explică Iurie Cojocaru.

Din punctul său de vedere, creșterea conștientizării ține în primul rând de o bună comunicare, iar toți actorii din domeniu au un rol în sporirea acestei conștientizări. „Companiile comunică cu persoanele vizate prin notele de informare și politicile de confidențialitate pe care le publică pe paginile de internet, le afișează la intrarea în clădire sau le comunică pe alte căi. Autoritățile de protecția datelor vin și ele cu ghidurile prin care își exprimă punctul de vedere cu privire la anumite cerințe legale care sunt neclare și nasc interpretări”, adaugă avocatul intervievat de ^BizLawyer.

Un rol important în tot acest proces îl au și avocații, care vin în sprijinul clienților pentru a-i ajuta să înțeleagă mai bine ce ar trebui să facă pe baza legislației existente, precum și a tuturor ghidurilor, jurisprudenței și opiniilor care s-au emis, oferindu-le totodată soluțiile practice de care au nevoie.

„Bineînțeles, suntem implicați și în elaborarea notelor de informare și a politicilor de confidențialitate pe care le-am amintit anterior. Concluzia ar fi că o mai bună comunicare, pe toate palierele, oferă și o înțelegere mai clară a domeniului și creează niște așteptări rezonabile de partea fiecărui actor implicat: companiile și avocații lor înțeleg mai bine cum se poziționează autoritatea de supraveghere, iar persoanele vizate înțeleg mai bine cum le sunt prelucrate datele de către companii”, mai spune Iurie Cojocaru.

O practică în continuă dezvoltare

Practica NNDKP de Data Protection este coordonată de Roxana Ionescu, Partener și singurul avocat român recomandat pentru Securitatea și Protecția Datelor de către Ghidul Who’s Who Legal din anul 2022 (publicație care evaluează această arie de practică în mod independent) și Iurie Cojocaru, Partener.

În acest moment, departamentul cuprinde zece avocați specializați în acest domeniu. O parte din avocații firmei sunt aici încă de la înființarea practicii, alții s-au alăturat pe parcurs.

Echipa include și avocați certificați CIPP/E (Certified Information Privacy Professional/Europe), certificare emisă de Asociația Internațională a Profesioniștilor în Protecția Datelor (International Association of Privacy Professionals – IAPP).

În plus, unii dintre avocații din departament sunt certificați ca formatori, ceea ce le permite să desfășoare cursuri de pregătire pentru personalul clienților, inclusiv pentru responsabilii cu protecția datelor ai acestora.

„NNDKP are o practică de sine stătătoare de protecția datelor deja de mai bine de 13 ani. Este cea mai „veche” practică de sine stătătoare de protecția datelor din cadrul firmelor de avocatură din România. În oferirea de servicii juridice privind  protecția datelor, GDPR ocupă rolul central. Totodată există și solicitări pentru care sunt aplicabile alte acte normative în domeniu, cum ar fi legislația de e-Privacy sau solicitările privind viața privată unde ne bazăm mult pe Convenția pentru apărarea Drepturilor Omului și a Libertăților Fundamentale (CEDO) și jurisprudența Curții de la Strasbourg”, menționează Roxana Ionescu.

„În ceea ce privește viitorul, ne așteptăm ca gradul de conștientizare legat de protecția datelor să fie într-o continuă și susținută creștere. De asemenea, anticipăm ca acele arii ale domeniului care în prezent sunt neclare sau cărora li se oferă la acest moment o interpretare contradictorie să fie, măcar în parte, clarificate prin instrumentele de îndrumare de care dispun autoritățile de protecția datelor sau pe calea unor interpretări venite din partea CJUE sau a instanțelor naționale. Totodată, la orizont se întrevăd deja alte acte normative care sunt pe cale să devină aplicabile. Data Governance Act este deja în vigoare și va deveni aplicabil în câteva luni. Data Act este și el aproape de linia de sosire. Urmează Artificial Intelligence Act și Regulamentul de e-Privacy care vin puternic din urmă”, completează Iurie Cojocaru.

NNDKP colaborează în mod frecvent cu firme de avocatură din străinătate, în primul rând din Uniunea Europeană, Marea Britanie și SUA, dar a lucrat în ultima perioadă și cu firme de avocatură din jurisdicții precum Japonia sau Singapore.

De obicei, proiecte care se bazează pe astfel de colaborări sunt unele de mare calibru, care implică prelucrări de date desfășurate în mai multe state. În aceste cazuri, avocaților români le este solicitat sprijinul pentru a acoperi componenta de protecția datelor pentru România. Este cazul unor tranzacții la nivel de grup (societatea-mamă este cumpărată și se face auditul cu privire la toți afiliații săi în care deține participații, inclusiv cei din România) sau poate fi vorba despre un incident de securitate cu impact la nivel internațional, inclusiv în România. Nu sunt rare nici proiectele în care un client vrea să știe cum stă pe partea de protecția datelor la nivel de grup, așa încât derulează o procedură de gap analysis la toate societățile din grupul respectiv.

Redactările de documente de informare și politici interne, analizele de tip DPIA (Data Protection Impact Assessment) și LIA (Legitimate Interest Assessment), elaborarea de clauze contractuale și sprijinul în implementarea de măsuri de securitate sunt doar unele dintre aspectele acoperite de echipa NNDKP în asistența de zi cu zi.