GDPR, după primii 3 ani | În spatele scenei, alături de echipa Bondoc & Asociații: Prin natura portofoliului de clienți, mandatele legate de protecția datelor au fost întotdeauna prezente în volum considerabil în activitatea firmei. Ele s-au multiplicat și diversificat, fiind, totodată, din ce în ce mai complexe, pe măsura provocărilor implicate de procesele de digitalizare

Politica GDPR a adus schimbări semnificative în activitatea firmelor, reconfigurând unele concepte în materia protecției datelor cu caracter personal și introducând noi aspecte / cerințe. Pe acest fond, firmele de avocatură cu arii de practică puternice în acest domeniu au avut un volum de lucru crescut, mandatele în care s-au implicat ridicând probleme complexe.„Toate proiectele au necesitat o analiză atentă. Noile praguri ale amenzilor au contribuit, de asemenea, la conștientizarea importanței domeniului și la redimensionarea efortului necesar pentru asigurarea unui nivel optim de conformare și pentru menținerea acestuia”, au precizat pentru ^BizLawyer Lucian Bondoc și Monica Iancu, Avocați asociați în cadrul Bondoc & Asociații.

Deși au trecut peste trei ani de la intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679, GDPR rămâne o problemă de actualitate pentru companii, iar experții din domeniu sunt permanent în alertă.
Monica Iancu și Lucian Bondoc subliniază faptul că s-a manifestat și continuă să se manifeste un interes deosebit pentru domeniul protecției datelor cu caracter personal, alimentat de mai multe aspecte.

Avocații nominalizează în acest sens noutățile în sine (substanțiale în mai multe privințe) aduse de GDPR.
În aceeași categorie intră și faptul că GDPR a dat startul elaborării a numeroase ghiduri și altor tipuri de documente oficiale intrepretative sau de clarificare la nivelul autorităților de reglementare din Statele Membre (uneori contradictorii între ele).

Un rol semnificativ îl au și evoluția jurisprudenței (atât la nivel local, cât și comunitar) dar și schimbările intervenite în procesele de prelucrare a datelor prin implementarea unor instrumente tehnologice sau digitale.

La toate acestea se adaugă creșterea gradului de conștientizare din partea actorilor economici, inclusiv ca urmare a unor spețe care au vizat prelucrări de date personale și au avut o rezonanță mai mare socială și economică.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Experiența celor trei ani care au trecut de a adoptarea legislației privind protecția datelor îi ajută pe avocați să tragă o serie de concluzii în ceea ce privește comportamentul celor vizați de GDPR.

Astfel, la nivelul operatorilor de date personale și împuterniciților acestora a fost esențială și rămâne importantă conștientizarea impactului transversal al GDPR, în sensul în care acesta se răsfrânge asupra marii majorități a operațiunilor și activităților desfășurate de o entitate.

De asemenea, componenta de training și explicitare a unor aspecte din GDPR a fost esențială și rămâne importantă și în continuare pentru a asigura înțelegerea obligațiilor impuse de GDPR la nivelul departamentelor suport.

Trebuie avut în vedere și că domeniul protecției datelor rămâne unul aflat într-o fază în care anumite concepte se consolidează (de ex. prin decizii ale CJUE, ale instanțelor naționale, prin ghiduri și orientări ale EDPB și ale autorităților naționale). „Ceea ce face cu atât mai actuală recomandarea de a nu deprinde un automatism în aplicarea GDPR și a reverifica conceptele prin prisma evoluțiilor cu ocazia actualizărilor proiectelor existente sau a implementării de noi proiecte”, punctează Partenerii din cadrul Bondoc și Asociații.

În plus, persoanele vizate au devenit mai active cu privire la protecția propriilor date personale, existând atât solicitări fundamentate, cât și solicitări speculative.

„Cu caracter mai general, raportat la cele de mai sus, majoritatea proiectelor cu privire la care o firmă de avocatură precum a noastră asistă necesită aport și din perspectiva legislației privind protecția datelor personale”, subliniază Monica Iancu, Partener Bondoc & Asociații.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică

 

O zona atât de vastă este evident că poate suferi îmbunătățiri, iar schimbările de care este nevoie în domeniul GDPR ar trebui să vizeze, în primul rând, obiectivul unei interpretări și aplicări unitare a legislației protecției datelor.

„În general, pentru a ajunge la o interpretare și aplicare uniforme, este necesar un timp mai îndelungat care să permită  parcurgerea, de exemplu, a unor cicluri procesuale și maturizarea unor decizii. Se observă, de altfel, și un număr important de solicitări de la nivelul instanțelor de judecată naționale privind emiterea de către CJUE a unor decizii preliminare, în temeiul articolului 267 din TFUE, fapt care confirmă faptul că instanțele de judecată au dileme în interpretarea GDPR”, atrage atenția Monica Iancu.

Avocatul subliniază faptul că ghidurile generale de interpretare a prevederilor GDPR sau cele de implementare a acestuia la nivel de industrie sunt importante, dar amintește că în mod clar există zone neacoperite de ghidurile emise până acum.

„Unele formulări actuale și interpretările acestora pot fi excesiv de constrângătoare raportat la nevoile rezonabile ale unei activități economice. Credem că o soluție ar putea fi introducerea unor categorii de excepții la anumite componente ale regulamentului sau a unor exigențe mai scăzute, așa cum este cazul în cadrul legislației din domeniul concurenței. Nu în ultimul rând, faptul că legislația României introduce obligații și constrângeri suplimentare față de GDPR este susceptibil de discuții din perspectiva oportunității și proporționalității”, completează Lucian Bondoc.

Intră pe platforma Dispute.Resolution.Center ► Cât costă un arbitraj comercial. Taxe, cheltuieli administrative, volum de muncă și onorarii plătite avocaților ► INTERVIU | Media tarifelor orare pentru firmele româneşti se situează între 100 şi 250 de euro/oră. Avocaţii foarte renumiţi în domeniu pot ajunge să perceapă şi o rată de 1.000 euro/oră

Volum de muncă foarte mare

Echipa Bondoc & Asociații implicată în mandatele care vizează chestiunile legate de GDPR a avut și are un volum de muncă important, cu vârfuri în jurul unor proiecte masive de tipul proceselor mai generale de implementare, al proceselor de tipul privacy by design sau al tranzacțiilor de tip M&A în industrii care implică prelucrări de date personale semnificative (precum comerț online, servicii medicale, utilități).

„Printre proiectele care au avut o complexitate aparte au fost și cele legate de asistența în contextul organizării și implementării unor studii clinice (legate de medicamente în curs de dezvoltare), al dezvoltării unor aplicații care creează adevărate ecosisteme virtuale în domeniul utilităților, al dezvoltării unor aplicații bazate pe utilizarea de token-uri și cripto-valori sau al definirii procesului de implementare a unor servicii bancare digitale”, menționează Lucian Bondoc.

„Complexitatea activității de zi cu zi a unei companii generează o diversitate de scenarii relevante pentru protecția datelor personale. Sensibilitatea poate deriva fie din aspectele de fond ale chestiunii în analiză (prelucrări voluminoase de date personale cu caracter sensibil și componente automate de prelucrare), fie din natura problematicii (de exemplu, în cazul unor breșe de securitate, unde timpul de reacție este foarte important). Din acest ultim punct de vedere, timpul de reacție impus de legislație este dificil de atins uneori, dacă breșa privește procese de prelucrare complexe. Desigur că o parte importantă a activității noastre implică și sprijinirea echipelor noastre de soluționare a disputelor în reprezentarea clienților fie în litigii care au ca obiect aspecte de protecția datelor, fie în litigii în care sunt incidente aspecte de protecția datelor”, adaugă Monica Iancu.

O practică în continuă dezvoltare Practica de protecție a datelor a fost privită mereu ca una de sine stătătoare în cadrul firmei Bondoc & Asociații, avocații fiind implicați într-o multitudine de proiecte de acest tip, atât anterior intrării în vigoare a GDPR (inclusiv în numeroase proiecte de pregătire a implementării GDPR), cât și ulterior intrării in vigoare a GDPR (inclusiv în analize de tip „privacy by design” și investigații ale autorității). Astfel că mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea firmei prin natura portofoliului de clienți. Ele s-au multiplicat și diversificat, devenind totodată din ce în ce mai complexe, pe măsura provocărilor implicate de procesele de digitalizare, prezente în din ce în ce mai multe industrii.   Este important de menționat că Bondoc & Asociații colaborează regulat cu firme internaționale, inclusiv cu privire la proiecte care implică asistență în domeniul protecției datelor personale. În plus, dat fiind faptul că o parte importantă a clienților este alcătuită din entități cu prezență internațională, de cele mai multe ori asistența presupune contacte cu departamentele juridice de la nivel central / global. „Domeniul este unul complex și dinamic astfel încât apreciem că nevoia de asistență va rămâne prezentă mult timp.Caracterul complex vine inclusiv din necesitatea corelării cu legislația diferitelor ramuri de drept specifice sectoarelor / industriilor în care își desfășoară activitatea diferiți clienți, inclusiv dreptul informației și tehnologia comunicațiilor, dreptul financiar – bancar, protecția consumatorului, reglementările în domeniul activității medicale și farmaceutice, reglementările în domeniul energie etc. De asemenea, sunt foarte numeroase situațiile în care apar nuanțe și nevoi de adaptare – simpla folosire în întregime a unui model anterior putând fi foarte înșelătoare și riscantă. De asemenea, credem că va rămâne mult timp necesară abordarea specializată a aspectelor juridice sofisticate plasate la intersecția dintre drept și dezvoltare tehnologică, prin acordarea de consultanță juridică actualizată cu cele mai recente evoluții legislative și interpretări de la autoritățile competente în domeniu și prin aplicarea inovativă a acestora la obiectivele de afaceri ale clienților. În ceea ce privește activitatea ANSPDCP, rămâne de văzut cum va aborda autoritatea în continuare interacțiunile cu operatorii de date personale și împuterniciții acestora. Este posibil ca ANSPDCP să se concentreze la anumite momente pe anumite sectoare. Astfel de acțiuni pot releva informații utile pentru pregătirea unor ghiduri și linii directoare care să ajute industria în cauză”, au explicat Lucian Bondoc și Monica Iancu.

Mandate complexe

Portofoliul de clienți ai firmei Bondoc & Asociații este foarte variat și diversificat, atât din perspectiva sectoarelor de activitate (comerțul cu amănuntul, industria farmaceutică și servicii medicale, domeniul financiar-bancar, energie și resurse naturale, utilități, turism, social media, televiziune, industria auto, industria alimentară, comerț online, servicii de curierat, bunuri de consum, imobiliar, agricultură, industria chimică, transporturi etc.), cât și a dimensiunilor (companii internaționale, precum și companii locale).

„Asistăm clienți dintr-o mare varietate de sectoare economice. Nu am spune că este vorba de o dificultate de conformare în unele industrii, ci de o nevoie de volume mai mari de eforturi și atenție în acest sens din cauza dimensiunilor activităților și diversității prelucrărilor de date personale implicate. Companiile care prelucrează inerent date speciale (precum furnizorii de servicii medicale) sau care interacționeaza cu numeroși clienți (precum cele din zona serviciilor de utilități, serviciilor financiare sau comerțului online și curieratului) au un risc mai mare de erori, dar am avut ocazia să contribuim la implementarea unor proceduri și abordări fundamental bazate pe obiectivul conformității”, susțin Monica Iancu și Lucian Bondoc.

Referitor la tipologia mandatelor primite, avocații precizează că se observă modificări naturale ale acestora, crescând, totodată, atât volumul, cât și diversitatea.

„Dacă în anii anteriori asistența noastră a fost concentrată pe partea de implementare a GDPR, în prezent asistența se focusează pe activitățile de zi cu zi, în vederea conformării cu prevederile GDPR (principiul responsabilității), precum și pe identificarea riscurilor potențiale, dar și a soluțiilor pentru implementarea diferitelor proiecte punctuale (din perspectiva principiilor de privacy by design și privacy by default). În plus, o parte din mandatele noastre acoperă sprijinirea în legătură cu investigații din partea autorității competente, inclusiv formularea de răspunsuri la diverse solicitări ale acesteia, asistență privind notificarea de breșe de securitate, asistență și reprezentare implicând litigii care au ca obiect sau în care sunt incidente aspecte de protecția datelor. De asemenea, am continuat să furnizăm sesiuni de instruire adresate clienților (atât angajaților, cât și managementului) în vederea asigurării unei informări continue și conforme cu noile evoluții ale GDPR.Ca punct de constanță, am fost implicați în multe procese de due diligence cu ocazia numeroaselor proiecte de tip M&A pe care le gestionăm în cadrul firmei, multe dintre ele având o componentă importantă legată de domeniul legislației datelor personale”, au explicat interlocutorii ^BizLawyer.

Cu titlu de exemplu echipa Bondoc & Asociații consiliază în mod constant clienți din domeniul farmaceutic și servicii medicale în legătură cu o gamă completă și complexă de proiecte și programe necesar a fi implementate de companie fie la nivel de grup, fie local.„Exemple de proiecte includ asistență cu privire la: campanii de marketing, inclusiv prin studii de piață, segmentarea și/sau profilarea digitală, implicațiile studiilor clinice atât în legătură cu pacientul înrolat în studiu, cât și cu doctorii și ceilalți actori din domeniul medical implicați în realizarea studiului,aspectele de protecția datelor în materia farmacovigilenței, relația contractuală cu diferiți furnizori de servicii, inclusiv din perspectiva calificării părților, de cele mai multe ori rolurile fiind multiple etc.”, precizează Lucian Bondoc.

De asemenea, avocații asistă în mod regulat companii mari active în zona comerțului online din România în legătură cu aspecte de protecția datelor.

„Asistăm în mod constant pe aspecte de protecția datelor personale în contextul operării uneia dintre cele mai extinse rețele de social media, problematica fiind, de asemenea, variată și de cele mai multe ori legată de aspecte de dreptul comerțului electronic. Totodată, asistăm clienți care își desfășoară activitatea (și implicit relația cu clienții finali) prin intermediul instrumentelor digitale, într-o serie de aspecte referitoare la digitalizarea serviciilor de energie. Astfel, acordăm asistență în legătură cu toate aspectele de protecție a datelor referitoare la o platformă administrată de client, disponibilă în întreaga lume, concepută ca un instrument digital care vizează piața de energie regenerabilă”, mai spune Monica Iancu.

Vigilența companiilor legată de protecția datelor nu s-a redus în niciun fel pe perioada pandemiei. În ciuda condițiilor grele și faptului că multe firme au fost obligate să facă o trecere bruscă la activitatea online, politica GDPR a rămas permanent în atenția jucătorilor economici.

Mai mult, experții Bondoc & Asociații au constatat că „în contextul derulării multor activități online, interesul a crescut și s-a diversificat. Inclusiv elemente din legislația apărută în contextul pandemiei COVID 19 au impus necesitatea unor ajustări importante.

Profesioniștii firmei de avocatură caracterizează anul 2021 ca fiind o perioadă de continuare a unei creșteri accelerate din această perspectivă, întrucât digitalizarea ajută și la asigurarea unei trasabilități crescute a unor documente și a accesului la date personale, ceea ce generează necesitatea unui efort crescut pentru protecția „amprentei digitale”.