GDPR, după primii 5 ani | Avocații ZRVP încurajează companiile să își instituie mecanisme eficiente de conformare prin adoptarea unor procese periodice pentru testarea, evaluarea și aprecierea eficacității măsurilor tehnice și organizatorice, astfel încât să fie garantată securitatea prelucrărilor. Alexandra Nania (Senior Associate): De cele mai multe ori, proiectele au o componentă esențială de protecția datelor fără de care nu poate fi securizată nicio strategie în materializarea acestora

Domeniul protecției datelor este, în acest moment, unul dintre cele dinamice și provocatoare sectoare, având în vedere că necesită atât o abordare bazată pe risc, o gestionare a adversității la risc, cât și o reevaluare continuă și o creștere a maturității procedurilor. Alexandra Nania, Senior Associate în cadrul Zamfirescu Racoți Vasile & Partners (ZRVP), atrage atenția că studiile au evidențiat faptul că 90% dintre încălcările GDPR sunt cauzate de erori umane. Totuși, avocatul are încredere că, pe viitor, va crește gradul de responsabilizare a angajaților în ceea ce privește înțelegerea respectării obligațiilor GDPR în scopul de a se proteja pe sine și organizația din care fac parte.„Într-un scenariu ideal, vor exista mai puține incidente de securitate în considerarea faptului că reducerea probabilității producerii acestora rămâne o responsabilitate organizațională de a instrui angajații cu privire la procedurile de lucru și mecanismele eficiente de asigurare a integrității și confidențialității datelor cu caracter personal”, nuanțează expertul ZRVP.

La cinci ani de la intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date, companiile continuă să acorde o atenție sporită acestui domeniu. Astfel se poate observa că operatorii de date din sectorul privat și din cel public au continuat să își exprime interesul pentru aplicarea adecvată a reglementărilor din materia protecției datelor.
„Domeniul drepturilor și libertăților persoanelor vizate nu va depinde în majoritatea cazurilor de dimensiunea companiei, ci de impactul asupra drepturilor și libertăților în cazul unor încălcări. În continuare se așteaptă emiterea unor ghiduri/recomandări care să vină cu exemple practice din viața reală de business de natură să permită operatorilor să reconcilieze interesele comerciale cu drepturile și libertățile persoanelor vizate. În concluzie, navigarea vulnerabilității în cadrul protecției datelor rămâne un efort nuanțat, plin de complexități și imperfecțiuni”, apreciază Alexandra Nania.

Interlocutoarea ^BizLawyer subliniază însă că există un anumit grad de lejeritate cu care este tratat acest domeniu de anumite companii. Avocatul este de părere că un astfel de tratament este favorizat și de faptul că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu a intrat într-o analiză intrinsecă a proceselor de conformare pe durata investigațiilor sale.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

„Procesele de conformare se bazează pe o abordare bazată pe riscuri, efectuată cu bună-credință de companii fără ca un eventual automatism în aplicarea GDPR să fie considerate încălcări voluntare și intenționate ale GDPR. În activitatea noastră, încurajăm companiile să își instituie mecanisme eficiente de conformare prin adoptarea unor procese periodice pentru testarea, evaluarea și aprecierea eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrărilor”, arată expertul ZRVP.

Analizele firmei de avocatură evidențiază faptul că plângerile primite de Autoritate din partea persoanelor fizice s-au referit, în principal, la dezvăluirea neautorizată a datelor cu caracter personal, la încălcarea drepturilor persoanelor vizate, la aplicarea principiilor de folosire a datelor, la primirea de mesaje comerciale nesolicitate sau la aplicarea măsurilor de securitate și confidențialitate a prelucrărilor de date personale.

În ceea ce privește măsurile corective dispuse, acestea au urmărit, cu prioritate, remedierea disfuncționalităților apărute în activitatea operatorilor astfel încât să fie diminuată afectarea drepturilor persoanelor fizice.

„La nivel național, astfel cum se relevă și din raportul emis de către Autoritate pentru anul 2022, nivelul amenzilor aplicate a crescut în mod semnificativ, creșterea fiind atât la nivelul cuantumului prin care se individualizează fiecare amendă aplicată, cât și la nivelul investigațiilor care s-au finalizat în mod efectiv cu aplicarea unor amenzi operatorilor. Astfel, se conturează un trend al activității Autorității în a nu mai arăta atât de multă indulgență în piață prin aplicarea unor simple avertismente și măsuri corective. Această abordare pare să vină ca o accentuare a nevoii de conștientizare a implicaților protecției datelor cu caracter personal la nivel general. Mai mult, vedem în continuare că măsurile și sancțiunile dispuse de către Autoritate rămân neafectate de către acțiunile în justiție. În continuare se pare că situațiile care generează incidența unor plângeri sau notificări de incidente de securitate vin din zona pilonilor de bază din GDPR, cum ar fi  prelucrarea datelor cu caracter personal fără temei; încălcarea drepturilor persoanelor vizate, în special, a dreptului de acces al persoanei vizate și a dreptului la ștergerea datelor acesteia; și încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date cu caracter personal. La nivel principal încă nu s-a ajuns la nivelul în care să se abordeze suficient posibilitatea utilizării altor puteri corective furnizate autorităților de supraveghere și relația acestora cu amenzile pentru a crea un cadru eficient pentru aplicarea GDPR. În același timp, din punctul de vedere al protecției drepturilor persoanelor vizate, aplicarea altor puteri corective poate fi în multe cazuri o măsură mult mai eficientă decât impunerea exclusivă a unei amenzi”, explică interlocutoarea ^BizLawyer.

Avocatul atenționează că incertitudinile de ordin juridic cu privire la aplicarea și interpretarea dispozițiilor GDPR rămân o constantă în piață. În aceste condiții, asigurarea unui nivel de conformare prin sancțiuni (inclusiv amenzi) trebuie să fie întotdeauna proporțional. „Acest lucru trebuie respectat cu strictețe și ca principiu al acțiunii administrative. Așa cum exprimă și Regulamentul, amenzile impuse ar trebui să fie eficace, proporționale și disuasive. Atât noi ca avocați, cât și operatorii, încercăm să subliniem totuși că amenzile nu sunt singurul instrument de care dispun autoritățile în activitatea de monitorizare și control. Ca toate măsurile corective în general, amenzile administrative ar trebui să răspundă în mod adecvat naturii, gravității și consecințelor încălcării produse, iar autoritățile de supraveghere trebuie să evalueze toate situațiile de fapt de o manieră consecventă și justificată obiectiv. Existența unor studii de caz cu exemple practice pentru a oferi mai multe îndrumări ar fi de dorit, precum și instituirea diferitelor măsuri corective al cărui domeniu de aplicare este adesea foarte eficient. O determinare mai precisă a eficacității, proporționalității sau disuasivității va fi generată de îndrumările emise de autoritățile de supraveghere și jurisprudența la interpretarea acestor principii”, detaliază specialistul.

---

---

Chiar dacă au trecut cinci ani de la intrarea în vigoare a regulamentului GDPR, companiile se confruntă în continuare cu provocarea de a găsi echilibrul corect între propriile interese și dreptul fundamental la protecția datelor al persoanelor vizate, precum și alte drepturi fundamentale (cum ar fi libertatea de exprimare și informare).

„Spre exemplu, o breșă de securitate într-o companie mică (din punct de vedere al cifrei de afaceri) poate avea un impact considerabil asupra protecției datelor cu caracter personal a unui număr potențial mare de persoane”, amintește avocatul.

O altă provocare se întrevede în identificarea temeiului de prelucrare corect. Temeiul juridic al interesului legitim a câștigat proeminență, deoarece necesită un echilibru delicat între interese și o evaluare aprofundată a riscurilor. Acest cadru permite o analiză nuanțată a riscurilor individuale, cu răspunsuri personalizate la situații specifice. „Având în vedere că temeiul juridic al interesului legitim implică o echilibrare a intereselor și evaluarea riscurilor, împreună cu necesitatea adoptării unor măsuri adecvate de atenuare și a răspunderii din partea operatorilor de date, acesta ar putea fi un cadru solid pentru analizarea riscurilor la nivel individual și pentru a permite ca riscuri speciale să fie abordate în situații specifice”, menționează Alexandra Nania.

În același timp, avocatul precizează că, în prima parte a anului 2023, Comitetul European pentru Protecția Datelor a lansat în consultare publică un set de orientări pentru a armoniza metodologia pe care autoritățile de supraveghere o folosesc la calculul cuantumului amenzilor impuse ca urmare a încălcărilor GDPR. „La acest moment, chiar și în ceea ce privește sancțiunile care pot fi aplicate pentru încălcări ale GDPR, încă nu există o aplicare sau o înțelegere uniformă. Chiar dacă rolul avut în vedere de pregătirea acestor orientări a fost de a completa orientările adoptate anterior privind aplicarea și stabilirea amenzilor administrative în scopul Regulamentului GDPR, orientări care se concentrează asupra circumstanțelor în care să se aplice o amendă, nu vedem să se fi adus mai mult claritate în acest sens. Acest aspect este susținut de numărul semnificativ de comentarii formulate față de textul acestor orientări, accentul comun al acestora fiind acela că utilizarea criteriului cifrei de afaceri contrazice reglementările și valorile GDPR”, mai spune expertul.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică

Toate proiectele au o componentă esențială de protecția datelor

La nivelul ZRVP, proiectele de Data Protection sunt gestionate de Alexandra Nania sub supervizarea partenerului Cătălin Micu. De altfel, expertiza pe acest segment a devenit o necesitate pentru clienții firmei de avocatură din cele mai diverse domenii de activitate. „De cele mai multe ori toate proiectele au o componentă esențială de protecția datelor fără de care nu poate fi securizată nicio strategie în materializarea acestora”, punctează Alexandra Nania.

Activitatea ZRVP în domeniul protecției datelor este cu predilecție în procesele de tipul privacy by design în contextul unei reprezentări tot mai digitale în care respectarea cerințelor privind protecția datelor de la concepere joacă un rol crucial în promovarea vieții private și a protecției datelor în societate.

Avocatul este de părere că este esențial ca operatorii să îmbrățișeze această responsabilitate și să pună în aplicare exigențele GDPR din această perspectivă. „Ne concentrăm în mod frecvent pe proiectele în care eficacitatea se află în centrul conceptului de protecție a datelor by design pentru a garanta drepturile persoanelor vizate. La expertiza noastră se adaugă și aspectele specifice în cadrul tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale”, comentează specialistul.

Echipa ZRVP s-a implicat, în ultimul an, în multe proiecte complexe. De exemplu, în raport de vulnerabilitățile existente în procesele de transfer a datelor către SUA, a trebuit să acomodeze condițiile de transfer la cadrul juridic sensibilizat. „Cu toate acestea, principiile fundamentale aplicabile operatorilor (legitimitatea, minimizarea datelor, limitarea scopului, transparența, integritatea datelor, acuratețea datelor) ar trebui să rămână aceleași, indiferent de prelucrare și de riscurile pentru persoanele vizate, chiar și în absența unui cadru juridic reglementat. Mai mult, chiar dacă în prezent a fost agreat documentul EU-U.S. Data Privacy Framework pentru aceste transferuri există îngrijorări care determină lipsa de predictibilitate cu privire la supraviețuirea acestui mecanism de transfer având în vedere acțiunile deja formulate împotriva acestui act”, opinează Alexandra Nania.

De altfel, proiectele complexe implică efortul comun al mai multor echipe de avocați. În special atunci când este vorba despre prelucrarea datelor în contextul relațiilor de muncă la nivelul angajatorilor care fac parte dintr-un grup de companii se impune colaborarea echipelor de avocați din jurisdicții diferite pentru a translata teoria în peisajul protecției datelor.

„În practica de la nivelul departamentului nostru au fost provocări în furnizarea de asistență anumitor clienți persoane fizice în a-și exercita drepturile consacrate de către GDPR. Aceste provocări au solicitat o abordare conjugată cu experiența colegiilor de la litigii pentru a putea atinge obiectivele avute în vedere de persoanele vizate”, completează avocatul.

Alexandra Nania atenționează că progresul actual în tehnologia disponibilă pe piață vine la pachet cu obligația operatorilor, atunci când se stabilesc măsurile tehnice și organizatorice adecvate, să țină seama de anumite măsuri și garanții care asigură implementarea efectivă a principiilor și drepturilor asupra datelor persoanelor vizate.

„AI este un concept dinamic care nu poate fi definit static la un moment fix în timp, dar care va trebui evaluat continuu în contextul progresului tehnologic. Ne aflăm într-o fază destul de empirică, sens în care este prematur să putem să ne pronunțăm în ce măsură aceste instrumente pot asigura conformitatea cu adevărat la exigențele GDPR”, încheie interlocutoarea ^BizLawyer.