GDPR, după primii 5 ani | O dată cu progresul tehnologic, avocații firmei Băncilă, Diaconu și Asociații anticipează că legislația în domeniul protecției datelor va deveni din ce în ce mai sofisticată. Anca Atanasiu, Senior Managing Associate: Ne așteptăm ca cerințele de conformitate să devină tot mai riguroase, iar valoarea amenzilor aplicate în acest domeniu să crească. E de așteptat ca mandatele să devină din ce în ce mai complexe, cu multiple elemente de natură tehnică și operațională, care să necesite atât cunoștințe juridice, cât și o bună înțelegere a domeniului IT

Au trecut deja cinci ani de la intrarea în vigoare a Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date („GDPR”), timp în care s-a observat o continuă evoluție și maturizare a abordării companiilor și a autorităților în acest domeniu. În ultimii doi ani, s-a constatat o accelerare a procesului. „Cu toate că legislația din România, în speță Legea 190/2018 privind măsurile de punere în aplicare a GDPR, nu a fost modificată, companiile au monitorizat îndeaproape și și-au adaptat practicile în funcție de jurisprudența Curții de Justiție a Uniunii Europene și a instanțelor naționale, de reperele stabilite prin Orientările emise de Comitetul European pentru Protecția Datelor și de ghidurile, deciziile și opiniile emise de autoritățile de supraveghere a prelucrării datelor cu caracter personal din Uniunea Europeană”, explică Anca Atanasiu, Senior Managing Associate în cadrul Bancilă, Diaconu şi Asociaţii SPRL.

Analizele făcute în piață au evidențiat faptul că interesul din partea companiilor mari a crescut, precum și gradul de complexitate a măsurilor implementate cu privire la conformitatea GDPR. Această tendință se poate observa cu precădere la firmele cu prezență europeană, acestea fiind nevoite să își adapteze practicile atât în funcție de indicațiile mai stricte și mai complexe emise de autoritățile de supraveghere care reprezintă repere în Uniunea Europeană (spre exemplu autoritatea de supraveghere din Franța, CNIL), cât și în funcție de atenția din ce în ce mai ridicată a consumatorilor, angajaților și a altor categorii de persoane vizate cu privire la prelucrarea datelor cu caracter personal care le aparțin.

„Interesul față de conformitatea în acest domeniu a fost accelerat și de unele decizii foarte titrate în presă, precum decizia emisă de autoritatea de supraveghere din Irlanda contra Meta, în care a fost aplicată o amendă în valoare record de 1,2 miliarde euro”, punctează Anca Atanasiu.

În ceea ce privește activitatea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”), frecvența, cuantumul și tematica sancțiunilor emise au rămas relativ constante pe parcursul acestor ani, observându-se totuși câteva decizii cu grad de complexitate mai ridicat în ultima perioadă.

„Majoritatea amenzilor aplicate vizează nerespectarea unor măsuri tehnice și organizatorice adecvate scopului prelucrării, unele dintre ele rezultând în urma notificărilor privind încălcarea securității datelor cu caracter personal trimise chiar de către operatori”, argumentează avocatul.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Anul 2022 a marcat un record în ceea ce privește sancțiunile aplicate în acest domeniu, valoarea totală a amenzilor fiind de 2,92 miliarde euro, o creștere cu 168% față de 2021.

Anca Atanasiu menționează că o bună parte a numărului de amenzi aplicate de autoritățile de supraveghere are la bază creșterea volumului de notificări privind incidentele de securitate produse la nivelul organizațiilor. „Creșterea volumului de notificări poate fi datorată faptului că  organizațiile sunt acum mai conștiente de obligațiile care le revin în temeiul GDPR (i.e., obligația de a raporta incidentele de securitate care implică și date cu caracter personal) și consecințele nerespectării acestor obligații. Nu excludem însă și situația în care numărul incidentelor de securitate a crescut din cauza intensificării atacurilor cibernetice și/sau a instrumentelor de securitate insuficiente sau ineficiente de la nivelul organizațiilor. De asemenea, creșterea amenzilor GDPR poate fi atribuită și efectelor produse de invalidarea Privacy Shield prin hotărârea Schrems II privind transferul de date personale în SUA. Astfel, autoritățile de supraveghere au aplicat amenzi pentru efectuarea transferurilor de date în state terțe care nu oferă un nivel adecvat de protecție, fără oferirea de garanții suplimentare adecvate”, este de părere avocatul.

Interlocutoarea ^BizLawyer apreciază că amenzile prevăzute de GDPR au un rol esențial în asigurarea respectării legislației, valoarea ridicată și modul de calcul al acestora fiind unele dintre motivele care au contribuit la mobilizarea mediului de afaceri pentru a se conforma cu cerințele specifice impuse de GDPR. „Amenzile nu reprezintă însă singurul factor care menține interesul crescut al mediului de afaceri în această arie, o consecință importantă a încălcării GDPR fiind și daunele reputaționale pe care le pot suferi companiile în cazul breșelor de securitate sau al prelucrărilor excesive de date, ceea ce, în timp, conduce la pierderea încrederii clienților, afectarea business-ului sau chiar restricții de prelucrare a datelor impuse de autoritățile de supraveghere. Într-un plan mai puțin coercitiv, creșterea gradului de conformitate ar putea fi asigurată și prin derularea de către autorități a unor programe de conștientizare, prin oferirea de suport sectoarelor de activitate în implementarea unor coduri de conduită sau prin publicarea de orientări, ghiduri și recomandări pe probleme frecvent întâlnite la operatorii economici în cadrul inspecțiilor”, susține reprezentanta Băncilă, Diaconu şi Asociaţii SPRL.

---

---

Companiile au luat în serios prevederile legislative din domeniul protecției datelor, astfel că, în ultimii doi ani, s-a putut observa un progres notabil din partea organizațiilor, în special a multinaționalelor care lucrează cu volume mari de date, în aria de monitorizare a activităților de prelucrare și introducerea de controale interne si mecanisme de verificare a conformității cu principiile GDPR.

Anca Atanasiu subliniază că lucrul acesta se datorează și faptului că multe firme și-au format echipe interne sau externe de experți în domeniul protecției datelor care au pus la punct procesele de prelucrare și au ajutat la conștientizarea colectivă privind necesitatea conformării cu regulile impuse de GDPR. Aceste echipe au, de asemenea, rolul de a monitoriza, actualiza și îmbunătăți în mod constant procesele interne în funcție de evoluția business-ului, dar și de cea legislativă și tehnologică.

„Conformitatea cu GDPR implică asumarea de către operatori a unui angajament permanent de a proteja în mod eficient datele cu caracter personal și de a respecta drepturile persoanelor vizate. Astfel, aceștia trebuie își revizuiască constant politicile de prelucrare a datelor, să pună în aplicare măsuri de securitate mai stricte prin raportare la noile provocări și să raporteze cu promptitudine incidentele de securitate”, detaliază interlocutoarea ^BizLawyer .

Avocatul amintește faptul că GDPR a avut la momentul intrării în vigoare și are în continuare un rol primordial în a garanta siguranța și respectarea unui drept fundamental al persoanelor, și anume dreptul la viață privată, prin asigurarea protecției datelor cu caracter personal. GDPR a adus schimbări majore mediului de afaceri și reprezintă pentru multe companii un element strategic care oferă securitate și care contribuie la asigurarea unei creșteri sustenabile.

„După cinci ani de aplicare a normelor GDPR, se poate constata în primul rând un nivel ridicat de conștientizare a conceptelor instituite de acest act normativ, atât la nivelul operatorilor economici, cât și în rândul persoanelor vizate. La nivelul pieței din România există totuși un nivel mediu de asigurare a conformității cu cerințele GDPR. Multe companii, în special cele din rândul celor mici și mijlocii sau a cele care nu prelucrează volume semnificative de date, rămân deficitare în implementarea măsurilor de securitate, a controalelor în vederea prevenirii breșelor, a instrumentelor de administrare și de evidență a consimțământului, a evidențelor generale de prelucrare a datelor sau a asigurării cadrului optim pentru a răspunde la cererile privind exercitarea drepturilor persoanelor vizate, acestea din urmă fiind și încălcările care, în ultima perioadă, au atras cele mai multe amenzi aplicate de autoritățile de supraveghere. Din aceste motive, operatorii continuă să întâmpine provocări în a identifica categoriile de date și scopurile în care acestea sunt prelucrate atunci când primesc solicitări de la persoanele vizate privind exercitarea dreptului de acces la date”, nuanțează Anca Atanasiu.

Activitatea firmei s-a focusat servicii de consultanță juridică referitoare la problemele practice de zi cu zi

Practica firmei de avocatură în domeniul GSPR este una solidă, iar în ultimul an focusul echipei de Data Privacy din cadrul Băncilă, Diaconu și Asociații SPRL a fost pe oferirea serviciilor de consultanță juridică pe problemele practice de zi cu zi ale multinaționalelor care activează în domenii ce necesită prelucrarea unui volum mare de date.

Avocații oferă suport constant la întocmirea, revizuirea și actualizarea evidențelor activităților de prelucrare. De asemenea, monitorizează respectarea legislației în cazul transferurilor multi-jurisdicționale de date și contribuie în mod activ la implementarea principiilor privacy by design and by default în cadrul proiectelor, produselor sau serviciilor realizate de clienții firmei.

„Ținerea evidențelor de prelucrare este o activitate dinamică și complexă, care de cele mai multe ori necesită alocarea unor responsabili pe fiecare linie de business sau departament din cadrul companiei și implicarea acestora în mod activ. Fluctuațiile de personal, dinamica pieței muncii și instruirea insuficientă în domeniu sunt elemente care îngreunează derularea acestor activități. Implementarea principiului privacy by design în cadrul proiectelor, produselor sau serviciilor nu poate fi realizată fără suport de specialitate. Clienții noștri sunt întotdeauna încurajați să solicite consultanță privind datele cu caracter personal începând cu primele stadii ale realizării unui nou proiect. Astfel se pot evita întârzieri în livrarea la timp a unui proiect, potențiale sancțiuni sau punerea pe piață a unor produse sau servicii care nu îndeplinesc cerințele minime de conformitate cu GDPR”, atrage atenția Anca Atanasiu.

Referindu-se la proiectele cu un grad ridicat de complexitate, interlocutoarea ^BizLawyer subliniază că sunt de cele mai multe ori acelea care implică transferuri de date către țări terțe, întrucât necesită o analiză riguroasă a condițiilor legislative din respectivele țări terțe, colaborarea cu specialiști din aceste țări, coordonarea necesităților de business ale tuturor operatorilor implicați în transfer, identificarea garanțiilor suplimentare adecvate sau a masurilor necesare de asigurare a securității datelor, identificarea mecanismelor de păstrare a controlului și a evidențelor și cele de raportare și cercetare a incidentelor.

„În cadrul proiectelor care au implicat transferuri de date către țări terțe am colaborat cu echipele din departamentul juridic al clientului. Proiectele au implicat o gamă largă și variată de scopuri ale prelucrării și de categorii de date cu caracter personal, transferurile de date către țări terțe fiind o practică necesară în majoritatea cazurilor pentru companiile cu prezență internațională. De exemplu, transferurile către țări terțe pot fi necesare pentru dezvoltarea și întreținerea paginilor web, ale aplicațiilor, pentru oferirea de suport tehnic, pentru scopuri de cercetare și dezvoltare în tehnologie etc”, completează avocatul.

În ceea ce privește practica de litigii, Băncilă, Diaconu și Asociații SPRL nu a reprezentat clienți în legătură cu acest domeniu. Totuși, echipa firmei a asistat clienți în soluționarea cu succes a plângerilor sau sesizărilor venite din partea persoanelor vizate, evitând astfel situațiile litigioase.


În cadrul Băncilă, Diaconu și Asociații există o practică de Data Privacy de sine stătătoare, formată din patru membri. Coordonatorul echipei este Anca Atanasiu, Senior Managing Associate, avocat cu dublă specializare și cu o experiență de peste 14 ani în domeniu, dobândită în cadrul mai multor societăți de avocați de renume prezente atât pe piața locală, cât și pe cea internațională.

Ea a oferit, de-a lungul timpului, asistență juridică în proiecte privind protecția datelor cu caracter personal, dintre cele mai diverse: proiecte de tip „due diligence”, evaluări ale modului de conformare cu cerințele GDPR și evaluări ale gradului de maturitate a măsurilor și ale programelor de implementare GDPR pentru companii din diverse industrii precum telecom, asigurări, instituții financiare, precum și consultanță cu privire la probleme privind protecția datelor pe care clienții le întâlnesc în activitatea lor de zi cu zi. Anca deține o certificare din partea IAPP de tipul CIPP/E – Certified Information Privacy Professional/Europe.

Echipa de Data Privacy este formată din mai mulți avocați experimentați, dintre care menționăm: Gabriela Ion, Senior Associate, cu peste șase ani de experiență relevantă, Olga Malciu și Cătălina Pițigoi, ambele Senior Associate, cu peste patru ani de experiență relevantă.

Echipa lucrează în mod integrat cu diverse departamente din cadrul EY România. Mai mult, având în vedere faptul că societatea de avocați este membră a societăților din grupul Ernst & Young Global Ltd și face parte din rețeaua globală EY Law, prezentă în mai mult de 90 de jurisdicții, avocații Băncilă, Diaconu și Asociații sunt implicați frecvent în proiecte multi-jurisdicționale. Astfel, experții sunt în măsură să oferim clienților servicii de consultanță complete, printr-o abordare integrată ce are în vedere în același timp aspectele legale și de business. Acest lucru se traduce în oferirea de asistență personalizată datorită unei înțelegeri aplicate a nevoilor de business ca urmare a experienței pe care echipa a acumulat-o până în prezent în cadrul proiectelor de anvergură în care a fost implicată.

„Practica de Data Privacy din cadrul Băncilă, Diaconu și Asociații se afla într-un proces de expansiune și dezvoltare, ajungând să dețină în prezent un rol deosebit de important și cu potențial strategic în viitor. Societatea de avocatură a fost implicată în multe dintre proiectele de evaluare a conformității cu prevederile GDPR din perioada premergătoare intrării în vigoare a regulamentului, fapt ce ii oferă un avantaj competitiv printr-o mai amplă înțelegere a domeniului și a modus operandi.
Pe viitor, ne așteptăm ca mandatele să devină din ce în ce mai complexe, cu multiple elemente de natură tehnică și operațională,  care să necesite atât cunoștințe juridice, cât și o bună înțelegere a domeniului IT. Echipa de Data Privacy din cadrul Băncilă, Diaconu și Asociații este o echipă solidă și experimentată care deține abilitățile necesare pentru a oferi servicii juridice adaptate nevoilor de business ale clienților”, conchide Anca Atanasiu.