GDPR la 7 ani de aplicare: Lecții învățate și provocări viitoare

Regulamentul General privind Protecția Datelor (GDPR), aplicabil din 25 mai 2018, a marcat o schimbare semnificativă în modul în care datele personale sunt gestionate și protejate la nivelul Uniunii Europene, dar și global, în multe cazuri. În cei 7 ani de implementare, societățile, instituțiile și cetățenii s-au adaptat la noile cerințe, iar impactul GDPR s-a resimțit atât în mediul de afaceri, cât și în societate în general.

Pentru a aniversa cum se cuvine cei 7 ani de aplicare a GDPR, am trecut în revistă o serie de provocări, evoluții și influențe generate de acest cadru legislativ complex, relevante din perspectiva activității oricărei organizații.

1. Cele mai mari provocări în aplicarea GDPR

Implementarea GDPR a adus numeroase provocări pentru societăți, de la adaptarea proceselor interne la cerințele stricte de protecție a datelor personale, la implementarea documentației necesare și până la gestionarea incidentelor de securitate. Printre principalele acțiuni de conformare luate de societăți se numără identificarea activităților de prelucrare a datelor, adaptarea acestora pentru a le limita la scopul de prelucrare, implementarea măsurilor tehnice și organizatorice adecvate încă de la momentul inițierii activității de prelucrare, asigurarea transparenței în prelucrarea datelor prin informarea persoanelor vizate, obținerea și gestionarea consimțământului, documentarea interesului legitim urmărit de operator, evaluarea impactului asupra protecției datelor, gestionarea cererilor de exercitare a drepturilor, în special a celor de acces și ștergere a datelor, implementarea unor procese pentru stocarea și ștergerea datelor, precum și gestionarea și prevenirea incidentelor de securitate. De asemenea, având în vedere provocările constante care apar în activitatea organizației, a fost nevoie ca societățile să acorde o atenție continuă unor subiecte precum formarea angajaților și implementarea unor tehnologii de securitate, pentru a preveni incidentele și a avea o cultură de conștientizare și conformare cu obligațiile din domeniu.

2. Evoluția percepției publicului asupra protecției datelor personale

De la introducerea GDPR, percepția publicului asupra protecției datelor personale s-a schimbat semnificativ. Persoanele au devenit mai conștiente de drepturile lor și de importanța confidențialității datelor, astfel având loc o schimbare de mentalitate. Această schimbare de atitudine a fost influențată atât de campaniile de informare, cât și de cazurile mediatizate cu privire la încălcările de securitate a datelor. În prezent, persoanele sunt mai predispuse să solicite transparență și responsabilitate din partea societăților în ceea ce privește gestionarea datelor lor personale.

3. GDPR și noile tehnologii: provocări și soluții

Apariția noilor tehnologii, cum ar fi inteligența artificială, Internet of Things (IoT) și blockchain, a adus noi provocări în aplicarea GDPR. Aceste tehnologii generează volume mari de date și ridică probleme complexe de protecție a datelor. Spre exemplu, IoT implică colectarea continuă de date de la dispozitive conectate, iar blockchain-ul, prin natura sa descentralizată, poate complica procesul de ștergere a datelor.

4. Rolul DPO-ului după 7 ani de GDPR

Responsabilul cu protecția datelor (DPO) a devenit o figură centrală în cadrul organizațiilor. În ultimii 7 ani, rolul DPO-ului a evoluat, necesitând competențe din ce în ce mai diverse, de la cunoștințe juridice și tehnice, până la abilități de comunicare și gestionare a riscurilor. DPO-ul trebuie să fie capabil să navigheze prin complexitatea reglementărilor și să ofere consultanță strategică pentru protecția datelor, fiind un pilon esențial în cadrul societăților. GDPR a creat acest nou rol, care a oferit posibilitatea de specializare într-un domeniu interesant, dinamic și de actualitate.

5. GDPR în context internațional: influența asupra altor jurisdicții

GDPR a avut un impact semnificativ asupra legislației privind protecția datelor la nivel global, Uniunea Europeană setând un standard în materia protecției datelor. Multe țări au adoptat sau modificat propriile reglementări având ca sursă de inspirație standardele impuse de GDPR. De exemplu, California Consumer Privacy Act (CCPA) și Brazil's General Data Protection Law (LGPD) au fost influențate de principiile GDPR. Această influență internațională a contribuit la crearea unui cadru global mai coerent pentru protecția datelor, facilitând cooperarea și schimbul de bune practici între jurisdicții.

6. Viitorul GDPR - schimbările care se întrevăd

GDPR continuă să evolueze pentru a răspunde noilor provocări tehnologice și sociale.

De curând, Comisia Europeană a publicat o propunere de modificare a GDPR prin care se urmărește (i) restrângerea sferei operatorilor și persoanelor împuternicite cărora le revine obligația de a păstra evidența activităților de prelucrare, așa încât obligația să fie aplicabilă doar întreprinderilor care au mai mult de 750 de angajați (comparativ cu 250 de angajați, conform formei actuale) sau celor care desfășoară activități de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate; (ii) introducerea noțiunii de întreprinderi mici cu capitalizare medie (i.e., între 250 și 749 de angajați, cifră de afaceri de până la 150 de milioane de euro, active totale de până la 129 de milioane de euro), așa încât codurile de conduită în baza art. 40 GDPR și mecanismele de certificare în domeniul protecției datelor instituie conform art. 42 GDPR să aibă în vedere și nevoile specifice ale acestora.

În concluzie, privind spre viitor, considerăm că aniversarea a 7 ani de aplicare a GDPR reprezintă un moment important de reflecție asupra impactului și evoluției acestui regulament pentru protecția datelor. Totodată, nu trebuie să pierdem din vedere că adaptarea continuă a GDPR la noile tehnologii va fi esențială, iar reglementarea trebuie să țină pasul cu inovația, fără însă a opri sau limita progresul.