Avocații ZRVP spun că viitoarele provocări ale GDPR vor viza clarificarea modului în care conceptele cheie se pot aplica tehnologiilor specifice, precum AI, blockchain sau recunoaștere facială | Alexandra Nania, Senior Associate: Având în vedere interferența dintre protecția datelor, securitatea informațiilor, confidențialitatea, securitatea cibernetică și cerințele legislației împotriva spălării banilor, organizațiile trebuie să obțină îndrumări de specialitate de la avocați pentru a se asigura că datele clienților și ale angajaților sunt procesate, stocate și securizate în mod corespunzător

Intrarea în vigoare a Regulamentului GDPR a acționat asemeni unui catalizator pentru firme, iar acestea și-au asumat un grad ridicat de responsabilizare și transparentizare în operațiunile de prelucrare a datelor cu caracter personal.Avocații Zamfirescu Racoți Vasile & Partners (ZRVP) susțin că operatorii nu s-au limitat exclusiv la un exercițiu formal de redactare de proceduri sau clauze contractuale, ci și-au capacitat resursele astfel încât implementarea noilor reguli în materia protecției datelor să aibă un caracter fundamental în activitatea fiecărei companii. „Mare parte din clienți au ales să privească GDPR printr-un spectru mai larg decât simpla conformare legală. Este adevărat că mare parte din companii se tem de sancțiunile apreciate ca fiind încă foarte mari, dar o abordare bazată pe riscuri și principii este de natură a acționa ca un factor de diferențiere din punct de vedere concurențial și ca un atu de business pentru operatorii ce dau dovadă de maturitate în activitatea lor din această perspectivă”, explică Alexandra Nania, Senior Associate ZRVP.

La patru ani de la intrarea în vigoare a Regulamentului GDPR, faptul că este propus de către Comitetul European pentru Protecția Datelor (EDPB) un ghid pentru calcularea amenzilor în cazul încălcărilor prevederilor GDPR este de natură a da un semnal cu privire la materializarea principiului responsabilității prevăzut de Regulamentul GDPR și de a limita flexibilitatea Autorității în stabilirea cuantumului amenzilor.

„Fără a limita poziția noastră la cuantumul amenzilor,  precizăm că la nivelul mediului privat, fără a se exclude și mediul public, trebuie să se acorde o mai bună calibrare a eforturilor pentru a răspunde exigențelor respectării regulilor de prelucrare a datelor cu caracter personal, în vederea atingerii dezideratului de asigurare a unei reale exercitări a dreptului la protecția datelor al tuturor persoanelor fizice și creării unui mediu concurențial echitabil. Astfel cum se poate determina și din preambulul ghidului la care ne referim, calculul unei amenzi nu trebuie să reprezinte un simplu exercițiu matematic, ci, mai degrabă, circumstanțele fiecărui caz specific trebuie să fie evaluate în stabilirea sumei finale. Ghidul își propune să asigure o consecvență a amenzilor la nivelul statelor membre fiind cunoscut că în alte state nivelul amenzilor este mult mai ridicat și să pună în aplicare o metodologie pentru calcularea amenzii”, atrage atenția Alexandra Nania.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Totuși, avocatul avertizează că sancțiunile pecuniare pot să nu conducă întotdeauna la o mai bună asigurare a conformității și, în cele din urmă, la o mai bună protecție a datelor pentru persoanele fizice. „Amenzile pot funcționa ca sancțiune și descurajare, dar nu și ca remediu. Persoanele care sunt afectate de o încălcare nu beneficiază de amenda aplicată. Deși articolul 82 din GDPR conferă oricărei persoane care suferă un prejudiciu material sau moral ca urmare a unei încălcări un drept la despăgubiri, dreptul pare să aibă o valență mai mult teoretică decât practică”, nuanțează expertul.

Experiențele avocaților arată că, la momentul actual, se poate susține că este foarte evident că fiecare țară membră are propriile preocupări și utilizează GDPR în moduri diferite.

Interbocutorul ^BizLawyer dă ca exemplu autoritatea din Germania, care se focusează pe activitățile de monitorizare a activității angajaților, în timp ce autoritatea din Austria se preocupă de modul în care sunt efectuate activitățile de supraveghere video.
De asemenea, prezintă relevanță și faptul că la nivelul autorităților competente din Franța, Suedia și Irlanda investigațiile tematice au vizat operațiunile efectuate de către Amazon, Facebook, Google și Twitter.

„În această etapă,  se poate susține că este prematur să se tragă concluzii definitive, sens în care apreciem că dobândirea unei experiențe mai ample în aplicarea Regulamentului GDPR în anii următori va fi relevantă pentru cele mai multe dintre chestiunile identificate de către operatori în acest proces continuu de asigurare a conformității GDPR. În percepția noastră, orientările și ghidurile cu exemple practice concrete care să nu ezite să ofere răspunsuri clare și să evite ambiguitățile cu privire la problemele legate de aplicarea GDPR  sunt de o importanță esențială pentru operatori și ar fi de natură să fie un mecanism care să asigure o aliniere mai strânsă cu principiile GDPR. Acest cadru practic ar ajuta în mod semnificativ la reducerea sarcinilor administrative pentru companii, sporind în același timp transparența prelucrărilor și protejând într-un mod mult mai eficient drepturile persoanelor vizate”, este de părere Alexandra Nania.

---

---

Consultanța de specialitate a evoluat foarte mult

De la intrarea în vigoare a Regulamentului GDPR, dinamica specifică domeniului protecției datelor a determinat o accelerare a volumului de muncă pe această arie de lucru. Provocările constante au fost reprezentate de necesitatea de a transpune în oglindă fluxurile de date în documentația de conformare GDPR.

Avocatul ZRVP amintește faptul că schimbările relaționate de BREXIT au atras o serie de aspecte de gestionat având în vedere unele diferențe ale reglementărilor din Marea Britanie cu privire la GDPR, inclusiv cu privire la definiția datelor cu caracter personal, vârsta consimțământului copilului și drepturile persoanei vizate.

„Anticipăm că viitoarele provocări vor viza clarificarea modului în care conceptele cheie din GDPR se pot aplica tehnologiilor specifice, cum ar fi inteligența artificială, tehnologia blockchain sau recunoașterea facială”, subliniază Alexandra Nania.

Contextul pandemic a oferit o imagine foarte sugestivă a globalizării. La nivelul întregii Uniuni, statele membre au luat măsuri de urgență pentru a proteja sănătatea publică. În acest context, GDPR consolidează optica potrivit căreia orice restricție trebuie să respecte esența drepturilor și libertăților fundamentale și să fie o măsură necesară și proporțională într-o societate democratică pentru a proteja un interes public, cum ar fi sănătatea publică.

Clienții ZRVP s-au arătat în continuare preocupați de respectarea principiului minimizării datelor și asigurării securității acestora, pentru a asigura reziliența instrumentelor de lucru. „Relevanță au prezentat și Orientările publicate de Comisie în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei. Din perspectiva noastră, interferența dintre protecția datelor, securitatea informațiilor, confidențialitatea, securitatea cibernetică și cerințele legislației împotriva spălării banilor fac cu atât mai important ca organizațiile să obțină îndrumări de specialitate de la avocați pentru a se asigura că datele clienților și ale angajaților sunt procesate, stocate și securizate  în mod corespunzător. Cu toate că autoritățile pentru protecția datelor, inclusiv cea națională, au utilizat în mod echilibrat competențele lor corective și au asigurat un oarecare grad de clemență operatorilor pentru a implementa Regulamentul GDPR, nu putem exclude ca pe viitor să se evidențieze o intensificare sau targetare a investigațiilor autorității de supraveghere. Mai mult, considerăm că este vizibilă preocuparea Autorității pentru a veni în întâmpinarea operatorilor sens în care au fost adresate un număr relevant de solicitări și emise, în  mod corelativ, de către Autoritate puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a GDPR și a celorlalte reglementări incidente”, argumentează avocatul.


Alexandra Nania mai spune că, dacă ar trebui să realizeze un top al mandatelor majore, poate menționa că proiectele referitoare la gestionarea incidentelor de securitate, adresarea cererilor persoanelor vizate, implementarea măsurilor de monitorizare a activității angajaților, pregătirea documentației de implementare, și, nu în cele din urmă, integrarea aspectelor ce țin de Data Protection în tranzacții, au ținut practicienii din această arie cel mai ocupați. „Cu toate că ne-am așteptat inițial ca volumul de muncă să fie generat de către clienții noștri ce activează în zona de B2B, cele mai multe mandate au rezultat din implementarea GDPR în relația cu angajații”, completează consultantul.

Cu toate că s-ar putea considera că Regulamentul GDPR a reprezentat o provocare mai ales pentru companiile mari sau mijlocii, în experiența ZRVP s-a dovedit că dimensiunea organizației nu constituie, per se, un indicator al riscurilor pe care le poate crea pentru persoanele fizice prelucrarea datelor cu caracter personal.

Astfel, clienții care au apelat și apelează la serviciile firmei de avocatură pe zona de Data Protection provin din toate segmentele de business.

„Putem spune că a existat un interes semnificativ pentru adoptarea unui set de instrumente adecvate care să le ajute să demonstreze conformitatea GDPR în rândul companiilor care sunt implicate în transferul de date cu caracter personal din UE către o țară terță sau o organizație internațională”, precizează Alexandra Nania.

În multe dintre aceste dosare, ZRVP colaborează cu birouri de avocatură din străinătate.

De exemplu, chiar de curând, profesioniștii români fost implicați într-un proiect internațional ce a rezultat în urma unui atac cibernetic de tip ransomware la nivelul unui grup puternic de companii din zona media. Implicit, complexitatea proiectului a solicitat și implicarea celorlalți avocați din ZRVP cu expertiză pe zona de dreptul muncii. Proiectul a implicat conlucrarea cu societăți remarcabile de avocatură din Marea Britanie și SUA, fiind afectate drepturile persoanelor vizate din mai multe jurisdicții.

Aportul echipei de la București a fost unul semnificativ deoarece impactul acestui atac asupra persoanelor vizate nu putea fi mitigat decât prin asistența de specialitate care să extrapoleze aplicabilitatea reglementărilor naționale asupra întregului proiect.

„Prin abordarea integrată a mandatelor GDPR, echipa noastră a evoluat dintr-o funcție juridică pură și este acum capacitată pentru a răspunde cerințelor de business ale clienților noștri. Dinamica segmentului Data Protection generează un flux continuu de mandate. Putem observa un trend în a adresa incidentele de securitate pentru atenua efectele în relația cu persoanele vizate. Nu în ultimul rând, adoptarea unor instrumente moderne de lucru și asigurarea conformității utilizării acestora reprezintă provocarea cea mai des întâlnită pentru companii”, amintește Alexandra Nania.

De altfel, ZRVP se prezintă în fața clienților cu o echipă de specialiști complexă. Cel care coordonează departamentul care se ocupă de proiectele pe segmentul Data Protection este Cătălin Micu, Partener ZRVP. În toate proiectele pe care le au, avocații lucrează întotdeauna în echipe multidisciplinare, adaptate nevoilor fiecărui mandat.