GDPR, după primii 5 ani | Avocații ZRVP încurajează companiile să își instituie mecanisme eficiente de conformare prin adoptarea unor procese periodice pentru testarea, evaluarea și aprecierea eficacității măsurilor tehnice și organizatorice, astfel încât să fie garantată securitatea prelucrărilor. Alexandra Nania (Senior Associate): De cele mai multe ori, proiectele au o componentă esențială de protecția datelor fără de care nu poate fi securizată nicio strategie în materializarea acestora
25 Octombrie 2023
Ștefania EnacheChiar dacă au trecut cinci ani de la intrarea în vigoare a regulamentului GDPR, companiile se confruntă în continuare cu provocarea de a găsi echilibrul corect între propriile interese și dreptul fundamental la protecția datelor al persoanelor vizate, precum și alte drepturi fundamentale (cum ar fi libertatea de exprimare și informare).
Alexandra Nania, Senior associate - ZRVP |
Domeniul protecției datelor este, în acest moment, unul dintre cele dinamice și provocatoare sectoare, având în vedere că necesită atât o abordare bazată pe risc, o gestionare a adversității la risc, cât și o reevaluare continuă și o creștere a maturității procedurilor. Alexandra Nania, Senior Associate în cadrul Zamfirescu Racoți Vasile & Partners (ZRVP), atrage atenția că studiile au evidențiat faptul că 90% dintre încălcările GDPR sunt cauzate de erori umane. Totuși, avocatul are încredere că, pe viitor, va crește gradul de responsabilizare a angajaților în ceea ce privește înțelegerea respectării obligațiilor GDPR în scopul de a se proteja pe sine și organizația din care fac parte.„Într-un scenariu ideal, vor exista mai puține incidente de securitate în considerarea faptului că reducerea probabilității producerii acestora rămâne o responsabilitate organizațională de a instrui angajații cu privire la procedurile de lucru și mecanismele eficiente de asigurare a integrității și confidențialității datelor cu caracter personal”, nuanțează expertul ZRVP.
La cinci ani de la intrarea în vigoare a prevederilor Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date, companiile continuă să acorde o atenție sporită acestui domeniu. Astfel se poate observa că operatorii de date din sectorul privat și din cel public au continuat să își exprime interesul pentru aplicarea adecvată a reglementărilor din materia protecției datelor.
„Domeniul drepturilor și libertăților persoanelor vizate nu va depinde în majoritatea cazurilor de dimensiunea companiei, ci de impactul asupra drepturilor și libertăților în cazul unor încălcări. În continuare se așteaptă emiterea unor ghiduri/recomandări care să vină cu exemple practice din viața reală de business de natură să permită operatorilor să reconcilieze interesele comerciale cu drepturile și libertățile persoanelor vizate. În concluzie, navigarea vulnerabilității în cadrul protecției datelor rămâne un efort nuanțat, plin de complexități și imperfecțiuni”, apreciază Alexandra Nania.
Interlocutoarea BizLawyer subliniază însă că există un anumit grad de lejeritate cu care este tratat acest domeniu de anumite companii. Avocatul este de părere că un astfel de tratament este favorizat și de faptul că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu a intrat într-o analiză intrinsecă a proceselor de conformare pe durata investigațiilor sale.
„Procesele de conformare se bazează pe o abordare bazată pe riscuri, efectuată cu bună-credință de companii fără ca un eventual automatism în aplicarea GDPR să fie considerate încălcări voluntare și intenționate ale GDPR. În activitatea noastră, încurajăm companiile să își instituie mecanisme eficiente de conformare prin adoptarea unor procese periodice pentru testarea, evaluarea și aprecierea eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrărilor”, arată expertul ZRVP.
Analizele firmei de avocatură evidențiază faptul că plângerile primite de Autoritate din partea persoanelor fizice s-au referit, în principal, la dezvăluirea neautorizată a datelor cu caracter personal, la încălcarea drepturilor persoanelor vizate, la aplicarea principiilor de folosire a datelor, la primirea de mesaje comerciale nesolicitate sau la aplicarea măsurilor de securitate și confidențialitate a prelucrărilor de date personale.
În ceea ce privește măsurile corective dispuse, acestea au urmărit, cu prioritate, remedierea disfuncționalităților apărute în activitatea operatorilor astfel încât să fie diminuată afectarea drepturilor persoanelor fizice.
„La nivel național, astfel cum se relevă și din raportul emis de către Autoritate pentru anul 2022, nivelul amenzilor aplicate a crescut în mod semnificativ, creșterea fiind atât la nivelul cuantumului prin care se individualizează fiecare amendă aplicată, cât și la nivelul investigațiilor care s-au finalizat în mod efectiv cu aplicarea unor amenzi operatorilor. Astfel, se conturează un trend al activității Autorității în a nu mai arăta atât de multă indulgență în piață prin aplicarea unor simple avertismente și măsuri corective. Această abordare pare să vină ca o accentuare a nevoii de conștientizare a implicaților protecției datelor cu caracter personal la nivel general. Mai mult, vedem în continuare că măsurile și sancțiunile dispuse de către Autoritate rămân neafectate de către acțiunile în justiție. În continuare se pare că situațiile care generează incidența unor plângeri sau notificări de incidente de securitate vin din zona pilonilor de bază din GDPR, cum ar fi prelucrarea datelor cu caracter personal fără temei; încălcarea drepturilor persoanelor vizate, în special, a dreptului de acces al persoanei vizate și a dreptului la ștergerea datelor acesteia; și încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date cu caracter personal. La nivel principal încă nu s-a ajuns la nivelul în care să se abordeze suficient posibilitatea utilizării altor puteri corective furnizate autorităților de supraveghere și relația acestora cu amenzile pentru a crea un cadru eficient pentru aplicarea GDPR. În același timp, din punctul de vedere al protecției drepturilor persoanelor vizate, aplicarea altor puteri corective poate fi în multe cazuri o măsură mult mai eficientă decât impunerea exclusivă a unei amenzi”, explică interlocutoarea BizLawyer.
Avocatul atenționează că incertitudinile de ordin juridic cu privire la aplicarea și interpretarea dispozițiilor GDPR rămân o constantă în piață. În aceste condiții, asigurarea unui nivel de conformare prin sancțiuni (inclusiv amenzi) trebuie să fie întotdeauna proporțional. „Acest lucru trebuie respectat cu strictețe și ca principiu al acțiunii administrative. Așa cum exprimă și Regulamentul, amenzile impuse ar trebui să fie eficace, proporționale și disuasive. Atât noi ca avocați, cât și operatorii, încercăm să subliniem totuși că amenzile nu sunt singurul instrument de care dispun autoritățile în activitatea de monitorizare și control. Ca toate măsurile corective în general, amenzile administrative ar trebui să răspundă în mod adecvat naturii, gravității și consecințelor încălcării produse, iar autoritățile de supraveghere trebuie să evalueze toate situațiile de fapt de o manieră consecventă și justificată obiectiv. Existența unor studii de caz cu exemple practice pentru a oferi mai multe îndrumări ar fi de dorit, precum și instituirea diferitelor măsuri corective al cărui domeniu de aplicare este adesea foarte eficient. O determinare mai precisă a eficacității, proporționalității sau disuasivității va fi generată de îndrumările emise de autoritățile de supraveghere și jurisprudența la interpretarea acestor principii”, detaliază specialistul.
Opiniile unor profesioniști care ocupă poziții de top în departamentele juridice ale unor companii importante, pe platforma www.in-houselegal.ro. Urmărește temele dezvoltate de avocați sau membri ai comunității In-houseLegal și propune subiecte.
Provocările din acest domeniu
Chiar dacă au trecut cinci ani de la intrarea în vigoare a regulamentului GDPR, companiile se confruntă în continuare cu provocarea de a găsi echilibrul corect între propriile interese și dreptul fundamental la protecția datelor al persoanelor vizate, precum și alte drepturi fundamentale (cum ar fi libertatea de exprimare și informare).
„Spre exemplu, o breșă de securitate într-o companie mică (din punct de vedere al cifrei de afaceri) poate avea un impact considerabil asupra protecției datelor cu caracter personal a unui număr potențial mare de persoane”, amintește avocatul.
O altă provocare se întrevede în identificarea temeiului de prelucrare corect. Temeiul juridic al interesului legitim a câștigat proeminență, deoarece necesită un echilibru delicat între interese și o evaluare aprofundată a riscurilor. Acest cadru permite o analiză nuanțată a riscurilor individuale, cu răspunsuri personalizate la situații specifice. „Având în vedere că temeiul juridic al interesului legitim implică o echilibrare a intereselor și evaluarea riscurilor, împreună cu necesitatea adoptării unor măsuri adecvate de atenuare și a răspunderii din partea operatorilor de date, acesta ar putea fi un cadru solid pentru analizarea riscurilor la nivel individual și pentru a permite ca riscuri speciale să fie abordate în situații specifice”, menționează Alexandra Nania.
În același timp, avocatul precizează că, în prima parte a anului 2023, Comitetul European pentru Protecția Datelor a lansat în consultare publică un set de orientări pentru a armoniza metodologia pe care autoritățile de supraveghere o folosesc la calculul cuantumului amenzilor impuse ca urmare a încălcărilor GDPR. „La acest moment, chiar și în ceea ce privește sancțiunile care pot fi aplicate pentru încălcări ale GDPR, încă nu există o aplicare sau o înțelegere uniformă. Chiar dacă rolul avut în vedere de pregătirea acestor orientări a fost de a completa orientările adoptate anterior privind aplicarea și stabilirea amenzilor administrative în scopul Regulamentului GDPR, orientări care se concentrează asupra circumstanțelor în care să se aplice o amendă, nu vedem să se fi adus mai mult claritate în acest sens. Acest aspect este susținut de numărul semnificativ de comentarii formulate față de textul acestor orientări, accentul comun al acestora fiind acela că utilizarea criteriului cifrei de afaceri contrazice reglementările și valorile GDPR”, mai spune expertul.
Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică |
Toate proiectele au o componentă esențială de protecția datelor
La nivelul ZRVP, proiectele de Data Protection sunt gestionate de Alexandra Nania sub supervizarea partenerului Cătălin Micu. De altfel, expertiza pe acest segment a devenit o necesitate pentru clienții firmei de avocatură din cele mai diverse domenii de activitate. „De cele mai multe ori toate proiectele au o componentă esențială de protecția datelor fără de care nu poate fi securizată nicio strategie în materializarea acestora”, punctează Alexandra Nania.
Activitatea ZRVP în domeniul protecției datelor este cu predilecție în procesele de tipul privacy by design în contextul unei reprezentări tot mai digitale în care respectarea cerințelor privind protecția datelor de la concepere joacă un rol crucial în promovarea vieții private și a protecției datelor în societate.
Avocatul este de părere că este esențial ca operatorii să îmbrățișeze această responsabilitate și să pună în aplicare exigențele GDPR din această perspectivă. „Ne concentrăm în mod frecvent pe proiectele în care eficacitatea se află în centrul conceptului de protecție a datelor by design pentru a garanta drepturile persoanelor vizate. La expertiza noastră se adaugă și aspectele specifice în cadrul tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale”, comentează specialistul.
Echipa ZRVP s-a implicat, în ultimul an, în multe proiecte complexe. De exemplu, în raport de vulnerabilitățile existente în procesele de transfer a datelor către SUA, a trebuit să acomodeze condițiile de transfer la cadrul juridic sensibilizat. „Cu toate acestea, principiile fundamentale aplicabile operatorilor (legitimitatea, minimizarea datelor, limitarea scopului, transparența, integritatea datelor, acuratețea datelor) ar trebui să rămână aceleași, indiferent de prelucrare și de riscurile pentru persoanele vizate, chiar și în absența unui cadru juridic reglementat. Mai mult, chiar dacă în prezent a fost agreat documentul EU-U.S. Data Privacy Framework pentru aceste transferuri există îngrijorări care determină lipsa de predictibilitate cu privire la supraviețuirea acestui mecanism de transfer având în vedere acțiunile deja formulate împotriva acestui act”, opinează Alexandra Nania.
De altfel, proiectele complexe implică efortul comun al mai multor echipe de avocați. În special atunci când este vorba despre prelucrarea datelor în contextul relațiilor de muncă la nivelul angajatorilor care fac parte dintr-un grup de companii se impune colaborarea echipelor de avocați din jurisdicții diferite pentru a translata teoria în peisajul protecției datelor.
„În practica de la nivelul departamentului nostru au fost provocări în furnizarea de asistență anumitor clienți persoane fizice în a-și exercita drepturile consacrate de către GDPR. Aceste provocări au solicitat o abordare conjugată cu experiența colegiilor de la litigii pentru a putea atinge obiectivele avute în vedere de persoanele vizate”, completează avocatul.
Alexandra Nania atenționează că progresul actual în tehnologia disponibilă pe piață vine la pachet cu obligația operatorilor, atunci când se stabilesc măsurile tehnice și organizatorice adecvate, să țină seama de anumite măsuri și garanții care asigură implementarea efectivă a principiilor și drepturilor asupra datelor persoanelor vizate.
„AI este un concept dinamic care nu poate fi definit static la un moment fix în timp, dar care va trebui evaluat continuu în contextul progresului tehnologic. Ne aflăm într-o fază destul de empirică, sens în care este prematur să putem să ne pronunțăm în ce măsură aceste instrumente pot asigura conformitatea cu adevărat la exigențele GDPR”, încheie interlocutoarea BizLawyer.
Publicitate pe BizLawyer? |
Articol 315 / 1862 | Următorul articol |
Publicitate pe BizLawyer? |
BREAKING NEWS
ESENTIAL
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Laura Rudnyanszky, Global Regulatory Lead – Accenture, profesionist al Dreptului antrenat în proiecte complexe, care coordonează azi o echipă de avocați în reglementări globale: ”În carieră, îmi respect clienții și echipa, tratând fiecare provocare cu profesionalism și empatie. Aspirația mea este să ocup o poziție de conducere în cadrul unei organizații care valorizează inovația și responsabilitatea socială, unde să pot influența pozitiv modul în care se practică dreptul și cum se integrează tehnologia în procesele juridice”
Meet the Professionals | Din vorbă în vorbă cu Andreea Zvâc, proaspăt promovată Partner în cadrul firmei Wolf Theiss, despre mediul în care s-a împlinit profesional, implicare și valori: “În avocatură ai posibilitatea de a fi creativ și nu te plictisești niciodată. Pentru o evoluție sustenabilă și coerentă a unui avocat, munca și pasiunea ar trebui să fie pe primul loc”
(VIDEO) INTERVIURI ESENȚIALE | Horea Popescu, Managing Partner CMS România: ”Am avut privilegiul de a fi implicați în câteva dintre tranzacțiile esențiale din economie. Cifrele arată foarte bine, am învățat ce trebuie să facem pentru a merge odată cu curentul, dar și împotriva acestuia, când este cazul”
BeeFast primește o nouă finanțare în valoare de 450.000 USD pentru extinderea internațională și dezvoltare. Avocații Baciu Partners, în tranzacție, cu o echipă coordonată de Corina Roman (Partener)
LegiTeam | MITEL & ASOCIAȚII recrutează avocat cu experiență (Real Estate)
LegiTeam: Voicu & Asociații is looking for business lawyers
2024 a fost un an aglomerat pentru Departamentul juridic al Farmexim & Help Net | De vorbă cu Mihaela Scărlătescu, Head of Legal and Compliance Director despre actele normative cu impact în activitatea companiei, modificările legislative așteptate și proiectele interesante în care a fost implicată echipa de avocați interni
GDPR | Echipa Mitel & Asociații a fost implicată în mai multe proiecte complexe, printre cele mai solicitante fiind cele legate de tranzacții de tip M&A, dezvoltarea unor aplicații și implementarea unor soluții de conformitate la scară largă, în industrii cu volume mari de date cu caracter personal. Mădălina Mitel, Partener: ”Anticipăm o creștere semnificativă a cererii pentru servicii de consultanță în domenii emergente precum AI, procese automatizate și date biometrice, pe măsură ce reglementările devin mai stricte și aplicarea normelor devine mai riguroasă”
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Iulian Gânju, Head of Legal - Iulius Group: „Mi-a plăcut foarte mult această zonă de ‘in-house’ deoarece presupune o centrare pe respectarea legislației și corectitudine în procesele de business, idee care rezonează foarte mult și cu principiile și valorile la care mă raportez în fiecare zi”
GDPR | Avocații specializați în practica de Data Protection de la Reff & Asociații - Deloitte Legal spun că preocuparea pentru conformare excedează domeniul protecției datelor. Silvia Axinescu, Senior Managing Associate: ”Abordăm fiecare proiect într-o manieră holistică și recunoaștem că protecția datelor, deși foarte importantă, este doar o piesă a puzzle-ului”
GDPR | Respectarea legislației în domeniu pare că este mai degrabă formală, lipsind măsurile concrete capabile să asigure o protecție adecvată volumului foarte mare de date prelucrate, spun avocații D&B David și Baias. Daniel Vinerean, coordonatorul practicii de Protecția Datelor: De cele mai multe ori este mai ieftin sa plătești o amendă de până la 3.000 € decât să stabilești un plan concret, să achiziționezi tehnologie sau să angajezi un consultant capabil să conceapă și să implementeze măsuri adecvate
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...