ZRP
Tuca Zbarcea & Asociatii

GDPR, după primii 5 ani | Ce au constat, ‘în teren’, avocații NNDKP, firma cu cea mai veche practică de protecția datelor din România: Companiile care au făcut analize de conformare în 2018, după care au mears înainte din inerție, folosind aceleași recomandări, sunt în pericol. Societatea se dezvoltă rapid, în special din punct de vedere al noilor tehnologii, iar GDPR-ul nu ține pasul cu aceste evoluții. Iurie Cojocaru, partener: Provocările cele mai mari apar în proiectele care presupun prelucrarea unor date care nu au fost anticipate de GDPR sau de autoritățile de resort

25 Octombrie 2023   |   Ștefania Enache

La cinci ani de la intrarea în vigoare a normelor din domeniul prelucrării datelor cu caracter personal este evident că Regulamentul General privind Protecția Datelor este un document crucial în protejarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

 
 
În România, interesul pentru domeniul protecției datelor se menține la un nivel înalt. La cinci ani de la intrarea vigoare a prevederilor Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date, avocații constată o dinamică în creștere pentru acest sector.„Explicații pentru acest interes constant pot fi multiple. Un prim răspuns, la suprafață, ar fi că multe dintre societăți sunt încurajate să se conformeze de solicitările și plângerile depuse de persoanele vizate, precum și de controlul autorității de protecția datelor, cu amenzile aferente.Persoanele au devenit mai conștiente de drepturile lor în ceea ce privește confidențialitatea și protecția datelor, astfel că orice încălcare a acestora poate afecta reputația companiilor și poate duce la pierderea încrederii clienților”, precizează Iurie Cojocaru, Partener și coordonator al practicii de protecția datelor din cadrul NNDKP.


În piață se observă din ce în ce mai multe companii care își fac din conformarea cu cerințele de protecția datelor una dintre priorități, chiar dacă nu sunt apăsate de anumite cereri din partea persoanelor vizate și din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Expertul NNDKP apreciază că interesul companiilor poate fi alimentat și de faptul că mulți clienți sau parteneri de afaceri pot solicita garanții privind respectarea legislației în domeniu, ceea ce poate duce la un avantaj competitiv pentru firme.

De cealaltă parte, Autoritatea de protecția datelor poate fi motivată să mențină interesul crescut pentru respectarea legislației în domeniu deoarece acest lucru contribuie la protecția drepturilor și datelor cu caracter personal ale persoanelor vizate.

În cinci ani, multe s-au schimbat

De altfel, firmele care acum cinci ani au făcut demersurile necesare alinierii la prevederile legislației GDPR, trebuie să fie atente în continuare, deoarece în perioada scursă de la intrarea în vigoare a Regulamentului UE s-au schimbat multe.




Iurie Cojocaru atrage atenția asupra pericolului ca o companie să își fi făcut o analiză de conformare la momentul când a devenit aplicabil Regulamentul, în 2018, după care să meargă înainte din inerție, folosind aceleași recomandări care s-au făcut în trecut.

„Avem un număr semnificativ de ghiduri publicate de Comitetul European pentru Protecția Datelor (EDPB) și de hotărâri emise de Curtea de Justiție a Uniunii Europene (CJUE), care interpretează conceptele din GDPR în mod diferit față de cum erau ele văzute și interpretate în practică în anul 2018. Datele cu caracter special și operatorii asociați sunt doar două exemple în acest sens. În plus, tehnologia este într-o continuă dezvoltare. Măsurile de securitate pe care le-a adoptat o companie în 2018 și care erau bune și suficiente atunci s-ar putea să nu mai fie de ajuns azi. Așadar, este obligatorie o verificare periodică a conformării, cu integrarea noilor interpretări date de EDPB, CJUE și de ceilalți jucători din piață”, nuanțează Partenerul NNDKP.

La cinci ani de la intrarea în vigoare a normelor din domeniul prelucrării datelor cu caracter personal este evident că Regulamentul General privind Protecția Datelor este un document crucial în protejarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

„Cu toate acestea, există și anumite dificultăți. Un prim aspect se referă la claritatea prevederilor GDPR. Se constată că unele articole și definiții din Regulament sunt vagi și pot fi interpretate în mai multe feluri, lăsând loc pentru incertitudine. Această lipsă de claritate poate genera dificultăți pentru companii în determinarea modului corect de interpretare și aplicare a legii. În al doilea rând, s-au observat și interpretări divergente ale anumitor prevederi la nivel european. CJUE și EDPB au emis anumite decizii și orientări care pot fi interpretate în mod diferit de statele membre și de organizațiile implicate în prelucrarea datelor. Această diversitate în interpretarea GDPR poate duce la inconsecvențe în abordarea protecției datelor la nivel european, ceea ce poate compromite scopul principal al regulamentului de a oferi un nivel ridicat și uniform de protecție a datelor cu caracter personal în întreaga UE. În al treilea rând, societatea se dezvoltă rapid, în special din punct de vedere al noilor tehnologii, iar GDPR-ul nu ține pasul cu aceste evoluții. Tehnologiile emergente precum inteligența artificială, IoT și analiza big data, ridică noi provocări în ceea ce privește protecția datelor și confidențialitatea”, atenționează interlocutorul BizLawyer.

Totodată, avocatul subliniază faptul că sunt zone în care atât EDPB, cât și autoritățile de protecția datelor sunt foarte precaute în a se pronunța. „Mai mult, unele din aceste zone sunt cruciale pentru înțelegerea și interpretarea Regulamentului. De exemplu, cu privire la noțiunea de „date cu caracter personal”, EDPB s-a pronunțat cu mulți ani în urmă, în 2007, prin predecesorul său, Grupul de Lucru Art. 29. Este clar nevoie de o revizuire a acelei poziții. De asemenea, pe partea de interpretări constrângătoare cred că ar trebui să amintim hotărârile emise de CJUE în ultimele luni în privința datelor cu caracter special. Aceste hotărâri extind exagerat de mult sfera respectivelor date, impunând o sarcină în plus pe umerii companiilor. La fel, o discuție mai veche este legată de anonimizarea datelor. Standardul de anonimizare impus de Grupul de Lucru Art. 29 este foarte greu de atins, ca să nu spunem imposibil”, detaliază specialistul.



O
piniile unor profesioniști care ocupă poziții de top în departamentele juridice ale unor companii importante, pe platforma www.in-houselegal.ro. Urmărește temele dezvoltate de avocați sau membri ai comunității In-houseLegal și propune subiecte.



Este importantă conștientizare amplă a importanței domeniului și a respectării legislației

Anul 2022 a fost unul în care, la nivel comunitar, s-au aplicat amenzi GDPR în valoare de 2,92 miliarde euro, în creștere cu 168% față de 2021. Avocatul NNDKP pune acest fenomen pe seama faptului că autoritățile de supraveghere s-au axat mai mult pe aplicarea sancțiunilor și au devenit mai stricte în combaterea încălcărilor legate de protecția datelor cu caracter personal. „Acest lucru poate fi rezultatul unei presiuni crescute din partea opiniei publice și a societății civile pentru o aplicare mai riguroasă a GDPR. Vedem din ce în ce mai multe ONG-uri care pun presiune pe autorități în această privință. Apoi, trebuie menționat faptul că și confuziile legate de anumite reglementări GDPR pot juca un rol în creșterea amenzilor. Regulamentul GDPR este complex și poate fi interpretat diferit de către diferitele autorități naționale de supraveghere. Companiile pot avea dificultăți în a înțelege și a se conforma în mod corespunzător acestor reglementări, ceea ce poate duce la sancțiuni. Indiferent de motiv, această creștere ar trebui să reprezinte un avertisment pentru companii să acorde o atenție sporită securității datelor și să adopte măsuri adecvate de conformare cu prevederile GDPR pentru a evita sancțiunile”, argumentează Iurie Cojocaru.  

Partenerul NNDKP este de părere că sancțiunile pot fi un mijloc eficient în asigurarea respectării legislației, însă ar trebui să fie considerate o măsură secundară. „În primul rând, este important să existe o conștientizare amplă a importanței domeniului și a respectării legislației privind protecția datelor cu caracter personal. Mi se pare că multe din companii nu înțeleg toată complexitatea unui proces de conformare cu cerințele de protecția datelor. Uneori, ceea ce companiile înțeleg prin „deplina conformare” nu e decât un prim pas, insuficient, iar măsurile care sunt luate trebuie să fie completate cu altele. În ceea ce privește autoritatea, aceasta poate interveni pe zona de popularizare a domeniului prin canalele pe care le are la îndemână. La fel, autoritatea are un rol important în a face interpretările mai previzibile. Multe din companii au nevoie de această îndrumare, să cunoască modul în care ANSPDCP citește anumite prevederi din GDPR, pentru a urma aceeași optică. În lipsa acestui ghidaj, uneori se întâmplă ca o sancțiune să nu fie impusă din cauza unei încălcări cu rea credință a normei legale, ci din cauză că o normă este interpretată de companie diferit față de ANSPDCP”, comentează avocatul.

Proiecte multe și diverse

Echipa NNDKP dedicată acestei practici au avut și are în lucru un număr important de mandate, care se caracterizează, în primul rând prin diversitate.

În cadrul analizelor pe care le fac, experții NNDKP acordă o atenție deosebită conformării cu cerințele de privacy by design și privacy by default, având în vedere atenția acordată de ANSPDCP verificării conformității.

În ceea ce privește proiectele M&A, analiza privind protecția datelor a devenit foarte importantă în ultimii ani, fiind un element indispensabil în astfel de proiecte. Orice proiect M&A presupune prelucrarea unor date personale, în diverse volume și cu un grad variabil de sofisticare, având astfel nevoie de respectarea regulilor în domeniu.

„În ultima vreme, provocările cele mai mari în ceea ce privește protecția datelor apar în proiectele care presupun prelucrarea unor date care nu au fost anticipate de GDPR sau de autoritățile de protecție a datelor. Acestea sunt în general proiecte care implică tehnologii avansate, dar putem regăsi și proiecte mai simple cu o componenta tehnică mai redusă, dar care implică prelucrări atipice de date”, susține Iurie Cojocaru.

De asemenea, NNDKP acordă asistență într-o gamă largă de proiecte care includ redactarea de documente de informare și politici interne, realizarea de analize de impact privind protecția datelor (DPIA) și evaluarea intereselor legitime (LIA), elaborarea de clauze contractuale și furnizarea de asistență în implementarea măsurilor de securitate. Aceste activități le permit avocaților să sprijine organizațiile în îndeplinirea cerințelor legate de protecția datelor și să le ajute să rămână conforme cu legislația în vigoare.

„În ceea ce privește proiectele mai complexe, acestea rezultă, de multe ori, din natura datelor supuse prelucrărilor (fiind vorba, de exemplu, de date de sănătate, date biometrice sau alte date cu caracter special) sau din caracterul înalt tehnologic al proiectelor (de exemplu proiectele cu o componentă de inteligență artificială)”, mai spune interlocutorul BizLawyer.

În mandatele în care se implică, echipa NNDKP lucrează în mod constant cu firme de avocatură din străinătate, în special din Uniunea Europeană, Marea Britanie și SUA, dar mai colaborează și cu firme din Japonia sau China.

„De obicei, avem proiecte de mare amploare care implică prelucrarea datelor în mai multe state. Adesea suntem solicitați să oferim asistență în ceea ce privește protecția datelor în România. De exemplu, putem fi implicați în tranzacții la nivel de grup, unde societatea-mamă este achiziționată și trebuie să facem auditul privind protecția datelor la toate companiile din grup, inclusiv cele din România. Sau putem fi solicitați să oferim sprijin în cazul unui incident de securitate cu impact internațional, inclusiv în România. Apoi mai sunt cazuri în care ni se solicită să realizăm un audit pentru companiile din România în contextul unor analize de conformare la nivel de grup”, amintește Iurie Cojocaru.

Legat de litigiile generate de această practică, situațiile cele mai frecvente sunt cele în care companiile contestă amenzile aplicate de autoritate. Cu toate acestea, firma de avocatură a avut și situații în care a sprijinit persoane vizate în demersurile lor de apărare a drepturilor încălcate în contextul prelucrării datelor.


Cea mai veche practică de protecția datelor din România


În liga firmelor de avocatură de business, NNDKP se detașează și datorită faptului că are cea mai veche practică de protecția datelor de sine stătătoare din România, departamentul fiind activ de peste 14 ani.

Practica este coordonată de Iurie Cojocaru, Partener, iar în acest moment, în echipă sunt șapte avocați specializați în domeniu. Printre aceștia se numără și avocați certificați CIPP/E (Certified Information Privacy Professional/Europe). Este vorba de o certificare emisă de Asociația Internațională a Profesioniștilor în Protecția Datelor (International Association of Privacy Professionals – IAPP). În plus, unii dintre avocații din departament sunt certificați ca formatori, ceea ce le permite să desfășoare cursuri de pregătire pentru clienți, inclusiv pentru responsabilii cu protecția datelor ai acestora.

„În era digitală în care trăim, datele sunt considerate resurse valoroase, putând apărea riscuri semnificative în ceea ce privește confidențialitatea și integritatea acestora. Protecția datelor nu este doar o idee bună pentru a evita problemele legale, ci și o necesitate în activitatea de business. Companiile care nu iau măsuri pentru a proteja datele celor care le încredințează riscă să își deterioreze reputația și să-și piardă clienții. În viitor, anticipez o creștere continuă a preocupării pentru protecția datelor, datorită evoluției tehnologiei și creșterii volumului de date generate și prelucrate de companii. Această evoluție va genera noi provocări și amenințări în ceea ce privește securitatea datelor. Mă aștept și că reglementările în materie de protecție a datelor vor continua să fie adoptate. Într-un asemenea context, anticipez să se mențină și să crească nevoia de consultanță juridică din partea avocaților specializați în protecția datelor”, punctează Iurie Cojocaru.

Avocatul consideră că Inteligența Artificială și alte instrumente de Legal Tech pot fi de mare ajutor pentru companii în conformarea cu GDPR, menționând faptul că instrumentele acestea pot automatiza anumite componente, reducând astfel efortul și timpul necesare pentru a se asigura conformitatea.

„În ceea ce privește utilizarea tehnologiei în departamentul nostru, folosim deja un tool dezvoltat pentru cercetare juridică. Acesta ne ajută să analizăm și să căutăm rapid în mediul online informațiile și documentele necesare în procesul nostru de lucru. Cu toate acestea, utilizarea unei astfel de tehnologii nu înlocuiește experiența noastră juridică și consultanța pe care o oferim clienților noștri. Tehnologia este un instrument valoros care ne ajută să ne desfășurăm activitatea mai eficient, dar care nu poate înlocui pe deplin rolul avocaților. Un avocat cu experiență în acest domeniu este capabil să ofere o înțelegere profundă a legislației GDPR și să aplice principiile sale într-un mod specific pentru fiecare companie. De asemenea, avocații pot face corelări de interpretare din practică și pot oferi consultanță juridică personalizată de care o mașină la acest moment nu este capabilă”, arată Partenerul NNDKP.

Referitor la situațiile care pot interveni în anii următori în domeniul GDPR, avocatul indică faptul că o zonă importantă unde autoritatea de protecția datelor din România are un cuvânt de spus este cea a codurilor de conduită. „Anul acesta, autoritatea a adoptat criteriile de acreditare a organismelor de monitorizare a codurilor de conduită. În plus, cunoaștem că anumite coduri se află în prezent în consultare la autoritate. La nivel european, se lucrează la anumite acte care sunt în legătură sau chiar se întrepătrund cu GDPR-ul. Mă gândesc, în primul rând, la Regulamentul privind Inteligența Artificială și la Regulamentul privind e-Privacy. Pe de altă parte, actele din pachetul european privind serviciile digitale au devenit deja, parțial, aplicabile. Există și anumite voci la nivel european care consideră că există anumite aspecte ale GDPR-ului care trebuie revizuite. Cu toate acestea, este important de menționat că solicitările de modificare a regulamentului GDPR sunt în prezent doar voci izolate și nu există nicio propunere oficială în acest sens. Este posibil ca numărul de sancțiuni bazate pe GDPR să crească în continuare în următorii ani. Acest lucru se datorează, cum spuneam și mai sus, unei conștientizări din ce în ce mai mari în rândul populației cu privire la respectarea drepturilor privind protecția datelor. De asemenea, din ce se poate vedea, autoritățile de supraveghere pentru protecția datelor sunt tot mai active și mai hotărâte să investigheze, să colaboreze și să sancționeze încălcările GDPR”, încheie Iurie Cojocaru.

Citește și

→   Sectorul agro-alimentar are tradiție și forță în portofoliul NNDKP, printre clienții săi fiind cei mai mari jucători | Proiecte variate și complexe în toate subsectoarele acestui domeniu și o muncă intensă pentru echipele dedicate, ce au în componență avocați valoroși, din mai multe arii de practică. Firma are acum pe masă proiecte de achiziții și vânzări pentru șapte societăți. Activitate intensă și în segmentul finanțărilor pentru agricultură, în care și-a păstrat rolul de lider în zona de credite sindicalizate și tip club

→   Schimbările esențiale din legislația muncii, evidențiate și explicate de avocații NNDKP, firmă poziționată de ghidurile juridice internaționale pe primul palier al performaței în practica de Employment | „Avalanșă” de solicitări din partea clienților pentru adaptarea procedurilor și regulilor interne la noile prevederi legale. Roxana Abrașu, Partener: ”Anul 2023 a venit cu un focus al angajatorilor spre eficientizarea activității care presupune, printre altele, și implementarea de concedieri”

→   Perioadă aglomerată pentru avocații din practica de Energie & Resurse Naturale de la NNDKP, solicitările acoperind o mare varietate de problematici - Interes crescut pentru proiectele de energie regenerabilă, dar și blocaje la nivelul procesului de autorizare. Asistență pentru un număr însemnat de clienți activi în oil&gas și minerit | De vorbă cu Gabriela Cacerea și Ruxandra Bologa, coordonatoarele practicii poziționate în Tier 1 de ghidurile internaționale, despre finanțarea investițiilor în energie, munca de zi cu zi și proiectele cheie din această arie



Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică


 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 488 / 2021
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
EXCLUSIV | Avocații Clifford Chance Badea coordonează de la București tranzacții globale de securitizări de peste 2,8 miliarde de lire sterline | De vorbă cu Adam Craig (Partener, Clifford Chance Londra), Radu Ropotă (Partener, București) și Dorin Giurgi (Senior Associate, București) despre modul în care acționează echipa în proiectele de mare anvergură și tranzacțiile reprezentative din acest segment
CMS, alături de Bitdefender la achiziția Mesh Security | Horea Popescu (Managing Partner CMS România) și Mircea Moraru (Senior Counsel), în echipa multidisciplinară coordonată de la Londra, care a oferit consultanță cumpărătorului în toate aspectele tranzacției supusă acum aprobărilor din partea autorităților de reglementare
“Schimbare” este cuvântul de ordine pe piața muncii, spun avocații de Employment de la Mușat & Asociații, fenomenul fiind potențat de avansul tehnologic rapid, evoluția așteptărilor angajaților și necesitatea adaptării la noile realități economice și sociale | Echipa gestionează un număr mare de proiecte care implică restructurări ample ale companiilor multinaționale, creşterea numărului de litigii fiind evidențiată în analiza tendințelor observate. De vorbă cu membrii echipei despre mandatele strategice încredințate de companii lideri în industrii variate și provocările anului 2025
CMS își consolidează echipa din România prin promovarea a șapte avocați | Horea Popescu, managing partner CMS România: ”Aceste promovări reflectă nu doar calitatea muncii lor, ci și energia și dedicarea cu care aduc rezultate remarcabile clienților noștri și ne poziționează perfect pentru a ne continua creșterea și dezvoltarea competențelor”
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
O gamă variată de mandate pentru avocații de Employment de la Mitel & Asociații | Schimbările din zona legislației muncii și noile tendințe în politica de personal, analizate de Mădălina Mitel (Partener) și Cristina Dan (Counsel)
LegiTeam | Mitel & Asociații recrutează avocat definitiv (Drept Societar și Comercial)
LegiTeam | Mitel & Asociații recrutează avocat definitiv (Real Estate)
Women in Business Law EMEA Awards 2025 | Patru case locale independente de avocați și două birouri ale unor firme internaționale, pe lista scurtă pentru titlul de “Firma anului în România”. NNDKP, CMS și Schoenherr, printre premianți, Popescu & Asociații, listată în trei categorii. Ce avocați români sunt în prim plan, anul acesta
LegiTeam | Mitel & Asociații caută avocat stagiar pentru practica de Drept Societar și Comercial
Women Lawyers | Să fii femeie în lumea avocaturii de business de astăzi înseamnă atât provocări, cât și oportunități semnificative. Dana Bivol (Partener): ”Alături de ceilalți colegi parteneri am reușit să creăm o firmă cu un brand puternic, recunoscut pentru expertiza sa, atât pe plan local, cât și internațional. Popescu & Asociații oferă un mix ideal de oportunități profesionale, mediu de lucru pozitiv și resurse pentru dezvoltare personală și profesională”
OMV Aktiengesellschaft a mers pe mâna avocaților de la ZRVP într-un alt arbitraj ICC cu statul român și a câștigat încă 47 mil. €, plus dobânzi. Pretenții de alte 50 mil. € la orizont, într-o procedură nouă, inițiată în decembrie 2024, în care lucrează deja aceeași echipă de avocați
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...