ZRP
Tuca Zbarcea & Asociatii

GDPR, după primii 5 ani | Ce au constat, ‘în teren’, avocații NNDKP, firma cu cea mai veche practică de protecția datelor din România: Companiile care au făcut analize de conformare în 2018, după care au mears înainte din inerție, folosind aceleași recomandări, sunt în pericol. Societatea se dezvoltă rapid, în special din punct de vedere al noilor tehnologii, iar GDPR-ul nu ține pasul cu aceste evoluții. Iurie Cojocaru, partener: Provocările cele mai mari apar în proiectele care presupun prelucrarea unor date care nu au fost anticipate de GDPR sau de autoritățile de resort

25 Octombrie 2023   |   Ștefania Enache

La cinci ani de la intrarea în vigoare a normelor din domeniul prelucrării datelor cu caracter personal este evident că Regulamentul General privind Protecția Datelor este un document crucial în protejarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

 
 
În România, interesul pentru domeniul protecției datelor se menține la un nivel înalt. La cinci ani de la intrarea vigoare a prevederilor Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date, avocații constată o dinamică în creștere pentru acest sector.„Explicații pentru acest interes constant pot fi multiple. Un prim răspuns, la suprafață, ar fi că multe dintre societăți sunt încurajate să se conformeze de solicitările și plângerile depuse de persoanele vizate, precum și de controlul autorității de protecția datelor, cu amenzile aferente.Persoanele au devenit mai conștiente de drepturile lor în ceea ce privește confidențialitatea și protecția datelor, astfel că orice încălcare a acestora poate afecta reputația companiilor și poate duce la pierderea încrederii clienților”, precizează Iurie Cojocaru, Partener și coordonator al practicii de protecția datelor din cadrul NNDKP.


În piață se observă din ce în ce mai multe companii care își fac din conformarea cu cerințele de protecția datelor una dintre priorități, chiar dacă nu sunt apăsate de anumite cereri din partea persoanelor vizate și din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Expertul NNDKP apreciază că interesul companiilor poate fi alimentat și de faptul că mulți clienți sau parteneri de afaceri pot solicita garanții privind respectarea legislației în domeniu, ceea ce poate duce la un avantaj competitiv pentru firme.

De cealaltă parte, Autoritatea de protecția datelor poate fi motivată să mențină interesul crescut pentru respectarea legislației în domeniu deoarece acest lucru contribuie la protecția drepturilor și datelor cu caracter personal ale persoanelor vizate.

În cinci ani, multe s-au schimbat

De altfel, firmele care acum cinci ani au făcut demersurile necesare alinierii la prevederile legislației GDPR, trebuie să fie atente în continuare, deoarece în perioada scursă de la intrarea în vigoare a Regulamentului UE s-au schimbat multe.




Iurie Cojocaru atrage atenția asupra pericolului ca o companie să își fi făcut o analiză de conformare la momentul când a devenit aplicabil Regulamentul, în 2018, după care să meargă înainte din inerție, folosind aceleași recomandări care s-au făcut în trecut.

„Avem un număr semnificativ de ghiduri publicate de Comitetul European pentru Protecția Datelor (EDPB) și de hotărâri emise de Curtea de Justiție a Uniunii Europene (CJUE), care interpretează conceptele din GDPR în mod diferit față de cum erau ele văzute și interpretate în practică în anul 2018. Datele cu caracter special și operatorii asociați sunt doar două exemple în acest sens. În plus, tehnologia este într-o continuă dezvoltare. Măsurile de securitate pe care le-a adoptat o companie în 2018 și care erau bune și suficiente atunci s-ar putea să nu mai fie de ajuns azi. Așadar, este obligatorie o verificare periodică a conformării, cu integrarea noilor interpretări date de EDPB, CJUE și de ceilalți jucători din piață”, nuanțează Partenerul NNDKP.

La cinci ani de la intrarea în vigoare a normelor din domeniul prelucrării datelor cu caracter personal este evident că Regulamentul General privind Protecția Datelor este un document crucial în protejarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

„Cu toate acestea, există și anumite dificultăți. Un prim aspect se referă la claritatea prevederilor GDPR. Se constată că unele articole și definiții din Regulament sunt vagi și pot fi interpretate în mai multe feluri, lăsând loc pentru incertitudine. Această lipsă de claritate poate genera dificultăți pentru companii în determinarea modului corect de interpretare și aplicare a legii. În al doilea rând, s-au observat și interpretări divergente ale anumitor prevederi la nivel european. CJUE și EDPB au emis anumite decizii și orientări care pot fi interpretate în mod diferit de statele membre și de organizațiile implicate în prelucrarea datelor. Această diversitate în interpretarea GDPR poate duce la inconsecvențe în abordarea protecției datelor la nivel european, ceea ce poate compromite scopul principal al regulamentului de a oferi un nivel ridicat și uniform de protecție a datelor cu caracter personal în întreaga UE. În al treilea rând, societatea se dezvoltă rapid, în special din punct de vedere al noilor tehnologii, iar GDPR-ul nu ține pasul cu aceste evoluții. Tehnologiile emergente precum inteligența artificială, IoT și analiza big data, ridică noi provocări în ceea ce privește protecția datelor și confidențialitatea”, atenționează interlocutorul BizLawyer.

Totodată, avocatul subliniază faptul că sunt zone în care atât EDPB, cât și autoritățile de protecția datelor sunt foarte precaute în a se pronunța. „Mai mult, unele din aceste zone sunt cruciale pentru înțelegerea și interpretarea Regulamentului. De exemplu, cu privire la noțiunea de „date cu caracter personal”, EDPB s-a pronunțat cu mulți ani în urmă, în 2007, prin predecesorul său, Grupul de Lucru Art. 29. Este clar nevoie de o revizuire a acelei poziții. De asemenea, pe partea de interpretări constrângătoare cred că ar trebui să amintim hotărârile emise de CJUE în ultimele luni în privința datelor cu caracter special. Aceste hotărâri extind exagerat de mult sfera respectivelor date, impunând o sarcină în plus pe umerii companiilor. La fel, o discuție mai veche este legată de anonimizarea datelor. Standardul de anonimizare impus de Grupul de Lucru Art. 29 este foarte greu de atins, ca să nu spunem imposibil”, detaliază specialistul.



O
piniile unor profesioniști care ocupă poziții de top în departamentele juridice ale unor companii importante, pe platforma www.in-houselegal.ro. Urmărește temele dezvoltate de avocați sau membri ai comunității In-houseLegal și propune subiecte.



Este importantă conștientizare amplă a importanței domeniului și a respectării legislației

Anul 2022 a fost unul în care, la nivel comunitar, s-au aplicat amenzi GDPR în valoare de 2,92 miliarde euro, în creștere cu 168% față de 2021. Avocatul NNDKP pune acest fenomen pe seama faptului că autoritățile de supraveghere s-au axat mai mult pe aplicarea sancțiunilor și au devenit mai stricte în combaterea încălcărilor legate de protecția datelor cu caracter personal. „Acest lucru poate fi rezultatul unei presiuni crescute din partea opiniei publice și a societății civile pentru o aplicare mai riguroasă a GDPR. Vedem din ce în ce mai multe ONG-uri care pun presiune pe autorități în această privință. Apoi, trebuie menționat faptul că și confuziile legate de anumite reglementări GDPR pot juca un rol în creșterea amenzilor. Regulamentul GDPR este complex și poate fi interpretat diferit de către diferitele autorități naționale de supraveghere. Companiile pot avea dificultăți în a înțelege și a se conforma în mod corespunzător acestor reglementări, ceea ce poate duce la sancțiuni. Indiferent de motiv, această creștere ar trebui să reprezinte un avertisment pentru companii să acorde o atenție sporită securității datelor și să adopte măsuri adecvate de conformare cu prevederile GDPR pentru a evita sancțiunile”, argumentează Iurie Cojocaru.  

Partenerul NNDKP este de părere că sancțiunile pot fi un mijloc eficient în asigurarea respectării legislației, însă ar trebui să fie considerate o măsură secundară. „În primul rând, este important să existe o conștientizare amplă a importanței domeniului și a respectării legislației privind protecția datelor cu caracter personal. Mi se pare că multe din companii nu înțeleg toată complexitatea unui proces de conformare cu cerințele de protecția datelor. Uneori, ceea ce companiile înțeleg prin „deplina conformare” nu e decât un prim pas, insuficient, iar măsurile care sunt luate trebuie să fie completate cu altele. În ceea ce privește autoritatea, aceasta poate interveni pe zona de popularizare a domeniului prin canalele pe care le are la îndemână. La fel, autoritatea are un rol important în a face interpretările mai previzibile. Multe din companii au nevoie de această îndrumare, să cunoască modul în care ANSPDCP citește anumite prevederi din GDPR, pentru a urma aceeași optică. În lipsa acestui ghidaj, uneori se întâmplă ca o sancțiune să nu fie impusă din cauza unei încălcări cu rea credință a normei legale, ci din cauză că o normă este interpretată de companie diferit față de ANSPDCP”, comentează avocatul.

Proiecte multe și diverse

Echipa NNDKP dedicată acestei practici au avut și are în lucru un număr important de mandate, care se caracterizează, în primul rând prin diversitate.

În cadrul analizelor pe care le fac, experții NNDKP acordă o atenție deosebită conformării cu cerințele de privacy by design și privacy by default, având în vedere atenția acordată de ANSPDCP verificării conformității.

În ceea ce privește proiectele M&A, analiza privind protecția datelor a devenit foarte importantă în ultimii ani, fiind un element indispensabil în astfel de proiecte. Orice proiect M&A presupune prelucrarea unor date personale, în diverse volume și cu un grad variabil de sofisticare, având astfel nevoie de respectarea regulilor în domeniu.

„În ultima vreme, provocările cele mai mari în ceea ce privește protecția datelor apar în proiectele care presupun prelucrarea unor date care nu au fost anticipate de GDPR sau de autoritățile de protecție a datelor. Acestea sunt în general proiecte care implică tehnologii avansate, dar putem regăsi și proiecte mai simple cu o componenta tehnică mai redusă, dar care implică prelucrări atipice de date”, susține Iurie Cojocaru.

De asemenea, NNDKP acordă asistență într-o gamă largă de proiecte care includ redactarea de documente de informare și politici interne, realizarea de analize de impact privind protecția datelor (DPIA) și evaluarea intereselor legitime (LIA), elaborarea de clauze contractuale și furnizarea de asistență în implementarea măsurilor de securitate. Aceste activități le permit avocaților să sprijine organizațiile în îndeplinirea cerințelor legate de protecția datelor și să le ajute să rămână conforme cu legislația în vigoare.

„În ceea ce privește proiectele mai complexe, acestea rezultă, de multe ori, din natura datelor supuse prelucrărilor (fiind vorba, de exemplu, de date de sănătate, date biometrice sau alte date cu caracter special) sau din caracterul înalt tehnologic al proiectelor (de exemplu proiectele cu o componentă de inteligență artificială)”, mai spune interlocutorul BizLawyer.

În mandatele în care se implică, echipa NNDKP lucrează în mod constant cu firme de avocatură din străinătate, în special din Uniunea Europeană, Marea Britanie și SUA, dar mai colaborează și cu firme din Japonia sau China.

„De obicei, avem proiecte de mare amploare care implică prelucrarea datelor în mai multe state. Adesea suntem solicitați să oferim asistență în ceea ce privește protecția datelor în România. De exemplu, putem fi implicați în tranzacții la nivel de grup, unde societatea-mamă este achiziționată și trebuie să facem auditul privind protecția datelor la toate companiile din grup, inclusiv cele din România. Sau putem fi solicitați să oferim sprijin în cazul unui incident de securitate cu impact internațional, inclusiv în România. Apoi mai sunt cazuri în care ni se solicită să realizăm un audit pentru companiile din România în contextul unor analize de conformare la nivel de grup”, amintește Iurie Cojocaru.

Legat de litigiile generate de această practică, situațiile cele mai frecvente sunt cele în care companiile contestă amenzile aplicate de autoritate. Cu toate acestea, firma de avocatură a avut și situații în care a sprijinit persoane vizate în demersurile lor de apărare a drepturilor încălcate în contextul prelucrării datelor.


Cea mai veche practică de protecția datelor din România


În liga firmelor de avocatură de business, NNDKP se detașează și datorită faptului că are cea mai veche practică de protecția datelor de sine stătătoare din România, departamentul fiind activ de peste 14 ani.

Practica este coordonată de Iurie Cojocaru, Partener, iar în acest moment, în echipă sunt șapte avocați specializați în domeniu. Printre aceștia se numără și avocați certificați CIPP/E (Certified Information Privacy Professional/Europe). Este vorba de o certificare emisă de Asociația Internațională a Profesioniștilor în Protecția Datelor (International Association of Privacy Professionals – IAPP). În plus, unii dintre avocații din departament sunt certificați ca formatori, ceea ce le permite să desfășoare cursuri de pregătire pentru clienți, inclusiv pentru responsabilii cu protecția datelor ai acestora.

„În era digitală în care trăim, datele sunt considerate resurse valoroase, putând apărea riscuri semnificative în ceea ce privește confidențialitatea și integritatea acestora. Protecția datelor nu este doar o idee bună pentru a evita problemele legale, ci și o necesitate în activitatea de business. Companiile care nu iau măsuri pentru a proteja datele celor care le încredințează riscă să își deterioreze reputația și să-și piardă clienții. În viitor, anticipez o creștere continuă a preocupării pentru protecția datelor, datorită evoluției tehnologiei și creșterii volumului de date generate și prelucrate de companii. Această evoluție va genera noi provocări și amenințări în ceea ce privește securitatea datelor. Mă aștept și că reglementările în materie de protecție a datelor vor continua să fie adoptate. Într-un asemenea context, anticipez să se mențină și să crească nevoia de consultanță juridică din partea avocaților specializați în protecția datelor”, punctează Iurie Cojocaru.

Avocatul consideră că Inteligența Artificială și alte instrumente de Legal Tech pot fi de mare ajutor pentru companii în conformarea cu GDPR, menționând faptul că instrumentele acestea pot automatiza anumite componente, reducând astfel efortul și timpul necesare pentru a se asigura conformitatea.

„În ceea ce privește utilizarea tehnologiei în departamentul nostru, folosim deja un tool dezvoltat pentru cercetare juridică. Acesta ne ajută să analizăm și să căutăm rapid în mediul online informațiile și documentele necesare în procesul nostru de lucru. Cu toate acestea, utilizarea unei astfel de tehnologii nu înlocuiește experiența noastră juridică și consultanța pe care o oferim clienților noștri. Tehnologia este un instrument valoros care ne ajută să ne desfășurăm activitatea mai eficient, dar care nu poate înlocui pe deplin rolul avocaților. Un avocat cu experiență în acest domeniu este capabil să ofere o înțelegere profundă a legislației GDPR și să aplice principiile sale într-un mod specific pentru fiecare companie. De asemenea, avocații pot face corelări de interpretare din practică și pot oferi consultanță juridică personalizată de care o mașină la acest moment nu este capabilă”, arată Partenerul NNDKP.

Referitor la situațiile care pot interveni în anii următori în domeniul GDPR, avocatul indică faptul că o zonă importantă unde autoritatea de protecția datelor din România are un cuvânt de spus este cea a codurilor de conduită. „Anul acesta, autoritatea a adoptat criteriile de acreditare a organismelor de monitorizare a codurilor de conduită. În plus, cunoaștem că anumite coduri se află în prezent în consultare la autoritate. La nivel european, se lucrează la anumite acte care sunt în legătură sau chiar se întrepătrund cu GDPR-ul. Mă gândesc, în primul rând, la Regulamentul privind Inteligența Artificială și la Regulamentul privind e-Privacy. Pe de altă parte, actele din pachetul european privind serviciile digitale au devenit deja, parțial, aplicabile. Există și anumite voci la nivel european care consideră că există anumite aspecte ale GDPR-ului care trebuie revizuite. Cu toate acestea, este important de menționat că solicitările de modificare a regulamentului GDPR sunt în prezent doar voci izolate și nu există nicio propunere oficială în acest sens. Este posibil ca numărul de sancțiuni bazate pe GDPR să crească în continuare în următorii ani. Acest lucru se datorează, cum spuneam și mai sus, unei conștientizări din ce în ce mai mari în rândul populației cu privire la respectarea drepturilor privind protecția datelor. De asemenea, din ce se poate vedea, autoritățile de supraveghere pentru protecția datelor sunt tot mai active și mai hotărâte să investigheze, să colaboreze și să sancționeze încălcările GDPR”, încheie Iurie Cojocaru.

Citește și

→   Sectorul agro-alimentar are tradiție și forță în portofoliul NNDKP, printre clienții săi fiind cei mai mari jucători | Proiecte variate și complexe în toate subsectoarele acestui domeniu și o muncă intensă pentru echipele dedicate, ce au în componență avocați valoroși, din mai multe arii de practică. Firma are acum pe masă proiecte de achiziții și vânzări pentru șapte societăți. Activitate intensă și în segmentul finanțărilor pentru agricultură, în care și-a păstrat rolul de lider în zona de credite sindicalizate și tip club

→   Schimbările esențiale din legislația muncii, evidențiate și explicate de avocații NNDKP, firmă poziționată de ghidurile juridice internaționale pe primul palier al performaței în practica de Employment | „Avalanșă” de solicitări din partea clienților pentru adaptarea procedurilor și regulilor interne la noile prevederi legale. Roxana Abrașu, Partener: ”Anul 2023 a venit cu un focus al angajatorilor spre eficientizarea activității care presupune, printre altele, și implementarea de concedieri”

→   Perioadă aglomerată pentru avocații din practica de Energie & Resurse Naturale de la NNDKP, solicitările acoperind o mare varietate de problematici - Interes crescut pentru proiectele de energie regenerabilă, dar și blocaje la nivelul procesului de autorizare. Asistență pentru un număr însemnat de clienți activi în oil&gas și minerit | De vorbă cu Gabriela Cacerea și Ruxandra Bologa, coordonatoarele practicii poziționate în Tier 1 de ghidurile internaționale, despre finanțarea investițiilor în energie, munca de zi cu zi și proiectele cheie din această arie



Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică


 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 348 / 1881
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
ZRVP: 30 de ani de tradiție în avocatură, un nou look pentru viitor | Cosmin Vasile (managing partner): Noua imagine reflectă identitatea și tradiția brandului nostru, reinterpretate într-o manieră modernă și îndrăzneață
Precedent important obținut de RTPR pentru Premier Energy Furnizare în materia teoriei impreviziunii. Despăgubiri de aproximativ 4 milioane EUR și dobânzi legale penalizatoare, ca urmare a neexecutării unui contract de furnizare de energie încheiat pe piața PCCB-BC. Alexandru Stănoiu (Counsel) și Ana Popa (Senior Associate), în echipa coordonată de Valentin Berea (Partener)
Bulboacă și Asociații facilitează atragerea de finanțare, la final de an, pentru o companie românească de succes din industria panificației
Cum a fost anul 2024 pentru Duțescu & Partners: poziționare în topul internațional al firmelor de avocați evidențiate în practica de Capital Markets, lansarea practicii de drept islamic și multe victorii obținute pentru clienți | De vorbă cu Dr. Cristian Duțescu (partener fondator) și Casiana Dușa (partener) despre parcurs, proiecte și realizări
Mușat & Asociații a obținut rejudecarea cererii de revizuire în cazul torționarilor lui Gheorghe Ursu
Edward Sukyas pierde arbitrajul cu statul român și trebuie să plătească peste o jumătate de milion de euro - cheltuieli arbitrale și onorarii plătite avocaților care au apărat România. Litigiul cu Jack Sukyas merge mai departe, modul de alocare a cheltuielilor de arbitraj fiind decis într-o etapă ulterioară a procedurii | Cât au însumat onorariile primite de avocații români aflați de-o parte și alta a baricadei și ce sume au încasat arbitrii
Filip & Company a asistat Mozaik Investments la vânzarea unui pachet minoritar din acțiunile 5 to go către Invenio Partners și ACP
Mușat & Asociații își actualizează identitatea vizuală și lansează un nou website
Pentru echipa de insolvență de la Țuca Zbârcea & Asociații, anul 2024 s-a caracterizat printr-o intensificare a volumului de muncă, cu mandate noi care s-au adăugat unui portofoliu existent bogat. Cele mai multe proiecte au avut complexitate și miză ridicată, necesitând extinderea echipelor implicate și un volum mai intens de activitate | De vorbă cu Cătălina Mihăilescu (Partener) despre activitatea departamentului și planurile de viitor
INTERVIURI 2+1 | Povestea lui “Timi”, numele de alint al biroului NNDKP din Nord-Vestul țării, înființat acum 20 de ani într-o perioadă fără smartphone, Google sau LinkedIn, spusă de doi avocați care au trăit intens toate etapele devenirii sale ca furnizor pentru mediul de afaceri local, standard de etică și membru al comunității academice: ”Vineri la prânz încă nu se născuse ideea; luni, la 10:15, era aprobată”. Mai apoi, ”cu profesionalism, corectitudine și smerenie” a devenit ”un organism viu și adaptabil, care se modelează după viața afacerilor din regiune în fiecare moment”
Meet the Professionals | Din vorbă în vorbă cu Cristina Roșu, proaspăt promovată Partner în cadrul firmei Toncescu și Asociații - KPMG Legal: “Angajarea mea la KPMG Legal după terminarea facultății a fost punctul de plecare al unei călătorii profesionale frumoase și pline de satisfacții, care m-a adus unde sunt astăzi. Am crescut încet, dar constant, în această firmă, dezvoltându-mă ca profesionist, dar mai ales ca om”
Echipa Wolf Theiss dedicată proiectelor din materia insolvenței este în proces de creștere și consolidare, având în vedere interesul ridicat acordat acestui domeniu și creșterea numărului și complexității proiectelor. ”În perioada recentă, ne-au fost solicitate de către clienți numeroase analize privind posibila deschidere a procedurii insolvenței, efectele și riscurile unei astfel de proceduri, dar și opțiunile reglementate pentru restructurarea afacerii, ceea ce arată interesul crescut al companiilor în utilizarea mecanismelor legale”, spun avocații
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...