GDPR, după primii 5 ani | O dată cu progresul tehnologic, avocații firmei Băncilă, Diaconu și Asociații anticipează că legislația în domeniul protecției datelor va deveni din ce în ce mai sofisticată. Anca Atanasiu, Senior Managing Associate: Ne așteptăm ca cerințele de conformitate să devină tot mai riguroase, iar valoarea amenzilor aplicate în acest domeniu să crească. E de așteptat ca mandatele să devină din ce în ce mai complexe, cu multiple elemente de natură tehnică și operațională, care să necesite atât cunoștințe juridice, cât și o bună înțelegere a domeniului IT
11 Octombrie 2023
Ștefania EnacheAnul 2022 a marcat un record în ceea ce privește sancțiunile aplicate în acest domeniu, valoarea totală a amenzilor fiind de 2,92 miliarde euro, o creștere cu 168% față de 2021.
Au trecut deja cinci ani de la intrarea în vigoare a Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal și libera circulație a acestor date („GDPR”), timp în care s-a observat o continuă evoluție și maturizare a abordării companiilor și a autorităților în acest domeniu. În ultimii doi ani, s-a constatat o accelerare a procesului. „Cu toate că legislația din România, în speță Legea 190/2018 privind măsurile de punere în aplicare a GDPR, nu a fost modificată, companiile au monitorizat îndeaproape și și-au adaptat practicile în funcție de jurisprudența Curții de Justiție a Uniunii Europene și a instanțelor naționale, de reperele stabilite prin Orientările emise de Comitetul European pentru Protecția Datelor și de ghidurile, deciziile și opiniile emise de autoritățile de supraveghere a prelucrării datelor cu caracter personal din Uniunea Europeană”, explică Anca Atanasiu, Senior Managing Associate în cadrul Bancilă, Diaconu şi Asociaţii SPRL.
Analizele făcute în piață au evidențiat faptul că interesul din partea companiilor mari a crescut, precum și gradul de complexitate a măsurilor implementate cu privire la conformitatea GDPR. Această tendință se poate observa cu precădere la firmele cu prezență europeană, acestea fiind nevoite să își adapteze practicile atât în funcție de indicațiile mai stricte și mai complexe emise de autoritățile de supraveghere care reprezintă repere în Uniunea Europeană (spre exemplu autoritatea de supraveghere din Franța, CNIL), cât și în funcție de atenția din ce în ce mai ridicată a consumatorilor, angajaților și a altor categorii de persoane vizate cu privire la prelucrarea datelor cu caracter personal care le aparțin.
„Interesul față de conformitatea în acest domeniu a fost accelerat și de unele decizii foarte titrate în presă, precum decizia emisă de autoritatea de supraveghere din Irlanda contra Meta, în care a fost aplicată o amendă în valoare record de 1,2 miliarde euro”, punctează Anca Atanasiu.
În ceea ce privește activitatea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”), frecvența, cuantumul și tematica sancțiunilor emise au rămas relativ constante pe parcursul acestor ani, observându-se totuși câteva decizii cu grad de complexitate mai ridicat în ultima perioadă.
„Majoritatea amenzilor aplicate vizează nerespectarea unor măsuri tehnice și organizatorice adecvate scopului prelucrării, unele dintre ele rezultând în urma notificărilor privind încălcarea securității datelor cu caracter personal trimise chiar de către operatori”, argumentează avocatul.
Firmele nu se feresc doar de amenzi, ci și de daunele reputaționale
Anul 2022 a marcat un record în ceea ce privește sancțiunile aplicate în acest domeniu, valoarea totală a amenzilor fiind de 2,92 miliarde euro, o creștere cu 168% față de 2021.
Anca Atanasiu menționează că o bună parte a numărului de amenzi aplicate de autoritățile de supraveghere are la bază creșterea volumului de notificări privind incidentele de securitate produse la nivelul organizațiilor. „Creșterea volumului de notificări poate fi datorată faptului că organizațiile sunt acum mai conștiente de obligațiile care le revin în temeiul GDPR (i.e., obligația de a raporta incidentele de securitate care implică și date cu caracter personal) și consecințele nerespectării acestor obligații. Nu excludem însă și situația în care numărul incidentelor de securitate a crescut din cauza intensificării atacurilor cibernetice și/sau a instrumentelor de securitate insuficiente sau ineficiente de la nivelul organizațiilor. De asemenea, creșterea amenzilor GDPR poate fi atribuită și efectelor produse de invalidarea Privacy Shield prin hotărârea Schrems II privind transferul de date personale în SUA. Astfel, autoritățile de supraveghere au aplicat amenzi pentru efectuarea transferurilor de date în state terțe care nu oferă un nivel adecvat de protecție, fără oferirea de garanții suplimentare adecvate”, este de părere avocatul.
Interlocutoarea BizLawyer apreciază că amenzile prevăzute de GDPR au un rol esențial în asigurarea respectării legislației, valoarea ridicată și modul de calcul al acestora fiind unele dintre motivele care au contribuit la mobilizarea mediului de afaceri pentru a se conforma cu cerințele specifice impuse de GDPR. „Amenzile nu reprezintă însă singurul factor care menține interesul crescut al mediului de afaceri în această arie, o consecință importantă a încălcării GDPR fiind și daunele reputaționale pe care le pot suferi companiile în cazul breșelor de securitate sau al prelucrărilor excesive de date, ceea ce, în timp, conduce la pierderea încrederii clienților, afectarea business-ului sau chiar restricții de prelucrare a datelor impuse de autoritățile de supraveghere. Într-un plan mai puțin coercitiv, creșterea gradului de conformitate ar putea fi asigurată și prin derularea de către autorități a unor programe de conștientizare, prin oferirea de suport sectoarelor de activitate în implementarea unor coduri de conduită sau prin publicarea de orientări, ghiduri și recomandări pe probleme frecvent întâlnite la operatorii economici în cadrul inspecțiilor”, susține reprezentanta Băncilă, Diaconu şi Asociaţii SPRL.
Opiniile unor profesioniști care ocupă poziții de top în departamentele juridice ale unor companii importante, pe platforma www.in-houselegal.ro. Urmărește temele dezvoltate de avocați sau membri ai comunității In-houseLegal și propune subiecte.
S-au format echipe de experți în domeniul protecției datelor
Companiile au luat în serios prevederile legislative din domeniul protecției datelor, astfel că, în ultimii doi ani, s-a putut observa un progres notabil din partea organizațiilor, în special a multinaționalelor care lucrează cu volume mari de date, în aria de monitorizare a activităților de prelucrare și introducerea de controale interne si mecanisme de verificare a conformității cu principiile GDPR.
Anca Atanasiu subliniază că lucrul acesta se datorează și faptului că multe firme și-au format echipe interne sau externe de experți în domeniul protecției datelor care au pus la punct procesele de prelucrare și au ajutat la conștientizarea colectivă privind necesitatea conformării cu regulile impuse de GDPR. Aceste echipe au, de asemenea, rolul de a monitoriza, actualiza și îmbunătăți în mod constant procesele interne în funcție de evoluția business-ului, dar și de cea legislativă și tehnologică.
„Conformitatea cu GDPR implică asumarea de către operatori a unui angajament permanent de a proteja în mod eficient datele cu caracter personal și de a respecta drepturile persoanelor vizate. Astfel, aceștia trebuie își revizuiască constant politicile de prelucrare a datelor, să pună în aplicare măsuri de securitate mai stricte prin raportare la noile provocări și să raporteze cu promptitudine incidentele de securitate”, detaliază interlocutoarea BizLawyer .
Avocatul amintește faptul că GDPR a avut la momentul intrării în vigoare și are în continuare un rol primordial în a garanta siguranța și respectarea unui drept fundamental al persoanelor, și anume dreptul la viață privată, prin asigurarea protecției datelor cu caracter personal. GDPR a adus schimbări majore mediului de afaceri și reprezintă pentru multe companii un element strategic care oferă securitate și care contribuie la asigurarea unei creșteri sustenabile.
„După cinci ani de aplicare a normelor GDPR, se poate constata în primul rând un nivel ridicat de conștientizare a conceptelor instituite de acest act normativ, atât la nivelul operatorilor economici, cât și în rândul persoanelor vizate. La nivelul pieței din România există totuși un nivel mediu de asigurare a conformității cu cerințele GDPR. Multe companii, în special cele din rândul celor mici și mijlocii sau a cele care nu prelucrează volume semnificative de date, rămân deficitare în implementarea măsurilor de securitate, a controalelor în vederea prevenirii breșelor, a instrumentelor de administrare și de evidență a consimțământului, a evidențelor generale de prelucrare a datelor sau a asigurării cadrului optim pentru a răspunde la cererile privind exercitarea drepturilor persoanelor vizate, acestea din urmă fiind și încălcările care, în ultima perioadă, au atras cele mai multe amenzi aplicate de autoritățile de supraveghere. Din aceste motive, operatorii continuă să întâmpine provocări în a identifica categoriile de date și scopurile în care acestea sunt prelucrate atunci când primesc solicitări de la persoanele vizate privind exercitarea dreptului de acces la date”, nuanțează Anca Atanasiu.
----------------------------------------------------------------------------------
Probleme care pot interveni
În contextul în care prelucrarea datelor cu caracter personal este în mod necesar legată de procese tehnologice, se impune identificarea corectă a fluxului de date cu caracter personal în diferite sisteme IT, care de multe ori aparțin unor furnizori externi de servicii, care se pot afla sau pot avea legături cu societăți aflate în afara Uniunii Europene, în țări care nu beneficiază de o decizie privind caracterul adecvat al nivelului de protecție emisă de Comisia Europeană. „Din acest motiv, entitățile implicate în activitatea de prelucrare sunt nevoite să semneze multiple acorduri privind prelucrarea datelor cu caracter personal și clauze contractuale standard, să parcurgă numeroase proceduri de due dilligence, și implicit să aloce buget, timp și resurse pentru parcurgerea acestor pași, anterior începerii activității de prelucrare”, comentează expertul Bancilă, Diaconu şi Asociaţii SPRL.
Avocatul mai spune că o altă activitate care poate impune obligații împovărătoare unei societăți și care poate afecta pe termen scurt activitatea anumitor departamente este cea de a răspunde solicitărilor venite din partea persoanelor vizate, cum ar fi furnizarea de informații privind categoriile de date personale prelucrate și scopul prelucrării acestora. „Pentru a răspunde acestor cereri, o organizație poate fi nevoită să analizeze multiple sisteme IT sau de management al documentelor, gestionate de diverse echipe sau departamente din cadrul companiei, fapt ce afectează desfășurarea activității de zi cu zi, este consumator de timp și de resurse”, punctează specialistul.
Anca Atanasiu subliniază că Inteligența artificială poate fi utilizată pentru a automatiza diverse procese, cum ar fi colectarea, stocarea și analiza datelor, ceea ce poate duce la simplificarea și eficientizarea procesului de prelucrare. De asemenea, IA poate fi utilizată și pentru a asigura conformitatea cu reglementările GDPR. Ea dă ca exemplu faptul că IA poate fi programată pentru a prelucra doar datele minime necesare, a șterge datele atunci când nu mai sunt necesare și a asigura persoanelor vizate dreptul de acces la datele lor.
De asemenea, un domeniu în care IA poate juca un rol în respectarea GDPR este automatizarea procesului de evaluare a impactului asupra protecției datelor („DPIA”). Algoritmii de inteligență artificială pot fi utilizați pentru a analiza procesul de prelucrare și a identifica potențiale riscuri. „Cu toate acestea, este important ca organizațiile să înțeleagă limitele IA și să rețină că IA nu poate înlocui judecata și procesul decizional uman, care trebuie să rămână o parte esențială a procesului de conformitate. Așadar, sistemele IA nu pot oferi asistență juridică în sfera conformității GDPR și nu pot identifica soluții adecvate și personalizate nevoilor clientului în acest domeniu, astfel că afirmăm cu un grad ridicat de încredere că, în viitorul apropiat, munca unui avocat specializat în această arie nu va putea fi înlocuită”, atenționează avocatul.
În ceea ce privește evoluția din domeniul GDPR, interlocutoarea BizLawyer amintește că în anul 2020, Comisia Europeană a publicat un prim raport privind aplicarea GDPR, prin care s-a constatat că regulamentul a oferit cetățenilor un set solid de drepturi și s-a dovedit a fi flexibil pentru sprijinirea soluțiilor digitale în circumstanțe neprevăzute. „Următorul raport privind aplicarea GDPR urmează să fie publicat în 2024. O dată cu progresul tehnologic, anticipăm că legislația în domeniul protecției datelor, dar și cea conexă, respectiv în domeniul securității cibernetice va deveni din ce în ce mai sofisticată. Ne așteptăm ca cerințele de conformitate să devină din ce în ce mai riguroase, iar valoarea amenzilor aplicate în acest domeniu să crească. Organizațiile care vor încerca să echilibreze interesele persoanelor vizate și interesele de business o vor face dintr-o perspectivă mai informată din punct de vedere juridic, având o viziune mai clară și un grad mai ridicat de predictibilitate”, comentează expertul.
----------------------------------------------------------------------------------
Activitatea firmei s-a focusat servicii de consultanță juridică referitoare la problemele practice de zi cu zi
Practica firmei de avocatură în domeniul GSPR este una solidă, iar în ultimul an focusul echipei de Data Privacy din cadrul Băncilă, Diaconu și Asociații SPRL a fost pe oferirea serviciilor de consultanță juridică pe problemele practice de zi cu zi ale multinaționalelor care activează în domenii ce necesită prelucrarea unui volum mare de date.
Avocații oferă suport constant la întocmirea, revizuirea și actualizarea evidențelor activităților de prelucrare. De asemenea, monitorizează respectarea legislației în cazul transferurilor multi-jurisdicționale de date și contribuie în mod activ la implementarea principiilor privacy by design and by default în cadrul proiectelor, produselor sau serviciilor realizate de clienții firmei.
„Ținerea evidențelor de prelucrare este o activitate dinamică și complexă, care de cele mai multe ori necesită alocarea unor responsabili pe fiecare linie de business sau departament din cadrul companiei și implicarea acestora în mod activ. Fluctuațiile de personal, dinamica pieței muncii și instruirea insuficientă în domeniu sunt elemente care îngreunează derularea acestor activități. Implementarea principiului privacy by design în cadrul proiectelor, produselor sau serviciilor nu poate fi realizată fără suport de specialitate. Clienții noștri sunt întotdeauna încurajați să solicite consultanță privind datele cu caracter personal începând cu primele stadii ale realizării unui nou proiect. Astfel se pot evita întârzieri în livrarea la timp a unui proiect, potențiale sancțiuni sau punerea pe piață a unor produse sau servicii care nu îndeplinesc cerințele minime de conformitate cu GDPR”, atrage atenția Anca Atanasiu.
Referindu-se la proiectele cu un grad ridicat de complexitate, interlocutoarea BizLawyer subliniază că sunt de cele mai multe ori acelea care implică transferuri de date către țări terțe, întrucât necesită o analiză riguroasă a condițiilor legislative din respectivele țări terțe, colaborarea cu specialiști din aceste țări, coordonarea necesităților de business ale tuturor operatorilor implicați în transfer, identificarea garanțiilor suplimentare adecvate sau a masurilor necesare de asigurare a securității datelor, identificarea mecanismelor de păstrare a controlului și a evidențelor și cele de raportare și cercetare a incidentelor.
„În cadrul proiectelor care au implicat transferuri de date către țări terțe am colaborat cu echipele din departamentul juridic al clientului. Proiectele au implicat o gamă largă și variată de scopuri ale prelucrării și de categorii de date cu caracter personal, transferurile de date către țări terțe fiind o practică necesară în majoritatea cazurilor pentru companiile cu prezență internațională. De exemplu, transferurile către țări terțe pot fi necesare pentru dezvoltarea și întreținerea paginilor web, ale aplicațiilor, pentru oferirea de suport tehnic, pentru scopuri de cercetare și dezvoltare în tehnologie etc”, completează avocatul.
În ceea ce privește practica de litigii, Băncilă, Diaconu și Asociații SPRL nu a reprezentat clienți în legătură cu acest domeniu. Totuși, echipa firmei a asistat clienți în soluționarea cu succes a plângerilor sau sesizărilor venite din partea persoanelor vizate, evitând astfel situațiile litigioase.
O practică în proces de expansiune și dezvoltare
În cadrul Băncilă, Diaconu și Asociații există o practică de Data Privacy de sine stătătoare, formată din patru membri. Coordonatorul echipei este Anca Atanasiu, Senior Managing Associate, avocat cu dublă specializare și cu o experiență de peste 14 ani în domeniu, dobândită în cadrul mai multor societăți de avocați de renume prezente atât pe piața locală, cât și pe cea internațională.
Ea a oferit, de-a lungul timpului, asistență juridică în proiecte privind protecția datelor cu caracter personal, dintre cele mai diverse: proiecte de tip „due diligence”, evaluări ale modului de conformare cu cerințele GDPR și evaluări ale gradului de maturitate a măsurilor și ale programelor de implementare GDPR pentru companii din diverse industrii precum telecom, asigurări, instituții financiare, precum și consultanță cu privire la probleme privind protecția datelor pe care clienții le întâlnesc în activitatea lor de zi cu zi. Anca deține o certificare din partea IAPP de tipul CIPP/E – Certified Information Privacy Professional/Europe.
Echipa de Data Privacy este formată din mai mulți avocați experimentați, dintre care menționăm: Gabriela Ion, Senior Associate, cu peste șase ani de experiență relevantă, Olga Malciu și Cătălina Pițigoi, ambele Senior Associate, cu peste patru ani de experiență relevantă.
Echipa lucrează în mod integrat cu diverse departamente din cadrul EY România. Mai mult, având în vedere faptul că societatea de avocați este membră a societăților din grupul Ernst & Young Global Ltd și face parte din rețeaua globală EY Law, prezentă în mai mult de 90 de jurisdicții, avocații Băncilă, Diaconu și Asociații sunt implicați frecvent în proiecte multi-jurisdicționale. Astfel, experții sunt în măsură să oferim clienților servicii de consultanță complete, printr-o abordare integrată ce are în vedere în același timp aspectele legale și de business. Acest lucru se traduce în oferirea de asistență personalizată datorită unei înțelegeri aplicate a nevoilor de business ca urmare a experienței pe care echipa a acumulat-o până în prezent în cadrul proiectelor de anvergură în care a fost implicată.
„Practica de Data Privacy din cadrul Băncilă, Diaconu și Asociații se afla într-un proces de expansiune și dezvoltare, ajungând să dețină în prezent un rol deosebit de important și cu potențial strategic în viitor. Societatea de avocatură a fost implicată în multe dintre proiectele de evaluare a conformității cu prevederile GDPR din perioada premergătoare intrării în vigoare a regulamentului, fapt ce ii oferă un avantaj competitiv printr-o mai amplă înțelegere a domeniului și a modus operandi.
Pe viitor, ne așteptăm ca mandatele să devină din ce în ce mai complexe, cu multiple elemente de natură tehnică și operațională, care să necesite atât cunoștințe juridice, cât și o bună înțelegere a domeniului IT. Echipa de Data Privacy din cadrul Băncilă, Diaconu și Asociații este o echipă solidă și experimentată care deține abilitățile necesare pentru a oferi servicii juridice adaptate nevoilor de business ale clienților”, conchide Anca Atanasiu.
Publicitate pe BizLawyer? |
Articol 329 / 1862 | Următorul articol |
Publicitate pe BizLawyer? |
BREAKING NEWS
ESENTIAL
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Laura Rudnyanszky, Global Regulatory Lead – Accenture, profesionist al Dreptului antrenat în proiecte complexe, care coordonează azi o echipă de avocați în reglementări globale: ”În carieră, îmi respect clienții și echipa, tratând fiecare provocare cu profesionalism și empatie. Aspirația mea este să ocup o poziție de conducere în cadrul unei organizații care valorizează inovația și responsabilitatea socială, unde să pot influența pozitiv modul în care se practică dreptul și cum se integrează tehnologia în procesele juridice”
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
Meet the Professionals | Din vorbă în vorbă cu Andreea Zvâc, proaspăt promovată Partner în cadrul firmei Wolf Theiss, despre mediul în care s-a împlinit profesional, implicare și valori: “În avocatură ai posibilitatea de a fi creativ și nu te plictisești niciodată. Pentru o evoluție sustenabilă și coerentă a unui avocat, munca și pasiunea ar trebui să fie pe primul loc”
(VIDEO) INTERVIURI ESENȚIALE | Horea Popescu, Managing Partner CMS România: ”Am avut privilegiul de a fi implicați în câteva dintre tranzacțiile esențiale din economie. Cifrele arată foarte bine, am învățat ce trebuie să facem pentru a merge odată cu curentul, dar și împotriva acestuia, când este cazul”
BeeFast primește o nouă finanțare în valoare de 450.000 USD pentru extinderea internațională și dezvoltare. Avocații Baciu Partners, în tranzacție, cu o echipă coordonată de Corina Roman (Partener)
Managing Partner | Din vorbă în vorbă cu Vasile Băiculescu, unul dintre avocații noii generații și coordonator al firmei Băiculescu & Asociații, despre managementul unei firme de avocatură, strategii de creștere și performanță: ”Planul strategic trebuie să fie aliniat cu valorile și viziunea echipei, astfel încât strategia de dezvoltare să pornească din interiorul firmei și să fie susținută de expertiza externă. De-a lungul timpului, am colaborat frecvent cu experți din diverse domenii pentru a ne asigura că adoptăm cele mai bune practici”
LegiTeam | MITEL & ASOCIAȚII recrutează avocat cu experiență (Real Estate)
LegiTeam: Voicu & Asociații is looking for business lawyers
2024 a fost un an aglomerat pentru Departamentul juridic al Farmexim & Help Net | De vorbă cu Mihaela Scărlătescu, Head of Legal and Compliance Director despre actele normative cu impact în activitatea companiei, modificările legislative așteptate și proiectele interesante în care a fost implicată echipa de avocați interni
GDPR | Echipa Mitel & Asociații a fost implicată în mai multe proiecte complexe, printre cele mai solicitante fiind cele legate de tranzacții de tip M&A, dezvoltarea unor aplicații și implementarea unor soluții de conformitate la scară largă, în industrii cu volume mari de date cu caracter personal. Mădălina Mitel, Partener: ”Anticipăm o creștere semnificativă a cererii pentru servicii de consultanță în domenii emergente precum AI, procese automatizate și date biometrice, pe măsură ce reglementările devin mai stricte și aplicarea normelor devine mai riguroasă”
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Iulian Gânju, Head of Legal - Iulius Group: „Mi-a plăcut foarte mult această zonă de ‘in-house’ deoarece presupune o centrare pe respectarea legislației și corectitudine în procesele de business, idee care rezonează foarte mult și cu principiile și valorile la care mă raportez în fiecare zi”
GDPR | Avocații specializați în practica de Data Protection de la Reff & Asociații - Deloitte Legal spun că preocuparea pentru conformare excedează domeniul protecției datelor. Silvia Axinescu, Senior Managing Associate: ”Abordăm fiecare proiect într-o manieră holistică și recunoaștem că protecția datelor, deși foarte importantă, este doar o piesă a puzzle-ului”
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...