GDPR | Respectarea legislației în domeniu pare că este mai degrabă formală, lipsind măsurile concrete capabile să asigure o protecție adecvată volumului foarte mare de date prelucrate, spun avocații D&B David și Baias. Daniel Vinerean, coordonatorul practicii de Protecția Datelor: De cele mai multe ori este mai ieftin sa plătești o amendă de până la 3.000 € decât să stabilești un plan concret, să achiziționezi tehnologie sau să angajezi un consultant capabil să conceapă și să implementeze măsuri adecvate

La șase ani de la intrarea în vigoare a Regulamentului (UE) 2016/679  privind datele cu caracter personal, nu toate companiile au conștientizat importanța alinierii la politicile GDPR. Daniel Vinerean, Managing Associate în cadrul D&B David și Baias, subliniază faptul că, la fel ca în orice alt sector reglementat, și aici există entități din domeniul privat care au acordat și continuă să acorde o atenție sporită protecției datelor cu caracter personal implementând măsuri tehnice și organizatorice robuste, dar și entități care nu consideră că este o zonă în care ar trebui investite prea multe resurse umane, tehnice și financiare. În opinia avocatului, atitudinea celor din urmă este determinată în primul rând de nivelul foarte scăzut al amenzilor aplicate de ANSPDCP și apoi de faptul că nu s-au confruntat cu situații grave care să afecteze datele cu caracter personal pe care le prelucrează în mod curent. „În ceea ce privește autoritățile, respectarea legislației în domeniu pare că este degrabă formală, lipsind măsurile concrete capabile să asigure o protecție adecvată volumului foarte mare de date prelucrate”, nuanțează interlocutorul ^BizLawyer.

Autoritățile din spațiul comunitar au aplicat, în primele șapte luni ale anului în curs, 160 de amenzi în valoare totală de 160 milioane de euro pentru nerespectarea politicilor GDPR. În țara noastră, sancțiunile date sunt de doar 0,5 milioane euro, sumă care a rezultat din 15 amenzi. Statistic vorbind, România stă foarte prost la acest capitol, iar lucrul acesta se poate reflecta direct și în modul în care companiile ajung să respecte prevederile vizând protecția datelor cu caracter personal. €

„Nivelul scăzut al amenzilor aplicate de ANSPDCP încurajează, fără îndoială, o atitudine mai relaxată atunci când vine vorba de implementarea unor măsuri tehnice și organizatorice capabile să asigure în mod real protecția datelor cu caracter personal. De cele mai multe ori este mai ieftin sa plătești o amendă de 1.000, 2.000 sau 3.000 de euro decât să stabilești un plan concret de măsuri de protecție a datelor, să achiziționezi tehnologie capabilă să asigure securitatea, integritatea și disponibilitatea datelor sau să angajezi un consultant capabil să conceapă și să implementeze măsuri de protecție adecvate activităților de prelucrare realizate”, atrage atenția Daniel Vinerean.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Probleme în acest domeniu intervin și din cauza faptului că există în continuare zone de neclaritate în interpretarea unor norme impuse de legislația specifică. „Totuși, practica pare că stabilește o serie de cutume capabile să asigure finalitatea regulilor asociate prelucrărilor de date cu caracter personal”, menționează interlocutorul ^BizLawyer.

De altfel, avocatul amintește faptul că nu a întâlnit zone lipsite complet de recomandări din partea Comitetului European de Protecția Datelor. „Este însă uneori nevoie de un efort suplimentar pentru a găsi logica din spatele interpretărilor acestui organism european. În general, regulile în materia protecției datelor sunt riguroase, dar nu împiedică activitatea celor chemați să le aplice și în niciun caz nu sunt contrare desfășurării normale a activităților economice”, completează expertul D&B David și Baias.


Protecția datelor este o practică de sine stătătoare în cadrul D&B David și Baias, firma având avocați specializați în acest domeniu care colaborează îndeaproape cu specialiștii în securitate cibernetică din cadrul PwC România. Aria este coordonată de avocatul Daniel Vinerean, specialist în protecția datelor și deținător al unei certificări CIPP/E din partea International Association of Privacy Professionals.

Echipa dedicată acestei practici a fost implicată în proiecte complexe de asigurare a conformității încă dinainte de intrarea în vigoare a GDPR-ului și care acum oferă consultanță directă unor mari jucători din domeniul retail, pharma și servicii financiare. În plus, practica de protecția datelor este orientată și spre provocările aduse de revoluția inteligenței artificiale, un subiect foarte actual și cu multe provocări în viitorul apropiat. „Practica de protecția datelor este foarte importantă în cadrul D&B David și Baias mai ales în contextul nevoii de integrare a noilor reguli în materia inteligenței artificiale, a evoluției continue a tehnologiei și a unui volum tot mai mare de date cu caracter personal prelucrate în toate domeniile de activitate”, amintește Daniel Vinerean.

Avocații au lucrat în multe proiecte complexe. Printre altele, au fost implicați în evaluări ale impactului asupra protecției datelor anterior implementării de noi tehnologii (de ex. instrumente de prevenire a pierderii datelor) sau desfășurării de activități noi, în special legate de prelucrarea datelor în activitățile de marketing prin aplicații sau mecanisme automatizate.

---

---

De asemenea, au fost implicați în tranzacții în domeniu medical sau al serviciilor de turism, arii cu volum mare de date cu caracter personal prelucrate în activitatea obișnuită.  

Totodată au primit din partea unui client solicitarea de a regândi mecanismele de obținere a consimțământului pentru activități de marketing proprii, dar și pentru a monetiza datele persoanelor vizate prin divulgarea către terți în scopuri proprii de marketing. „Dificultatea a venit din nevoia de a asigura un echilibru între nevoia de business și regulile mai stricte privind consimțământul impuse de reglementările specifice domeniului protecției datelor cu caracter personal”, explică interlocutorul ^BizLawyer.

Daniel Vinerean mai precizează că, fiind parte din rețeaua PwC, echipa are frecvent proiecte care necesită colaborarea cu avocați din alte jurisdicții, atât din Uniunea Europeană, Spațiul Economic European, cât și din afara acestor zone. Este vorba în general despre proiecte implementate la nivel global de multinaționale puternice și care înțeleg, uneori mai bine decât entitățile românești, nevoia de respectare a prevederilor locale în materia protecției datelor cu caracter personal.

În plus, D&B David și Baias reprezintă în mod frecvent clienți în relația cu ANSPDCP, în special în cadrul investigațiilor realizate de această autoritate de supraveghere. „De cele mai multe ori, eroarea umană și nerespectarea regulilor impuse de angajatori pentru protecția datelor sunt cele care au declanșat investigații și au condus la aplicarea de amenzi”, punctează avocatul.