Mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea Bondoc & Asociații prin natura portofoliului de clienți. Ele s-au diversificat și extins, fiind din ce în ce mai complexe pe măsura provocărilor pe care procesele de digitalizare, tot mai prezente în din ce în ce mai multe industrii, le impun
16 Iulie 2023
Ștefania EnacheÎn prezent, asistența echipei Bondoc & Asociații cuprinde și mandate în jurul unor proiecte mari de tipul proceselor mai generale de implementare, al proceselor de tipul privacy by design sau al tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale (precum comerț online, farma și servici medicale, utilități, retail, FCMG, servicii financiare), precum și legat de activități de conformare internă, inclusiv investigații disciplinare și de tip forensic.
Lucian Bondoc, Managing Partner si Monica Iancu, Partner, coordonatori ai Departamentului de Protectie a Datelor din cadrul Bondoc si Asociatii SCA |
Analizele avocaților indică faptul că progresul din acest domeniu a fost alimentat și de o serie de factori externi. În această categorie intră pandemia COVID-19, dar și criza geopolitică actuală pe care o traversează lumea.
De exemplu, pandemia COVID-19 a atras derularea multor activități online și, în general, a accelerat digitalizarea proceselor în cadrul companiilor. „Ca urmare, și zona de conformare, inclusiv din perspectiva protecției datelor și a aspectelor de securitate cibernetică, s-a diversificat și consolidat”, punctează Lucian Bondoc.
În ceea ce privește criza geopolitică actuală, este un factor care determină companiile să abordeze în continuare cu diligență procesele și fluxurile prin care își realizează activitățile economice și activitățile suport. „Este inclusiv o formă de protejare și eficientizare a unui patrimoniu care în cazul celor mai multe entități economice de astăzi includ, pe de o parte, ca element foarte important, baze de date creatoare de valoare economică și, pe de altă parte, elemente de inteligență artificială și automatizare”, explică Monica Iancu, Partener Bondoc și Asociații SCA.
„Contextul actual și recent, inclusiv conflictul geopolitic și pandemia, nu au produs neapărat o alterare a standardelor în materia protecției datelor personale, cel puțin raportat la sectorul privat. Dimpotrivă, prin diversificarea canalelor de comunicare și accelerarea digitalizării au stimulat presiunea pentru conformare. Conflictul geopolitic și economic mai general stimulează el însuși nevoia de așezare a resurselor, dar și de consolidare a activității, inclusiv prin asigurarea unui nivel optim de conformare. În ceea ce privește ANSPDCP, din experiența și datele noastre, aceasta a continuat să fie activă și echilibrată în acest context”, completează coordonatorii departamentului de Protecție a Datelor al Bondoc și Asociații.
Interesul pentru conformare este constant și ridicat
În acest context, legislația pentru protecția datelor și interpretările Comitetului European pentru Protecția Datelor (EDPB), inclusiv cele mai recente, rămân de interes și trebuie să fie incluse în instrumentarul prin care o firmă își derulează procesele de conformare.
Totodată, companiile trebuie să aibă în vedere că, în tot acest timp, cadrul de reglementare la nivelul Uniunii Europene a continuat să se amplifice și diversifice. „Există importante acte normative (unele deja adoptate și intrate în vigoare, altele în diverse stadii de aprobare) care au sau, după caz, vor avea un impact major asupra prelucrării datelor personale și asupra proceselor care implică date în general. Vorbim de o arhitectură legislativă complexă care afectează în maniere diferite și cu intensitate diferită toate sau o parte din activitățile unei companii. Prin urmare, exercițiul dobândit prin adaptarea proceselor la cerințele Regulamentului privind protecția datelor va fi util și pentru exercițiile care vor fi necesare în baza acestui nou cadru de reglementare. De asemenea, jurisprudența CJUE a oferit în ultimii ani atât repere noi pentru a interpreta/analiza legislația în materie, cât și dovada păstrării preocupării pentru protecția activă a datelor personale”, precizează Monica Iancu.
Experții Bondoc & Asociații constată din practica de zi cu zi faptul că interesul asupra legislației protecției datelor personale rămâne ridicat, el fiind alimentat de variați vectori. Printre aceștia, avocații nominalizează: complexitatea domeniului în sine și a caracterului lui transversal; digitalizarea proceselor și nevoia de protecție cibernetică; noutățile (de multe ori substanțiale) aduse de evoluția doctrinei (inclusiv a ghidurilor emise de diverse autorități de reglementare din Statele Membre – chiar dacă uneori contradictorii între ele), dar mai ales a jurisprudenței (atât la nivel local, cât și comunitar); sancțiunile impuse de autoritățile de reglementare și interpretările date de acestea în cazuri particulare, precum și, după caz, de instanțele de judecată; o mai mare vizibilitate a impactului pe care datele personale îl au în desfășurarea unor activități (inclusiv ca urmare a unor evenimente care au implicat prelucrări de date personale și au avut o rezonanță mai mare socială și economică).
La cinci ani de la momentul intrării GDPR în vigoare, se pot trage o serie de concluzii legate de schimbările care au intervenit pe mai multe planuri. Astfel, la nivelul operatorilor de date personale și împuterniciților acestora a fost esențială și rămâne importantă conștientizarea impactului transversal al GDPR, în sensul în care acesta se răsfrânge asupra tuturor operațiunilor și activităților desfășurate de o entitate. Iar atingerea acestui standard necesită un efort regulat.
„În acest context, componenta de training și explicitare a unor concepte și deziderate ale GDPR a fost esențială și, de asemenea, rămâne importantă pentru a asigura înțelegerea obligațiilor impuse de GDPR în rândul departamentelor suport”, nuanțează Partenerul Bondoc & Asociații.
Avocatul mai spune că domeniul protecției datelor rămâne unul aflat într-o fază în care anumite concepte încă se consolidează (de ex. prin decizii ale CJUE, ale instanțelor naționale, prin ghiduri și orientări ale EDPB și ale autorităților naționale). Ceea ce face cu atât mai actuală recomandarea de a nu deprinde un automatism în aplicarea GDPR și a reverifica conceptele prin prisma evoluțiilor cu ocazia actualizărilor proiectelor existente sau implementării de noi proiecte.
În plus, persoanele vizate au devenit mai active cu privire la protecția propriilor date personale, fiind evident că există atât solicitări fundamentate, cât și solicitări speculative.
„Este evident că majoritatea proiectelor necesită aport de expertiză și din perspectiva legislației privind protecția datelor personale. Cât privește necesitatea unei eventuale îmbunătățiri, aceasta ar viza în primul rând obiectivul unei interpretări și aplicări mai unitare a legislației protecției datelor. În general, aceasta presupune un timp mai îndelungat pentru parcurgerea, de exemplu, a unor cicluri procesuale și maturizarea unor decizii. Se observă de altfel și un număr important de solicitări de la nivelul instanțelor de judecată naționale privind emiterea de către CJUE a unor decizii preliminare, în temeiul articolului 267 din TFUE, fapt care relevă că instanțele de judecată au dileme în interpretarea GDPR. Ghidurile generale de interpretare a prevederilor GDPR sau cele de implementare a acestuia la nivel de industrie sunt importante și în mod clar există zone neacoperite de ghidurile emise până acum. Credem că marea majoritate a entităților pe care le asistăm juridic sau cu care interacționăm cu alte ocazii au înțeles că activitatea de zi cu zi a unei companii implică o diversitate de scenarii cu dimensiune relevantă pentru protecția datelor personale și că respectarea acesteia este un subiect chiar important. Sensibilitatea poate deriva fie din aspectele de fond ale chestiunii în analiză (prelucrări voluminoase de date personale cu caracter sensibil și componente automate de prelucrare) sau de natura problematicii (de exemplu, în cazul unor breșe de securitate). Din acest ultim punct de vedere, este important și timpul de reacție care este dificil de atins cu atât mai mult cu cât breșa privește procese de prelucrare complexe. Întrucât gradul de conformare din partea clienților noștri a fost și este, în general, mare, ne bucurăm că rezultatele unor astfel de procese le sunt favorabile”, comentează coordonatorii departamentului de Protecție a Datelor al Bondoc și Asociații.
Opiniile unor profesioniști care ocupă poziții de top în departamentele juridice ale unor companii importante, pe platforma www.in-houselegal.ro. Urmărește temele dezvoltate de avocați sau membri ai comunității In-houseLegal și propune subiecte.
Interesul față de GDPR, dar și relevanța acestui sector, sunt date și de caracterul său transversal în raport cu alte legislații și cu multiple și variate domenii de activitate. Astfel, pentru consultanți, nivelul de provocare se menține în ceea ce privește legislația privind protecția datelor personale, acesta fiind mai accentuat în cazurile în care se îmbină mai multe zone de business și arii de drept.
Avocații vin și cu exemple pentru a-și susține afirmațiile, amintind proiectele complexe care au inclus asistența în contextul organizării și implementării unor studii clinice. În aceeași categorie se înscrie și asistența cu privire la dezvoltarea unor aplicații care creează adevărate ecosisteme virtuale în domeniul utilităților, de exemplu, sau asistența legată de dezvoltarea unor aplicații bazate pe utilizarea de token-uri și cripto-valori, sau cu privire la procesul de implementare a unor servicii bancare digitale.
„Deși apreciem că, la nivelul întregului bloc comunitar, autoritățile de reglementare fac eforturi de a veni în întâmpinarea aplicării GDPR, totuși, încă există și zone unde o claritate mai mare ar fi foarte utilă. Desigur, este foarte important ca interpretările la nivel european să fie unitare, fiind cazuri în care nu toate autoritățile de reglementare au văzut similar o operațiune de prelucrare. În acest sens, inclusiv aspecte aparent de bază continuă să ridice interpretări divergente. De exemplu, s-a formulat de către Curtea Supremă de Justiție a Țărilor de Jos o solicitare de întrebare preliminară prin care CJUE este solicitată să răspundă cu privire la temeiul de prelucrare din art. 6 alin. 1 lit. f) din GDPR –„interesul legitim”, respectiv dacă noțiunea de „interes legitim” din GDPR trebuie înțeleasă strict raportat la o bază din lege, ori poate exista interes legitim atât timp cât nu contravine unei prevederi din legislație. În cauza națională care a generat sesizarea CJUE, autoritatea de reglementare a avut o interpretare care poate fi considerată restrictivă, întrucât nu acceptă ca un interes pur comercial să fie „legitim” potrivit GDPR”, atrage atenția Lucian Bondoc.
-----------------------------------------------------
Multe amenzi care depășesc pragul de 20 de milioane de euro
Sancțiunile aplicate în domeniul protecției datelor cu caracter personal ating un nivel foarte ridicat. „EDPB a emis Ghidul 04/2022 care însă nu își propune să crească pragul amenzilor, fiind un instrument care oferă o metodologie de calcul a amenzii (în cazul în care este necesară asemenea măsură corectivă). GDPR în sine a adus modificarea și creșterea pragului maximal al amenzilor. De altfel, există deja, la nivelul Uniunii Europene, peste zece amenzi care depășesc 20 milioane de euro, undele ajungând și la sute de milioane de euro. Astfel, pragul maximal al amenzilor pare că este suficient de reglementat și disuasiv. Abordarea EDPB cu cele două ghiduri (Ghidul 04/2022 și Ghidul WP 253 al Grupului de lucru, girat de EDPB prin Decizia 1/2018) nu prevede de o manieră exhaustivă cazurile și modul de sancționare pentru o încălcare a GDPR, analiza fiind făcută prin raportare la mai mulți factori, care pot avea o influență diferită de la un caz la altul”, menționează Monica Iancu.
Ghidurile indicate de Partenerul Bondoc & Asociații încearcă să sprijine interesul primordial pentru conformare voluntară. De altfel, din punctul său de vedere, sancțiunile/ amenzile ar trebui să fie un mijloc secundar. „În schimb, ar ajuta o mai strânsă colaborare între autoritățile de reglementare și operatori, o transparență mai mare din partea autorităților asupra modului de interpretare a GDPR și a modului cum interpretează anumite situații (ipotetice, ridicate de operatori, persoane vizate, dar și practice, de exemplu, raportat la anumite investigații realizate de autorități)”, este de părere Monica Iancu.
În ceea ce privește măsurile care pot fi luate de autorități, avocatul avertizează că nu trebuie uitat că, din setul de măsuri corective, GDPR prevede, pe lângă amendă, și posibilitatea altor măsuri care pot avea un efect puternic asupra unui operator: cum sunt măsura de limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării (art. 58 alin. 3 litera f) sau de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională (art. 58 alin. 3 litera j).
-----------------------------------------------------
Practica este în continuă dezvoltare, incluzând mandate tot mai complexe
Odată cu trecerea timpului și consultanța acordată pe această zonă a devenit tot mai rafinată.
În toți acești cinci ani, volumul de muncă a fost unul important, cu vârfuri în jurul unor proiecte masive de tipul proceselor mai generale de implementare, al proceselor de tipul privacy by design sau al tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale (precum comerț online, servicii medicale, utilități).
„Varietatea industriilor în care activează clienți cărora le furnizăm asistență a tot crescut (inclusiv utilități, retail, FCMG, servicii financiare, farma și servicii medicale), și tipologia mandatelor primite variind natural. Dacă la început asistența noastră a fost solicitată, în principal, pe partea de implementare inițială de ansamblu a GDPR, în prezent asistența se concentrează pe activitățile de zi cu zi, în vederea conformării cu prevederile GDPR (principiul responsabilității), precum și pe identificarea riscurilor potențiale, dar și a soluțiilor pentru implementarea diferitelor proiecte punctuale (incluzând aici privacy by design și privacy by default). În plus, o parte din mandatele noastre acoperă investigații din partea autorității competente sau formularea de răspunsuri la diverse solicitări ale acesteia, asistență privind notificarea de breșe de securitate, asistență și reprezentare implicând litigii care au ca obiect sau în care sunt incidente aspecte de protecția datelor. De asemenea, am continuat să furnizăm sesiuni de instruire adresate clienților (atât angajaților, cât și managementului) în vederea asigurării unei informări continue și conforme cu noile evoluții ale GDPR”, detaliază avocații intervievați de BizLawyer.
Ca punct de constanță, echipa Bondoc & Asociații a fost implicată în numeroase procese de tip due diligence pentru diverse tranzacții, multe din ele având o componentă legată de expunerea le domeniul legislației datelor personale foarte importantă.
În plus, o parte importantă a activității firmei de avocatură implică și sprijinirea echipei de soluționare a disputelor în reprezentarea clienților în litigii care au ca obiect aspecte de protecția datelor sau în litigii în care sunt altfel incidente aspecte de protecția datelor.
Dintre cele mai recente mandate cu grad ridicat de complexitate, interlocutorii BizLawyer menționează și asistență cu privire la fluxuri legate de servicii digitale, inclusiv prin crypto assets, în domeniul energetic, de cercetări științifice medicale în afara țării și în afara UE pe material uman sau de campanii de marketing, cu componentă de profilare.
„Mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea noastră prin natura portofoliului de clienți. Ele s-au diversificat și extins, fiind din ce în ce mai complexe pe măsura provocărilor pe care procesele de digitalizare, tot mai prezente în din ce în ce mai multe industrii, le impun”, a nuanțat Monica Iancu.
În prezent, asistența echipei Bondoc & Asociații cuprinde și mandate în jurul unor proiecte mari de tipul proceselor mai generale de implementare, al proceselor de tipul privacy by design sau al tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale (precum comerț online, farma și servici medicale, utilități, retail, FCMG, servicii financiare), precum și legat de activități de conformare internă, inclusiv investigații disciplinare și de tip forensic.
De asemenea, echipa de avocați consiliază în mod constant clienți din domeniul farmaceutic și servicii medicale în legătură cu o gamă completă și complexă de proiecte și programe necesar a fi implementate de companie fie la nivel de grup, fie local. Cu o abordare holistică, întreaga echipă oferă consiliere și asistență juridică pe diverse paliere. Printre acestea se evidențiază: campaniile de marketing, inclusiv prin studii de piață, segmentarea și/sau profilarea digitală, implicațiile studiilor clinice atât în legătură cu pacientul înrolat în studiu, cât și cu doctorii și ceilalți actori din domeniul medical implicați în realizarea studiului, aspectele de protecția datelor în materia farmacovigilenței, relația contractuală cu diferiți furnizori de servicii, inclusiv din perspectiva calificării părților, de cele mai multe ori rolurile fiind multiple etc.
În același timp, avocații asistă în mod constant pe aspecte de protecția datelor personale în contextul operării uneia dintre cele mai extinse rețele de social media, problematica fiind, de asemenea, variată și de cele mai multe ori legată și de aspecte de dreptul comerțului electronic.
„Totodată, asistăm clienți, care își desfășoară activitatea cu clienții finali prin intermediul instrumentelor digitale, inclusiv legat de digitalizarea serviciilor de energie. Astfel, acordăm asistență în legătură cu toate aspectele de protecție a datelor referitoare la o platformă administrată de client, disponibilă în întreaga lume, concepută ca un instrument digital care vizează transformarea pieței de energie inclusiv a proiectelor regenerabile. În general, asistența acordată de noi acoperă frecvent probleme complexe de protecția datelor în numeroase industrii. Dat fiind faptul că o parte importantă a clienților noștri este alcătuită din entități cu prezență internațională, asistența presupune frecvent contacte cu case de avocatură care asistă clienți în diverse jurisdicții sau cu departamentele de legal de la nivel central / global”, mai spune Monica Iancu.
La nivelul Bondoc & Asociații, practica de protecție a datelor a fost privită încă de la început ca una de sine stătătoare. „Asistăm numeroși clienți și suntem implicați într-o multitudine de proiecte privind protecția datelor. Mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea noastră prin natura portofoliului de clienți. Ele s-au diversificat și extins, fiind din ce în ce mai complexe pe măsura provocărilor pe care procesele de digitalizare, tot mai prezente în din ce în ce mai multe industrii, le impun. Anticipăm că volumul și diversitatea activității noastre vor continua să crească și în contextul legislației mai ample cu privire la date aflată în diverse de adoptare la nivel european. Protecția datelor devine parte dintr-un proces de conformare mai complex care acoperă zona de date în general ca element de patrimoniu esențial al oricărei companii din prezent. Strategiile de date devin un instrument inevitabil în configurarea activității economice în general”, au conchis Lucian Bondoc și Monica Iancu.
Publicitate pe BizLawyer? |
Articol 432 / 1862 | Următorul articol |
Publicitate pe BizLawyer? |
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Laura Rudnyanszky, Global Regulatory Lead – Accenture, profesionist al Dreptului antrenat în proiecte complexe, care coordonează azi o echipă de avocați în reglementări globale: ”În carieră, îmi respect clienții și echipa, tratând fiecare provocare cu profesionalism și empatie. Aspirația mea este să ocup o poziție de conducere în cadrul unei organizații care valorizează inovația și responsabilitatea socială, unde să pot influența pozitiv modul în care se practică dreptul și cum se integrează tehnologia în procesele juridice”
Meet the Professionals | Din vorbă în vorbă cu Andreea Zvâc, proaspăt promovată Partner în cadrul firmei Wolf Theiss, despre mediul în care s-a împlinit profesional, implicare și valori: “În avocatură ai posibilitatea de a fi creativ și nu te plictisești niciodată. Pentru o evoluție sustenabilă și coerentă a unui avocat, munca și pasiunea ar trebui să fie pe primul loc”
(VIDEO) INTERVIURI ESENȚIALE | Horea Popescu, Managing Partner CMS România: ”Am avut privilegiul de a fi implicați în câteva dintre tranzacțiile esențiale din economie. Cifrele arată foarte bine, am învățat ce trebuie să facem pentru a merge odată cu curentul, dar și împotriva acestuia, când este cazul”
BeeFast primește o nouă finanțare în valoare de 450.000 USD pentru extinderea internațională și dezvoltare. Avocații Baciu Partners, în tranzacție, cu o echipă coordonată de Corina Roman (Partener)
Managing Partner | Din vorbă în vorbă cu Vasile Băiculescu, unul dintre avocații noii generații și coordonator al firmei Băiculescu & Asociații, despre managementul unei firme de avocatură, strategii de creștere și performanță: ”Planul strategic trebuie să fie aliniat cu valorile și viziunea echipei, astfel încât strategia de dezvoltare să pornească din interiorul firmei și să fie susținută de expertiza externă. De-a lungul timpului, am colaborat frecvent cu experți din diverse domenii pentru a ne asigura că adoptăm cele mai bune practici”
LegiTeam | MITEL & ASOCIAȚII recrutează avocat cu experiență (Real Estate)
LegiTeam: Voicu & Asociații is looking for business lawyers
2024 a fost un an aglomerat pentru Departamentul juridic al Farmexim & Help Net | De vorbă cu Mihaela Scărlătescu, Head of Legal and Compliance Director despre actele normative cu impact în activitatea companiei, modificările legislative așteptate și proiectele interesante în care a fost implicată echipa de avocați interni
GDPR | Echipa Mitel & Asociații a fost implicată în mai multe proiecte complexe, printre cele mai solicitante fiind cele legate de tranzacții de tip M&A, dezvoltarea unor aplicații și implementarea unor soluții de conformitate la scară largă, în industrii cu volume mari de date cu caracter personal. Mădălina Mitel, Partener: ”Anticipăm o creștere semnificativă a cererii pentru servicii de consultanță în domenii emergente precum AI, procese automatizate și date biometrice, pe măsură ce reglementările devin mai stricte și aplicarea normelor devine mai riguroasă”
Cine sunt și cum gândesc profesioniștii evidențiați de Legal 500 în GC Powerlist Romania | De vorbă cu Iulian Gânju, Head of Legal - Iulius Group: „Mi-a plăcut foarte mult această zonă de ‘in-house’ deoarece presupune o centrare pe respectarea legislației și corectitudine în procesele de business, idee care rezonează foarte mult și cu principiile și valorile la care mă raportez în fiecare zi”
GDPR | Avocații specializați în practica de Data Protection de la Reff & Asociații - Deloitte Legal spun că preocuparea pentru conformare excedează domeniul protecției datelor. Silvia Axinescu, Senior Managing Associate: ”Abordăm fiecare proiect într-o manieră holistică și recunoaștem că protecția datelor, deși foarte importantă, este doar o piesă a puzzle-ului”
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...