Practica de protecție a datelor este o componentă strategică a firmei Wolf Theiss, existând o cerere crescătoare în acest domeniu. Viitorul acestei arii este unul promițător, având în vedere majorarea volumului de date prelucrate și evoluțiile tehnologice rapide, spun avocații | Flavius Florea - Counsel: „Un aspect cheie este legat de avansul tehnologic, cum ar fi utilizarea tot mai frecventă a inteligenței artificiale și provocările aferente respectării principiilor GDPR”

În ultimii ani a crescut semnificativ interesul pentru respectarea GDPR și a legislației conexe în domeniul protecției datelor cu caracter personal, în contextul în care companiile au conștientizat importanța unei astfel de abordări. În plus, a intervenit teama de o posibilă sancțiune aplicată de autorități. Totodată, firmele au devenit mai atente la respectarea normelor din dorința de a evita sancțiuni, dar și pentru a își proteja reputația.  „Totuși, principalul vector care alimentează interesul de conformare rămâne în continuare, cel puțin în cazul companiilor multinaționale, dorința de conformare de la nivel de grup, care este transmisă mai departe către subsidiarele din România. Însă, în ultimii ani, am observat un interes crescut și din partea companiilor locale pentru creșterea conformității în domeniul protecției datelor, în special de implementare a unor măsuri de tipul privacy-by-design, interes care este alimentat în principal de dorința de a avea produse foarte competitive și la nivel internațional, adresate inclusiv unor clienți care își desfășoară activitatea în jurisdicții unde amenzile în domeniul protecției datelor cu caracter personal sunt semnificativ mai mari”, apreciază Flavius Florea - Counsel și Coordonator al practicii de TMT (Telecomunicații, Media și Tehnologie), IP & Data Protection la Wolf Theiss București.

Au trecut aproape șapte ani de la aplicarea GDPR, iar avocații constată că se remarcă o creștere susținută a maturității companiilor în gestionarea datelor cu caracter personal, alimentată și de o mai bună colaborare între departamentele juridic, IT și de conformitate. În același timp, se observă că toți cei implicați în acest domeniu sunt puși în fața unei legislații și a unor tehnologii aflate în plină dinamică, iar provocarea majoră după aproape șapte ani nu mai rezultă în principal din gradul scăzut de conformare al companiilor, ci mai degrabă din întrepătrunderea reglementărilor incidente în materia protecției datelor cu caracter personal cu cele incidente în materia noilor tehnologii, cum ar fi inteligența artificială sau alte tehnologii folosite de platformele online.

„De asemenea, un inconvenient ar fi în continuare claritatea insuficientă a anumitor prevederi, mai ales în domenii specifice precum transferurile internaționale de date, dar și unele interpretări divergente ale autorităților de supraveghere europene care afectează uniformitatea aplicării normelor”, precizează Flavius Florea.

Continuă să existe zone neacoperite de ghiduri

Avocatul atrage atenția că există în continuare diverse zone neacoperite de ghidurile emise până acum. El dă ca exemplu o situație de care s-a lovit recent în practică, situație legată de aplicarea extrateritorială a GDPR în relațiile de tip B2B. În această zonă, continuă să apară interpretări contrare, iar experții au descoperit că interpretările acestea pot să difere între statele membre strict în funcție de practica autorității de supraveghere din fiecare stat, întrucât nu există reglementări specifice în acest sens.

Statisticile publice indică faptul că, în primele șapte luni ale anului trecut, autoritățile europene de supraveghere a protecției datelor cu caracter personal au aplicat 160 de amenzi în valoare totală de 160 milioane de euro. România a avut printre cele mai mici cifre la acest capitol (amenzi de circa 0,5 milioane euro din 15 amenzi, reprezentând 0,3 % din total).  

Analizând ceea ce se întâmplă la noi în țară, echipa Wolf Theiss București a ajuns la concluzia că autoritatea de supraveghere din domeniu - ANSPDCP- se confruntă cu problema resurselor limitate, care este una dintre cauzele pentru care instituția are o activitate mai puțin intensă. „Credem că în continuare ANDPSCP are nevoie de resurse suplimentare care să fie angajate atât în activitatea de sancționare a încălcărilor, cât și în activități destinate prevenției în general. Pe de altă parte, nu trebuie să uităm faptul că majoritatea companiilor multinaționale de tehnologie care au fost expuse unor sancțiuni importante au sediul principal în alte jurisdicții, cum ar fi Irlanda, iar cifrele de afaceri ale acestor companii sunt realizate în aceste jurisdicții, de aici rezultând și amenzile substanțiale aplicate lor”, subliniază interlocutorul ^BizLawyer.

La nivelul Wolf Theiss România, practica de protecția datelor este o arie de sine stătătoare, care include avocați specializați în protecția datelor cu caracter personal, dar și în domeniile adiacente, cum ar fi tehnologie, media și telecom, precum și proprietate intelectuală. Practica este coordonată de Flavius Florea, care are o experiență de peste 13 ani în asistarea unei game largi de clienți, începând cu start-up-uri și până la companii internaționale.

„Domeniile noastre de activitate includ asistarea clienților cu privire la obligațiile impuse de GDPR, securitatea datelor, notificările obligatorii privind breșele de securitate, gestionarea incidentelor de securitate complexe, precum și consilierea pe o gamă largă de probleme legate de internet, inclusiv e-commerce, drepturi de autor și legislația media și publicitate. Echipa Wolf Theiss acordă asistență și în arii conexe, inclusiv telecomunicații, tehnologie, servicii online și confidențialitate”, explică avocatul.

În ceea ce privește proiectele în care avocații sunt implicați, se poate observa că numărul mandatelor generale de implementare a scăzut față de primii ani de aplicare a GDPR, dar aceste proiecte nu au dispărut în totalitate. Pe masa de lucru a echipei Wolf Theiss România s-au aflat în ultimul an trei proiecte de acest tip. „Acest fapt nu a însemnat că am pornit în toate cazurile de la zero, companiile respective având implementate o serie de procese pentru a se conforma reglementărilor din materia protecției datelor cu caracter personal, însă aceste proiecte au presupus o revizuire structurală a tuturor politicilor și procedurilor care vizau prelucrarea datelor cu caracter personal”, menționează consultantul.

De asemenea, specialiștii firmei au fost implicați în proiecte care au ridicat provocări importante legate de respectarea principiului privacy-by-design, cu precădere în legătură cu dezvoltarea unor aplicații software care vizau utilizarea unor noi tehnologii. Un exemplu în acest sens este tehnologia de tip computer-vision care utilizează inteligența artificială.

„În ceea ce privește tranzacțiile de tip M&A în industrii expuse la prelucrări de date personale, acestea reprezintă o parte importantă a activității noastre – în ultimul an, am fost implicați în mai multe tranzacții din industria farmaceutică și din domeniul comerțului online. Am fost implicați în proiecte legate de respectarea principiului privacy-by-design, cu precădere în legătură cu dezvoltarea unor aplicații software care implicau utilizarea unor noi tehnologii, un exemplu fiind tehnologia de tip computer-vision – principala provocare legată de aceste proiecte a fost generată de gradul de noutate al acestor tehnologii și de faptul că nu există o practică bine cristalizată legată de utilizarea acestora. De asemenea, am fost implicați într-un proiect care a ridicat probleme privind protecția datelor cu caracter personal în contextul aplicării Regulamentului privind Serviciile Digitale (DSA), unde principala provocare a fost de asemenea generată de gradul de noutate al DSA”, adaugă avocatul.

În mandatele care vizează aspecte privind protecția datelor cu caracter personal, echipa Wolf Theiss România colaborează în mod frecvent cu firme de avocați din străinătate. Cele mai multe proiecte care implică astfel de abordări au în vedere lansarea de noi produse sau servicii în mai multe jurisdicții, inclusiv România. „De asemenea, am fost implicați și în proiecte care au presupus transpunerea și implementarea unor politici globale privind protecția datelor în companii multinaționale la nivel local”, nuanțează interlocutorul ^BizLawyer.

Practica de protecție a datelor este o componentă strategică a firmei, existând o cerere crescătoare în acest domeniu. Flavius Florea este de părere că viitorul acestei arii este unul promițător, având în vedere majorarea volumului de date prelucrate, dar și evoluțiile tehnologice rapide. „Un aspect cheie este legat de avansul tehnologic, cum ar fi utilizarea tot mai frecventă a inteligenței artificiale și provocările aferente respectării principiilor GDPR. Inteligența artificială ridică probleme complexe, de exemplu, în ceea ce privește explicabilitatea algoritmilor, prelucrarea automatizată și posibilele prejudecăți în modelele de date. Aplicarea regulamentului GDPR în combinație cu alte acte normative, precum Digital Services Act (DSA) și Digital Markets Act (DMA), adaugă un strat suplimentar de complexitate. Echipa noastră este implicată activ în sprijinirea clienților pentru a naviga prin aceste provocări legislative și pentru a alinia conformitatea GDPR cu cerințele mai ample ale reglementărilor din domeniul tehnologic”, încheie avocatul Wolf Theiss România.