De la conformarea GDPR, la o guvernanță complexă a datelor | Cum se văd aceste transformări din practica firmei Reff & Asociații | Deloitte Legal și care sunt cele mai importante schimbări observate în comportamentul clienților, într-o discuție cu Georgiana Singurel (Partener) și Silvia Axinescu (Counsel)

După zece ani de la intrarea în vigoare a GDPR, consultanța în protecția datelor s-a schimbat în profunzime: clienții nu mai vin doar după ce apare o sancțiune, ci tot mai des înainte de a lua o decizie de investiție. Echipa de protecția datelor a firmei Reff & Asociații | Deloitte Legal descrie o practică în care această arie a intrat în logica tranzacțiilor, a arhitecturilor cloud și a sistemelor de inteligență artificială. Georgiana Singurel, Partener, și Silvia Axinescu, Counsel, conturează o cerere schimbată în profunzime: companiile tradiționale își construiesc capacitățile digitale prin achiziții, băncile aplică simultan GDPR, DORA, NIS2 și AI Act, iar retailerii constată că fiecare program de loialitate ridică și probleme juridice.

Peste toate plutește o întrebare pe care, de cele mai multe ori, contractele standard ale furnizorilor o lasă fără răspuns: de unde provin datele cu care au fost antrenate modelele de inteligență artificială.Interviul acordat de Georgiana Singurel  și Silvia Axinescu conturează o practică ajunsă în zonele unde se decide strategia companiilor, cu mandate care leagă jurisdicții de pe mai multe continente.Iar direcția este clară: în anii următori, avocatul specializat în protecția datelor se va pronunța asupra tehnologiilor înainte ca acestea să fie adoptate. . . . 
 
De la audituri făcute din precauție, la M&A tehnologic: cum s-au schimbat mandatele de protecția datelor

În primii ani de aplicare a GDPR, multe companii din România cumpărau conformare din teamă, prin audituri făcute în grabă, pentru a evita o sancțiune. Un deceniu mai târziu, avocații specializați sunt chemați într-un moment complet diferit și extrem de important: atunci când companiile cumpără tehnologie. Această schimbare arată cât de mult a evoluat piața, iar practica firmei Reff & Asociații | Deloitte Legal urmează îndeaproape transformarea. Experiența ultimului deceniu arată nu doar cum s-a schimbat piața consultanței în protecția datelor, ci și cine o solicită astăzi și pentru ce tip de valoare este dispus să plătească. 

Structura cererii s-a modificat în profunzime. În primii ani de aplicare a regulamentului european, predominau auditurile de conformitate reactive, declanșate adesea de teama unor investigații sau sancțiuni ori de plângerile persoanelor vizate. Astăzi, mandatele s-au diversificat considerabil, iar locul central în practica firmei îl ocupă consultanța integrată în proiecte de transformare digitală, o categorie cu o creștere exponențială, vizibilă mai ales în sectorul bancar și financiar, dar prezentă și în alte sectoare, retail-ul fiind unul dintre acestea. Pentru că aceste proiecte au mai multe componente, ele aduc în aceeași echipă avocați specializați în protecția datelor și colegi din consultanță tehnică sau din zona reglementărilor din sfera financiară. La aceasta s-a adăugat, în ultimii ani, un factor care a accelerat tendința: reconfigurarea piețelor prin tranzacții de fuziuni și achiziții cu componentă tehnologică. 

„Confruntate cu perturbări cauzate de evoluția tehnologiei digitale, unele dintre companiile tradiționale au recunoscut că dezvoltarea organică a unor capabilități complexe și agile – investiții software moderne, echipe cu viteză mare de livrare a produselor – era prea lentă pentru a răspunde cerințelor pieței. Calea M&A a devenit mecanismul cel mai eficient pentru achiziționarea ADN-ului digital necesar. Această utilizare a M&A pentru integrarea tehnologiei a devenit extrem de frecventă și constituie un imperativ strategic de supraviețuire pentru o parte semnificativă a business-urilor tradiționale de talie medie și mare dintr-un motiv foarte clar: achiziționarea unei soluții noi tehnologice și/sau a unei echipe deja funcționale reduce riscul de execuție față de o posibilă dezvoltare pe plan intern", a declarat Georgiana Singurel, Partener al Reff & Asociații | Deloitte Legal.

Această tendință generează un număr semnificativ de mandate în zona protecției datelor și în ariile adiacente, precum IT, digital și proprietate intelectuală. Munca începe în etapa de due diligence, continuă în implementarea achiziției și se încheie abia odată cu integrarea efectivă în activitatea companiei. Pentru avocați, aceasta înseamnă implicare pe tot parcursul tranzacției, de la primele verificări până în momentul în care sistemele cumpărate funcționează efectiv. Preocupările clienților nu se opresc însă la tranzacții.

„Am observat totodată un interes și pentru transferurile internaționale de date, având în vedere adoptarea arhitecturilor de tip cloud multi-jurisdicționale la nivelul multor business-uri, iar în legătură cu acest subiect merită menționată asistența furnizată unei instituții bancare privind parteneriatul strategic cu un furnizor global de servicii de cloud și transferul de date cu caracter personal către mai multe jurisdicții non-UE – Australia, Brazilia, Chile, Indonezia, Malaysia, Filipine, Singapore și Taiwan. În cadrul acestui mandat, echipa noastră a colaborat cu alte echipe din cadrul Deloitte Legal în vederea realizării evaluării impactului transferului (transfer impact assessment – TIA), în conformitate cu cerințele GDPR și cu recomandările EDPB (European Data Protection Board)", a precizat Silvia Axinescu, Counsel al Reff & Asociații | Deloitte Legal.

În astfel de mandate, avocatul specializat în protecția datelor nu mai verifică documentația din exterior, ci face parte din echipa de proiect: analiza lui contează în prețul și în calendarul deciziilor de business, iar consultanța se apropie de un model în care expertiza juridică, cea tehnică și cea de reglementare sunt oferite împreună. Pentru o piață de consultanță organizată tradițional pe specializări separate, această schimbare influențează inclusiv felul în care firmele își recrutează oamenii și își alcătuiesc echipele.

Diversificarea mandatelor indică o clientelă care nu mai caută doar documente impecabil realizate, ci soluții integrate. În mai puțin de un deceniu, practica a evoluat de la dosare de conformare la implicarea în tranzacții complexe. Iar acolo unde datele sunt cele mai numeroase și mai valoroase, presiunea de conformare este și ea mai mare: două industrii cunosc această realitate mai bine decât oricare altele. 

----------------------------------------------------------------------------------------- 

   Citește și

→   18 firme de avocatură și 22 de avocați din România, pe lista scurtă pentru Legal 500 - Central and Eastern Europe Awards 2026. Avocați de la Filip & Company, CMS, RTPR, NNDKP, TZA, Bondoc & Asociații și Schoenherr intră în competiție pentru premii regionale, iar Florian Nițu (PNSA) este nominalizat la titlul de ”CEE Partner of the Year”. Doi legal manageri concurează la titlul de ”In-house Lawyer of the Year” în CEE  

-----------------------------------------------------------------------------------------

Servicii financiare și retail: industriile unde presiunea de conformare este maximă

Presiunea de conformare nu este aceeași în toate sectoarele economiei: ea este mai mare acolo unde se concentrează banii și datele. Cele două se întâlnesc cel mai des în bănci și în marile rețele de comerț, unde fiecare client lasă în urmă, la fiecare interacțiune, un volum important de informații pe care autoritățile europene îl analizează cu tot mai multă atenție. Pentru avocații care lucrează zilnic cu aceste industrii, ierarhia riscurilor este astăzi clară.

Din perspectiva mandatelor gestionate de echipă, cele două sectoare cu cea mai mare presiune și cu cele mai complexe provocări sunt serviciile financiare și retailul. Pentru avocații din această arie de practică, ierarhia nu reprezintă o surpriză, însă rațiunile din spatele ei variază semnificativ de la un sector la altul. În comerț, principala vulnerabilitate vine din volumul mare de date pe care retailerii le gestionează în mod obișnuit, acumulate din programe de loialitate, campanii de marketing direct, platforme de comerț electronic și colaborări cu influenceri. Un exemplu recent din activitatea echipei este asistența acordată unui retailer de fashion la implementarea unui program de loialitate pe mai multe niveluri în rețeaua de magazine, cu respectarea simultană a legislației privind protecția consumatorilor și a celei privind protecția datelor cu caracter personal. Mandatul arată o situație frecventă în acest sector, în care un singur proiect comercial implică două sau trei seturi de reguli în același timp.

„Serviciile financiare se situează la intersecția mai multor valuri de reglementare simultane: GDPR, cerințele BNR în materie de outsourcing, AI Act, NIS2 și DORA. Complexitatea nu vine dintr-o singură reglementare, ci din suprapunerea lor. Adăugăm acestui tablou inteligența artificială aplicată în banking: detectarea fraudei, punctajul de credit, monitorizarea AML – toate sisteme cu risc ridicat, potrivit prevederilor AI Act", a arătat Georgiana Singurel.

Pentru avocați, suprapunerea reglementărilor schimbă natura consilierii: nu mai contează doar interpretarea unui text de lege, ci felul în care reglementările se influențează reciproc, pentru că soluția corectă într-un regim poate crea o obligație în altul. Valoarea consultanței stă astfel în capacitatea de a analiza toate reglementările împreună, înainte de fiecare decizie. Clientul bancar are nevoie nu atât de un aviz punctual, cât de o orientare clară printre reguli care nu au fost concepute unele în legătură cu altele.

Când fiecare proiect implică simultan mai multe regimuri juridice, întrebarea dacă protecția datelor mai poate fi tratată separat primește un răspuns evident. După zece ani de GDPR, ceea ce contează nu mai este volumul muncii de conformare, ci momentul în care se iau deciziile. Pe piața românească, această diferență se vede tot mai limpede: Unele firme rămân în zona consultanței formale, în timp ce altele se implică efectiv în structurarea, negocierea și ducerea la bun sfârșit a proiectelor.

Concluzia trasă de interlocutoarele BizLawyer este cât se poate de clară: protecția datelor nu mai poate fi tratată ca o ”insulă de conformare”, iar această schimbare s-a produs treptat, pe măsură ce tot mai multe proiecte au depășit cadrul strict juridic. Deși rămâne o disciplină esențială, ea este abordată în legătură cu zonele apropiate, care intră firesc în analiză: proprietatea intelectuală, dreptul IT și digital și domeniile noi, în primul rând inteligența artificială.

„Ceea ce vedem în practică este că deciziile cu cele mai mari implicații de protecție a datelor sunt luate prin decizii de management sau în comitetele de risc – nu neapărat în departamentele juridice. Arhitectura cloud, alegerea unui furnizor de AI, structura unui produs financiar digital, implementarea unui sistem de monitorizare a angajaților – toate acestea au o componentă de protecție a datelor care trebuie rezolvată înainte de lansare, nu după", a explicat Silvia Axinescu.

Observația arată și unde se exercită influența în interiorul companiilor: avocatul care vrea să fie relevant trebuie să fie prezent acolo unde se construiesc produsele, iar rolul lui se schimbă, de la verificare la participarea efectivă la proiect. Cine intervine după ce arhitectura a fost aleasă constată că cele mai importante opțiuni juridice s-au închis deja, iar corectarea lor după lansare costă de multe ori mai mult decât întreaga consultanță făcută din timp.

Astfel, aria protecției datelor se lărgește de la un an la altul, iar avocatul specializat își schimbă profilul odată cu ea. Această evoluție se vede cel mai clar în proiectele de inteligență artificială, unde deciziile tehnice și cele juridice nu mai pot fi luate separat.  

----------------------------------------------------------------------------------------- 

   Citește și

→   Ghid pentru clienții sofisticați |  Activitatea firmelor regionale de avocați pe piața românească, reflectată de ghidurile juridice Legal 500 și Chambers Europe, edițiile 2026 | Cum se configurează raportul de forțe dintre Schoenherr, Kinstellar și Wolf Theiss, care sunt avantajele competitive specifice fiecărei firme și prin ce se diferențiază atât din perspectiva consistenței de ansamblu, cât și a excelenței confirmate în anumite arii de practică 


-----------------------------------------------------------------------------------------

Întrebarea incomodă a erei inteligenței artificiale: cu ce date a fost antrenat modelul?

Pentru avocații specializați în protecția datelor, inteligența artificială nu mai este un subiect teoretic, ci o temă curentă de lucru, cu proiecte concrete, termene și clienți care cer soluții aplicate. Schimbarea s-a produs rapid, iar ritmul ei a surprins inclusiv echipele care urmăreau subiectul de mai mulți ani. Cea mai mare parte a activității se concentrează astăzi în două direcții: realizarea cadrelor interne de guvernanță pentru sistemele de inteligență artificială și problema juridică ridicată de datele cu care aceste sisteme au fost antrenate.

Odată cu intrarea în vigoare a Regulamentului UE privind inteligența artificială, companiile manifestă un interes tot mai mare atât pentru folosirea inteligenței artificiale în activitatea zilnică și în proiectele strategice, cât și pentru respectarea noilor obligații de reglementare. Printre cele mai relevante și interesante proiecte ale echipei în această zonă s-a numărat asistarea unei instituții financiare din România la implementarea AI Act, printr-o echipă multidisciplinară care a reunit, pe lângă avocați, și colegi din Risk Advisory, Cyber și Financial Regulatory.

„Obiectivul principal al activității noastre a fost să definim cadrul de guvernanță pentru sistemele AI utilizate la nivelul băncii, luând în considerare cerințele regulamentului. Astfel, am conceput instrumente de clasificare a riscurilor și a unei metodologii de evaluare care să abordeze riscurile cheie și impactul potențial al regulamentului, am elaborat orientări pentru a ajuta clientul să determine dacă un sistem IT se califică drept sistem AI în sensul AI Act sau pentru asigurarea intervenției umane și am susținut ateliere de lucru privind cazuri reale de sisteme de AI utilizate în practică", a detaliat Silvia Axinescu. 

În astfel de proiecte, avocatul este implicat încă din etapa în care sistemul este conceput: echipa nu se mai limitează la a valida o tehnologie aleasă de alții, ci ajută la stabilirea regulilor după care banca decide ce tehnologii poate folosi și în ce condiții. Acest rol, apropiat de consilierea strategică, este mai larg decât avizul juridic clasic și presupune un limbaj comun cu inginerii și cu echipele de risc.

Dincolo de aceste cadre de guvernanță rămâne însă o întrebare pe care nicio metodologie, oricât de bine construită, nu o poate evita. Ea privește chiar datele cu care funcționează sistemele de inteligență artificială și proveniența lor.

Din punct de vedere juridic, orice implementare de inteligență artificială începe cu analiza unui contract, iar textele standard ale furnizorilor de tehnologie nu oferă răspunsuri tocmai acolo unde GDPR cere claritate. Dacă echipa ar trebui să aleagă un singur subiect care ridică cele mai complexe și mai greu de rezolvat probleme juridice în proiectele de inteligență artificială, acela ar fi guvernanța datelor de antrenare și contractul care o reglementează.

„Un model AI este, în esență, suma datelor pe care a fost antrenat. Dacă acele date conțin și date cu caracter personal, toate exigențele GDPR se aplică – baza legală, scopul, minimizarea datelor, drepturile persoanelor vizate. Problema concretă pe care o întâlnim constant este aceea că business-urile implementează soluții AI al căror model a fost antrenat de un furnizor terț, fără să știe exact cu ce date a fost antrenat acel model", a subliniat Georgiana Singurel.

Situația nu este ipotetică, ci se întâlnește în cele mai multe implementări de inteligență artificială generativă și predictivă, indiferent de dimensiunea companiei. În contractele standard ale furnizorilor, o serie de întrebări juridice practice rămân fără răspuns clar: de la măsura în care furnizorul poate demonstra că datele de antrenare nu provin din jurisdicții fără un nivel adecvat de protecție, până la ce se întâmplă cu datele introduse de utilizatori în sistem și dacă acestea sunt folosite pentru reantrenarea modelului.

„Ce date au fost folosite la antrenare? Existau date cu caracter personal în setul de antrenare? Cu ce bază legală au fost procesate acele date? S-au efectuat evaluări de tip DPIA pentru procesarea datelor de antrenare?", a enumerat Silvia Axinescu.

Aceste întrebări devin tot mai importante în negocieri: analiza tehnică nu mai vizează doar funcționalitățile sistemului, ci și datele cu care a fost antrenat, iar clauzele privind proveniența datelor trec din anexele tehnice în corpul contractului, unde se stabilesc răspunderea și garanțiile. Furnizorii care vin cu răspunsuri documentate și verificabile reduc incertitudinea și devin, implicit, opțiuni mai ușor de contractat.
Pentru piața românească, acesta este momentul în care rolul protecției datelor se schimbă: o arie care a început de la formularele de consimțământ ajunge să influențeze ce tehnologii pot fi folosite în companii. Pe această direcție se va dezvolta practica în următorul deceniu. 

----------------------------------------------------------------------------------------- 

   Citește și

→   Ghid pentru clienții sofisticați | Cum arată, în 2026, ierarhia firmelor internaționale de avocatură din România, creionată de Chambers Europe și Legal 500: CMS se detașează ca lider prin amploarea și diversitatea platformei sale, iar Clifford Chance își conservă profilul de firmă de referință în domeniul finanțărilor. Mai jos în clasament, dar pe podium, DLA Piper Dinu și Dentons își confirmă forța în câteva arii de practică, iar Eversheds are o prezență modestă 

-----------------------------------------------------------------------------------------

Recunoașterea practicii Reff & Asociații în clasamentele internaționale

În materie de Tehnologie/Protecția datelor, profilul firmei Reff & Asociații | Deloitte Legal se conturează prin recunoașterea obținută în ediția 2026 a clasamentului Legal 500. Pentru România, Legal 500 nu menține o categorie autonomă dedicată protecției datelor: practica este evaluată în interiorul ariei TMT (Technology, Media and Telecommunications), care acoperă deopotrivă confidențialitatea datelor, conformitatea cu GDPR, conținutul digital și comerțul electronic. În această arie, Reff & Asociații | Deloitte Legal figurează în Tier 3 al acestei ediții. 

Evaluarea directorului surprinde o echipă cu experiență solidă în zona serviciilor digitale, acoperind domenii precum protecția datelor, comerțul electronic și proiectele de digitalizare. ”Echipa se remarcă prin capacitatea de a integra cerințele de reglementare în soluții juridice aplicate și adaptate nevoilor de business. Practica este coordonată de Georgiana Singurel, avocat cu o activitate concentrată pe conformitate, reglementare și aspecte comerciale asociate serviciilor digitale. Din echipă mai fac parte Silvia Axinescu, specializată în proiecte de transformare digitală și certificată CIPP/E în domeniul protecției datelor, precum și Andreea Zaharia și Corina Damaschin, care contribuie cu expertiză în materia protecției consumatorilor”, notează ghidul juridic.  Departamentul gestionează mandate privind riscurile de protecția datelor și de confidențialitate atât pentru companii multinaționale de mari dimensiuni, cât și pentru start-up-uri, cu familiaritate dovedită față de cerințele GDPR și standardele europene.

Practica de TMT a Reff & Asociații | Deloitte Legal este apreciată de clienți pentru capacitatea de a transforma teme juridice și de reglementare complexe în recomandări clare, aplicabile și ușor de folosit în deciziile de business. Testimonialele colectate independent de echipa de cercetare Legal 500 conturează profilul unei echipe care nu se limitează la furnizarea de opinii juridice, ci contribuie la înțelegerea și implementarea proiectelor digitale în care este implicată.

Unul dintre elementele cel mai des menționate de clienți este claritatea comunicării. Într-o zonă precum tehnologia, unde proiectele combină frecvent protecția datelor, comerțul electronic, digitalizarea, cerințe contractuale și reglementări aplicabile serviciilor online, această capacitate devine un avantaj practic. Clienții remarcă faptul că avocații echipei se disting prin „abilitatea de a comunica eficient concepte juridice către persoane fără pregătire juridică, făcând aspectele complexe ușor de înțeles”.
Clienții subliniază, de asemenea, profesionalismul, disponibilitatea și consecvența echipei. Avocații Reff & Asociații sunt descriși ca fiind „profesioniști, receptivi și dispuși să facă un efort suplimentar”, oferind în mod constant consultanță „atentă, bine fundamentată și adaptată nevoilor specifice ale companiei”. 

Dimensiunea practică a consultanței apare ca o altă temă recurentă. Potrivit testimonialelor, echipa oferă sprijin nu doar în chestiuni curente, ci și în spețe specializate sau sensibile, în care este nevoie de o înțelegere mai largă a riscurilor, a fluxurilor operaționale și a obiectivelor comerciale. Un client notează că avocații combină „îndrumarea practică, orientată către business, cu o expertiză juridică profundă”, ceea ce îi diferențiază de alte firme și îi face să acționeze „nu doar ca avocați, ci și ca parteneri de încredere care înțeleg cu adevărat nevoile businessului”.

Mai multe testimoniale insistă asupra stilului de lucru al echipei. Avocații sunt descriși ca având „o mentalitate proactivă, atenție la detalii și capacitatea de a livra rezultate de calitate sub presiune”. În același timp, clienții apreciază „deschiderea, fiabilitatea și abordarea orientată către soluții”, calități care contează în proiectele în care calendarul de implementare este strâns, iar deciziile juridice trebuie corelate rapid cu cerințele tehnice și comerciale.

Rigoarea profesională este un alt element evidențiat. Un client descrie echipa ca fiind „foarte profesionistă și bine pregătită, cu expertiză profundă și un istoric solid în livrarea de soluții juridice eficiente”. Standardele riguroase și atenția la detalii sunt indicate ca factori care diferențiază practica de alte firme. În aceeași linie, un alt testimonial vorbește despre o echipă „foarte profesionistă, extrem de bine pregătită, concentrată pe client și pe a face lucrurile corect”.

Un accent distinct este pus pe contribuția unor membri ai echipei, în special Silvia Axinescu și Corina Damaschin, menționate de clienți pentru expertiza și dedicarea arătate în proiectele gestionate. Potrivit unui testimonial, acestea au impresionat prin „atenție excepțională la detalii și echilibru tehnic”, dar și prin capacitatea de a pune în balanță analiza juridică aprofundată cu implicațiile comerciale ale proiectului. Rezultatul a fost reflectat în „prevederi contractuale solide din punct de vedere juridic și funcționale din perspectivă comercială”.

Mandatele reprezentative consemnate de Legal 500 conturează un portofoliu TMT puternic orientat către clientela corporativă, cu proiecte aflate la intersecția dintre tehnologie, reglementare și transformare operațională. Echipa Reff & Asociații | Deloitte Legal a asistat Banca Comercială Română (BCR) în analiza reglementărilor aplicabile sistemelor de inteligență artificială, inclusiv în zone sensibile precum detectarea fraudelor, scoringul de credit și monitorizarea obligațiilor de combatere a spălării banilor. Pentru CEC Bank S.A., firma a oferit suport juridic într-un proiect de digitalizare care a vizat migrarea unor sisteme și infrastructuri IT critice către o platformă de cloud, precum și externalizarea operațiunilor de core banking către Tech Mahindra și Temenos AG. În zona de retail, echipa a asistat Auchan România prin servicii integrate de consultanță juridică, fiscală și de cybersecurity, în contextul analizării unor opțiuni strategice privind dezvoltarea și posibila comercializare a unei soluții software inovatoare bazate pe inteligență artificială. Privite împreună, aceste mandate indică o expunere relevantă la teme centrale pentru economia digitală: utilizarea AI în procese reglementate, migrarea infrastructurii critice în cloud, externalizarea operațiunilor IT esențiale și valorificarea comercială a tehnologiei.