GDPR, după primii 3 ani | Avocații NNDKP spun că operatorii economici alocă mai multe resurse, inclusiv financiare și de personal, pentru respectarea regulilor de protecția datelor. Solicitările cele mai dificile, dar în același timp și cele mai frumoase, sunt cele care vin cu noi situații de fapt, la care autorii Regulamentului nici nu s-au gândit probabil

Domeniul protecției datelor a devenit mult mai vizibil după apariția Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Roxana Ionescu, Partener Nestor Nestor Diculescu Kingston Petersen (NNDKP) și coordonator al practicii de Data Protection & Privacy, menționează faptul că publicul a devenit mult mai interesat de subiect și mai conștient de drepturile pe care le are în acest context.„În ceea ce privește intrarea pe un făgaș normal, dacă acest făgaș normal înseamnă conformarea cu cerințele de protecția datelor, mai este mult de lucru, chiar dacă vedem pași în această direcție. Operatorii economici alocă mai multe resurse, inclusiv financiare și de personal, pentru respectarea regulilor de protecția datelor, derulând și audituri pentru a vedea cum stau la acest capitol”, punctează avocatul.

Iurie Cojocaru, Managing Associate în cadrul practicii de Data Protection & Privacy a NNDKP, atrage atenția că punerea în acord cu cerințele Regulamentului necesită un efort continuu. „Măsurile care au fost adoptate astăzi s-ar putea să nu mai fie suficiente peste ceva vreme. Ceea ce pare la momentul de față un sistem tehnic sigur pentru datele prelucrate ar putea fi penetrat de atacatori după o perioadă relativ scurtă. Nivelul tehnic se schimbă și este nevoie de o adaptare continuă”, explică specialistul.

Cu toate acestea, Partenerul NNDKP subliniază faptul că nu crede că modificarea Regulamentului este o soluție. „Mai degrabă este nevoie de o permanentă îndrumare din partea autorităților de protecția datelor, inclusiv ANSPDCP. Ghidurile emise de autoritățile competente reprezintă un material extrem de util nu doar pentru a surprinde optica autorității, dar și pentru a înțelege cum ar trebui acționat în anumite cazuri în care Regulamentul nu se pronunță. De aceea, cu cât mai practice sunt aceste ghiduri, cu atât e mai bine și pentru clienții noștri și pentru noi”, detaliază Roxana Ionescu.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Efortul de conformare la regulile impuse de GDPR este cu atât mai însemnat cu cât dimensiunea firmei este mai mare și cu cât volumul datelor prelucrate este mai consistent. O astfel de procedură implică o alocare mai importanta de resurse în legătură cu măsurile tehnice de asigurare a protecției datelor, cu pregătirea corespunzătoare a angajaților și cu elaborarea analizelor în acest context (de exemplu, evaluări ale impactului asupra protecției datelor și analize de interes legitim).

„De exemplu, avem clienți cu volume mari de date care activează în domeniul bancar, în domeniul asigurărilor, în domeniul medical, precum și în domeniul retail-ului. O componentă importantă a prelucrării de date realizate de acești operatori se referă la datele clienților persoane fizice. Acest tip de persoane vizate este mai dispus să formuleze solicitări de exercitare de drepturi. Chiar pe 25 mai 2018, ziua în care Regulamentul devenise aplicabil, am avut parte de câteva solicitări de exercitare de drepturi de acces și de opoziție din partea unor clienți persoane fizice ai clienților noștri. Este un lucru curios, pentru că atât dreptul de acces, cât și dreptul de opoziție erau recunoscute și pe legislația de dinainte de RGPD. Nu este clar de ce au trebuit să aștepte Regulamentul pentru a face uz de drepturile pe care le aveau oricum”, precizează Iurie Cojocaru.

Avocatul amintește faptul că GDPR a venit cu cerințe mai complexe și cu sancțiuni mai mari, ceea ce s-a reflectat într-o mai mare diligență din partea operatorilor economici pentru a se pune în acord cu cerințele noului Regulament.

Mai mult, publicitatea de care s-a bucurat acest Regulament european a făcut ca și persoanele vizate să devină mai conștiente de drepturile pe care le au în această privință. Toate acestea au contribuit la creșterea volumului de muncă al experților în Protecția datelor.

„Solicitările cele mai dificile, dar în același timp și cele mai frumoase, sunt cele care vin cu noi situații de fapt, la care autorii Regulamentului nici nu s-au gândit probabil. De exemplu, pandemia pe care o traversăm a ridicat probleme noi în legătură cu prelucrarea datelor de sănătate și a garanțiilor pe care operatorii se pot întemeia în acest context. În plus, chestiuni sensibile legate de protecția datelor se pun și în cazul unor tehnologii de dată recentă, cum ar fi machine learning, blockchain, recunoașterea facială, plata prin folosirea datelor biometrice. Trăim o epocă a inovațiilor tehnice, iar noi trebuie să oferim soluții juridice fiind puși în fața acestor proiecte de noi tehnologii”, mai spune Iurie Cojocaru.

De la debutul pandemiei echipa NNDKP nu a observat în piață compromisuri pe care anumite companii le-au făcut în legătură cu protecția datelor. Roxana Ionescu spune că, mai degrabă, a fost vorba de o căutare a celor mai bune modalități practice de a asigura conformarea cu cerințele Regulamentului într-un context influențat de COVID-19.

---

---

În plus, ANSPDCP a fost și este activă și în perioada pandemică, așa încât situația ieșită din comun dată de pandemie nu este un motiv pentru a lăsa garda jos în ceea ce privește respectarea regulilor de protecția datelor. „Într-adevăr, în primăvara anului 2020, la începutul crizei pandemice, am observat o schimbare a naturii solicitărilor de protecția datelor. De la obișnuitele proiecte în domeniu, am ajuns să primim foarte multe cereri în legătură cu măsurarea temperaturii angajaților și vizitatorilor, precum și cu colectarea informațiilor privind simptomele acestora. Odată cu apariția vaccinurilor împotriva COVID-19, clienții au început să vină și cu întrebări legate de colectarea informațiilor privind vaccinarea angajaților”, completează expertul NNDKP.

La rândul său, Iurie Cojocaru subliniază faptul că de la intrarea în vigoare a noilor regului GDPR s-au observat dificultăți de implementare în ceea ce privește ștergerea datelor la momentul expirării duratei de păstrare (inclusiv a datelor de backup), colectarea tuturor datelor prelucrate pentru a fi livrate în contextul exercitării dreptului de acces, corelarea dintre retragerea consimțământului și marcarea opțiunii de retragere în sistemele interne ale operatorului. „Remedierea acestor dificultăți ține de o bună organizare internă, de urmarea recomandărilor oferite de consultanții externi (inclusiv de avocați), dar și de investirea în niște sisteme tehnice adecvate care să permită realizarea acestor operațiuni în mod eficient și în termen. Avem și componenta de reprezentare a clienților în instanță, lucrând împreună cu departamentul NNDKP de Soluționare a Disputelor. De obicei, este vorba de operatori care contestă amenzile aplicate de ANSPDCP, dar și de persoane vizate care merg în instanță pentru a-și apăra drepturile”, nuanțează specialistul.

Avocatul insistă asupra faptului că RGPD este un document care prescrie niște reguli de respectat dar care nu intră în prea multe amănunte în privința modalităților concrete de implementare. „De fapt, am putea spune că Regulamentul lasă o marjă de apreciere destul de mare operatorilor în efortul lor de conformare. Ei sunt cei care trebuie să decidă, pornind de la litera Regulamentului, de exemplu, care sunt documentele cele mai potrivite spre a fi adoptate, cum ar trebui să arate, cum ar trebui comunicate către persoanele vizate, unde ar trebui să fie plasate. Iar rolul nostru este de a sprijini operatorii în acest drum de la litera legii la aplicarea concretă. În plus, textul Regulamentului nu este întotdeauna foarte limpede. Dovadă că pe anumite aspecte, avem deja interpretări diferite la nivel european. Într-un fel citesc anumite prevederi judecătorii de la Curtea Europeană de Justiție de la Luxemburg și într-un cu totul alt fel sunt văzute aceleași prevederi de membrii Comitetului European privind Protecția Datelor care reunește reprezentanții autorităților de protecția datelor din statele UE. Nu mai zic de optica diferită pe care o au autoritățile de protecția datelor din UE. Toate aceste păreri trebuie puse de noi cap la cap și livrate clientului într-o formă sintetizată cu recomandări care să poată fi puse în practică”, detaliază profesionistul NNDKP.

Necesitatea de consultanță permanentă în acest sector este evidentă, firmele având nevoie de îndrumare pentru a putea adapta fluxul economic la tot ceea ce este nou în zona de GDPR. „Din ceea ce știm, ANSPDCP se concentrează în prezent pe sesizările și plângerile primite, precum și pe notificările de incidente de securitate. Investigațiile din oficiu sunt declanșate mai rar probabil din cauza subdimensionării și subfinanțării acestei autorități. Dacă lucrurile se vor schimba în privința personalului și a bugetului, probabil vom vedea o activitatea mai intensă a ANSPDCP atât în ceea ce privește controalele tematice, care erau derulate de această autoritate cu mai mulți ani în urmă, cât și în ceea ce privește activitatea de îndrumare a operatorilor economici în drumul lor spre conformare”, susține Roxana Ionescu.

Intră pe portalul de concurență pentru mai multe articole referitoare la proiectele avocaților din această arie de practică

O practică bine dezvoltată

Încă din 2008, NNDKP are o practică de sine stătătoare de protecția datelor, fiind cel mai vechi departament de protecția datelor din România. Echipa firmei de avocatură a primit solicitări legate de Regulament înainte de devenirea aplicabilă a RGPD, pe 25 mai 2018, oferind asistență legată de acest subiect.

Reprezentanții NNDKP amintesc faptul că respectarea cerințelor de protecția datelor este un proces continuu, iar nivelul de conformare, odată atins, trebuie menținut.

În acest context, de-a lungul anilor, avocații au fost constant preocupați de a genera valoare adăugată pentru clienții NNDKP, dar și pentru mediul de afaceri la modul general, iar unul dintre instrumentele pe care le-au dezvoltat în acest sens este blogul PrivacyOutLound.ro, o platformă prin care vin în întâmpinarea nevoii de acces la informații practice în domeniul protecției și securității datelor cu caracter personal. Lansat în mai 2020, blogul cuprinde articole și analize pe teme de actualitate în acest domeniu, fiind menit să ofere informații relevante care să permită gestionarea efortului de conformare într-un mod eficient.

„De multe ori, firme de avocatură din străinătate ne solicită asistența pentru clienții lor care au prezență în România. De obicei sunt firme din UE, din Marea Britanie și din SUA, dar avem și solicitări din partea avocaților din alte jurisdicții cum ar fi Serbia. Proiectele sunt foarte diferite. Începând cu chestionare care se referă la anumite aspecte punctuale (de exemplu, regulile de protecția datelor în contextul vaccinării) până la analize privind conformarea cu cerințele de protecția datelor ale unor grupuri de societăți cu prezență în mai multe state”, subliniază Roxana Ionescu.

De altfel, firma de avocatură are o gamă foarte variată de clienți. Există o varietate atât în ceea ce privește industria (specialiștii lucrează cu clienți din sectoare precum bancar, construcții, asigurări, retail, medical, farmaceutic, telecom), cât și în privința dimensiunii (de la operatori consacrați pe piața națională și internațională până la startup-uri).

De menționat că, doar în ultimii 10 ani, practica de Protecția Datelor a NNDKP a asistat peste 550 de clienți în legătură cu varii aspecte de protecția datelor.

Practica de protecția datelor este coordonată de Roxana Ionescu, partener în cadrul NNDKP și singurul avocat român recomandat pentru Securitatea și Protecția Datelor de către Ghidul Who’s Who Legal din anul 2021 (publicație care evaluează această arie de practică în mod independent).

În acest moment, în departament sunt nouă avocați specializați în acest domeniu. O parte din avocații din departament sunt aici încă de la începuturile practicii, alții s-au alăturat pe parcurs, beneficiind de tot sprijinul și de know-how-ul NNDKP acumulat de-a lungul acestor ani pentru a se forma ca buni specialiști de protecția datelor.

Echipa include și avocați certificați CIPP/E (Certified Information Privacy Professional/Europe), certificare emisă de Asociația Internațională a Profesioniștilor în Protecția Datelor (International Association of Privacy Professionals – IAPP).

În plus, unii dintre avocații din departament sunt certificați ca formatori, ceea ce le permite să desfășoare cursuri de pregătire pentru personalul clienților, inclusiv pentru responsabilii cu protecția datelor (engl. Data Protection Officers) ai acestora.