GDPR, după primii 5 ani | Avocații firmei Bohâlțeanu & Asociații spun că a crescut gradul de sofisticare a mandatelor din practica de Privacy & Data Protection, care au devenit din ce în ce mai complexe și ridică tot mai multe provocări. Silvia Sandu (Partener): Componenta juridică se întrepătrunde în mod semnificativ cu cea tehnică, astfel că, în acest domeniu, serviciile avocațiale presupun însușirea și înțelegerea unor concepte noi, tehnice, care depășesc sfera normativă

Contextul post-pandemic și cel economic din ultima perioadă, care au condus la anumite schimbări în maniera de gestionare și stabilire a priorităților business-urilor, nu au alterat în niciun fel implicarea în respectarea standardelor în materia protecției datelor cu caracter personal. Cel puțin în mediul privat, nu s-a observat o scădere a interesului pentru aplicarea legislației în vigoare. Silvia Sandu, avocat asociat și coordonator al practicii de Privacy & Data Protection din cadrul firmei Bohâlțeanu & Asociații (BSMP), apreciază că digitalizarea accelerată și diversificarea activităților din mediul online au determinat, în fapt, îndreptarea atenției spre conformare, iar tot mai mulți operatori își doresc conturarea proiectelor pornind de la principiul „data protection by design and by default”.

Se poate spune că interesul pentru respectarea principiilor și reglementărilor GDPR este susținut, cel mai probabil, și de activitatea intensă a autorităților competente, inclusiv a celor de la nivel european, și în special de amenzile deloc mici care au fost aplicate în ultima perioadă în sfera rețelelor de socializare. „Spre deosebire de anii trecuți, jucătorii de pe piață înțeleg mai bine importanța respectării principiilor GDPR, în special în mediul online spre care își îndreaptă activitatea, și solicită suport din punct de vedere legal pentru a-și contura activitățile și proiectele astfel încât să asigure în proiectele derulate protecția datelor cu caracter personal și respectarea drepturilor persoanelor vizate”, comentează avocatul.

Cu toate că au trecut cinci ani de la intrarea în vigoare a GDPR și că este mai mult decât evident că eforturile EDPB sunt constante în a creiona ghiduri și îndrumări actuale, în practica de zi cu zi, consultanții axați pe acest domeniu se lovesc în continuare de varii dificultăți în procesul de conformare care derivă, în principiu, din dezvoltarea într-un ritm accelerat a noilor tehnologii.

Silvia Sandu atrage atenția că dezvoltarea tehnologiilor „machine learning” și a altor ramuri ale inteligenței artificiale sau utilizarea soft-urilor ce presupun operațiuni de „profiling” și decizii bazate exclusiv pe mijloace automatizate necesită, încă din faza de design, o analiză destul de amplă, atât din punct de vedere juridic, cât și tehnic. „Acest lucru se impune cu atât mai mult cu cât specificitatea unui proiect și modificarea unui singur element din flow-ul de date implică altă soluție/alternativă GDPR, ceea ce în practică face dificilă aplicarea GDPR-ului ca un automatism”, nuanțează specalistul.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

În plus, având în vedere că suntem în plină revoluție digitală, este dificil ca reglementările, ghidurile și orientările la nivel local și european să țină pasul cu dezvoltarea rapidă a noilor tehnologii, unde aspectele nu sunt tranșate de o manieră suficient de clară și unde, prin prisma dinamicii constante este dificil să se contureze o practică unitară. „Mai mult, componenta juridică se întrepătrunde în mod semnificativ cu cea tehnică, astfel că, în acest domeniu, serviciile avocațiale presupun însușirea și înțelegerea unor concepte noi, tehnice, care depășesc sfera normativă. Deși instrumente de Legal Tech ar putea acoperi un pachet de politici de bază, adaptarea și implementarea acestora nu pot fi făcute decât de personal specializat în acest domeniu, cu atât mai mult cu cât fiecare soluție trebuie adaptată nevoilor specifice ale unui client și la particularitățile fluxului de date relevant, fiind riscant și nerecomandabil din punct de vedere legal să se procedeze altfel”, adaugă interlocutoarea ^BizLawyer.

Experții implicați în această practică sunt conștienți de faptul că, în mod rezonabil, ghidurile nu vor putea acoperi toate situațiile practice, iar majoritatea constrângerilor apar în sfera digitală.

Silvia Sandu amintește faptul că, în mediul „online” multe dintre prelucrări pot avea ca temei de prelucrare „consimțământul”, iar în practica să se constate că restricțiile legale incidente sunt câteodată limitative prin raportare la necesitățile de business ale clienților. „Spre exemplu, o situație pe care o întâlnim frecvent în practică o reprezintă prelucrările în contextul procesului de KYC, care în mod  inevitabil vizează date biometrice – ce pot fi prelucrate pe baza de consimțământ. Însă un consimțământ valid din punct de vedere GDPR implică posibilitatea persoanei vizate de a avea la dispoziție o alternativă care să nu presupună prelucrarea de date biometrice, motiv pentru care jucătorii de pe piață au opțiuni limitate în a pune în practica unele proiecte de business”, detaliază avocatul.


În ultimul timp, autoritățile europene de supraveghere a protecţiei datelor cu caracter personal au aplicat amenzi consistente în acest domeniu. În 2022, de exemplu, sancțiunile s-au ridicat la 2,92 miliarde euro, înregistrând o creștere de 168% față de 2021.

Partenerul BSMP este de părere că majorarea amenzilor și a activității autorităților europene de supraveghere a protecției datelor cu caracter personal vine ca o consecință a faptului că a trecut o perioadă de timp suficientă de la intrarea în vigoare a GDPR, care, deși statuează principii similare cu Opiniile Working Party 29 (actualul EDPB) și cu practica anterioară intrării sale în vigoare, aduce în prim planul persoanelor vizate importanța datelor cu caracter personal care le aparțin. Astfel, dacă anterior principiile și reglementările din sfera protecției datelor cu caracter personal erau cunoscute în principiu doar de specialiștii în domeniu, în prezent persoanele vizate sunt din ce în ce mai conștiente de drepturile pe care le au cu privire la datele cu caracter personal.

În acest context, creșterea sancțiunilor este determinată de implicarea directă și susținută a persoanelor vizate, prin plângeri și sesizări, de rolul din ce în ce mai activ al autorităților competente și de campaniile de informare și conștientizare privind importanța respectării GDPR.

„Sancțiunile pecuniare au un rol de constrângere și nu ar trebui să fie principalul mecanism pentru asigurarea conformității. Amenzile funcționează ca mijloace de descurajare, însă nu sunt un remediu, iar atenția ar trebui concentrată pe o conformare voluntară. În plus, este important de subliniat faptul că, în plus față de sancțiunile pecuniare, autoritățile pot dispune și alte sancțiuni care, de multe ori, s-ar putea dovedi mai eficiente decât cele pecuniare. Astfel de măsuri ar putea fi: impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării sau, după caz, dispunerea suspendării fluxurilor de date către un destinatar dintr-o ţară terţă sau către o organizaţie internaţională”, punctează avocatul.

O componentă importantă în activitatea BSMP

Mandatele pe zona de Privacy & Data Protection au fost și rămân o componentă importantă în activitatea echipei BSMP, prin natura portofoliului de clienți. Iar în ultimii doi ani, acestea s-au diversificat și extins, fiind din ce în ce mai complexe și ridicând tot mai multe provocări.

Privacy & Data Protection este o arie de practică de sine stătătoare în cadrul BSMP, acesta fiind un domeniu în care o parte din avocații din echipă activează încă din anul 2005. În acest context, firma are consultanți specializați pe această arie de practică care, în funcție de complexitatea proiectului, gestionează intern la nivelul departamentului aspectele relevante sau lucrează interdisciplinar cu alți colegi specializați pe alte arii de practică. În mod constant însă, trei-patru avocați sunt implicați în gestionarea proiectelor de GDPR.

Avocații gestionează o serie de dosare complexe, cele mai multe dintre ele fiind în sfera comerțului online, unde s-a dorit o abordare de tipul „privacy by design”, implicând campanii publicitare, inclusiv în „social media”.

„Dacă la început proiectele erau în principal legate de implementarea GDPR, mandatele din ultima perioadă au implicat aspecte diverse privind asigurarea protecției datelor cu caracter personal prelucrate în contextul operațiunilor bancare și financiar nebancare, utilizarea de noi tehnologii, inclusiv blockchain, profiling, decizii bazate exclusiv pe mijloace automatizate, utilizarea aplicațiilor de mesagerie în cadrul relațiilor de muncă, prelucrarea datelor în „social media” etc. Dificultatea acestor mandate vine în continuare din lipsa de claritate în domeniul prelucrărilor în mediul online”, explică Silvia Sandu.

De asemenea, pe masa de lucru a experților BSMP se regăsesc și litigii care vizează aspecte de protecția datelor. „Inevitabil mandatele din sfera Privacy & Data Protection implică mai devreme sau mai târziu reprezentarea clienților în fața ANSPDCP, sau după caz, a instanțelor de judecată. Astfel, o parte din mandatele noastre acoperă investigații din partea autorității competente, formularea de răspunsuri la diverse solicitări care ar putea veni din partea acesteia, asistență în cazul unor breșe de securitate etc.”, menționează interlocutoarea ^BizLawyer.

Firma de avocatură colaborează constant cu societăți de avocați din alte jurisdicții cu privire la diverse mandate ce implică un input local. De obicei, asistența juridică solicitată privește aplicabilitatea legislației implementate la nivel național în contextul GDPR și deciziile/opiniile adoptate la nivel local de ANSPDCP.

Silvia Sandu consideră că domeniul protecției datelor este și devine din ce în ce mai vast, astfel că anticipează că, în acord cu principiile enunțate de GDPR, autoritățile de la nivelul UE și de la nivel național vor emite ghiduri, opinii, recomandări care să ajute operatorii de date cu caracter personal să înțeleagă aplicabilitatea GDPR în situațiile lor specifice și să poată acționa în consecință. „Cu cât cadrul juridic va fi mai clar, cu atât mai facilă va fi conformarea”, conchide partenerul BSMP.