GDPR | Avocații WH Simion & Partners se așteaptă ca practica de protecție a datelor cu caracter personal să devină și mai relevantă, având în vedere că, în următorii ani, reglementările ar putea să evolueze pentru a acoperi noi domenii, cum ar fi inteligența artificială, internetul lucrurilor (IoT) și blockchain-ul. Despre proiectele „flagship” ale echipei, într-o discuție cu Cosmina Simion (Managing Partner) și Petrus Partene (Senior Associate)

Avocații WH Simion & Partners au constatat că interesul pentru respectarea legislației privind protecția datelor cu caracter personal în România a crescut semnificativ în ultimii ani. Odată cu trecerea timpului, atât firmele, cât și autoritățile publice, au devenit conștiente de importanța conformării cu Regulamentul General privind Protecția Datelor (GDPR). „Dacă acest lucru a fost generat în primii ani de sancțiunile mai drastice prevăzute pentru nerespectarea acestuia față de cadrul legislativ anterior, interesul pentru respectarea legislației privind protecția datelor cu caracter personal este alimentat la acest moment în principal de creșterea gradului de educare a publicului general față de drepturile legate de confidențialitatea datelor - care se transpune într-o creștere a „presiunii” din partea consumatorilor, din ce în ce mai conștienți de drepturile lor și de valoarea pe care o au datele lor personale - și de impactul reputațional pe care îl pot avea eventualele abateri de la cerințele normative”, arată Cosmina Maria Simion, Managing Partner WH Simion & Partners.

Pe acest fond, se poate observa că multe firme investesc din ce în ce mai mult în programe de conformitate și extind echipele interne responsabile de respectarea legislației, atât în plan juridic, cât și în plan  operațional.

„Chiar înainte de intrarea în vigoare a GDPR, acesta a reușit să aducă protecția datelor în prim-planul agendei la nivelul companiilor cu o activitate semnificativă de prelucrare a datelor cu caracter personal. Sancțiunile impuse și acțiunile autorităților de supraveghere au reprezentat la acel moment un stimul puternic pentru această categorie de companii, acestea adoptând măsuri riguroase de conformitate”, subliniază interlocutoarea ^BizLawyer.

Statisticile oficiale arată că, în primele șapte luni ale acestui an, au fost aplicate la nivel comunitar aproximativ 160 de amenzi în valoare totală de 160 milioane de euro. La acest capitol, România a avut printre cele mai mici cifre : 15 amenzi de circa 0,5 milioane, reprezentând  doar un procent de 0,3 % din total.

Cosmina Simion consideră că procentul relativ redus de amenzi aplicate în țara noastră, comparativ cu alte state europene, poate fi interpretat din mai multe perspective, fiecare având implicații diferite pentru modul în care se percepe aplicarea și respectarea GDPR în țară. „Putem considera că o parte din companii și organizații au devenit mai conștiente de cerințele GDPR și au luat măsuri prompte pentru a-și îmbunătăți conformitatea, în contextul sancțiunilor ridicate aplicate la nivel european. La polul opus putem, de asemenea, să comentăm asupra posibilității sau limitărilor autorității românești de reglementare de a gestiona volumul situațiilor cu care se confruntă, prin raportare la efectivul de care beneficiază și, prin urmare, la resursele pe care statul român alege să le aloce domeniului”, susține expertul.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Avocatul atrage atenția că provocările nu au dispărut și unele probleme persistă. Din punctul său de vedere, unele dintre cele mai frecvente provocări întâlnite în practică sunt legate de interpretarea și aplicarea diferită, de la client la client, a anumitor noțiuni ale GDPR, cum ar fi aplicarea „interesului legitim” ca temei al prelucrării de date ori interpretarea noțiunii „consimțământului” valabil.

„De multe ori, companiile, în special IMM-urile, întâmpină dificultăți în a înțelege cum să aplice aceste concepte în practică, ceea ce duce la interpretări divergente și, în final, la riscuri de neconformitate. Din acest motiv salutăm inițiativa Comitetului European pentru Protecția Datelor (EDPB), care sprijină această categorie de companii prin actualizarea constantă a Ghidul EDPB privind protecția datelor pentru întreprinderile mici (disponibil aici). Acest ghid este o resursă extrem de valoroasă pentru companiile la început de drum ale căror resurse sunt concentrate pe dezvoltarea și consolidarea businessului”, nuanțează Cosmina Simion.

De asemenea, o altă provocare pe care experții WH Simion & Partners o întâmpină, în special în cadrul proiectelor multijurisdicționale în care sunt implicați, este aplicarea neunitară a legislației între diferite state membre ale UE.

Chiar dacă GDPR a fost conceput pentru a oferi un cadru unitar, interpretările la nivel național variază, ceea ce creează necesitatea gestionării unor standarde diferite pentru companiile care activitează în mai multe state europene. „Strict ca exemplu, abordarea autorităților în ceea ce privește obligația de notificare a incidentelor de securitate poate diferi semnificativ, deși există un Ghid privind incidentele de securitate emis de EDPB care rolul de a uniformiza eventualele interpretări divergente. Dacă pentru unele autorități orice incident este supus obligației de notificare, altele nu au considerat problematică lipsa notificării unor incidente cu un nivel de gravitate și impact redus, fiind suficientă conformarea cu celelalte prevederi aplicabile în astfel de situații”, detaliază interlocutoarea ^BizLawyer.

La rândul său, Petrus Partene, Senior Associate WH Simion & Partners, menționează că, în practică, deși GDPR și ghidurile emise de diverse autorități naționale, inclusiv de EDPB, au acoperit o mare parte din domeniile esențiale, încă există zone neclarificate suficient sau situații în care interpretările oferite prezintă un grad diferit de rigurozitate. „Un exemplu relevant îl reprezintă transferurile internaționale de date, mai ales după semnificativele modificări ale cadrului legislativ, respectiv ale deciziilor privind caracterul adecvat al nivelului de protecție. Deși ghidurile emise de EDPB încearcă să clarifice modul în care companiile pot continua aceste transferuri, în practică, multe organizații întâmpină dificultăți semnificative în a asigura conformitatea deplină, mai ales în absența unor soluții practice și ușor de implementat. Nevoia de a evalua fiecare transfer de date și de a implementa măsuri suplimentare de protecție poate deveni o sarcină dificilă și costisitoare pentru companii, mai ales pentru cele mici și mijlocii. Un alt domeniu sensibil este cel al prelucrării datelor pentru marketing direct. Deși GDPR reglementează clar utilizarea datelor pentru marketing, ghidurile și interpretările din diverse state membre pot fi diferite, ceea ce duce la dificultăți pentru companiile care operează la nivel transfrontalier. Uneori, cerințele impuse pot părea excesiv de stricte, neținând cont de nevoile rezonabile ale afacerilor de a interacționa cu clienții existenți sau potențiali”, explică avocatul.

Activitatea pe care WH Simion & Partners desfășurat-o în ultima perioadă în acest domeniu pentru clienții firmei a venit preponderent din zona de consultanță. Situațiile în care se ajunge în etape litigioase pe problematici ce țin de protecția datelor cu caracter personal nu au fost frecvente la nivelul casei de avocatură. „Observăm, totuși, faptul că, spre deosebire de anii trecuți, există mult mai multe situații potențial litigioase ce apar din interacțiunea cu persoanele vizate (în special în situația în care discutăm despre consumatori). În astfel de situații, considerăm că eforturile operatorilor trebuie să fie direcționate spre rezolvarea oricăror diferende în afara cadrului litigios, printr-o abordare care să transmită persoanei vizate faptul că operatorul acționează în interesul și pentru soluționarea cât mai rapidă, corectă și completă a solicitărilor venite din partea acestuia. Evident, sugerăm această abordare doar în situația în care persoanele vizate acționează cu bună credință – în orice altă situație, recomandăm clienților să facă uz inclusiv de mijloacele litigioase disponibile pentru a-și proteja drepturile și activitatea în mod corespunzător”, atrage atenția Petrus Partene.

Analiza mandatelor în care specialiștii s-au implicat evidențiază faptul că, în ultimele 12 luni, proiectele „flagship” ale echipei WH Simion & Partners au implicat efectuarea de audituri de verificare a nivelului de conformare cu cerințele GDPR la nivelul unor grupuri de companii cu un grad ridicat de interacțiune directă cu consumatorii, dar și suport acordat clienților implicați în proiecte de tip M&A care implică transferuri de activitate, situație în care aspectele privind prelucrarea datelor cu caracter personal au un impact mult mai puternic decât în tranzacțiile de tip share deal.

În ceea ce privește proiectele transfrontalierele în care avocații au lucrat în ultima perioadă, acestea au implicat de partea cealaltă firma Bird & Bird, biroul UK.

O practică interdisciplinară

În cadrul WH Simion & Partners, practica de protecție a datelor este una interdisciplinară, în contextul în care avocații se confruntă adesea cu situații în care este necesară integrarea aspectelor legate de conformitate GDPR cu alte domenii, cum ar fi dreptul muncii, drept societar, dreptul noilor tehnologii ori aspecte specifice de reglementare.

„Din acest motiv, abordarea pe care o avem este că fiecare avocat trebuie să dețină un minimum de cunoștințe în acest domeniu (aspect pentru care organizăm, regulat, sesiuni de formare interne pe acest subiect. În momentul în care natura solicitării venite din partea clientului prezintă un grad de complexitate ridicat, membrii echipei care au o experiență semnificativă în acest domeniu coordonează punctual respectivele proiecte. Fiind un domeniu care se află în continuă evoluție, echipa noastră specializată în acest domeniu are o formare solidă în materie de reglementări europene  și naționale, precum și o înțelegere profundă a modului în care aceste reglementări se aplică în diverse industrii, de la sectorul financiar, până la cel tehnologic și medical”, precizează Cosmina Simion.

Pe lângă experiența practică, membrii echipei WH Simion & Partners participă frecvent la cursuri de formare, conferințe și seminarii internaționale, pentru a fi la curent cu ultimele tendințe și decizii judiciare relevante. De exemplu, parte din avocații din echipă dețin certificări internaționale, cum ar fi CIPP/E (Certified Information Privacy Professional/Europe), ceea ce confirmă expertiza lor în aplicarea standardelor GDPR în diverse contexte legale.

„Astfel, practica de protecție a datelor este una bine definită, dar integrată armonios în cadrul firmei, asigurându-ne că oferim soluții complete și eficiente clienților noștri”, mai spune Managing Partnerul firmei de avocatură.

De altfel, practica de protecție a datelor cu caracter personal este unul dintre pilonii de dezvoltare în cadrul WH Simion & Partners, deoarece are un impact major asupra multor aspecte ale activității clienților din portofoliul firmei. „Odată cu creșterea gradului de digitalizare, a utilizării inteligenței artificiale și a reglementărilor tot mai stricte la nivel european și internațional, nevoia de expertiză în acest domeniu este din ce în ce mai mare. Clienții noștri, fie că sunt companii locale sau internaționale, se confruntă în mod recurent cu provocări complexe legate de conformitatea cu GDPR, transferurile internaționale de date, gestionarea breșelor de securitate sau procesele de evaluare a impactului asupra protecției datelor (DPIA). În acest context, oferirea de soluții juridice bine fundamentate și personalizate este esențială pentru succesul lor. Practica se intersectează cu aproape toate ariile de drept, de la dreptul muncii și comercial, până la litigii și tehnologie. Această interdisciplinaritate subliniază importanța majoră pe care o acordăm acestui domeniu, iar cererea continuă să crească pe măsură ce legislația devine mai detaliată și mai complexă”, arată Petrus Partene.

Avocații se așteaptă ca aria aceasta de practică să devină și mai relevantă, având în vedere că, în următorii ani, este probabil ca reglementările să evolueze pentru a acoperi noi domenii, cum ar fi inteligența artificială, internetul lucrurilor (IoT) și blockchain-ul, fiecare având implicații profunde asupra protecției datelor. În plus, autoritățile de reglementare din România și din întreaga Europă vor intensifica probabil aplicarea legislației, ceea ce va crește și mai mult presiunea asupra companiilor de a se conforma.