A trecut mai bine de un an de la momentul în care România a trebuit să se conformeze regulilor impuse de GDPR.În tot acest timp, firmele de avocatură au avut de pus la punct un număr mare de proiecte rezultate din această zonă.Avocații implicați în practica de Data Protection s-au văzut obligați să facă față provocărilor apărute pe parcursul implementării GDPR, fiecare dintre mandatele primite venind la pachet cu anumite probleme specifice.
GDPR-ul este un „subiect la modă”, fiind una dintre temele cele mai dezbătute din ultimul an. Dincolo de acest aspect, este important de văzut efectele pe care le-a produs în realitate.
În cazul firmelor de avocatură, discutăm despre faptul că a antrenat un volum de muncă semnificativ și foarte multe provocări. “Printre provocările cele mai mari, aș aminti solicitările (deloc puține) de implementare „la cheie” a GDPR, în special din partea industriilor cu expunere (cum ar fi financiar-bancar, telecom, IT&C).Pentru succesul unor astfel de mandate complexe, o echipă formată doar din buni specialiști în GDPR nu este suficientă.Avocatul coordonator al echipei respective trebuie să fie un bun manager de proiect, să aibă tact și să „simtă” zonele fierbinți, cu expunere reală pentru client.În caz contrar, există riscul să se piardă foarte multe energii în zone irelevante sau cu expunere mică, iar clientul să consume resurse (financiare și umane) în mod inutil”, subliniază Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații.
“Specialiștii” inventați nu au rezistat
Nu doar foarte multe proiecte au apărut ca urmare a intrării în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. “Mirajul GDPR” a făcut ca în piață să se nască aproape „instant” numeroși consultanți în protecția datelor, juriști sau nejuriști.
Ciprian Timofte crede însă că apele s-au limpezit destul de repede și, la momentul actual, trăim o „perioadă realistă”, în care clienții au învățat să detecteze pseudo-specialiștii. “Aceasta a reprezentat pentru noi o oportunitate fantastică de a ne consolida și mări portofoliul de clienți. Nu de puține ori am primit solicitări de preluare a procesului de implementare a GDPR, ca urmare a unor experiențe anterioare nefericite cu alți consultanți”, menționează avocatul Țuca Zbârcea & Asociații.
Specialistul atrage atenția că, deși pe palierul produselor de conformare, ideea unui rețetar/ „kit GDPR” este seducătoare, este important de avut în vedere că o astfel de abordare nu poate genera o conformare temeinică și durabilă, prin prisma particularităților fiecărei organizații și complexității materiei. “Știu, există anumite firme care au vândut soluții de conformare automatizate (soft-uri, platforme), pretinzând că acestea pot înlocui consultantul. Totuși, aceste soluții și-au dovedit rapid limitele. Spre pildă, cunosc platforme de analiză GDPR care în repetate rânduri au semnalat probleme false sau inexistente sau, dimpotrivă, nu au identificat probleme cruciale. De aceea, cred că aceste produse pot reprezenta cel mult un „punct de plecare” pentru organizații pe lungul drum al procesului de conformare, fără a putea însă înlocui suportul și analiza juridică specializată”, argumentează expertul.
La rândul său, Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații, crede că nu greșește atunci când afirmă că, odată cu intrarea în vigoare a GDPR, prelucrarea datelor cu caracter personal a devenit o activitate cu risc. „Aceasta înseamnă că fiecare operator trebuie să fie conștient de riscurile pe care le implică activitatea sa și să-și ia măsuri pentru diminuarea sau eliminarea acestora. Sigur că în acest demers operatorul are nevoie de consultanță de specialitate, iar avocații sunt bine poziționați pentru oferi o astfel de asistență având în vedere că au atât capacitatea de a înțelege cerințele GDPR, cât și o bună cunoaștere a modului cum se raportează autoritățile și instanțele de judecată la prevederile GDPR”, punctează avocatul.
„GDPR se aplică tuturor organizațiilor”
Reprezentanții firmei de avocatură sunt de părere că axioma „GDPR se aplică tuturor organizațiilor” este cât se poate de conformă cu realitatea. „Sigur, în mod natural unele industrii sunt mai expuse, în special prin prisma volumului mare de date prelucrate, caracterului sensibil al acestora sau, pur și simplu, prin multitudinea și complexitatea operațiunilor de prelucrare efectuate. Fără teama de a greși, pot spune că firma noastră a acordat asistență în probleme de conformare cu GDPR pentru majoritatea industriilor cu expunere. În particular, am în vedere industria financiar-bancară (bănci, IFN-uri, leasing, asigurări), telecom, medical, farma, media și digital”, arată Ciprian Timofte.
În proiectele pe care avocații le-au lucrat, nu au lipsit nici provocările inerente, generate în special de aspectele sensibile sau „zonele gri” ale GDPR. “Clienții au așteptarea rezonabilă să li se spună cum pot efectua o anumită prelucrare de date, iar nu ce sau de ce nu pot face respectiva prelucrare. În acest context, anumite zone „fierbinți” ale GDPR, cum ar fi marketingul, profilarea, gestionarea conflictelor de interese și evaluarea riscului de credit/ finanțare, sau monitorizarea comportamentului prin tehnologii de urmărire (tracking), ne-au pus la grea încercare pragmatismul și spiritul de inovație. În ciuda acestor provocări, am reușit, cred eu, să găsim echilibrul optim dintre nevoia de conformare și necesitatea continuării derulării activității de o manieră eficientă și confortabilă pentru organizații”, explică profesionistul Țuca Zbârcea & Asociații.
În implementarea tuturor măsurilor vizate de GDPR, avocații s-au confruntat cu o serie de aspecte sensibile. Horia Ispas, Partener al Țuca Zbârcea & Asociații, spune că cea mai mare provocare pe care echipa a trebuit să o gestioneze a fost aceea de a calibra asistența de care aveau nevoie companiile la „realitatea din teren”. “Astfel, a trebuit să facem o planificare atentă în funcție de contextul de conformare propriu fiecărui client, gradul de expunere pe zona de data privacy și, desigur, resursele alocate. În cadrul companiilor mari, am găsit în cele mai multe ori o cultură organizațională compatibilă, departamente de conformitate și un cadru procedural pre-existent, elemente care ne-au ajutat în proiectul de adecvare la cerințele GDPR. În cazul clienților de mai mici dimensiuni, se pornea deseori de la un grad limitat de cunoaștere a problematicii, astfel încât a fost necesar un efort suplimentar de explicare, am avut un rol mai mare în selecția direcțiilor critice de adecvare și, pe baza astfel creată, am derulat ulterior etapele de implementare”, detaliază avocatul.
Țuca Zbârcea & Asociații este una dintre firmele de avocatură de pe piață cu o practică puternică în acestă industrie. De altfel, Horia Ispas amintește că, deși GDPR a fost prezentat deseori în spațiul public ca o noutate absolută, protecția datelor în România nu s-a născut odată cu intrarea în vigoare a Regulamentului.
“Chiar dacă a avut o vizibilitate mai scăzută, înaintea GDPR a existat Legea nr. 677/2001, au existat ordine și decizii ale autorității de reglementare care au impus companiilor obligații de conformare. Corespunzător, noi nu am creat o echipă ad hoc când subiectul GDPR a devenit fierbinte, ci aveam deja o echipă coagulată și experimentată, care oferea asistență constantă în zona de data privacy. Așadar, protecția datelor este o arie de practică de sine stătătoare pentru firma noastră, cu o echipă-core dedicată exclusiv. La nivel de organizație, am anticipat oportunitatea creată de noul Regulament și am făcut cu suficient timp înainte realocările de echipă și pregătirile necesare. Astfel, am fost bine poziționați să gestionăm „valul” GDPR fără a crea „peste noapte” specialiști în protecția datelor și, în continuare, volumul de muncă este susținut”, punctează Partenerul firmei de avocatură.
Pentru perioada următoare, Țuca Zbârcea & Asociații și-a propus consolidarea acestei practici. “În piață există o nevoie reală pentru asemenea servicii. Este adevărat că această nevoie nu este pe deplin conștientizată în unele cazuri, însă probabil că este doar o chestiune de timp până când companiile mai mici și entitățile publice vor înțelege că au nevoie de asistență în materia GDPR. Oferim asistență unei palete largi de companii care activează în domenii variate, plecând de la societăți de exploatare agricolă și mergând până la societăți bancare, operatori telecom, platforme online, companii farma etc. În general, clienții care solicită asistență în acest domeniu au în comun faptul că sunt conștienți de riscurile pe care le presupun afacerile lor. Nu am avut până acum solicitări de asistență din partea entităților controlate de stat”, amintește Bogdan Halcu.
În ultimul an, echipa dedicată practicii de Data Protection a trebuit să mute accentul din zona de audit GDPR în zona de acțiuni de conformare și, în anumite cazuri, pe aspecte de post-implementare.
“Concret, asistența noastră s-a concentrat pe efectuarea evaluărilor de impact asupra protecției datelor (data privacy impact assessment), a testului interesului legitim (legitimate interest assessment), redactarea politicilor de confidențialitate și a altor proceduri interne cu impact pe prelucrarea datelor. Am acordat și asistență în relația cu autoritatea de supraveghere (ANSPDCP), inclusiv pe zona notificării incidentelor de securitate. Nu aș lăsa nemenționate nici solicitările în ceea ce privește organizarea de traininguri și work-shopuri dedicate problematicii GDPR pe diverse arii de interes și care, conform feedbackurilor primite, au fost considerate extrem de utile de către clienții noștri. Interesant, au existat și solicitări de realizare a unor audituri post-implementare, care au vizat fie maniera de transpunere a recomandărilor noastre de către organizație, fie chiar maniera de implementare a GDPR de către alți consultanți. Au existat și proiecte în zona de contencios și litigii; de altfel, pe acest segment anticipăm o creștere accelerată în viitorul apropiat, în special în ceea ce privește contestarea sancțiunilor sau a altor măsuri dispuse de autoritatea de supraveghere (ANSPDCP)”, detaliază Ciprian Timofte.
Referindu-se la cele reprezentative proiecte de consultanță, Horia Ispas le nominalizează pe cele în industriile cu expunere majoră pe relația cu consumatorii, care gestionau baze semnificative de date cu caracter personal. “Vorbesc de clienți top 5 din sectoare precum financiar-bancar, IT&C / telecom sau media. În anul scurs de la intrarea în vigoare a GDPR, echipa noastră a gestionat câteva astfel de proiecte-ancoră în industriile menționate care au presupus asistență în toate etapele de derulare (evaluare inițială, identificare vulnerabilități, implementare soluții de conformare) și, în cele mai multe cazuri, ne aflăm astăzi în faza de post-implementare, asistență curentă sau pentru proiecte punctuale. Particularitatea tuturor acestor proiecte a fost unicitatea fiecăruia dintre ele. Dacă ar fi totuși să caut o trăsătură comună este aceea a necesității unei interacțiuni strânse a consultantului cu oamenii-cheie din companii pentru a putea oferi un produs juridic de calitate. Un proiect GDPR gestionat profesionist nu poate fi realizat din biroul avocatului. Ca principiu, am alocat de fiecare dată unul sau doi coordonatori experimentați în fiecare din aceste proiecte, care au asigurat colaborarea permanentă cu clientul și câțiva colegi în zona de back-office pentru prelucrarea informațiilor și suport în redactare”, mai spune avocatul.
În plus, Țuca Zbârcea & Asociații are colaborări cu firme de avocatură internaționale și regionale și clienți internaționali care au nevoie de asistență în jurisdicția locală. În acest context, echipa a fost cooptată să ofere asistență în proiecte multi-jurisdicționale mai ales pentru clienți cu produse și servicii globale prezenți și în România.
“Am lucrat și lucrăm în continuare în proiecte care implică prelucrarea datelor cu caracter personal în mai multe state. Am putea să amintim aici un proiect în care am oferit asistență și reprezentare în fața ANSPDCP și a instanței de judecată în legătură cu o breșă de securitate care a survenit la nivelul infrastructurii software din afara României și care a afectat mai multe persoane vizate atât din România, cât și din afară. Totodată, echipa noastră este parte a unei echipe internaționale formate din avocați din mai multe țări care este pregătită să ofere asistență clienților tocmai în cazul unor breșe de securitate ale căror efecte s-ar extinde în mai multe jurisdicții”, exemplifică Horia Ispas.
Intră pe LadyLawyer.ro și află mai multe despre activitatea, preocupările și proiectele doamnelor avocat din cele mai importante firme de pe piața locală.