A trecut mai bine de un an de la momentul în care România a trebuit sa se conformeze regulilor impuse de GDPR. În tot acest timp, firmele de avocatura au avut de pus la punct un numar mare de proiecte rezultate din aceasta zona. Avocații implicați în practica de Data Protection s-au vazut obligați sa faca fața provocarilor aparute pe parcursul implementarii GDPR, fiecare dintre mandatele primite venind la pachet cu anumite probleme specifice. 

GDPR-ul este un „subiect la moda”, fiind una dintre temele cele mai dezbatute din ultimul an. Dincolo de acest aspect, este important de vazut efectele pe care le-a produs în realitate.

În cazul firmelor de avocatura, discutam despre faptul ca a antrenat un volum de munca semnificativ și foarte multe provocari. “Printre provocarile cele mai mari, aș aminti solicitarile (deloc puține) de implementare „la cheie” a GDPR, în special din partea industriilor cu expunere (cum ar fi financiar-bancar, telecom, IT&C). Pentru succesul unor astfel de mandate complexe, o echipa formata doar din buni specialiști în GDPR nu este suficienta. Avocatul coordonator al echipei respective trebuie sa fie un bun manager de proiect, sa aiba tact și sa

„simta” zonele fierbinți, cu expunere reala pentru client. În caz contrar, exista riscul sa se piarda foarte multe energii în zone irelevante sau cu expunere mica, iar clientul sa consume resurse (financiare și umane) în mod inutil”, subliniaza Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații.

“Specialiștii” inventați nu au rezistat

Nu doar foarte multe proiecte au aparut ca urmare a intrarii în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. “Mirajul GDPR” a facut ca în piața sa se nasca aproape „instant” numeroși consultanți în protecția datelor, juriști sau nejuriști.

Ciprian Timofte crede însa ca apele s-au limpezit destul de repede și, la momentul actual, traim o „perioada realista”, în care clienții au învațat sa detecteze pseudo-specialiștii. “Aceasta a reprezentat pentru noi o oportunitate fantastica de a ne consolida și mari portofoliul de clienți. Nu de puține ori am primit solicitari de preluare a procesului de implementare a GDPR, ca urmare a unor experiențe anterioare nefericite cu alți consultanți”, menționeaza avocatul Țuca Zbârcea & Asociații.

Specialistul atrage atenția ca, deși pe palierul produselor de conformare, ideea unui rețetar/ „kit GDPR” este seducatoare, este important de avut în vedere ca o astfel de abordare nu poate genera o conformare temeinica și durabila, prin prisma particularitaților fiecarei organizații și complexitații materiei. “Știu, exista anumite firme care au vândut soluții de conformare automatizate (soft-uri, platforme), pretinzând ca acestea pot înlocui consultantul. Totuși, aceste soluții și-au dovedit rapid limitele. Spre pilda, cunosc platforme de analiza GDPR care în repetate rânduri au semnalat probleme false sau inexistente sau, dimpotriva, nu au identificat probleme cruciale. De aceea, cred ca aceste produse pot reprezenta cel mult un „punct de plecare” pentru organizații pe lungul drum al procesului de conformare, fara a putea însa înlocui suportul și analiza juridica specializata”, argumenteaza expertul.

La rândul sau, Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații, crede ca nu greșește atunci când afirma ca, odata cu intrarea în vigoare a GDPR, prelucrarea datelor cu caracter personal a devenit o activitate cu risc. „Aceasta înseamna ca fiecare operator trebuie sa fie conștient de riscurile pe care le implica activitatea sa și sa-și ia masuri pentru diminuarea sau eliminarea acestora. Sigur ca în acest demers operatorul are nevoie de consultanța de specialitate, iar avocații sunt bine poziționați pentru oferi o astfel de asistența având în vedere ca au atât capacitatea de a înțelege cerințele GDPR, cât și o buna cunoaștere a modului cum se raporteaza autoritațile și instanțele de judecata la prevederile GDPR”, puncteaza avocatul.

 „GDPR se aplica tuturor organizațiilor” 

Reprezentanții firmei de avocatura sunt de parere ca axioma „GDPR se aplica tuturor organizațiilor” este cât se poate de conforma cu realitatea. „Sigur, în mod natural unele industrii sunt mai expuse, în special prin prisma volumului mare de date prelucrate, caracterului sensibil al acestora sau, pur și simplu, prin multitudinea și complexitatea operațiunilor de prelucrare efectuate. Fara teama de a greși, pot spune ca firma noastra a acordat asistența în probleme de conformare cu GDPR pentru majoritatea industriilor cu expunere. În particular, am în vedere industria financiar-bancara (banci, IFN-uri, leasing, asigurari), telecom, medical, farma, media și digital”, arata Ciprian Timofte.

În proiectele pe care avocații le-au lucrat, nu au lipsit nici provocarile inerente, generate în special de aspectele sensibile sau „zonele gri” ale GDPR. “Clienții au așteptarea rezonabila sa li se spuna cum pot efectua o anumita prelucrare de date, iar nu ce sau de ce nu pot face respectiva prelucrare. În acest context, anumite zone „fierbinți” ale GDPR, cum ar fi marketingul, profilarea, gestionarea conflictelor de interese și evaluarea riscului de credit/ finanțare, sau monitorizarea comportamentului prin tehnologii de urmarire (tracking), ne-au pus la grea încercare pragmatismul și spiritul de inovație. În ciuda acestor provocari, am reușit, cred eu, sa gasim echilibrul optim dintre nevoia de conformare și necesitatea continuarii derularii activitații de o maniera eficienta și confortabila pentru organizații”, explica profesionistul Țuca Zbârcea & Asociații.

În implementarea tuturor masurilor vizate de GDPR, avocații s-au confruntat cu o serie de aspecte sensibile. Horia Ispas, Partener al Țuca Zbârcea & Asociații, spune ca cea mai mare provocare pe care echipa a trebuit sa o gestioneze a fost aceea de a calibra asistența de care aveau nevoie companiile la „realitatea din teren”. “Astfel, a trebuit sa facem o planificare atenta în funcție de contextul de conformare propriu fiecarui client, gradul de expunere pe zona de data privacy și, desigur, resursele alocate. În cadrul companiilor mari, am gasit în cele mai multe ori o cultura organizaționala compatibila, departamente de conformitate și un cadru procedural pre-existent, elemente care ne-au ajutat în proiectul de adecvare la cerințele GDPR. În cazul clienților de mai mici dimensiuni, se pornea deseori de la un grad limitat de cunoaștere a problematicii, astfel încât a fost necesar un efort suplimentar de explicare, am avut un rol mai mare în selecția direcțiilor critice de adecvare și, pe baza astfel creata, am derulat ulterior etapele de implementare”, detaliaza avocatul.

Țuca Zbârcea & Asociații are o practica puternica în aceasta industrie 

Țuca Zbârcea & Asociații este una dintre firmele de avocatura de pe piața cu o practica puternica în acesta industrie. De altfel, Horia Ispas amintește ca, deși GDPR a fost prezentat deseori în spațiul public ca o noutate absoluta, protecția datelor în România nu s-a nascut odata cu intrarea în vigoare a Regulamentului.

“Chiar daca a avut o vizibilitate mai scazuta, înaintea GDPR a existat Legea nr. 677/2001, au existat ordine și decizii ale autoritații de reglementare care au impus companiilor obligații de conformare. Corespunzator, noi nu am creat o echipa ad hoc când subiectul GDPR a devenit fierbinte, ci aveam deja o echipa coagulata și experimentata, care oferea asistența constanta în zona de data privacy. Așadar, protecția datelor este o arie de practica de sine statatoare pentru firma noastra, cu o echipa-core dedicata exclusiv. La nivel de organizație, am anticipat oportunitatea creata de noul Regulament și am facut cu suficient timp înainte realocarile de echipa și pregatirile necesare. Astfel, am fost bine poziționați sa gestionam „valul” GDPR fara a crea „peste noapte” specialiști în protecția datelor și, în continuare, volumul de munca este susținut”, puncteaza Partenerul firmei de avocatura.

Pentru perioada urmatoare, Țuca Zbârcea & Asociații și-a propus consolidarea acestei practici. “În piața exista o nevoie reala pentru asemenea servicii. Este adevarat ca aceasta nevoie nu este pe deplin conștientizata în unele cazuri, însa probabil ca este doar o chestiune de timp pâna când companiile mai mici și entitațile publice vor înțelege ca au nevoie de asistența în materia GDPR. Oferim asistența unei palete largi de companii care activeaza în domenii variate, plecând de la societați de exploatare agricola și mergând pâna la societați bancare, operatori telecom, platforme online, companii farma etc. În general, clienții care solicita asistența în acest domeniu au în comun faptul ca sunt conștienți de riscurile pe care le presupun afacerile lor. Nu am avut pâna acum solicitari de asistența din partea entitaților controlate de stat”, amintește Bogdan Halcu.

Clienți și proiecte majore 

În ultimul an, echipa dedicata practicii de Data Protection a trebuit sa mute accentul din zona de audit GDPR în zona de acțiuni de conformare și, în anumite cazuri, pe aspecte de post-implementare.

“Concret, asistența noastra s-a concentrat pe efectuarea evaluarilor de impact asupra protecției datelor (data privacy impact assessment), a testului interesului legitim (legitimate interest assessment), redactarea politicilor de confidențialitate și a altor proceduri interne cu impact pe prelucrarea datelor. Am acordat și asistența în relația cu autoritatea de supraveghere (ANSPDCP), inclusiv pe zona notificarii incidentelor de securitate. Nu aș lasa nemenționate nici solicitarile în ceea ce privește organizarea de traininguri și work-shopuri dedicate problematicii GDPR pe diverse arii de interes și care, conform feedbackurilor primite, au fost considerate extrem de utile de catre clienții noștri. Interesant, au existat și solicitari de realizare a unor audituri post-implementare, care au vizat fie maniera de transpunere a recomandarilor noastre de catre organizație, fie chiar maniera de implementare a GDPR de catre alți consultanți. Au existat și proiecte în zona de contencios și litigii; de altfel, pe acest segment anticipam o creștere accelerata în viitorul apropiat, în special în ceea ce privește contestarea sancțiunilor sau a altor masuri dispuse de autoritatea de supraveghere (ANSPDCP)”, detaliaza Ciprian Timofte.

Referindu-se la cele reprezentative proiecte de consultanța, Horia Ispas le nominalizeaza pe cele în industriile cu expunere majora pe relația cu consumatorii, care gestionau baze semnificative de date cu caracter personal. “Vorbesc de clienți top 5 din sectoare precum financiar-bancar, IT&C / telecom sau media. În anul scurs de la intrarea în vigoare a GDPR, echipa noastra a gestionat câteva astfel de proiecte-ancora în industriile menționate care au presupus asistența în toate etapele de derulare (evaluare inițiala, identificare vulnerabilitați, implementare soluții de conformare) și, în cele mai multe cazuri, ne aflam astazi în faza de post-implementare, asistența curenta sau pentru proiecte punctuale. Particularitatea tuturor acestor proiecte a fost unicitatea fiecaruia dintre ele. Daca ar fi totuși sa caut o trasatura comuna este aceea a necesitații unei interacțiuni strânse a consultantului cu oamenii-cheie din companii pentru a putea oferi un produs juridic de calitate. Un proiect GDPR gestionat profesionist nu poate fi realizat din biroul avocatului. Ca principiu, am alocat de fiecare data unul sau doi coordonatori experimentați în fiecare din aceste proiecte, care au asigurat colaborarea permanenta cu clientul și câțiva colegi în zona de back-office pentru prelucrarea informațiilor și suport în redactare”, mai spune avocatul.

În plus, Țuca Zbârcea & Asociații are colaborari cu firme de avocatura internaționale și regionale și clienți internaționali care au nevoie de asistența în jurisdicția locala. În acest context, echipa a fost cooptata sa ofere asistența în proiecte multi-jurisdicționale mai ales pentru clienți cu produse și servicii globale prezenți și în România.

“Am lucrat și lucram în continuare în proiecte care implica prelucrarea datelor cu caracter personal în mai multe state. Am putea sa amintim aici un proiect în care am oferit asistența și reprezentare în fața ANSPDCP și a instanței de judecata în legatura cu o breșa de securitate care a survenit la nivelul infrastructurii software din afara României și care a afectat mai multe persoane vizate atât din România, cât și din afara. Totodata, echipa noastra este parte a unei echipe internaționale formate din avocați din mai multe țari care este pregatita sa ofere asistența clienților tocmai în cazul unor breșe de securitate ale caror efecte s-ar extinde în mai multe jurisdicții”, exemplifica Horia Ispas.

Practic, orice entitate poate fi vizată de o investigație a Autorității, efectuată fie ex officio (inclusiv în urma unei notificări privind încălcări ale securității datelor), fie la plângerea persoanelor vizate. Prin noua reglementare, Autoritatea dobândește atribuții similare altor autorități cu competențe de control (e.g. Consiliul Concurenței) în a efectua investigații inopinate (dawn raids), alături de cele cu înștiințare prealabilă. Dincolo de detaliile procedurale pentru fiecare tip de investigație, notăm câteva aspecte sensibile care ne-au atras atenția:

• Potrivit Procedurii (art. 19 e)), entitatea controlată are obligația „să furnizeze într-o formă completă documentele, informațiile, înregistrările și evidențele solicitate […] fără a putea opune caracterul confidenţial al acestora”. Această obligație generală de dezvăluire de date la cererea Autorității, dacă nu va fi judicios filtrată de echipa de control, poate ridica probleme în privința acelor documente, informații care sunt protejate de garanții edictate la nivel de legislație primară, precum cele privind privilegiul avocat-client și secretul profesional (art. 35 din Legea avocaturii nr. 51/1995);
• Remarcăm, de asemenea, caracterul univoc al investigației, inspectorii Autorității având largi competențe în a organiza investigația, accesând, la alegere, sursele și mijloacele pe care le consideră necesare (verificarea oricăror documente, echipamente, audiere de persoane, etc). Din păcate, Procedura nu formalizează pe parcursul investigației un cadru de răspuns/fundamentare a poziției entității controlate (dreptul de a depune comentarii la neregularitățile invocate, dreptul de a solicita audierea unor persoane, etc). Singurele mijloace de apărare sunt oferite doar ex post, după finalizarea investigației, sub forma obiecțiunilor la procesul-verbal de constatare/sancționare (nu este clar care ar fi efectul acestora după întocmirea procesului-verbal) și, desigur, contestație la instanța competentă;
• În fine, anticipând o creștere a numărului de investigații din partea Autorității, recomandăm entităților cu expunere în zona prelucrării datelor cu caracter personal adoptarea unor proceduri interne și efectuarea de sesiuni de training privind obligațiile, drepturile și conduita în cazul unei investigații din partea Autorității.

GDPR stabilește cu relativă precizie situațiile în care organizațiile implicate în prelucrarea de date cu caracter personal sunt obligate să desemneze un DPO (de exemplu, atunci când activitățile principale ale organizației constau în operațiuni de prelucrare care necesită o monitorizare pe scară largă, periodică și sistematică a persoanelor vizate sau a unor categorii speciale de date). În același timp însă, GDPR lasă libertate organizațiilor să stabilească modelul juridic prin care organizațiile aduc alături de ele un astfel de specialist. Cele mai două variante-model sunt contractarea unui consultant extern sau o relație de muncă cu un salariat nou sau existent. Ne vom concentra în cele ce urmează asupra acestei a doua variante care ridică câteva probleme specifice managementului organizațiilor.

Încadrarea DPO într-un departament deja existent

Ca regulă generală, funcția de DPO trebuie reflectată în organigrama societății. Ca atare, ar trebui să existe o decizie a organului societar competent prin care să se actualizeze structura organizatorică internă (fie în sensul că se creează o nouă poziție, fie că se suplimentează atribuțiile unei poziții deja existente, cu cele specifice DPO). În plus, exercițiul funcției de DPO trebuie să fie reglementată în raporturile contractuale cu persoana care va exercita funcția de DPO. Aceasta presupune încheierea unui contract de muncă (care să reglementeze atribuțiile specifice acestei funcției), dacă funcția de DPO va fi ocupată de o persoană nou angajată.

Dacă funcția de DPO va fi ocupată de un angajat existent, societatea va trebui să semneze cu angajatul respectiv un act adițional la contractul de muncă (prin care părțile vor agrea modificarea fișei postului, cu suplimentarea sarcinilor specifice unui DPO, precum și eventualele ajustări privind remunerația cuvenită acestuia). Dacă se modifică doar atribuțiile angajatului existent, părțile vor putea semna doar o fișă a postului actualizată, fără a fi necesară încheierea unui act adițional la contractul de muncă. Desigur, numirea unui DPO din rândul angajaților existenți va putea fi făcută doar cu acordul respectivului angajat (i.e. desemnarea unui DPO nu poate fi făcută printr-o decizie unilaterală a angajatorului).

Evaluarea activității unui DPO

GDPR nu reglementează mecanismele prin care activitatea DPO ar putea fi evaluată. Ca atare, în scopul evaluării activității DPO-ului, ar putea fi implementate măsuri similare celor care sunt, în general, folosite pentru evaluarea activității angajaților. Astfel, recomandăm redactarea unor politici interne clare, care să definească mecanismele de prelucrare a datelor, precum și procesele / măsurile corelative ce trebuie respectate / urmărite. De asemenea, este necesară trasarea clară a sarcinilor și atribuțiilor DPO-ului prin politicile interne și fișa postului sau contractul încheiat cu DPO-ul, care să includă sarcini de raportare periodică către conducerea societății în care a fost desemnat. Nu în ultimul rând, activitatea DPO-ului ar putea fi verificată în contextul auditării prin intermediul unor terți specialiști (consultanți în securitate cibernetică, avocați etc) a activității societății de prelucrare a datelor personale sau al unor controale din partea autorității pentru supravegherea prelucrării datelor cu caracter personal.

Gestionarea conflictelor de interese

Ca principiu, GDPR nu instituie o interdicție generală pentru un DPO de a exercita și altă funcție. Dimpotrivă, GDPR prevede că responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Cu toate acestea, operatorul sau persoana împuternicită trebuie să se asigure că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

Conflictul de interese este indisolubil legat de cerința independenței DPO. Orice funcții sau sarcini suplimentare încredințate DPO care generează o presiune din zona de business (e.g. puteri de decizie sau chiar de execuție în legătură cu scopurile și mijloacele de prelucrare a datelor), contrară atribuțiilor legale ale DPO sunt surse ale conflictului de interese. Nu există o listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la caz, întrucât structurile organizatorice și procesele decizionale interne variază de la o societate la alta.

În general, se consideră că poate exista un conflict de interese dacă funcția de DPO este ocupată de persoane care au funcții executive (de decizie) cum ar fi: administrator / director general (în cazul acestora, în principiu, apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți), director financiar (acesta are putere de decizie cu privire la aspectele financiare și, prin urmare, ar putea influența decizia de a aproba finanțarea unor / tuturor măsurilor specifice / necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor), director de resurse umane (poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați), directorul de marketing (poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing).

Conflicte de interese ar putea apărea și în legătură cu poziții care nu implică atribuții de conducere. Un exemplu în acest sens ar putea fi consilierul juridic desemnat drept DPO care, totodată, ar fi autorizat să reprezinte societatea într-un litigiu privind legalitatea prelucrării datelor cu caracter personal. Similar, un manager IT care cumulează și poziția de DPO s-ar putea afla într-o poziție de conflict de interese întrucât acesta este răspunzător pentru calitatea măsurilor tehnice (de securitate IT) de conformare cu cerințele GDPR.