Interviu Bizlawyer: GDPR, dupa primul an | Ce au constat, ‘în teren’, avocații Țuca Zbârcea & Asociații. Anumite zone „fierbinți” le-au pus la grea încercare pragmatismul și spiritul de inovație

Interviul este preluat de pe site-ul Bizlawyer.ro: http://www.bizlawyer.ro/stiri/piata-avocaturii/gdpr-dupa-primul-an–ce-au-constat-in-teren-avocatii-tuca-zbarcea–asociatii

A trecut mai bine de un an de la momentul în care România a trebuit sa se conformeze regulilor impuse de GDPR. În tot acest timp, firmele de avocatura au avut de pus la punct un numar mare de proiecte rezultate din aceasta zona. Avocații implicați în practica de Data Protection s-au vazut obligați sa faca fața provocarilor aparute pe parcursul implementarii GDPR, fiecare dintre mandatele primite venind la pachet cu anumite probleme specifice. 

GDPR-ul este un „subiect la moda”, fiind una dintre temele cele mai dezbatute din ultimul an. Dincolo de acest aspect, este important de vazut efectele pe care le-a produs în realitate.

În cazul firmelor de avocatura, discutam despre faptul ca a antrenat un volum de munca semnificativ și foarte multe provocari. “Printre provocarile cele mai mari, aș aminti solicitarile (deloc puține) de implementare „la cheie” a GDPR, în special din partea industriilor cu expunere (cum ar fi financiar-bancar, telecom, IT&C). Pentru succesul unor astfel de mandate complexe, o echipa formata doar din buni specialiști în GDPR nu este suficienta. Avocatul coordonator al echipei respective trebuie sa fie un bun manager de proiect, sa aiba tact și sa

„simta” zonele fierbinți, cu expunere reala pentru client. În caz contrar, exista riscul sa se piarda foarte multe energii în zone irelevante sau cu expunere mica, iar clientul sa consume resurse (financiare și umane) în mod inutil”, subliniaza Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații.

“Specialiștii” inventați nu au rezistat

Nu doar foarte multe proiecte au aparut ca urmare a intrarii în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. “Mirajul GDPR” a facut ca în piața sa se nasca aproape „instant” numeroși consultanți în protecția datelor, juriști sau nejuriști.

Ciprian Timofte crede însa ca apele s-au limpezit destul de repede și, la momentul actual, traim o „perioada realista”, în care clienții au învațat sa detecteze pseudo-specialiștii. “Aceasta a reprezentat pentru noi o oportunitate fantastica de a ne consolida și mari portofoliul de clienți. Nu de puține ori am primit solicitari de preluare a procesului de implementare a GDPR, ca urmare a unor experiențe anterioare nefericite cu alți consultanți”, menționeaza avocatul Țuca Zbârcea & Asociații.

Specialistul atrage atenția ca, deși pe palierul produselor de conformare, ideea unui rețetar/ „kit GDPR” este seducatoare, este important de avut în vedere ca o astfel de abordare nu poate genera o conformare temeinica și durabila, prin prisma particularitaților fiecarei organizații și complexitații materiei. “Știu, exista anumite firme care au vândut soluții de conformare automatizate (soft-uri, platforme), pretinzând ca acestea pot înlocui consultantul. Totuși, aceste soluții și-au dovedit rapid limitele. Spre pilda, cunosc platforme de analiza GDPR care în repetate rânduri au semnalat probleme false sau inexistente sau, dimpotriva, nu au identificat probleme cruciale. De aceea, cred ca aceste produse pot reprezenta cel mult un „punct de plecare” pentru organizații pe lungul drum al procesului de conformare, fara a putea însa înlocui suportul și analiza juridica specializata”, argumenteaza expertul.

La rândul sau, Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații, crede ca nu greșește atunci când afirma ca, odata cu intrarea în vigoare a GDPR, prelucrarea datelor cu caracter personal a devenit o activitate cu risc. „Aceasta înseamna ca fiecare operator trebuie sa fie conștient de riscurile pe care le implica activitatea sa și sa-și ia masuri pentru diminuarea sau eliminarea acestora. Sigur ca în acest demers operatorul are nevoie de consultanța de specialitate, iar avocații sunt bine poziționați pentru oferi o astfel de asistența având în vedere ca au atât capacitatea de a înțelege cerințele GDPR, cât și o buna cunoaștere a modului cum se raporteaza autoritațile și instanțele de judecata la prevederile GDPR”, puncteaza avocatul.

 „GDPR se aplica tuturor organizațiilor” 

Reprezentanții firmei de avocatura sunt de parere ca axioma „GDPR se aplica tuturor organizațiilor” este cât se poate de conforma cu realitatea. „Sigur, în mod natural unele industrii sunt mai expuse, în special prin prisma volumului mare de date prelucrate, caracterului sensibil al acestora sau, pur și simplu, prin multitudinea și complexitatea operațiunilor de prelucrare efectuate. Fara teama de a greși, pot spune ca firma noastra a acordat asistența în probleme de conformare cu GDPR pentru majoritatea industriilor cu expunere. În particular, am în vedere industria financiar-bancara (banci, IFN-uri, leasing, asigurari), telecom, medical, farma, media și digital”, arata Ciprian Timofte.

În proiectele pe care avocații le-au lucrat, nu au lipsit nici provocarile inerente, generate în special de aspectele sensibile sau „zonele gri” ale GDPR. “Clienții au așteptarea rezonabila sa li se spuna cum pot efectua o anumita prelucrare de date, iar nu ce sau de ce nu pot face respectiva prelucrare. În acest context, anumite zone „fierbinți” ale GDPR, cum ar fi marketingul, profilarea, gestionarea conflictelor de interese și evaluarea riscului de credit/ finanțare, sau monitorizarea comportamentului prin tehnologii de urmarire (tracking), ne-au pus la grea încercare pragmatismul și spiritul de inovație. În ciuda acestor provocari, am reușit, cred eu, sa gasim echilibrul optim dintre nevoia de conformare și necesitatea continuarii derularii activitații de o maniera eficienta și confortabila pentru organizații”, explica profesionistul Țuca Zbârcea & Asociații.

În implementarea tuturor masurilor vizate de GDPR, avocații s-au confruntat cu o serie de aspecte sensibile. Horia Ispas, Partener al Țuca Zbârcea & Asociații, spune ca cea mai mare provocare pe care echipa a trebuit sa o gestioneze a fost aceea de a calibra asistența de care aveau nevoie companiile la „realitatea din teren”. “Astfel, a trebuit sa facem o planificare atenta în funcție de contextul de conformare propriu fiecarui client, gradul de expunere pe zona de data privacy și, desigur, resursele alocate. În cadrul companiilor mari, am gasit în cele mai multe ori o cultura organizaționala compatibila, departamente de conformitate și un cadru procedural pre-existent, elemente care ne-au ajutat în proiectul de adecvare la cerințele GDPR. În cazul clienților de mai mici dimensiuni, se pornea deseori de la un grad limitat de cunoaștere a problematicii, astfel încât a fost necesar un efort suplimentar de explicare, am avut un rol mai mare în selecția direcțiilor critice de adecvare și, pe baza astfel creata, am derulat ulterior etapele de implementare”, detaliaza avocatul.

Țuca Zbârcea & Asociații are o practica puternica în aceasta industrie 

Țuca Zbârcea & Asociații este una dintre firmele de avocatura de pe piața cu o practica puternica în acesta industrie. De altfel, Horia Ispas amintește ca, deși GDPR a fost prezentat deseori în spațiul public ca o noutate absoluta, protecția datelor în România nu s-a nascut odata cu intrarea în vigoare a Regulamentului.

“Chiar daca a avut o vizibilitate mai scazuta, înaintea GDPR a existat Legea nr. 677/2001, au existat ordine și decizii ale autoritații de reglementare care au impus companiilor obligații de conformare. Corespunzator, noi nu am creat o echipa ad hoc când subiectul GDPR a devenit fierbinte, ci aveam deja o echipa coagulata și experimentata, care oferea asistența constanta în zona de data privacy. Așadar, protecția datelor este o arie de practica de sine statatoare pentru firma noastra, cu o echipa-core dedicata exclusiv. La nivel de organizație, am anticipat oportunitatea creata de noul Regulament și am facut cu suficient timp înainte realocarile de echipa și pregatirile necesare. Astfel, am fost bine poziționați sa gestionam „valul” GDPR fara a crea „peste noapte” specialiști în protecția datelor și, în continuare, volumul de munca este susținut”, puncteaza Partenerul firmei de avocatura.

Pentru perioada urmatoare, Țuca Zbârcea & Asociații și-a propus consolidarea acestei practici. “În piața exista o nevoie reala pentru asemenea servicii. Este adevarat ca aceasta nevoie nu este pe deplin conștientizata în unele cazuri, însa probabil ca este doar o chestiune de timp pâna când companiile mai mici și entitațile publice vor înțelege ca au nevoie de asistența în materia GDPR. Oferim asistența unei palete largi de companii care activeaza în domenii variate, plecând de la societați de exploatare agricola și mergând pâna la societați bancare, operatori telecom, platforme online, companii farma etc. În general, clienții care solicita asistența în acest domeniu au în comun faptul ca sunt conștienți de riscurile pe care le presupun afacerile lor. Nu am avut pâna acum solicitari de asistența din partea entitaților controlate de stat”, amintește Bogdan Halcu.

Clienți și proiecte majore 

În ultimul an, echipa dedicata practicii de Data Protection a trebuit sa mute accentul din zona de audit GDPR în zona de acțiuni de conformare și, în anumite cazuri, pe aspecte de post-implementare.

“Concret, asistența noastra s-a concentrat pe efectuarea evaluarilor de impact asupra protecției datelor (data privacy impact assessment), a testului interesului legitim (legitimate interest assessment), redactarea politicilor de confidențialitate și a altor proceduri interne cu impact pe prelucrarea datelor. Am acordat și asistența în relația cu autoritatea de supraveghere (ANSPDCP), inclusiv pe zona notificarii incidentelor de securitate. Nu aș lasa nemenționate nici solicitarile în ceea ce privește organizarea de traininguri și work-shopuri dedicate problematicii GDPR pe diverse arii de interes și care, conform feedbackurilor primite, au fost considerate extrem de utile de catre clienții noștri. Interesant, au existat și solicitari de realizare a unor audituri post-implementare, care au vizat fie maniera de transpunere a recomandarilor noastre de catre organizație, fie chiar maniera de implementare a GDPR de catre alți consultanți. Au existat și proiecte în zona de contencios și litigii; de altfel, pe acest segment anticipam o creștere accelerata în viitorul apropiat, în special în ceea ce privește contestarea sancțiunilor sau a altor masuri dispuse de autoritatea de supraveghere (ANSPDCP)”, detaliaza Ciprian Timofte.

Referindu-se la cele reprezentative proiecte de consultanța, Horia Ispas le nominalizeaza pe cele în industriile cu expunere majora pe relația cu consumatorii, care gestionau baze semnificative de date cu caracter personal. “Vorbesc de clienți top 5 din sectoare precum financiar-bancar, IT&C / telecom sau media. În anul scurs de la intrarea în vigoare a GDPR, echipa noastra a gestionat câteva astfel de proiecte-ancora în industriile menționate care au presupus asistența în toate etapele de derulare (evaluare inițiala, identificare vulnerabilitați, implementare soluții de conformare) și, în cele mai multe cazuri, ne aflam astazi în faza de post-implementare, asistența curenta sau pentru proiecte punctuale. Particularitatea tuturor acestor proiecte a fost unicitatea fiecaruia dintre ele. Daca ar fi totuși sa caut o trasatura comuna este aceea a necesitații unei interacțiuni strânse a consultantului cu oamenii-cheie din companii pentru a putea oferi un produs juridic de calitate. Un proiect GDPR gestionat profesionist nu poate fi realizat din biroul avocatului. Ca principiu, am alocat de fiecare data unul sau doi coordonatori experimentați în fiecare din aceste proiecte, care au asigurat colaborarea permanenta cu clientul și câțiva colegi în zona de back-office pentru prelucrarea informațiilor și suport în redactare”, mai spune avocatul.

În plus, Țuca Zbârcea & Asociații are colaborari cu firme de avocatura internaționale și regionale și clienți internaționali care au nevoie de asistența în jurisdicția locala. În acest context, echipa a fost cooptata sa ofere asistența în proiecte multi-jurisdicționale mai ales pentru clienți cu produse și servicii globale prezenți și în România.

“Am lucrat și lucram în continuare în proiecte care implica prelucrarea datelor cu caracter personal în mai multe state. Am putea sa amintim aici un proiect în care am oferit asistența și reprezentare în fața ANSPDCP și a instanței de judecata în legatura cu o breșa de securitate care a survenit la nivelul infrastructurii software din afara României și care a afectat mai multe persoane vizate atât din România, cât și din afara. Totodata, echipa noastra este parte a unei echipe internaționale formate din avocați din mai multe țari care este pregatita sa ofere asistența clienților tocmai în cazul unor breșe de securitate ale caror efecte s-ar extinde în mai multe jurisdicții”, exemplifica Horia Ispas.