Search
Miercuri 19 Februarie 2025
  • :
  • :

Digitalizarea accelerată și diversificarea activităților din mediul online au determinat sporirea atenției spre conformare la normele GDPR

Interviu cu av. Silvia Sandu, partener, coordonator al practicii de Privacy & Data Protection, Bohălțeanu & Asociații  

 

În 2024, iată, se împlinesc 10 ani de la fondarea societății Bohălțeanu & Asociații, când ați pornit alături de alți doi colegi pe un drum nou, necunoscut și plin de provocări. Ce a însemnat acest deceniu pentru BSMP, cum v-ați poziționat și unde ați ajuns? 

Am pornit pe acest drum cu mult entuziasm, determinare și cu certitudinea și convingerea că indiferent de provocări, profesionalismul trebuie să fie o constantă în parcursul nostru profesional.  

Ne-am propus o creștere organică constantă, o abordare integrată a proiectelor gestionate, o implicare directă și permanentă a avocaților asociați în mandatele încredințate de clienți. Continuăm să facem acest lucru și după 10 ani și ne propunem ca acești parametri să caracterizeze parcursul nostru profesional și pe viitor. 

Avem în vedere, totodată, extinderea echipei de avocați, în mod special la nivelul avocaților seniori, însă întotdeauna suntem deschiși în a ne implica și în procesul de formare al avocaților aflați la început de drum. Anul acesta ne vom reloca într-un sediu mult mai mare, care să adreseze cerințele de spațiu actuale și care să permită lărgirea echipei noastre la nivelul pe care ni-l dorim. 

Sunteți un avocat cunoscut și apreciat, v-ați remarcat în cei peste 18 ani de activitate în mai multe arii de expertiză, dar ați ales să vă dedicați unor nișe cu potențial. Așa se face că acum coordonați atât practica de Privacy & Data Protection, cât și pe cea de Healthcare & Pharma, în cadrul Bohălțeanu & Asociații. Cum v-ați orientat spre aceste domenii? Câte puncte de intersecție valabile au aceste zone? 

Această profesie ne conferă privilegiul de a interfera cu domenii dintre cele mai variate, oferindu-ne oportunitatea de a ne dezvolta în arii de practică ce exced „curricumului” academic.  

În acest context, pe lângă alte arii de practică pe care le gestionez, alegerea unor domenii de nișă a devenit o opțiune firească, prin prisma satisfacției pe care orice practician o are atunci când, dincolo de principiile generale/fundamentale de drept, poate să identifice prin raportare la cadrul normativ național și european, dar și la practica existentă la nivelul Statelor Membre soluții optime, pragmatice, „result oriented” pentru clienți. 

Privacy & Data Protection este un domeniu în care activez cu mult înainte de GDPR (respectiv din anul 2005) și care de-a lungul timpului mi-a adus multe satisfacții profesionale, întrucât mi-a permis să abordez aspecte care la momentul respectiv nu constituiau uzanțe în România, dar care în sfera mai largă a autorităților de reglementare și practicienilor de la nivel european și nu numai erau consfințite fără echivoc; un exemplu în acest sens ar fi „whistleblowing-ul” la nivelul entităților private, care destul de recent a fost reglementat la nivel local. 

Revenind la întrebarea dv., deși la o prima vedere poate să pară bizar, există destul de multe puncte de intersecție între Privacy & Data Protection și Healthcare & Pharma. Un astfel de punct îl constituie prelucrarea datelor cu caracter personal ale pacienților în cadrul studiilor clinice și al studiilor non-intervenționale, un subiect foarte amplu, pe care l-am abordat în premieră împreună cu ANSPDCP încă din anul 2006 și care și astăzi își menține actualitatea și importanța. 

S-au scurs aproape 6 ani de la intrarea în vigoare a regulamentului GDPR în toate statele membre UE. În tot acest timp, și în România, persoanele fizice și juridice au aflat, au deprins și s-au conformat, total sau parțial, rigorilor impuse cu privire la protecția datelor cu caracter personal. Putem vorbi pe plan local despre o oarecare rutină sau oboseală, ori dimpotrivă, despre o sporire a atenției și o aliniere mai conștiincioasă la normele de profil? 

Deși contextul postpandemic a determinat destul de multe schimbări în maniera de gestionare și stabilire a priorităților, implicarea în respectarea standardelor în materia protecției datelor cu caracter personal nu a fost alterată, cel puțin în sectorul privat.  

Dimpotrivă, digitalizarea accelerată și diversificarea activităților din mediul online au determinat, în fapt, îndreptarea atenției spre conformare, iar tot mai mulți operatori își doresc conturarea proiectelor pornind de la principiul data protection by design and by default. Interesul pentru respectarea principiilor și reglementărilor GDPR este susținut probabil și de activitatea intensă a autorităților competente, inclusiv a celor de la nivel european, și în special de amenzile deloc mici care au fost aplicate în ultima perioadă în sfera rețelelor de socializare. 

Spre deosebire de anii trecuți, jucătorii de pe piață înțeleg mai bine importanța respectării principiilor GDPR, în special în mediul online, spre care își îndreaptă activitatea, și solicită suport din punct de vedere legal pentru a-și contura activitățile și proiectele, astfel încât să asigure în proiectele derulate protecția datelor cu caracter personal și respectarea drepturilor persoanelor vizate. 

Tehnologiile emergente sunt o provocare continuă pentru întreaga societate și este limpede că atunci când acordați asistență avocațială de specialitate, partea juridică se conjugă tot mai mult cu noile componente de ordin tehnic. Cum reușiți să cuprindeți și să stăpâniți noile concepte de ordin tehnic, așa încât să puteți răspunde competent în cauzele pe care le susțineți? 

Cu certitudine, provocările apar în continuare în sfera tehnologiei, care, fiind într-o dezvoltare accelerată, pune de multe ori în dificultate: (i) legiuitorul, care nu poate să reglementeze „în timp real” aspectele de interes, (ii) autoritățile/instituțiile competente de la nivelul Statelor Membre, care, în mod obiectiv, nu pot să elaboreze cu celeritate ghiduri și orientări, dar și (iii) practicienii, care trebuie să identifice soluții pentru problematici care nu sunt tranșate de o manieră suficient de clară și unde, prin prisma dinamicii constante este dificil să se contureze o practică unitară. Un exemplu în acest sens îl constituie „blockchain-ul”. 

Din această perspectivă, după cum corect ați sesizat, componenta juridică se întrepătrunde în mod semnificativ cu cea tehnică, astfel că, pentru a putea presta servicii avocațiale la un nivel cât mai înalt, ne însușim concepte noi și gestionăm proiectele în echipe mixte cu implicarea personalului de specialitate de la nivelul clienților și/sau al consultanților externi și abordăm în acest mod aspectele de ordin tehnic care depășesc sfera normativă. 

Atunci când se conturează proiecte noi, pornind de la principiul „data protection by design and by default”, se sugerează la nivelul UE ca organizațiile să-și ia anumite măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea și minimizarea datelor, integrând astfel unele garanții necesare în prelucrarea și protejarea datelor cu caracter personal. Vor fi astfel de recomandări înțelese și/sau asimilate și în România?  

Procesul de înțelegere și/sau asimilare a unor astfel de recomandări este unul continuu, el fiind asumat și implementat în mod particular la nivelul entităților private care activează cu precădere în anumite domenii specifice, cum ar fi sfera comerțului online, campanii publicitare (inclusiv în „social media”) sau al celor care indiferent de domeniul de activitate apelează la servicii juridice de specialitate. 

Sunt de apreciat eforturile European Data Protection Board (EDPB) de a îndruma consultanții și operatorii, de a construi ghiduri sau a propune actualizarea normelor în vigoare, dar soluțiile digitale noi (inteligență artificială, realitate virtuală, machine learning, automatizare, robotică etc.) au un ritm mult mai rapid de dezvoltare decât recomandările și deciziile birocratice de la Bruxelles. Ce se va întâmpla dacă decalajul acesta va crește continuu și susținut? 

Eforturile EDPB sunt, fără dubiu, constante în a creiona ghiduri și îndrumări actuale, însă ne lovim în continuare de varii dificultăți în procesul de conformare care derivă, în principiu, din dezvoltarea într-un ritm accelerat a noilor tehnologii.  

Dezvoltarea tehnologiilor „machine learning” și a altor ramuri ale inteligenței artificiale sau utilizarea softurilor ce presupun operațiuni de „profiling” și decizii bazate exclusiv pe mijloace automatizate trebuie supuse, încă din faza de design, unei analize destul de ample, atât din punct de vedere juridic, cât și tehnic, astfel încât impactul decalajului la care faceți referire să fie, în realitate, cât mai mic.  

Sunt amenzile aplicate de autoritățile naționale, respectiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), un pericol pecuniar care obligă la conformare sau ele, ca spectru ce doar planează, pot preveni încălcarea normelor? Se tem organizațiile din România de astfel de sancțiuni?  

Creșterea amenzilor și a activității autorităților europene și naționale de supraveghere a protecției datelor cu caracter personal vine ca o consecință firească a faptului că a trecut o perioadă suficientă de la intrarea în vigoare a GDPR, timp în care persoanele vizate au conștientizat o serie de aspecte legate de importanța datelor cu caracter personal care le aparțin.  

Drept urmare, creșterea sancțiunilor este o consecință atât a sesizărilor/plângerilor formulate în mod direct de persoanele vizate, dar și a rolului din ce în ce mai activ al autorităților competente. 

Practica ne-a dovedit că entitățile/organizațiile care se tem de potențialele sancțiuni pecuniare în acest domeniu sunt și cele care „pledează” pentru conformare, pentru implementarea măsurilor necesare din punct de vedere juridic, tehnic și organizațional, astfel încât să reducă riscul de sancționare. 

Privacy & Data Protection este o arie de practică distinctă în cadrul BSMP, deservită cu profesionalism de o echipă de avocați formați pe această zonă cu mult înainte de intrarea în vigoare a regulamentului GDPR. Cum vă selectați clienții sau, mai bine spus, cum vă selectează aceștia pe dv.? Din ce verticale de business vă sosesc cele mai multe semnale și solicitări?  

Cred că cea mai bună „carte de vizită” a unui avocat este recomandarea făcută de un client mulțumit și ne bucurăm atunci când o parte dintre clienții noi vin pe această filieră, pentru că, așa cum spuneam și la începutul discuției noastre, acest lucru oferă satisfacția profesională a lucrului bine făcut și motivația pentru a merge mai departe cu determinare și entuziasm.  

Alte mandate noi în acest domeniu provin de la clienți existenți, care dezvoltă anumite proiecte punctuale ce comportă o serie de aspecte care țin de prelucrarea datelor cu caracter personal și, în mod firesc, mai sunt și clienții care știu că activăm în acest domeniu și ne abordează în mod direct. 

Care credeți că ar fi prioritatea #1 pentru România pe termen scurt în domeniul prelucrării și protecției datelor cu caracter personal? Este cadrul juridic actual unul unitar și coerent? 

Domeniul protecției datelor este și devine din ce în ce mai vast, astfel că anticipăm că, în acord cu principiile enunțate de GDPR, autoritățile de la nivelul UE și de la nivel național vor emite în continuare ghiduri, opinii, recomandări care să ajute operatorii de date cu caracter personal să înțeleagă aplicabilitatea GDPR în situațiile lor specifice și să poată acționa în consecință. Cu cât cadrul juridic va fi mai clar, cu atât mai facilă va fi conformarea.