Interviu cu av. IURIE COJOCARU – CIPP/E, Partener, Nestor Nestor Diculescu Kingston Petersen, Coordonator Practica de Protecția Datelor
Sunteți un redutabil specialist în domeniul protecției datelor cu caracter personal, ați parcurs în cei 17 ani de experiență în cadrul ”familiei” NNDKP toate treptele de recunoaștere profesională – de la avocat asociat, Senior Associate, Managing Associate și până la statutul de Partener, atins acum aproape doi ani. Cum ați ales să vă specializați în arie de expertiză de nișă, precum Data Protection?
Erau anii 2008-2009, iar NNDKP crea prima practică de sine stătătoare de protecția datelor din România. Roxana Ionescu, cea care a pus bazele acestui departament, mi-a propus să vin în echipa nou-înființată. Tot ea mi-a fost mentorul care mi-a ghidat pașii în asimilarea acestei arii noi și care m-a ajutat să mă dezvolt profesional.
Era o perioadă în care protecția datelor era văzută ca fiind ceva de domeniul exoticului. Nici amenzile reduse prevăzute de legislația din acei ani nu stimulau organizațiile să dea mai multă atenție conformării. Dar lucrurile au început să se schimbe în timp și am avut șansa să văd toată această transformare graduală, de la domeniu marginal și ignorat, la piatra fără de care construcția unui proiect nu poate sta în picioare.
M-a atras de la început această imagine de mozaic a domeniului de protecția datelor. Atunci era Legea 677/2001, apoi a venit RGPD-ul, dar ideea este aceeași. Pornind de la textul legii-cadru, care îți dă o imagine incompletă cu privire la ce ar trebui să facă o organizație pentru conformare, începi să cauți piesele potrivite în legislația secundară, în ghiduri, în jurisprudență, atât la nivel național, cât și la nivel european, așa încât să obții un tablou complet, coerent și practic pe care să-l livrezi clientului spre implementare.
V-ați perfecționat în domeniul protecției datelor, prelucrarea datelor angajaților, construirea și utilizarea bazelor de date pentru susținerea activităților de vânzări și marketing, probleme de confidențialitate electronică (inclusiv social media), în partajarea datelor după fuziuni, achiziții sau lichidări, transferuri de date, formalități de arhivare ba chiar informații clasificate etc. Ce segment anume implică cele mai multe obstacole și dificultăți?
Problemele cele mai mari sunt acolo unde jucătorii din domeniu au opinii contradictorii. Și aici mă refer în principal la jucătorii de la nivelul european. De exemplu, sunt situații în care Curtea de Justiție a Uniunii Europene (CJUE) a avut o părere diferită față de Comitetul european pentru protecția datelor, un organism care reunește reprezentanți din toate autoritățile de protecția datelor din UE. Aria de acoperire a datelor cu caracter special (de exemplu, datele privind starea de sănătate și datele biometrice) reprezintă un domeniu elocvent în acest sens.
Alt tip de situații care generează dificultăți sunt cele în care CJUE pronunță hotărâri care modifică radical perspectiva asupra unor arii în care există deja o practică statornicită. Exemplele care îmi vin în minte acum sunt celebrele hotărâri Schrems I și Schrems II, care au declarat ilegale anumite tipuri de transferuri de date în afara Spațiului Economic European, fiind nevoie de edificarea unor noi mecanisme de transfer.
În martie anul viitor se vor împlini deja 6 ani de la momentul în care a intrat în vigoare și se aplică direct în toate statele Uniunii Europene Regulamentul privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Cum apreciați că au evoluat lucrurile în tot acest răstimp în Europa, dar mai ales în România – au înțeles semenii noștri, dar și organizațiile sensul, rostul și efectele aplicării acestor reglementări? Am progresat sub amenințarea sancțiunilor, ne-am conformat, am ajuns la o rutină?
Cred că putem vorbi despre o evoluție în etape. O primă etapă a fost cea cuprinsă între 2016 și 25 mai 2018, data la care Regulamentul a devenit aplicabil. Piața era neliniștită de amenzile grele pe care le aducea RGPD-ul și multe companii se străduiau să fie conforme cu noile cerințe.
A venit 25 mai 2018, unii clienți au fost inundați chiar din prima zi de cereri de ștergere, opoziție și acces (chiar daca acest tip de cereri puteau fi formulate și în baza legii de dinaintea RGPD-ului), dar în linii mari, nu s-a întâmplat peste noapte o schimbare drastică în comportamentul persoanelor vizate sau al autorității de protecția datelor. ANSPDCP chiar anunțase în contextul unor luări publice de poziție că nu va recurge la amenzi chiar din prima zi de RGPD și că va exista o perioadă de grație. Motiv pentru care a urmat o perioadă de după 25 mai 2018 în care am observat o anumită relaxare din partea organizațiilor care prelucrează datele.
ANSPDCP a anunțat prima amendă în baza Regulamentului în august 2019 și aceasta a fost una dintre cele mai mari amenzi date până în prezent. De fapt, dintre cele cinci cele mai mari amenzi anunțate de ANSPDCP, trei au fost date în intervalul august-noiembrie 2019. Vorbim de amenzi cuprinse între 80.000 și 150.000 euro. Totuși, amenzile relativ mari sunt o excepție. Cele mai multe amenzi anunțate până acum de ANSPDCP se afla în marja 1.000-5.000 euro.
Cuantumul relativ mic al amenzilor a contribuit la atitudinea multor organizații de a plasa conformarea cu cerințele de protecția datelor undeva mai jos în lista priorităților. O atitudine păguboasă pe termen lung, trebuie spus. Pentru că respectarea cerințelor RGPD-ului reprezintă o acțiune continuă, iar odată rămase în urmă cu conformarea, organizațiilor le va fi mult mai dificil să se pună la punct în viitor, atunci când vor avea și mai multe persoane vizate, și mai multe date prelucrate, și mai multe fluxuri de auditat.
În plus, chiar dacă acum amenzile sunt relativ scăzute, este foarte posibil să asistăm la o creștere a cuantumului acestora în viitor. Deja vedem o anumită tendință de creștere în ultima vreme, ANSPDCP anunțând din august 2023 până acum o serie de amenzi de peste 20.000 euro, printre ele fiind și o amendă de 110.000 euro și o alta de 70.000 euro.
Nu în ultimul rând, odată cu sporirea conștientizării de către persoanele vizate a drepturilor de care dispun în acest domeniu, vom asista și la o creștere a numărului de litigii în instanță, în cadrul cărora persoanele vizate vor pretinde despăgubiri din partea organizațiilor care le-au prelucrat datele în mod necorespunzător.
Sunt provocările GDPR din sectorul public similare cu cele din sectorul privat? Există abordări, percepții și mentalități diferite, cu urmări diferite?
Cred că din nou ar trebui să pornim de la sancțiuni. Așa cum probabil știți, organismele și autoritățile publice au un regim sancționator mai blând față de entitățile din mediul privat. Potrivit legii, ANSPDCP va aplica de la început sancțiunea avertismentului și va impune un plan de remediere. Abia dacă la reluarea controlului se constată că planul de remediere nu a fost dus la îndeplinire se poate aplica amenda care, și ea, este cu mult sub nivelul stabilit de RGPD. Vorbim despre un maxim de 200.000 de lei pentru organizațiile și autoritățile publice, incomparabil mai mic decât plafonul dat de Regulament, și anume 20 de milioane de euro sau, în cazul unei întreprinderi, 4% din cifra de afaceri mondială totală anuală.
Sancțiunile mai ușoare prevăzute de lege par să se reflecte și într-o rigurozitate mai scăzută în respectarea cerințelor de protecția datelor, ceea ce face ca nivelul de conformare în sectorul public să fie de regulă mai scăzut decât cel din sfera privată.
Care este opinia dvs. ca specialist cu privire la proiectul de regulament european privind inteligența artificială (EU AI Act)? Care considerați că vor fi consecințele sale practice și care va fi legătura direct cu domeniul protecției datelor?
Am urmărit pas cu pas traiectoria parcursă de acest proiect de regulament la nivel european, analizând în detaliu propunerile venite din partea Comisiei, Consiliului și Parlamentului, cele trei instituții europene implicate în proces. Ne-am bucurat că s-a ajuns la o înțelegere asupra regulamentului în decembrie 2023 și acum așteptăm forma finală a textului.
Odată adoptat de legiuitorul european, regulamentul privind inteligența artificială va deveni aplicabil peste doi ani, asta însemnând anul 2026. Acest lucru îmi aduce aminte de ceea ce am trăit între 2016 și 2018, când organizațiile au trebuit să se conformeze cu cerințele RGPD. Similar cu ce s-a întâmplat în contextul implementării RGPD, și în cazul regulamentului privind inteligența artificială timpul este foarte scurt pentru asigurarea conformării depline, referindu-ne la cerințele care vor trebui să fie respectate (așa cum spuneam, nu avem o formă finală a actului, dar o parte din obligații este deja cunoscută).
Legătura cu domeniul protecției datelor este una vizibilă. Sistemele de inteligență artificială folosesc, în bună parte, date cu caracter personal în activitatea lor, așa încât cerințele de protecția datelor se aplică și în aceste împrejurări. Niște exemple bune ar fi cerința de informare a persoanelor vizate, măsurile de securitate care trebuie implementate pentru protecția datelor sau elaborarea unor evaluări ale impactului asupra protecției datelor.
Totodată, există anumite aspecte în domeniul inteligenței artificiale care dau naștere unor provocări în ceea ce privește conformarea cu cerințele de protecția datelor. Gândiți-vă la situațiile în care, prelucrând un volum mare de date, operatorul trebuie să se asigure că toate datele sunt colectate în mod legal, să gestioneze solicitări privind dreptul de acces la date sau dreptul de opoziție la prelucrare sau să stabilească niște durate de stocare a datelor după care acestea să fie șterse. E de văzut în ce mod aceste coliziuni cu cerințele de protecția datelor vor fi conciliate în practică.