Odată cu creșterea amenzilor, anticipez că organizațiile vor fi impulsionate să conteste în instanță actele de sancționare emise

Interviu cu av. CIPRIAN TIMOFTE, Partener al Țuca Zbârcea & Asociații și coordonator al departamentului de Protecția Datelor cu Caracter Personal din cadrul firmei 

Considerați că este justă observația potrivit căreia interesul și viteza de conformare a operatorilor de date la Regulamentul GDPR intrat în vigoare în Uniunea Europeană a trecut la o treaptă inferioară de viteză după 5 ani de experiență?              

Au fost, într-adevăr, voci care au vehiculat această idee. Într-adevăr, putem vorbi de situații în care procesul de conformare cu GDPR a intrat într-o fază de „relanti”.  

Mă refer în special la acei operatori cu un volum redus sau chiar rezidual de prelucrări de date cu caracter personal.                                                                                                                                                                                        

Dimpotrivă însă, aș spune că pentru operatorii cu expunere în domeniu (cum ar fi cei din industriile telecom, financiar – bancar, utilități, digital și e-commerce etc.), interesul pentru conformare a crescut. Acest lucru a venit oarecum natural, pe fondul accelerării digitalizării și al creșterii exponențiale a proiectelor cu impact critic din perspectiva protecției datelor cu caracter personal. 

Ca avocat cu experiență în domeniu, cum apreciați că au evoluat lucrurile în România din această perspectivă în toți acești ani? 

La fel ca toate jurisdicțiile, și în România am asistat la fazele tipice de evoluție. A existat faza pre-GDPR, adică intervalul de timp până la intrarea în vigoare a GDPR. „Epoca romantică”, cum îmi place să o numesc, în care singurele repere erau prevederile Regulamentului GDPR și doar câteva ghiduri emise de Autoritățile europene.  

Această etapă a fost caracterizată prin eforturi de conștientizare și înțelegere a fenomenului, din partea tuturor stakeholders-ilor implicați. Inclusiv din partea consultanților. Exista o nevoie reală de a înțelege ce, dar mai ales cum trebuie făcut pentru a deveni conform cu GDPR. Cu alte cuvinte, vorbeam de o lipsă acută (dar explicabilă) de know-how. 

A venit inevitabil și momentul 25 mai 2018, data intrării în vigoare a GDPR. Îl punctez ca o fază distinctă prin prisma freneziei momentului. Se crease atunci în conștiința colectivă ideea unui „moment 0”, a unui termen-limită după care „vine potopul”. Îmi amintesc discuții și telefoane la miezul nopții cu clienții pe ultimele retușuri legate de procesul de conformare. O presiune fantastică.   

A urmat faza post-GDPR. S-au înmulțit ghidurile și opiniile emise de Autoritățile din UE pe diverse subiecte, s-au risipit o parte din „norii” incertitudinii, au apărut și sancțiunile.  

Aș menționa însă două elemente-cheie caracterizante pentru această fază: 1. organizațiile au conștientizat faptul că procesul de conformare este un „animal viu” și că există o nevoie reală de conformare continuă pe subiect, respectiv 2: la nivelul consultanților s-a produs un proces de „decantare”, în sensul în care numărul consultanților oportuniști („pseudo-specialiștii”) s-a redus simțitor.  

Actualmente, ne aflăm într-o fază de „realism”, caracterizată în special printr-o schimbare de paradigmă la toate nivelurile. Proiectele s-au diversificat, cu schimbarea centrului de greutate dinspre proiectele de audit (analiză a diverse aspecte deja implementate la nivelul organizațiilor) pe proiectele de conformare „actuală și viitoare”. În egală măsură, putem vorbi despre o creștere exponențială a gradului de „sofisticare” a proiectelor, în sensul în care organizațiile externalizează către consultanți cu precădere proiectele complexe și sensibile, care necesită un grad înalt de expertiză, cu gestionarea proiectelor mai puțin complexe la nivel intern.  

Pe un palier conex, au crescut așteptările clienților privind calitatea livrabilelor și gradul de implicare a consultanților în proiecte. Clienții se așteaptă să primească de la consultanți „produse” finale (”ready to go”) și sfaturi cât mai pragmatice și aplicate. Personal, îmi place foarte mult această abordare, întrucât oferă consultantului o viziune globală și o radiografie amănunțită asupra business-ului clientului, îl „forțează” să înțeleagă nevoile reale ale clientului și să identifice maniera optimă de satisfacere a acestora. În aceste cazuri, avantajul pentru consultant este enorm, în sensul în care acesta poate dezvolta cu clienții săi relații, sinergii și simbioze pe care altfel nu le-ar putea avea. 

Există cazuri în care ați reprezentat clienți în instanță? S-au deosebit lucurile aici în vreun fel față de cazurile în care consiliați și asistați juridic o organizație?  

Da, au fost și asemenea situații. De altfel, acest lucru ne-a permis creșterea portofoliului prin cooptarea unor noi clienți, care inițial au solicitat asistență punctuală pe un anumit litigiu, iar apoi au rămas cu noi și pe partea de consultanță. 

Pentru viitor, văd un trend crescător pe partea de litigii în domeniu. Când spun asta, am în vedere și foarte probabila creștere a cuantumului amenzilor aplicate de Autoritate (ANSPDCP), în contextul recentului ghid privind uniformizarea amenzilor aplicate de autoritățile de supraveghere europene. Odată cu creșterea amenzilor, anticipez că organizațiile vor fi impulsionate să conteste în instanță actele de sancționare emise de ANSPDCP.     

Există precedente la nivel european care vă orientează și vă ajută atunci când trebuie să apărați o cauză? 

Monitorizăm cu atenție evoluțiile în domeniu, fie că vorbim de soluții ale instanțelor, ghiduri și opinii emise de autoritățile de supraveghere, sau de sancțiuni și măsuri corective dispuse de autoritățile europene.  

Ne ajutăm foarte mult și de parteneriatele pe care le avem în domeniu. Suntem membri ai Privacy Rules (o alianță internațională capabilă să ofere o abordare integrată din punctul de vedere al protecției datelor – legal, tehnic și operațional – la nivel pluri-jurisdicțional) sau ai Andersen (împreună cu care am înființat grupuri de lucru dedicate subiectelor fierbinți de privacy). 

Aceste parteneriate ne oferă know-how și resurse informaționale valoroase privind abordarea în domeniu din multiple jurisdicții. Nu doar pentru cauzele litigioase, ci și pentru partea de consultanță. Aceasta întrucât un sfat valoros și util pentru client în legătură cu o anumită situație nu poate fi lipsit de o viziune completă asupra practicii și a manierei în care aceasta s-a cristalizat la nivel european. 

Există suficientă înțelegere și conștientizare din partea entităților din România (instituții publice, companii private, ONG-uri etc.) cu privire la responsabilități, obligații, beneficii, drepturi etc, atunci când vorbim despre prelucrarea datelor cu caracter personal?  

La momentul actual, cred că putem vorbi despre un grad rezonabil de conștientizare a problematicii protecției datelor de către organizații. 

Suferim încă, din păcate, la nivel de înțelegere a problematicii protecției datelor, ceea ce de cele mai multe ori generează fie un exces de „conformare”, fie ridicarea unor probleme false sau inexistente. De pildă, organizațiile încă încheie contracte de prelucrare a datelor care nu ar fi trebuit încheiate, clauze GDPR cu un conținut total inadecvat și disproporționat raportat la particularitățile prelucrărilor și rolului GDPR al părților implicate sau, după caz, solicită acordul persoanelor pentru prelucrare, deși nu ar avea neapărat o atare obligație. Pe lângă angrenarea în mod inutil a unor resurse, toate acestea pot genera, paradoxal, un efect de „bumerang” și pot afecta interesele organizației. Aceasta întrucât, în anumite situații, un exces de „conformare” se poate transforma într-o veritabilă neconformare. 

Revine, așadar, consultanților sau specialiștilor interni rolul de a identifica și propune clienților soluții pragmatice și optime, în acord cu nevoile de conformare reale și gradul de risc antrenat de prelucrările în cauză.  

Ați resimițit o preocupare clar definită a managementului din organizații cu privire la conformarea la prevederile și normele Regulamentului GDPR sau mai degrabă putem vorbi despre niște obligații formal bifate în agenda board-ului? 

Îmi place să cred că mitul conformării prin „acoperire de hârtii” a dispărut demult. Organizațiile au conștientizat faptul că o conformare exclusiv la nivel formal, fără a ține cont de particularitățile și problematicele de fond ale organizației, nu poate fi temeinică și sustenabilă și că, în orice caz, nu protejează organizația de riscurile decurgând din neconformare.  

În ceea ce privește clienții noștri, vă spun onest că, în majoritatea covârșitoare a cazurilor, am observat o preocupare reală și sănătoasă pentru conformare. Clienții au înțeles foarte bine faptul că procesul de conformare înseamnă mult mai mult decât a implementa un simplu „kit GDPR” compus din documente standard și, mai ales, implicațiile practice nefaste sau chiar critice care ar putea deriva dintr-o potențială neconformare. Această atitudine ne bucură inclusiv pe noi, pentru că, în calitate de consultant, întotdeauna dormi mai liniștit atunci când știi că clienții tăi și-au făcut temele.  

Mai există teamă de sancțiuni pe această linie din partea ANSPDCP sau inerția și hazardul sunt vioara întâi în vârtejul operațional? 

Aș începe prin a remarca politica echilibrată și realistă a ANSPDCP privind sancțiunile pe care le-a dispus până la acest moment. Personal, nu am remarcat excese de zel notabile, cum a fost cazul în alte jurisdicții, mai ales în ce privește cuantumul amenzilor aplicate. 

Totuși, nu ar trebui să existe și, de altfel, nici nu am remarcat o relaxare a clienților pe tema sancțiunilor GDPR. Nu trebuie uitat faptul că, separat de amenzi, ANSPDCP poate dispune și sancțiuni complementare cu efect potențial critic asupra organizației, cum ar fi suspendarea sau chiar încetarea activităților de prelucrare.  De asemenea, nu trebuie uitate nici consecințele de ordin reputațional pe care le-ar putea genera lipsa de conformare, care s-ar putea traduce inclusiv prin pierderi masive de clientelă. 

Iată deci suficiente motive pentru ca organizațiile să rămână vigilente și să continue eforturile de conformare cu prevederile GDPR. 

Este domeniul Regulamentului GDPR o nișă care aduce încă plusvaloare societăților de avocatură din România? Cum s-a implicat Casa de avocatură Țuca Zbârcea și Asociații în această activitate, ce ”fronturi” s-au mișcat, cu ce rezultate? 

În piață, există o nevoie reală pentru asemenea servicii. Sunt convins că, pe viitor, această nevoie se va resimți și mai acut, mai ales în contextul accelerării digitalizării și inovării, ceea ce va genera oportunități suplimentare de business pentru firmele de avocatură. 

Pentru firma noastră, GDPR a reprezentat o oportunitate excelentă pentru dezvoltarea acestui domeniu de nișă. Spun „dezvoltare” pentru că domeniul protecției datelor nu ne era străin nici anterior adoptării GDPR. 

Desigur, odată cu adoptarea GDPR, am trecut într-o nouă paradigmă, dată fiind creșterea exponențială a solicitărilor de asistență și, inerent, a volumului de muncă aferent.   

Consecințele au venit natural. În primul rând, vorbim de consolidarea și dezvoltarea continuă a echipei. Recrutăm și la acest moment avocați specializați în domeniu și, probabil, suntem singura firmă de avocatură locală care are o întreagă echipă dedicată integral ariei protecției datelor cu caracter personal. 

Dezvoltarea echipei a generat o „intra-specializare” la nivelul membrilor, în funcție de natura proiectelor și de tipicul problematicii antrenate (probleme de HR, probleme de IT/ digital, gestiunea incidentelor de securitate etc.). Pe lângă creșterea nivelului de expertiză, aceasta ne permite să fim mult mai eficienți, atât din perspectiva onorariilor aplicate, cât și prin prisma timpului de reacție în caz de proiecte urgente. 

De-a lungul anilor, toate cele de mai sus au determinat creșterea constantă a volumului de proiecte și, inerent, a veniturilor aferente. Sunt optimist că lucrurile vor rămâne la fel și pe viitor. 

Personal, văd foarte multe oportunități neexplorate încă pe zona de digital/ IT, mai ales la nivelul IMM-urilor. De asemenea, nu trebuie uitat că GDPR se aplică la nivelul UE, ceea ce poate genera oportunități fantastice de creștere a business-ului; de altfel, au existat situații în care, după ce am acordat asistență pe diverse proiecte locale unor clienți internaționali, am fost contractați și pentru asistență în anumite proiecte globale. În sfârșit, nu trebui ignorată nici zona de litigii care, nu am nicio îndoială, va cunoaște o creștere accelerată în scurt timp.  Deci, pare că viitorul sună bine pentru specialiștii în domeniu.