În timp, conformarea cu cerințele GDPR va fi percepută ca un proces natural și oportun, ce servește tuturor actorilor implicați

Interviu cu av. Ciprian Timofte, Head of Data Privacy, Țuca Zbârcea & Asociații 

În ultimii ani, v-ați concentrat pe coordonarea proiectelor complexe de protecție a datelor în toate industriile relevante și ați impresionat clienții societății cu experiența juridică solidă și abordarea practică. Practic, ați asistat și reprezentat juridic clienți din varii domenii. În ce zonă v-ați văzut nevoit să depășiți cele mai solicitante provocări? De unde credeți că vor veni viitoarele pariuri profesionale? 

Fiecare industrie a venit cu provocările ei din perspectiva problematicii protecției datelor cu caracter personal. În toate cazurile, a fost nevoie de un proces de analiză profundă, pentru a înțelege particularitățile respectivei industrii și, în special, problemele antrenate de maniera de utilizare a datelor în acea industrie.    

În mod firesc, anumite domenii au antrenat provocări mai mari, în special prin prisma complexității și gradului de inovare. Mă refer la domeniile care prin natura lor implică prelucrări de volume mari de date, inclusiv date sensibile. Aș menționa aici, în ordine pur aleatorie, industria telecom, e-commerce, digital & IT, bancar, farma sau domeniul medical.  

Mai întotdeauna, provocările au constat în identificarea structurii sau soluției optime, care să confere fezabilitate proiectelor avute în vedere din perspectiva conformării cu cerințele legislației din materia protecției datelor cu caracter personal. Nu de puține ori a fost nevoie de o abordare proactivă și inovatoare, uneori chiar cu ajustarea structurii sau ecosistemului prelucrărilor de date avute în vedere de client, dar evident cu păstrarea oportunităților de business identificate. Nu este întotdeauna ușor, dar vă asigur că nu există satisfacție mai mare ca atunci când reușești să identifici soluția viabilă care poate da viață unui proiect ce inițial părea sortit „prafului din sertar” din pricina unor probleme de conformare cu legislația protecției datelor. 

Dacă ar fi să pariez pe anumite domenii, întrucât datele deja sunt ”the new oil”, aș pune banii pe domeniul IT & digital și, în special, pe partea de platforme online, Big Data și monetizarea datelor.   

Ați fost implicat activ în diverse inițiative de reglementare privind protecția datelor, oferind contribuții valoroase cu privire la legile proiectelor de confidențialitate a datelor sau ghidurile de reglementare. Cum ați colaborat pe plan intern și internațional, pe orizontală și verticală, cu Autoritatea în domeniu, cu parlamentarii, cu forurile europene sau cu colegii de breaslă?  

Cred cu tărie că este datoria tuturor profesioniștilor din domeniu să își aducă aportul la demersurile și eforturile de reglementare în domeniu. Nu doar dintr-un considerent de etică profesională ci, în egală măsură, dintr-o rațiune pragmatică, anume de a beneficia de reglementări cât mai adecvate și adaptate realităților din mediul de business.  

Urmărim toate inițiativele de reglementare în domeniul protecției datelor și, fie că a fost vorba de  proiecte de lege ale Parlamentului, de proiecte de decizii/ghiduri ale autorităților, ne-am adus contribuția cu experiența și viziunea noastră pentru a avea o reglementare cât mai clară, predictibilă și eficientă. Contribuția noastră a fost fie individuală (puncte de vedere elaborate prin firma noastră de avocatură), fie ca parte a unor grupuri de lucru (la nivel național sau internațional). Și, spre satisfacția noastră, nu de puține ori amendamentele pe care le-am propus au fost luate în considerare la adoptarea respectivelor acte. 

Cum colaborați și cum împărțiți celorlalți colegi din echipa pe care o coordonați sarcinile de profil, cum funcționați – fiecare cu propriul caz sau cooperați sinergic?  

Am norocul să coordonez o echipă extrem de faină și experimentată. Majoritatea coechipierilor au peste 7 ani experiență în domeniu, ceea ce înseamnă, practic, că gestionau proiecte ce țin de protecția datelor încă înainte de apariția GDPR. Sunt convins că acesta a fost unul dintre factorii-cheie care au asigurat succesul nostru în domeniu. 

Alocarea sarcinilor se face, în general, în funcție de tipul și anvergura mandatelor. În cazul proiectelor complexe, putem constitui „mini-echipe”, în general formate dintr-un avocat senior și un avocat junior, sub coordonarea mea.  

Tot legat de abordare și experiență, în cazul nostru există o așa-numită „intra-specializare” a membrilor seniori ai echipei. Spre exemplu, anumiți colegi se ocupă preponderent de zona tehnică, digital și IT. Sau avem colegi care se ocupă cu precădere de gestionarea incidentelor de securitate cu care se confruntă clienții noștri. Această abordare ne-a conferit multiple avantaje, foarte apreciate de clienții noștri.  

Acum 4 ani, în cadrul ceremoniei Europe Rising Stars Awards organizată la Londra de către publicația britanică Euromoney Legal Media Group, ca reprezentant al Țuca Zbârcea & Asociații, vi s-a decernat premiul Rising Star Romania, dedicat performanțelor din domeniul protecției datelor cu caracter personal, fuziuni și achiziții, precum și piete de capital.  V-a stimulat și ambiționat respectiva recunoaștere? Cum ați evoluat profesional în domeniu de atunci? 

Un eveniment în cel mai pur stil britanic, elegant, fără însă a fi prea pompos sau stânjenitor în vreun fel. Oameni foarte faini, de fapt, tineri foarte faini – ”tomorrow makers”, cum aveam să le spun post-eveniment, cu care simțeai că te poți conecta ușor și natural. Îmi amintesc că am vorbit și împărtășit impresii toată seara. Să nu vă imaginați însă că am discutat doar despre profesie și business; dimpotrivă, am vorbit preponderent despre pasiuni, planuri și năzuințe personale, dar și îngrijorări de orice fel. 

A fost o experiență incredibilă, de la un capăt la altul. Fără cuvinte mari, am trăit emoții la o intensitate cum rar mi-a fost dat.   

De ce credeți că mulți dintre români au privit și privesc conformarea la normele GDPR ca pe un demers birocratic, greoi, cronofag sau chiar inutil? De unde percepția aceasta de ”pietricică din bocanc”? 

Nu aș particulariza fenomenul la români. Dimpotrivă, aș zice că percepția este cvasi-generală, și are cauze multiple și pe alocuri explicabile. 

În primul rând, vorbim despre un proces de conformare (compliance, pe limba lui Shakespeare) destul de costisitor, inclusiv din perspectiva costurilor de implementare. În egală măsură, este un proces cu potențiale efecte critice asupra dezvoltării business-ului (amenzi usturătoare – calculate la cifra de afaceri, încetarea sau suspendarea activității etc). Altfel spus, despre un proces prin esența sa total antipatic pentru mediul de business. 

Interesant însă, în anumite cazuri am regăsit sentimente similare și de cealaltă parte a baricadei, chiar la nivelul persoanelor fizice – teoretic beneficiare ale procesului de conformare. Din nou, oarecum explicabil,  dacă ținem cont că există situații când pentru a accesa și citi o pagină web (de exemplu, un ziar electronic) trebuie să bifezi bife de consimțământ multiple sau să derulezi (scroll down) zeci de pagini de politici de confidențialitate. Legat de aceasta, citeam deunăzi că, potrivit unui studiu, unui om i-ar lua circa 2-3 ani din viață pentru a citi în mod real și efectiv toate politicile de confidențialitate de pe website-urile pe care le accesează. Respectiv, aș îndrăzni să adaug – un deceniu să le și înțeleagă! 

Soluția pentru reducerea percepției de care vorbiți? Printre altele, o abordare mai realistă, pragmatică și mai curajoasă din partea tuturor actorilor implicați. Iar aici un rol crucial îl au consultanții și factorii interni (inclusiv DPO-ul), care ar trebui să abandoneze pe alocuri paradigma comodă a lui better safe than sorry pentru a preîntâmpina efectul de „supra-conformare” sau de „pietricică din bocanc” – cum foarte plastic i-ați spus. 

Vom ajunge să ne aliniem liber exigențelor în materie de pe urma conștientizării corecte a nevoii de a prelucra și proteja așa cum trebuie datele cu caracter personal, sau tot amenințarea amenzilor ANSPDCP va rămâne deasupra capetelor, ca o ”sabie a lui Damocles”? 

Fără îndoială, riscul de a fi sancționat sever a reprezentat și reprezintă un imbold în conformare. De multe ori însă, am simțit că nu este vorba numai de „sabia lui Damocles”, ci mai degrabă de recunoașterea și conștientizarea nevoii și importanței protejării datelor cu caracter personal. Practic, de un „bun-simț” în conformare, care aș zice că își găsește seva în două surse. Pe de o parte, multe din cerințele de conformare se împletesc natural și răspund inclusiv nevoilor organizațiilor. 

Pe de altă parte, cred că imboldul de conformare vine și din faptul că organizațiile sunt formate din oameni, care în viața cotidiană se regăsesc întotdeauna și de cealaltă parte a baricadei. De la top management la simpli angajați, oamenii din organizații sunt totodată și consumatori de bunuri și servicii, context în care li se prelucrează datele cu caracter personal și simt astfel nevoia unei protecții adecvate a respectivelor date. 

Pentru motivele de mai sus, sunt optimist și am încredere că, odată cu trecerea timpului, cu maturizarea domeniului și, mai ales, a abordărilor, conformarea cu cerințele GDPR va fi percepută ca un proces natural și oportun, ce servește tuturor actorilor implicați.