Sunt aproape opt luni de când a intrat în vigoare Regulamentul UE nr. 679 / 2016 – GDPR. Unde se situează companiile cu expunere din perspectiva protecției datelor cu caracter personal după opt luni?
Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații
Companiile se găsesc în prezent în etape diferite de conformare, în funcție de diverși factori și constrângeri cu care s-au confruntat.
Nu a fost deloc ușor pentru companiile cu expunere. Distinct de provocările de ordin tehnic aduse de GDPR, aș spune că un alt factor critic pentru evoluția procesului de conformare a fost sinergia resurselor.
De cele mai multe ori, companiile cu expunere sunt companii mari și mijlocii, cu o activitate și organizare complexe. Aceasta a implicat eforturi semnificative pentru coordonarea la nivel decizional, planificare și alocare de resurse (atât de ordin financiar, cât și uman).
Pe un alt palier, au existat și o serie de alți factori, intrinseci și extrinseci, care au amânat sau încetinit procesul de conformare. De exemplu, au fost companii care au așteptat suport și ghidaj de la grup; or, nu de puține ori suportul fie a venit cu întârziere, fie s-a dovedit insuficient (de așteptat, de altfel, având în vedere că fiecare organizație are particularități în prelucrările de date efectuate).
Toate acestea au făcut ca startul procesului de implementare a GDPR să fie, în general, mai inerțial pentru aceste companii. Au existat, desigur, și excepții: unii dintre clienții noștri cu expunere pe GDPR au demarat procesul de conformare încă de la începutul anului 2017, deci cu mult timp înainte de intrarea în vigoare a GDPR.
Sunt însă convins că, indiferent de momentul inițierii procesului de conformare, la momentul actual toate aceste companii (și nu mă refer doar la cele pe care firma noastră le-a asistat în procesul de conformare cu GDPR) au acoperit deja toate sau majoritatea „zonelor fierbinți” ale GDPR.
Care sunt industriile cele mai expuse?
Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații
Este deja celebră axioma: „Nu există organizație căreia să nu i se aplice GDPR”. Asta pentru că, într-o măsură mai mare sau mai mică, toate organizațiile prelucrează date cu caracter personal.
Desigur, anumite industrii sunt mai expuse, în special prin prisma volumului mare de date pe care le prelucrează, tipului de date prelucrate (date sensibile, date ale minorilor etc.), tipurilor de prelucrări pe care le realizează, tehnologiilor utilizate în prelucrarea datelor, etc. Vorbim aici de organizații din domeniul telecomunicațiilor, financiar-bancar (bănci, IFN-uri, societăți de asigurare, pensii), medical, farma, furnizori de utilități. Nu trebuie uitate nici companiile din domeniul digital/ IT, inclusiv furnizorii de servicii de cloud sau prestatorii de servicii ale societății informaționale.
Care sunt acele particularități ale Regulamentul care îl transformă într-o provocare pentru companii?
Horia ISPAS, Partener al Țuca Zbârcea & Asociații
Regulamentul este în primul rând o inițiativă de uniformizare la nivel european a unor standarde de protecție a datelor cu caracter personal. Regulamentul se aplică indiferent de industrie. El se aplică, cu unele diferențe, atât multinaționalelor, cât și întreprinderilor mici și mijlocii.
Acest cadru de reglementare universal valabil se constituie de multe ori într-un „pat al lui Procust” în care trebuie să încapă (și să performeze) organizații extrem de neomogene. Pentru companiile mici, angajarea unor cheltuieli de conformare cu normele Regulamentului se poate dovedi nesustenabilă.
Există, așadar, grade diferite de înțelegere și conformare la noile reguli.
Pe un alt palier, Regulamentul are un caracter general, cu o logică intrinsecă și limbaj tehnic specific. Chiar și pentru organizațiile complexe, cu resurse semnificative alocate, adecvarea la noile reguli este un proces laborios, îndelungat și costisitor. În mod practic, cvasi-totalitatea proceselor dintr-o companie presupun prelucrări de date cu caracter personal, deci un efort de evaluare și ajustare orizontal, în profunzimea activităților fiecărui operator.
Care este rolul consultantului în materie de conformare la Regulament?
Horia ISPAS, Partener al Țuca Zbârcea & Asociații
E o întrebare foarte interesantă într-o piață în care s-au născut „peste noapte” consultanți în protecția datelor, fie ei juriști sau nejuriști. Din punctul meu de vedere, rolul consultantului este acela de „a traduce” în realitatea fiecărei organizații regulile generale, cu grad ridicat de tehnicitate, stabilite de Regulament. Într-un fel va arăta un proiect de conformare la o companie din industria farmaceutică, altfel la un asigurător și altfel la o agenție de publicitate. Un „kit GDPR” care să asigure instant și ieftin conformarea este un fals confort care și-ar putea dovedi limitele în cazul unui audit sau investigații.
GDPR impune cerințe suplimentare privind informarea persoanelor vizate – informarea trebuie să fie clară, completă, dar concisă și accesibilă. Cum poate fi informarea completă și, în același timp, concisă?
Horia ISPAS, Partener al Țuca Zbârcea & Asociații
Este un subiect sensibil pentru mulți dintre clienții noștri, mai ales în industriile cu expunere pe categorii largi de consumatori, persoane fizice. Ca avocați, prioritatea noastră este desigur aceea de a asigura conformarea operatorilor de date cu caracter personal cu noile standarde de transparență (Ce spunem? Cum spunem? Când spunem? Prin ce canale spunem?). Un consultant experimentat va avea însă întotdeauna în vedere să nu compromită sau să intre în conflict cu strategia de comunicare a clientului, poziționarea produselor pe piață, mesajul comercial, etc. Informarea persoanelor vizate nu este un simplu document standard care poate fi replicat indiferent de industrie. Uneori informarea trebuie să încapă pe o etichetă, pe un flyer sau într-un SMS.
În mediul electronic există o serie de tehnici care sunt folosite cu succes. Informările pot fi structurate pe mai multe niveluri de detaliu – multi-layered information notices. La un prim nivel găsim informația contrasă, absolut necesară (principii, elementele cheie). Cei interesați de detalii suplimentare pot apoi accesa un al doilea nivel, care oferă explicații extinse pentru o informare completă.
Sunt necesare „clauzele GDPR” în toate contractele comerciale?
Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații
Am spus-o și cu alte ocazii, nu cred în obligativitatea inserării „clauzelor GDPR” în toate contractele comerciale. GDPR o spune foarte clar: informarea persoanei vizate nu este necesară: 1. dacă persoana vizată cunoștea respectivele informații (pentru datele obținute direct de la persoana vizată) sau 2. dacă informarea ar implica eforturi disproporționate (pentru datele obținute din alte surse).
Prin urmare, organizațiile vor trebui să se uite atent la caracteristicile prelucrării și, în special, să răspundă la următoarele întrebări: Se așteaptă persoanele vizate la prelucrarea datelor cu caracter personal? Pot ele anticipa în mod rezonabil caracteristicile esențiale ale prelucrării (scopul prelucrării, tipul de date prelucrate, perioadele de stocare, destinatarii datelor)? Raportat la caracteristicile prelucrării și, în special, la efectele produse asupra persoanelor vizate, ar putea implica informarea eforturi disproporționate pentru organizație? În cazul unui răspuns afirmativ la toate întrebările de mai sus, „clauzele GDPR” nu vor fi necesare în contractile comerciale.
De exemplu, să spunem că încheiem un contract de livrare marfă, ocazie cu care se vor prelucra datele semnatarilor contractului (numele, prenumele și semnătura) și, eventual, datele persoanelor de contact (nume, prenume, e-mail, telefon).
În acest caz, semnatarii contractelor/ persoanele de contact se așteaptă în mod rezonabil la prelucrarea datelor de maniera respectivă. Mai mult, având în vedere tipul și volumul redus de date prelucrate, cel mai probabil o informare detaliată a persoanelor vizate ar implica eforturi disproporționate pentru organizația receptoare. Iată de ce cred că în contractele comerciale de tipul celor de mai sus nu va fi necesară utilizarea de „clauze GDPR”.
Din păcate însă, am remarcat o tendință de a insera „clauze GDPR” în toate contractele comerciale, pe principiul „better safe than sorry”. Aceasta ar putea duce la cristalizarea unei practici păguboase pentru organizații și, pe alocuri ilare (am văzut „clauze GDPR” de câteva pagini în contracte comerciale de una-două pagini, cu prelucrări minime de date cu caracter personal). În plus, o atare practică ar putea crea un „efect de bumerang” pentru organizații, care s-ar putea confrunta cu anumite contestații/ obiecții privind maniera de realizare a informării, în ciuda faptului că informarea nu era obligatorie conform GDPR.
Așadar, recomand ca organizațiile să analizeze temeinic necesitatea inserării „clauzelor GDPR” în contractele comerciale pe care le încheie și să își calibreze eforturile de informare cu particularitățile prelucrărilor de date cu caracter personal realizate.
Mai pot fi utilizate în activitatea de marketing noile tehnologii bazate pe profilare?
Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații
Deși s-a consumat multă cerneală pe subiect, profilarea pentru scop de marketing ridică încă multe necunoscute și ridicări de sprânceană.
Ce mi se pare important de reținut:
- Profilarea reprezintă în sine o prelucrare de date cu caracter personal. De aceea, pentru a utiliza profilarea (inclusiv profilarea pentru scop de marketing bazată pe noi tehnologii) avem nevoie de un temei legal pentru prelucrare, respectiv de transparență în prelucrare.
- Nu orice tip de profilare necesită consimțământul persoanelor vizate. Chiar dacă este destinată marketingului, o profilare superficială, bazată pe date standard/ nesensibile, ar putea fi realizată, de principiu, pe bază de interes legitim. Aici am în vedere profilări neintruzive, de tipul unor segmentări bazate pe seturi reduse de date.
- Pe de altă parte, profilările profunde/ intruzive vor necesita, ca regulă, obținerea consimțământului persoanelor vizate. Cu precădere, profilările realizate prin utilizarea de noi tehnologii vor putea fi realizate cel mai probabil doar pe bază de consimțământ, având în vedere că, de regulă, noile tehnologii (de tipul inteligenței artificiale (AI), internet of things (IoT) etc):
- antrenează prelucrarea unor volume/ seturi mari de date cu caracter personal;
- implică, în mod tipic, un grad sporit de intruzivitate în viața privată, în special prin prisma combinărilor rapide și complexe de date realizate, evaluărilor/ predicțiilor cu grad ridicat de risc pentru persoanele vizate, prelucrărilor intruzive realizate (de ex., prelucrarea datelor de localizare etc.).
- De asemenea, nu de puține ori utilizarea noilor tehnologii se corelează cu decizii automatizate luate cu privire la persoanele vizate. Dacă decizia produce efecte juridice sau efecte similare semnificative pentru audiența de marketing, organizațiile vor trebui să furnizeze audienței și informații precise privind logica de prelucrare automată (“meaningful information about the logic involved”), precum și o descriere a consecințelor pe care prelucrarea le-ar putea produce asupra audienței.
- În sfârșit, este foarte probabil ca o profilare prin utilizarea de noi tehnologii să necesite și efectuarea unei evaluări a impactului asupra protecției datelor (privacy impact assessment).
Cine și cum răspunde pentru încălcările GDPR?
Horia ISPAS, Partener al Țuca Zbârcea & Asociații
Principalul titular al obligațiilor de conformare impuse de GDPR este operatorul de date cu caracter personal (acționând singur sau în asociere cu un alt operator). Operatorul stabilește scopurile și mijloacele prelucrării de date cu caracter personal. O dimensiune esențială a principiului responsabilității este aceea de documentare a conformității, operatorul fiind obligat să demonstreze în orice moment adecvarea la standardele de protecție a datelor (e.g. protocoale stricte de securitate a datelor, rutine de actualizare și ștergere a datelor, mijloace eficiente de răspuns la solicitări de exercitare a drepturilor din partea persoanelor vizate, documentarea capturării consimțământului, a informării persoanelor vizate, etc).
La rândul său, persoana împuternicită de operator (data processor) are o serie de obligații distincte reglementate de Regulament (obligația de a prelucra date la instrucțiunile operatorului, obligația de a încheia un contract de prelucrare date cu operatorul, limitări privind utilizarea sub-contractorilor, obligația de a implementa măsuri de securitate specifice, etc).
Ca regulă, față de autoritatea de supraveghere și față de persoanele vizate, operatorul este direct răspunzător pentru faptele proprii și pentru modul de conformare a persoanelor împuternicite angajate. Persoana împuternicită răspunde la rândul său direct față de autoritatea de supraveghere și față de persoanele vizate pentru nerespectarea obligațiile specifice care îi revin. Prin excepție, în cazul unei culpe comune (pe relația operator – persoană împuternicită, respectiv operatori asociați), răspunderea este indivizibilă.