Cosmin Iliescu, avocat: GDPR este o oportunitate de reducere a costurilor de prelucrare a datelor

Ne apropiem cu pași repezi de data intrării în vigoare a noii legislații care va schimba felul în care operatorii de date cu caracter personal funcționează. Așa cum știi, GDPR se va aplica începând cu 25 mai 2018.

Ceea ce mediul de business cunoaște deja este faptul că GDPR va aduce schimbări, însă pentru mulți dintre noi acestea sunt neclare. Din acest motiv, am hotărât să facem ceea ce noi știm cel mai bine, anume, să cercetăm și să ne documentăm.

Interviu în exclusivitate

Am apelat la un specialist în legislație care să ne răspundă unei serii de întrebări specifice, cu scopul de a găsi cea mai eficace abordare de a fi în conformitate cu noile legi. Cosmin Iliescu, avocat cu experiență în domeniu, ne-a acordat un interviu în exclusivitate prin care ne-a detaliat ce înseamnă GDPR, cine îl aplică, ce drepturi protejează și ce oportunități se ivesc.

Cosmin Iliescu este membru al Baroului București din anul 2001, fiind implicat de peste 10 ani în proiecte de Data Protection.

Este asociat al Societății Civile de Avocați Păcuraru, Iliescu, Măzăreanu & Asociații și, alături de colegii săi, a acumulat o vastă experiență în diverse arii de practică, cum ar fi IT&C, legislația tichetelor de masă, achiziții publice, drept comercial, asigurări, printre altele.

Noutățile aduse de GDPR

Ce aduce nou GDPR în comparație cu legislația din acest moment?

În primul rând vorbim de un regulament ce va înlocui actuala directivă ce a fost transpusă în trecut prin intermediul Legii 677/2001. GDPR fiind un Regulament adoptat la nivelul UE va fi direct aplicabil în toate statele membre UE nemaifiind nevoie de o lege de transpunere în acest sens.

Anumite elemente deja existente se accentuează

Există mai multe zone în care Regulamentul aduce o serie de elemente noi ori accentuează unele elemente existente.

Aș urmări în principal două paliere: modificări la nivelul intereselor/drepturilor persoanelor vizate de prelucrare, pe de o parte, și modificări la nivelul modului de organizare și de prelucrare a datelor la nivelul operatorilor de date, pe de altă parte.

GDPR garantează drepturi noi

În ceea ce privește persoanele vizate, sunt garantate drepturi noi, neprevăzute până acum în legislația europeană: dreptul de a fi uitat, în exercitarea căruia se poate cere ştergerea datelor dacă acestea sunt prelucrate ilegal, fără consimţământ sau dacă datele nu mai sunt necesare scopului în care au fost prelucrate iniţial.

Aș mai aminti dreptul la portabilitatea datelor, care consacră libertatea persoanei vizate de prelucrare de a opta pentru transmiterea de date la un alt operator, pentru a continua aceasta din urmă prelucrarea acestora (cu titlu de exemplu, portarea de la un operator de telefonie mobilă la un altul).

Minorii au parte de o protecție sporită

De asemenea, au apărut prevederi specifice referitoare la minori; în legătură cu prelucrarea datelor acestora, în special în mediul online. Aici se vor impune reguli clare şi simple pe care tânărul / copilul să le înţeleagă şi trebuie obţinut consimţământul părintelui / tutorelui, după caz.

Procedurile de reclamare sunt simplificate

O altă regulă instituită prin GDPR are în vedere proximitatea autorității de control faţă de persoana vizată.

Astfel, autoritatea de supraveghere din statul membru în care se află persoana vizată acţionează ca punct de contact atunci când operatorul reclamat este stabilit într-un alt stat, plângerile de orice fel putând fi adresate, în mod valabil, acesteia.

One Stop Shop pentru operatorii de date

În ceea ce privește operatorii de date, Regulamentul are, de asemenea, un impact important asupra activității acestora.

One Stop Shop este un concept care prezintă interes mai ales pentru operatorii care îşi desfăşoară activităţile în mai multe state membre UE. În cazul acestora, autoritatea de supraveghere competentă este cea din statul membru în care operatorul respectiv îşi are stabilit sediul principal, ușurând astfel procesul de conformare cu dispozițiile Regulamentului, mai ales în ceea ce privește raportările ori notificările ce trebuie realizate.

O altă preocupare vizează responsabilizarea operatorilor de date. În acest sens, accentul este pus pe transparenţa faţă de persoana vizată şi responsabilitatea operatorului de date faţă de modul în care sunt prelucrate datele.

În cazul prelucrărilor de date care presupun un risc ridicat pentru viaţa privată a persoanelor, operatorul trebuie să efectueze o evaluare de impact asupra vieţii private. Rezultatul unui astfel de studiu îi va permite operatorului să identifice riscuri specifice şi să adopte măsuri de reducere a apariției unor asemenea riscuri.

Privacy by Design & Privacy by Default

Privacy by Design & Privacy by Default sunt două noi principii esenţiale pentru operatorii de date. Pentru a explica cele două principii, cred că un exemplu ar fi elocvent.

În cazul Privacy by Design putem să ne referim la situația unui dezvoltator de aplicații care prelucrează și date cu caracter personal; acesta trebuie să se asigure, încă din stadiul dezvoltării, că aplicaţia sa va respecta regulile şi principiile stabilite de Regulament.

Privacy by Default – în cadrul aceluiași exemplu, privind furnizarea unei aplicaţii care prelucrează date personale, dezvoltatorul acesteia trebuie să se asigure că setările iniţiale le vor permite utilizatorilor să îşi menţină controlul asupra modului în care le sunt prelucrate datele.

Rolul DPO-ului

Numirea unui DPO (Data Protection Officer) la nivelul operatorului de date reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor de date.

Acesta oferă operatorului consultanţa și suportul necesare în vederea respectării tuturor obligaţiilor acestuia şi asigurării transparenţei necesare faţă de persoanele vizate într-un proces continuu de colaborare.

Noi sancțiuni, până la 20 milioane de euro

De asemenea, cuantumul amenzilor reprezintă un element inedit față de reglementarea anterioară. Pentru nerespectarea prevederilor Regulamentului vor putea fi aplicate, în funcție de gravitatea situației, sancţiuni severe – amenzi de până la 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internaţional.

Tipurile de Date care vor fi protejate de GDPR

Ce tipuri de date sunt afectate de GDPR? Cum ar trebui să le protejez?

Cred că răspunsul poate porni chiar de la definiția „datelor cu caracter personal”, acestea fiind orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”).

O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

GDPR propune măsuri preventive

GDPR propune o serie de măsuri de protecție, însă la nivel extrem de general și vizează, în principiu, dimensiunea preventivă. Însă protecția ar putea fi privită cel puțin din două perspective: juridică și tehnică.

Prima vizează acele elemente juridice pe care operatorii de date ar trebui să le aibă în vedere pentru a se conforma cerințelor GDPR, între care aș aminti:

modalitatea de informare a persoanei vizate privind prelucrarea datelor sale cu caracter personal, luarea consimțământului acesteia, dacă este necesar, precum și capacitatea operatorului de a dovedi acest fapt;
o mai bună reglementare convențională a relației operator de date – împuterniciți;
transpunerea prevederilor GDPR în documentele care reglementează relația dintre angajat și angajator.

Din punct de vedere tehnic, soluțiile în sfera IT&C ar trebui să aibă în vedere asigurarea unui nivel de securitate corespunzător riscurilor pe care fiecare operator de date le va identifica, incluzând printre altele pseudonimizarea şi criptarea datelor cu caracter personal.

GDPR – o provocare pentru afacerile din România

Ce trebuie să facă antreprenorii, pentru a se putea conforma GDPR?

O parte dintre clienții noștri au avut inițial o reacție de negare: „mie nu mi se aplică dispozițiile Regulamentului”. Însă, în timp au realizat că multe dintre activitățile lor, uneori dintre cele mai inofensive, din perspectiva lor, ar intra sub umbrela Regulamentului.

De exemplu – activitatea de geolocalizare a angajaților societății implică prelucrarea de date cu caracter personal ale acestora și, în funcție de cât de intruziv este angajatorul, poate conduce chiar la efecte juridice în ceea ce îi privește. În acest sens, angajații ar trebui cel puțin informați cu privire la prelucrarea acestor date, precum și asupra scopului acestei prelucrări.

Specialiștii pot fi un real ajutor

Ce vor trebui să facă antreprenorii, pentru a se putea conforma? Cred că în primul rând să apeleze la specialiștii în domeniu. Este necesar, de exemplu, să realizeze cel puțin următoarele activități preliminare pentru a determina dacă și ce tip de operator de date este:

să identifice ce date cu caracter personal prelucrează;
să conștientizeze activitățile de prelucrare (tipurile acestora), temeiul de drept al prelucrării și durata acestei prelucrări, aplicațiile informatice și terminalele hardware folosite în prelucrare (inclusiv prin intermediul unui smartphone sau al unei tablete), elementele de securitate informatică folosite pentru protejarea acestora.

În funcție de datele prelucrate și de temeiurile prelucrării, unii dintre operatori vor fi nevoiți fie să își numească un DPO (responsabil cu protecția datelor), fie să realizeze, împreună cu specialiști în domeniu, o evaluare de impact, care să acopere toate aspectele prelucrării, fie să întocmească un registru de evidență al activităților de prelucrare, fie să bifeze toate aceste activități, dacă Regulamentul o impune în cazul lor.

Soluțiile tehnice agreate

Cine stabilește ce soluții tehnice sunt acceptate de către autoritatea responsabilă de aplicarea GDPR (actuala ANSPDCP)?

Deocamdată, piața se raportează la practicile actuale cunoscute la nivelul soluțiilor tehnice, iar pe de altă parte la o interpretare prudențială a GDPR. Soluții tehnice acceptate de autoritatea responsabilă pentru aplicarea GDPR din România nu sunt încă cunoscute.

Totuși, putem aprecia că acele soluții tehnice vor include, printre altele, și următoarele:

pseudonimizarea şi criptarea datelor cu caracter personal;
capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

Impactul GDPR în Marketing

Cum impactează GDPR activitatea de marketing?

Minorii sunt mai bine protejați

Putem observa că GDPR recunoaște la nivelul preambulului său că o atenție deosebită ar trebui avută în vedere în cazul copiilor care pot fi vizați ori atinși prin ricoșeu de activitatea de marketing.

Aceștia au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele prelucrării datelor lor.

Această protecţie specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor.

GDPR are în vedere faptul că titularul răspunderii părinteşti ar trebui să controleze situațiile în care prelucrarea datelor copiilor ar avea loc.

GDPR recunoaște un interes legitim în Marketing

Trecând într-un alt registru, putem reține ca GDPR recunoaște un interes legitim al prelucrării de date cu caracter personal care are drept scop marketingul direct.

Astfel, interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic pentru prelucrare, cu condiţia să nu prevaleze interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luând în considerare aşteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul.

Acest interes legitim ar putea exista, de exemplu, atunci când există o relaţie relevantă şi adecvată între persoana vizată şi operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia.

Marketingul direct devine mai transparent

Totuși, va trebui să reținem că în cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv creării de profiluri în măsura în care aceasta are legătură cu marketingul direct, în orice moment şi în mod gratuit.

Acest drept ar trebui adus în mod explicit în atenţia persoanei vizate de prelucrare în scopuri de marketing şi prezentat în mod clar şi separat de orice alte informaţii.

Alinierea la GDPR

Cum poate ști un business dacă este sau nu aliniat standardelor impuse de GDPR? Care sunt pașii minimi ce trebuie urmați?

O autoevaluare este greu de efectuat în lipsa unor cunoștinte temeinice în sfera prelucrării de date cu caracter personal. Totuși, aici aș reitera nevoia de a determina ce tip date cu caracter personal prelucrează fiecare companie.

Identificarea tipurilor de date prelucrate

Există în principiu trei tipuri de date, fiecare dintre ele putând naște anumite niveluri de protecție:

date cu caracter personal, le putem numi generale;
date speciale (cu titlu de exemplu amintim originea rasială, opiniile politice, confesiunea religioasă, datele biometrice ori genetice);
date sensibile ce derivă din cele speciale însă asupra cărora fiecare stat membru poate legifera, lărgind aria acestora, încadrând orice alt tip de date care îi este propriu și specific, în funcție de gradul de protecție pe care îl consideră adecvat. În România mă aștept să fie vorba, în primul rând, de CNP.

Prelucrarea datelor

Apoi, un alt pas necesar este identificarea activităților de prelucrare, care pot fi foarte diverse, de la colectare, înregistrare, stocare, consultare, până la ștergere și distrugere. Da, activitățile de ștergere și distrugere a datelor cu caracter personal intră în sfera prelucrării de date reglementată de GDPR.

Determinarea aplicațiilor informatice și terminalelor hardware folosite este de asemenea importantă.

Nu în ultimul rând, este necesară evaluarea legală a temeiului prelucrării, care conform GDPR poate fi consimțământul persoanei vizate, executarea unui contract, îndeplinirea unei obligații legale, protecția intereselor vitale ale persoanei vizate, îndeplinirea unei sarcini care serveşte unui interes public ori interesul legitim urmărit de operator.

Echipele multidisciplinare pot asigura conformitatea

Cui ar trebui să se adreseze antreprenorii pentru a se asigura că businessul lor nu încalcă prevederile GDPR?

Consultanților în domeniul prelucrării datelor, și nu mă refer aici doar la un consultant de securitate IT sau doar la un consultant legal, căci niciunul dintre aceștia, singur, fără suportul celuilalt, nu ar putea să dea o consultanță adecvată unui operator de date.

Când spun un consultant în domeniul protecției datelor nu am în vedere doar o persoană, ci o echipă formată din cel puțin două persoane cu specializări distincte: legală și IT cu experiență în proiecte similare de data protection.

Cum afectează GDPR activitatea pentru spațiul non-UE

GDPR se aplică exclusiv spațiului UE? Dacă un business implică lucrul cu terțe părți din UE și non-UE (de exemplu, Marea Britanie), cum ar trebui să procedeze? GDPR se aplică diferit în fiecare țară europeană?

Prin GDPR se protejează drepturile tuturor persoanelor aflate pe teritoriul UE, indiferent de poziţionarea geografică a operatorului de date.

Astfel se extinde sfera de aplicare şi asupra operatorilor de date stabiliţi în afara UE, în măsura în care bunurile şi/sau serviciile acestora sunt adresate (şi) persoanelor aflate pe teritoriul UE; acești operatori de date vor trebui să respecte regulile şi principiile stabilite de Regulament.

GDPR nu se aplică diferit în fiecare țară europeană

În principiu, GDPR nu se aplică diferit în fiecare țară europeană. Totuși, Regulamentul lasă libertatea ca în anumite zone de interes statele să legifereze, completând astfel sistemul normativ aplicabil.

Astfel, de exemplu, fiecare stat membru poate lărgi sfera datelor sensibile și, după caz, poate stabili reguli speciale aplicabile prelucrării acestora; cu titlu de exemplu, cel mai probabil în România o dată sensibilă va fi CNP-ul, fiind un tip de dată ce nu se regăsește la nivelul celorlalte state.

De asemenea, statele membre pot prevedea condiții suplimentare, inclusiv restricții, pentru prelucrarea datelor cu caracter personal speciale. Un alt exemplu privind marja de apreciere a statelor membre ar fi posibilitatea acestora de a detalia lista tipurilor de activități pentru care este necesară efectuarea unei evaluări de impact.

Regulamentul prevede doar unii indicatori ai activităților pentru care trebuie efectuată o evaluare de impact.

GDPR protejează datele cu caracter sensibil

Cum credeți că va putea preveni GDPR o situație precum cea din cazul Cambridge Analytica?

Dacă avem în vedere cazul Cambridge Analytica, au fost colectate date personale pentru a construi profiluri psihologice ale unor utilizatori Facebook în scopul de a putea anticipa tendințele, înclinațiile politice ale acestora, iar dacă, chiar și accidental, datele dezvăluite au vizat si persoane fizice care se aflau în UE, atunci cred că răspunsul pentru o situație similară în viitor nu poate fi decât unul afirmativ: GDPR ar trebui să prevină apariția în viitor a unor situații similare.

Să nu uităm că GDPR interzice prelucrarea de date cu caracter personal care dezvăluie opiniile politice ale persoanei vizate fără consimțământul expres și neechivoc al persoanei vizate, iar încălcarea unei asemenea dispoziții legale în viitor va atrage sancțiuni administrative de-a dreptul descurajante.

Oportunitățile aduse de GDPR

Până acum sentimentul este că GDPR aduce numai responsabilități. Dincolo de acestea, se întrevăd și oportunități în acest context?

În măsura în care pentru implementarea cerințelor GDPR operatorii de date vor apela la o echipă multidisciplinară, pe parcursul analizei acesteia și a implementării soluțiilor pe care le vor propune, operatorii de date vor începe să vadă oportunități de schimbare a organizației.

Date de calitate, înseamnă marketing de calitate

Îndepărtându-se de la un simplu exercițiu de conformitate, vor identifica o serie de modalități mai eficiente de a interacționa cu clienții, partenerii și angajații. De asemenea, pe parcursul analizei se vor putea identifica oportunități de reducere a complexității și a costurilor de prelucrare a datelor, între care aș aminti:

Drepturile persoanelor vizate consfințite de GDPR, odată traduse în diverse procese și măsuri de control, pot asigura o eficientizare a activității unei companii în ceea ce privește datele cu caracter personal pe care le prelucrează;
Obligația de a elabora o evidență a activităților de prelucrare, precum și a datelor cu caracter personal prelucrate poate conduce la o mai bună vizibilitate a datelor deja prelucrate, fapt ce se poate traduce într-un mai bun management al datelor și apariția unor noi idei de business;
Principii precum minimizarea ori privacy by design pot conduce, după implementare, la reducerea costurilor de stocare, actualizare a datelor, precum și simplificarea operațiunilor efectuate cu aceste date.

Rămâi la curent cu evoluția GDPR

Preocuparea noastră față de impactul GDPR a început cu un studiu care relevă cum s-au pregătit companiile din România pentru implementarea noilor reglementări privind protecția datelor. Te invităm să descarci studiul în mod gratuit de aici.

De asemenea, verifică și celelalte articole despre GDPR:

Dacă ai găsit util acest material, te invităm să te abonezi la newsletter. Astfel, te asiguri că nu ratezi niciun studiu de piață, interviuri cu specialiști și ești la curent cu ultimele trenduri din marketing.