Bogdan Dumitrache: Alexandra Șinc spunea săptămâna trecută faptul că a cerut să nu fie speaker la o dezbatere ci moderator, pentru că pe postura din calitate de moderator să afle și ea în calitate de specialist de procesual penal care sunt consecințele unei decizii a Curții Constituționale. Nu a râs nimeni în platou pentru că nu era de râs. Decizia este una complexă, s-a discutat despre ea săptămâna trecută și uneori în viață lucrurile pot fi atât de complexe încât să simți nevoia chiar dacă ești specialist în primul rând să asculți înainte de a încerca să formezi o opinie. Eu astăzi am acceptat să moderez alături de Andrei Săvescu, el a promis că o să tacă zgomotos, să sperăm că nu o să se țină de cuvânt. O dezbatere pentru care folosim 4 litere, 4 majuscule, probabil acum câteva luni, un an, ar fi fost îmbrăcată într-o formulă misterioasă, acum când spui GDPR, deja lumea se teme. Întrebarea din titlu dezbaterii este retorică, cine se teme de GDPR, în afară de el însuși cam toată lumea. Alături de noi astăzi sunt invitați care și-au asumat sarcina de a încerca să decripteze acest regulament cu îmbrăcatul într-un ascuțit limbaj informatic, să-l traducă în cel juridic și să ne convingă dacă mai aveam nevoie că nu e de joacă. Nu neapărat azi sau mâine, dar din mai 2018 chiar va fi pe bune. Începem cu doamna Irina Alexe, Cercetător științific asociat Institutul de Cercetări Juridice “Andrei Rădulescu” al Academiei Române.

Irina Alexe: Bună seara!

Bogdan Dumitrache: Prima dată la dezbateri.juridice.ro?

Irina Alexe: Da.

Bogdan Dumitrache: Continuăm cu un invitat mai frecvent al dezbaterilor, domnul profesor Daniel-Mihail Șandru, Președinte SOCIETATEA DE ȘTIINȚE JURIDICE.

Daniel-Mihail Șandru: Mulțumesc pentru invitație.

Bogdan Dumitrache: Și noi mulțumim că ați venit. Continuăm cu domnul avocat Bogdan-Petru Mihai, Partner MUȘAT & ASOCIAȚII.

Bogdan-Petru Mihai: Bună seara!

Bogdan Dumitrache: Tot prima dată?

Bogdan-Petru Mihai: Prima dată pe postura de speaker, am mai asistat de pe scaunele neutre.

Andrei Săvescu: Ambii sunt prima oară speakeri la dezbateri.juridice.ro, ei au fost speakeri la conferințe.juridice.ro.

Bogdan Dumitrache: Da, dar dezbaterile deja încep seara și se termină noaptea, conferințele încep ziua și se termină seara. Și, a mai fost alături de noi la dezbateri.juridice.ro, domnul avocat Lucian Bondoc, Managing Partner BONDOC & ASOCIAȚII. Avem și o intervenție din Târgul Mureș și îi mulțumim că la ora aceasta este alături de noi din centru țării, domnul avocat Raul-Felix Hodoș, Managing Partner HODOȘ MIHEȚ & ASOCIAȚII.

Raul Felix-Hodoș: Bună seara!

Bogdan Dumitrache: Au circulat niște întrebări pe mail înainte de această dezbatere. Sigur una dintre ele era privitoare la sancțiuni. Nu știu dacă trebuie să începem de la sancțiuni, deși e clar că există una dintre sancțiuni cumulată cu fața noului act normativ care este un regulament, de directă aplicare a dat tonul acestei mize extraordinare a GDPR-ului și a conferințelor, seminarelor, atelierelor ca să organizeze în legătură cu acest subiect. Cine dorește să-i dea drumul? Ladies first.

Irina Alexe: N-ar fi bine totuși să începem cu sancțiunile, dar începem cu sancțiunile. Probabil că acest regulament este foarte cunoscut tocmai prin prisma acestui nou regim sancționator care este foarte sever. Este foarte sever din cauza amenzilor măsurilor corective, amenzilor administrative, dar să nu uităm că pe lângă amenzile administrative măsurile corective sunt multiple. Deci amenzile administrative sunt unele dintre cele mai severe măsuri corective, cealaltă este suspendarea fluxurilor. Nu cred, am văzut și un comunicat al autorității din zilele trecute. Sper din suflet ca în toată arhitectura regulamentului să se țină cont pe de o parte de toate acele criterii pentru individualizarea măsurilor corective și să nu se vină direct cu o măsură corectivă dintre cele mai grave. La art. 58 alin. 2, dacă-mi amintesc bine, avem descrise competențele corective. Și dacă ne uităm chiar la gravitatea verbelor care sunt descrise acolo, să vedem că acțiunile pornesc de la a avertiza, autoritatea emite avertizări, emite mustrări de dispoziții, deleagă sau cere informări, impune limite, dispune, retrage și apoi aplică amenzile administrative. Nu cred că regulamentul se reduce doar la acest regim sancționator pe de o parte, pe de altă parte trebuie să ne uităm la competențele foarte importante pe care în cadrul regimului sancționator le primesc autoritățile de supraveghere, pentru că de data aceasta, pe lângă competențele investigative, avem o prevedere potrivit căreea autoritatea poate să intervină în procedurile judiciare, și cred că aici ar trebui să discutăm foarte serios. De asemenea, pe lângă aceste sancțiuni foarte severe, regulamentul prevede la art. 82 o posibilitate ca persoana vizată care este afectată de încălcarea regulamentului să poată să solicite despăgubiri. Trebuie să ne fie în egală măsură frică de regimul sancționator și de măsurile pe care autoritatea poate să le impună, dar în egală măsură trebuie să ne fie frică tuturor de despăgubirile pe care persoanele vizate pot să le solicite pentru încălcarea regulamentului atunci când sunt afectate de încălcarea regulamentului. Și mai este o chestiune foarte importantă, să vă uitață vă rog cu toții la art. 80 din regulament, unde avem dreptul organismelor colective de a se adresa  la art. 1 cu mandat din partea persoanei fizice, la alin. (2) fără mandat. Dacă consideră că drepturile persoanei sunt afectate prin încălcarea regulamentului, aceste organisme se pot adresa atât pentru exercitarea căilor de atac, cât și pentru solicitarea despăgubirilor în cazul mandatului. Deci acolo ar trebui să discutăm mult mai mult despre regimul sancționator, nu neapărat doar la aceste amenzi administrative.

Bogdan-Petru Mihai: Aș putea și eu să intervin? Cred că trebuie să ne uităm și un pic altfel la întrebare, chiar o să se aplice amenzile sau e doar o sperietură? Răspunsul este “da, chiar o să se aplice”, problema este când, pentru că mai devreme sau mai târziu autoritatea va face uz de prerogativele ei și va aplica aceste amenzi. Depinde numai de fiecare operator de date să ajungă cât mai repede să fie complaint, lucrul care cunoaștem cu toți este din ce în ce mai mult. Chiar dacă autoritatea prin ultimele ei comunicate și-a asumat că o să facă niște campanii de conștientizare, o să ajute operatorii de date să le dea sfaturi. În anul care vine nu trebuie să ne bazăm doar pe aceste fapte. Suntem cu toții de acord că o persoană vizată din UE, afectate drepturile sale de un operator de date din România, poată să se adreseze autorității din statul de origine care la rândul lui se va adresa autorității române care va fi obligată să aplice niște sancțiuni. Deci nu trebuie să ne oprim la Autoritatea din România, ea va fi la un moment dat forțată de împrejurări să acționeze. Cum și în ce măsură o să aplice, o să aibă mijloacele logistice să facă aceste demersuri vom vedea, dar este cert că la un moment dat vom fi puși în fața faptului împlinit și vom avea parte și de aceste amenzi zguduitoare, ca să le spun așa. Aș fi vrut să dau și un exemplu practic de ce se dorește de către autoritate, există în acest moment un proiect de lege, modificarea Legii 102 pentru organizarea autorității. În ultima versiune pe care am văzut-o eu, care era în dezbatere publică, se propusese o amendă de 300 000 euro fără aprobarea Președintelui Autorității, ceea ce înseamnă că funcționarul respectiv va putea să dea din pix o astfel de amendă și rămâne numai la operator să vadă cum poate să se apere de așa ceva. Iar când spun 300 000, cu toate că o spun cu zâmbetul pe buze, vreau să mă credeți că îi dau toată importanța pe care o merită această sumă, mai ales că vorbim de o amendă în România unde 300 000 euro poate să reprezinte cifra de afaceri a unei societăți. Deci da, ar trebui să ne fie frică de regulamente, ar trebui să ne fie frică de amenzi. Ar trebui să conștientizăm că mai devreme sau mai târziu va trebui să plătim aceste sume de bani și ar trebui să ne gândim cum să alocăm din vreme fondurile respective să venim la zi cu legislația. Este un fenomen destul de extins la nivel național și până acum în baza veche a legislației nu multe dintre societățile autohtone, să spunem așa, aveau cultura complainsului. Cele mai multe societăți care doreau să fie la zi cu legislația erau cele străine cu origini în alte zone de pe glob. Ei doreau să ajungă la zi cu legislația, societățile noastre nu prea au tins către așa ceva. Acum ,apropiindu-ne cu pași repezi de mai, societățile străine care au avut această cultură a complains-ului mai bine le vine mai ușor să grefeze pe ceea ce era deja existent ca platformă, pe când celor autohtone le este foarte greu să-și ia decizia în sensul acesta, să-și aloce fondurile pentru implementare și efectiv să ajungă să-și implementeze un sistem de conformitate.

Daniela-Mihail Șandru: Următoarea întrebare are legătură cu lucrul acesta. Cât de periculoase sunt datele personale pe care operatorii le-au colectat înainte de 25 mai 2018. Unele societăți românești nici nu știu că alea reprezintă date personale.

Bogdan-Petru Mihai: Da, eu am în prezentările mele un fel de glumă, este “Burghezul Gentilom” de Moliere, dorință să devină nobil, să se nobileze și a chemat un maestru și l-a întrebat maestrul respectiv: „Ce doriți să învățati?”, la care celalalt spune: “Mi-aș dori să învăț să fac probe și versuri”, “Da, dar dumneavoastră faceți proză. Când noi vorbim, faceți proză”, “Extraordinar, eu făceam proză și nu știam”. Toată lumea prelucrează date cu caracter personal și nu știe, toată lumea face proză. Și făceam un text de fiecare dată la prezentări că cel puțin pe calculatoarele celor prezenți în sală există câte un XL care are date cu caracter personal. Cineva trebuie să sape acolo,cineva trebuie să umble după morți, să vadă ce mai e prin fișierele respective și pentru asta există aplicații specializate. Să vedem ce proză facem, să vedem ce date cu caracter personal prelucrăm, să le aplicăm regimul juridic corespunzător. Dar ca să aplicăm regimul juridic corespunzător, trebuie să fim foarte siguri pe scopul prelucrării, de caracterul datelor respective, de natura lor, de persoane, de transfer ș.a. Iar lucrurile acestea dacă se cunosc foarte bine, dacă nu se cunosc, atunci se vor șterge acele date. Dacă nu mai avem o bază legală pe care să ne statuăm procesarea respectivă, nu mai avem prevederea legală în baza căreea am corectat datele contractului, în baza căreea le-am prelucrat consimțământul respectiv , atunci datele respective trebuiesc șterse sau anonimizate după caz. Dar fiecare ar trebui să parcurgă acest proces de identificare ca să vadă cât de periculoase sunt datele cu caracter personal, pentru că ele pot să fie periculoase sau pot să fie blajine dacă le-am corectat în niște termeni corecți și încă am la îndemână documentația care să mă facă complaint, ca să spun așa.

Irina Alexe: Și eu sunt de acord că operatorii trebuie să aleagă la momentul acesta, de fapt trebuiau să aleagă dinainte ce investesc, investesc în pregătire, investesc în conformarea cu prevederile regulamentului sau aleg din start să investească în plata eventualelor sancțiuni care vor fi aplicate, pe de o parte. Pe de altă parte, este foarte serioasă problema, pentru că ne gândim cu toții că am avut totuși, regulamentul nu este o reglementare nouă în domeniu absolută, este nouă prin faptul că este regulament și prin regulile noi pe care le-a impus, mai ales în ceea ce privește regimul sancționator. Noi am avut o directivă care a fost aplicată și a fost transpusă în fiecare dintre statele membre și experiența ne-a arătat că au fost operatori, că au fost state care au ales să aibă anumită conduită tocmai din cauza faptului că acest cuantum al sancțiunilor era foarte redus și îți asumai din start să plătești și să încalci legea ca să-ți dezvolți afacerea, ignorând viața privată a persoanei, evident.

Bogdan Dumitrache: Au aflat de Legea 677/2000 cu ocazia regulamentului.

Irina Alexe: Da, din nefericire. Și mai avem o discuție aici de făcut. Cine deja se pregătește? Mediul privat, pentru că regulamentul se aplică în egală măsură și sectorului public.

Bogdan-Petru Mihai: Aici v-aș corecta. Spune: cu toate că se aplică în mod egal, doar mediu privat se pregătește.

Irina Alexe: Nu am văzut, dar n-aș fi sigură că doar mediu privat se pregătește. Dar aș vrea să spun că am văzut că, de exemplu, regulamentul spune că ar trebui să avem o lege națională prin care autorităților și organismelor publice statul să permită să li se aplice aceste amenzi administrative, ori nu am văzut un proiect de lege care să fie în dezbatere publică, să fie discutat, să fie adoptat, ar trebui să fie deja adoptat la momentul acesta. Probabil că autoritățile și organismele publice nu sunt atât de interesate tocmai pentru că nu realizează impactul.

Bogdan Dumitrache: Art. 83 alin. (7) din Regulament spune: “Fără a aduce atingere competențelor corective ale autorităților de supraveghere menționate în art. 56 alin. (2), fiecare stat membru poate prevedea norme prin care să stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.”.

Irina Alexe: Exact la acest articol, da, cu referire și la art. 84.

Lucian Bondoc: Aș mai face o precizare, adică în primul rând în Regulament, din păcate, cu siguranță nu este o ordine de aplicare a sancțiunilor, adică amenda se poate aplica de prima dată. Acest aspect este subliniat și în opiniile grupurilor de lucru 29 ș.a. Problema fundamentală cu Regulamentul nu este atât amenda în sine, mai sunt alte normative cu sancțiuni importante, și este totuși diferit aici și cred că într-adevăr ar trebui să sperie, dacă nu sperie deja. Sunt 2 lcururi: în primul rând Regulamentul, deși are o filosofie lăudabilă în sine, pare cumva aproape că treabă românească în anumite privințe pentru că are foarte multe formulări totuși neclare. Dacă ne uităm la prelucrare, trebuie să fie în mod legal, echitabil și transparent, colectate în scopuri determinate, explicite și legitime, unele scopuri fiind compatibile,adecvat, relevant și limitat a ceea ce este necesar, exacte și trebuie să fie actualizate. Ideea este că sunt foarte foarte multe cuvinte acolo care trebuie respectate, multe cu o dimensiune necuantificabilă foarte precis și când vorbim de principiul minimizării datelor sau a limitării stocării sunt concepte care prin natura lor nu sunt clare. Și deja când vorbim de ceva neclar în
Româniam experiența arată că de obicei apar problemele, experiența autorităților românești fiind și una mai înclinată spre represiv decât în alte state. Logica multor controale în afară este mult mai de parteneriat, de reprimare și descurajarea unor comportamente cu adevărat frauduloase și tipologii de comportament. La noi, din păcate, de multe ori se vine în vânătoarea unor erori, vin să plec cu ceva. În prezent autoritatea, din câte am cunoscut și eu personal și mulți colegi de ai mei, nu este așa. Întrebarea este dacă nu se va schimba pe parcurs și cred că această autoritate trebuie să fie într-o logică europeană mulți ani de acum înainte pentru a invita pur și simplu o catastrofă în piață, pentru că dacă mai este o altă caracteristică a României în ultimii ani, observăm și folosirea legii de români într-un mod destul de creative față de multe alte state, în sensul în care se descoperă chichițele, se fac reclamații. Și aici iarăși va trebui cumva atenție și moderație, mai ales că astfel de concepte chiar și la nivel European, va dura puțin timp pentru a fi decantate prin jurisprudență ce înseamnă minimizare în anumite situații, ce înseamnă rezonabil, ce înseamnă necesar și dincolo de buna credință, adică să ne aflăm într-o situație în care dincolo de buna credință nu ai certitudinea că nu vei greși. Și acesta este un sentiment extrem de neplăcut când vorbim de astfel de sancțiuni, mai ales că în România mai apar și aceste presiuni cu colectare de bani la buget ș.a. Echipa actuală a autorității cred că este absolut rezonabilă și decentă în această privință, însă ea va fi mult mai mare dimensional în curând când vorbim de astfel de sume și de astfel de răspândiri a fenomenului. Dacă ne gândim puțin chiar la legislația în dreptul concurenței pe care nici acum mulți avocați nu o cunosc minimal, și câți ani a durat până a se așeza în piață o oarecare și oconștientizare asta în condițiile în care legislația în domeniul concurenței mi se pare relevant mai clară și mai de înțeles pe anumite concepte. Și iarăși aici va fi o astfel de necesitate. Asta nu înseamnă că nu trebuie să ne pregătim pentru ce este mai rău. Din păcate până să vorbim de clienți, eu cred că foarte mulți avocați din românia la sfârșitul lui mai vor fi în încălcare clară cu această legislație. Și aici sunt aspecte care nu numai că nu o să le facă cinste, dar vorbim și de expunere pe răspundere, adică o să apară niște dinamici destul de perverse în piață din multe puncte de vedere, de altfel chiar și poziționarea firmelor de avocatură operator împuternicit. Sunt diverse discuțăii pe această temă în piață, va fi una iarăși interesantă și unde firmele care se pricep vor trebui să aleagă bine și să-și și dea seama unde se poziționează exact pe acest regulament. Dar, în fine, cu siguranță va fi o experiență foarte interesantă și în care, în prezent cel puțin, cred că foarte multe societăți chiar sofisticate nu măsoară dimensiunea subiectului. Vă dau un simplu exemplu: sunteți o societate comercială, vă scrie cineva că vrea să intre într-o relație contractuală, dar nu aveți încă un contract. Deci va intra o negociere, s-ar putea nici să nu mai discutați cu el vreodată, poate vă întâlniți, paote nu. Ce faceți cu acele date? Dacă vă întâlniți și aveți o negociere după aceea să spunem că ajungem la nivelul de contract. În negocieri apar copiați, paote o bancă, poate avocați, poate  un auditor. În acel schimb uneori se preia o corespondență directă de către firma de avocatură, sau de către o bancă, sau de către un auditor. Sunt o serie întreagă de aspecte care apar și care sunt interesante. Când primesc un e-mail de la o societate, le primesc de la o persoană fizică, reprezentantul acelei societăți. Acea persoană fizică îmi copiază niște colegi din firmă, pot să consider că acei colegi copiați am primit datele indirect, pentru că nu le-am primit de la acei copiați, dar de la cel de la care le-am primit, le-am primit direct chiar dacă ele reprezintă de fapt societatea. Urmărind o paletă întreagă de subiecte care încă o dată sunt interesante și care eu cred că foarte mulți avocați nici acum în februarie nu le-au nici măcar identificat și în care și multe societăți o iau foarte în ușor. Regulamentul acesta are deficitul, de ce spuneam că e puțin treabă românească, pentru că atunci când ai un act normativ, chiar dacă este potențial complex și neclar, dacă nu are sancțiuni, gradul de implicare în dezbateri este scăzut chiar la nivel european, pentru că dacă la noi se întâmplă lucruri peste noapte, la nivel european chiar se dezbat. Și chiar și pe acestea au fost nenumărate versiuni, deci da. Dar totuși au fost acești 4 ani de dezbateri, dar cu nivelul acela de sancțiuni eu cred că nivelul de implicare real al diverselor industrii în a-și expune problematica practică a fost redus. Și acum multe lucruri de fapt nu s-au schimbat ca formulare, dar când s-a schimbat pur și simplu planul de sancțiune acum apare șocul pentru că multe nu sunt de fapt adaptate la practică în toate privințele. Dacă ne uităm pe opiniile grupului de lucru 29, multe sunt anterioare regulamentului, dar sunt relevante pentru că sunt pe formulări care nu s-au schimbat. Observăm că ocolesc majoritatea problemelor cu adevărat importante, adică aici zice că sunt scrise de un funcționar de la noi în multe situații în care nu știe cum să evite răspunsul. Exemplele  cele mai multe ori nu te ajută pentru că sunt la extreme, fie sunt situații în care este evident că este o problemă sau unele în care chiar ar fi stupid să fii sancționat. Și de aici iarăși această necesitate de aprofundare și de gândire foarte practică. Să plec de la ce mi se întâmplă în viața reală, de la o situație în care primesc un CV de la un candidat pentru angașare, poate mă văd cu el, poate nu, dacă-l angajez ce se întâmplă, dacă nu-l angajez cât timp o să-i păstrez datele. Când vorbim de principiul limitării stocării despșre ce perioade vorbim? Ne raportăm la care dintre scopuri? O să încerc să-i prezint mai multe scopuri pentru a mă încadra eventual și pe mai multe prevederi de prescripție, poate dacă-l resping mă dă în judecată pentru discriminare. Și am un temei în plus să-i mai păstrez datele. Sunt nenumărate aspecte care se ridică și avem discuții foarte interesante cu foarte mulți clienți acum și cred că pe proiectele pe care lucrăm o să fie într-un grad foarte înalt de pregătire la sfârșitul lui mai, dar sunt o serie de aspecte care obiectiv o să rămână puțin in incertitudine din aceste motive. Chiar și la nivelul autorității cred că este o fază oarecum de așteptare pentru că sunt pe anumite zone. Nu cred că au ajuns la o concluzie cum ar fi bine să procedeze și cum nu, și va fi o fază de această de decantare, vor fi și ghinioniști care se vor lămuri mult mai repede pentru că vor fi reclamați. Și atunci acest aspect poate să devină și un factor de concurență neloială cumva în piață, pentru că în funcție de cum îți este norocul, deși tot ceilalți ar fi poate în aceeași situație.

Irina Alexe: Ați spus că amenzile nu vor fi aplicate de prima dată sau s-ar putea să fie aplicate de prima dată. Și aici ar trebui să facem o precizare că 83 alin. (2) ne spune că amenzile pot să fie aplicate în locul sau în completarea unei alte măsuri corective, și este foarte important aspectul acesta. Nu spune nimeni că acolo este o gradualitate a sancțiunilor, ele sunt prevăzute. Dar poate să fie aplicată într-adevăr orice sancțiune în funcție de gravitatea încălcării, pentru că la 83 cu 2 avem mai mjulte criterii care trebuiesc avute în vedere atunci când se individualizează sancțiunea pentru fiecare dintre faptele prevăzute de regulament.

Bogdan Dumitrache: Așa în exteriorul problemei, deși nu sunt neapărat în exteriorul ei sau nu o să mai fie o multă vreme, mi se pare cel mai interesant că toată lumea ar dori să protejeze datele cu caracter personal, dar foarte mulți dintre noi nu știu unde se caută datele, este un bibat de date cu caracter personal, și dacă nu avea reprezentarea că suntem înbibați de ele, evident că n-avem de ce să protejăm, evident că până a fi expuși unor sancțiuni fie că e vorba de partea adiministrativă, fie de partea civilă.

Bogdan-Petru Mihai: În ultima iteracție, ca să spun așa, a regulilor privind protecția datelor respective, acest regulament pune foarte mult accent pe drepturile persoanelor vizate, mai ales că este alocat un nivel 2 de sancțiuni pentru nerespectarea respectivelor drepturi. O să vedem probabil o recrudescență a notificărilor de la operatorii de date care își află că au în posesia lor date cu caracter personal dobândite indirect și încearcă să intre în legalitate prin transmiterea diverselor consimțăminte tardive, ca să spun așa, să recupereze pe ultima sută de metri ceea ce au pierdut. Vor trebui să-și pună la punct sistemele de evidență pentru că sunt acele termene de 30 de zile neiertătoare și dacă avem niște persoane vizate calificate, o să facă notificări de toate soiurile. Și pentru cei care lucrează  cu zeci de mii de astfel de persoane fizice o să fie un efort uriaș să țină pasul cu toate notificările și să treacă prin filtrul drepturilor și al prevederilor regulamentului să vadă dacă trebuie să-i răspundă, dacă nu trebuie să-i răspundă, cum îi răspunde, dacă poată să-i țină sau nu datele și să o facă în 30 zile, astfel încât să nu încalce regulamentul și să nu fie ținta sancțiunilor autorității. Nu neg, după cum spunea și colegul meu, s-ar putea să se întâmple lucrurile acestea și cu rea credință. Pe viitor prevăd un atac fulminant al persoanelor fizice împotriva diverșilor dușmani de clasă, cum sunt magazinele online, spitale, care le-au făcut cine știe ce rău, și atunci va trebui ca autoritatea să acționeze în măsură.

Daniela-Mihail Șandru: Ele și există. Apropo de următoarea întrebare, judecătorii se pricep la GDPAR. Am intrat pe rolii.ro și am căutat Regulamentul, am găsit 31 de cauze între care într-una aproape că este aplicat regulamentul, este incert acolo cum este scris. În celelalte cazuri se respinge trimitele la Regulament, dar în cele mai multe dintre aceste situații sunt cliență din aceștia supărați pe câte o bancă, pe biroul de credite, pe nu mai știu cine. Acțiunea este înregistrată încă din 2016 că, având în vedere intrarea în vigoare a regulamentului, se gândiseră deja. Deci să vedem din mai încolo.

Irina Alexe: Pe de altă parte și autoritatea ar trebui să se pregătească, pentru că potrivit regulamentului trebuie ca statul să-i asigure niște resurse. Și eu cred că, având în vedere aceste noi competențe pe care autoritatea le dobândește, ar trebui ca statul să-i asigure resurse de toate felurile, adică inclusiv personal, resurse financiare, ca să poată să pregătească aplicarea regulamentului și implementarea lui.

Lucian Bondoc: După primă fază nu e bine să aibă prea multe resurse.

Irina Alexe: Da, poate și asta este o idee.

Lucian Bondoc: Cred că sarcina autorității este până la urmă de a încerca să ofere claritate și aici, din păcate, nici opiniile grupului de lucru 29 sunt dezamăgitoare în multe privințe, pentru că deși au avut loc dezbatere și e un efort colosal de redactare, încă o dată dacă te uiți la lucrurile cu adevărat importante de multe ori sunt ocolite cu grație.

Bogdan-Petru Mihai: Da, hai să vedem Bărbulescu vs România  care s-a schimbat de la alb la negru la aceeași for și n-au avut consens la sfârșit. Am participat chiar aici la o dezbatere vis a vis de Cauza Bărbulescu vs România. Ne dăm seama că lucrurile nu sunt clare, nici la nivel de principii, nici cum se cuantifică astfel de fapte de către o curte, cum este CEDO. Este periculos, după cum spunea și colegul meu, intrăm cu capul înainte într-un mediu netestat, nu avem jurisprudență, nu știm cum o să se întămple și va trebui teoretic să ne bazăm pe jurisprudența trecută și pe ce mai este asemănător, pe aceste opinii ale grupului de lucru. Dar sunt o grămadă de alte cazuri concrete și oamenii le ridică efectiv la întâlniri, mă întreabă lucruri concrete ce să facă într-un anumit sens, și pot să le dau niște direcții, dar nu a pus nimeni în efect respectiva situație să vadă ce se întâmplă de fapt și ce părere are autoritatea despre lucrul acela. Și problema este că tu trebuie să le implementezi acum, noi nu avem nici legea respectivă care urmează să fie aprobată de autoritate, să știm ce să se întâmple specific la nivelul României în contextul în care noi mergem înainte cu procesul de complains, va trebui să ne întoarcem înapoi și să ne uităm dacă tot ceea ce scrie legea este implementat în procesul de complains.

Lucian Bondoc: Eu nu mă aștept la unele lucruri de la acea lege. Pănă la urmă trebuie să nu ne așteptăm să ne agraveze situația. Deci aceasta ar fi așteptarea de la autoritate. Și autoritatea, cred că înțelege acest lucru. Și unul dintre aspectele care se leagă de la această lege este apropo de clasarea CNP-ul, dacă este dată cu caracter special sau nu, pentru că România în prezent face nota discordantă față de regulament pe acest aspect. Și ar fi important să fie de clasificat, ca să spun așa. În rest, nu cred că va schimba nimic și atunci este foarte important acest efort acum, pentru că în afară de aceste două mari concepte, să spun, ce înseamnă minimizarea datelor, ce este minimul necesar pentru a-mi atinge acele scopuri de prelucrare și limitarea stocării, cât timp trebuie neapărat să păstrez acele date? Restul de lucruri sunt destul de clare, aș spune eu, dar necesită un efort mare pentru o conformare, pentru că în primul rând este un efort fundamental de reorganizare a minții, pentru că multe societăți pleacă și de la ce au acum, în măsura în care eu am o bază de date unică în care îmi intră toți colegii din firmă și au acces absolut la tot ce este acolo. Întrebarea pentru o societate foarte mare care niște scopuri cu privire la care ar trebui să fie un acces mult mai restrâns este cum  și faci într-un mod eficient economic, până la urmă. Apropo de necesitatea de a schimba sistemele IT, de a face lucrurile într-un mod în care să și funcționeze după aceea. Și aici apar multe aspecte, pentru că multe societăți noi observăm că sunt întârziate chiar nu configurarea acestor scopuri. Sau tot conceptul este în jurul scopurilor prelucrărilor în funcție de aceasta apreciez ce date sunt necesare pentru acest scop, ce temei este pentru fiecare dintre scop, cât timp le țin pentru fiecare dintre scop, ce persoane au acces pentru fiecare dintre scop, cum raportez la fiecare dintre scop. Și atunci în măsura în care însăși am această întârzie chiar pe conceptul de scop și acest „scop” cum îl definesc, apare o definiție destul de diferită în piață și unele vor fi mai largi decât altele și aici va fi o primă problemă, să spun. Automat că și restul nu au cum să fie prea bine pus la punct sau fără riscuri. Desigur că mai este și acest aspect. Multe societăți comerciale sunt atât de concentrate pe business că nu văd lucruri care se întâmplă de fapt în viața lor în mod obișnuit. Ce faci când participi la un grup de lucru cu alți operatori economici pentru un proiect de lege? Ai acele date personale ale celorlalți, ai parte de societăți mari care fac activități, dau sponsorizare, ajută un caz nevoiaj. Acele date le păstrez aici, partea de posibilitate fiscală pentru una dintre ele sau nu. Iarăși sunt aspecte care se întâmplă în viața reală și de multe ori nu le vezi, pentru că sunt situații absolut banale care nu au legătură cu nimic. Primești un e-mail de la cineva: „Am vrea să vorbim despre România…”. Păstrezi acel e-mail, unde îl pui automat ca să șteargă sau nu când vei mai revizui acea problematică. Și de aceea spun  că trebuie plecat de la viața reală, de la ceea ce se întâmplă și acolo cred că ajungi la răspunsuri destul de rapid, trebuie să provoci clientul pe partea respectivă și să se înțeleagă că aceste exerciții dacă vrei să le faci bine necesită o aprofundare și un efort semnificativ. Dacă le faci formal, tot formal vor și ține.

Bogdan Dumitrache: Domnule Hodoș, cum se vede de la Târgul Mureș problema aceasta? Câte date cu caracter personal sunt acolo?

Raul Felix Hodoș: Bună seara, încă o dată. Și vă mulțumesc pentru invitație! V-am ascultat cu mare plăcere și mult interes. Ce vă pot spune este că și în provincie sunt exact ca și la București firme pe de o parte și de pe alta persoane interesate și pesoane mai puțin interesate. Cu privire la firmele interesate, bineînțeles cum s-a spus și anterior, cele care au cultura provenită din vest au și început să le aplice, vorbesc de firmele mari care deja fac implementarea din timp. Firmele cu capital românesc sau mai mici încă așteaptă să vadă ce se întâmplă. Dacă stăm și vorbim cu managerii unora sau altora vom avea diverse răspunsuri. De ce un Regulament European se aplică în mod direct? Și atunci prima parte a răspunsului pe care trebuie s-o dăm ca avocați este faptul că nu poate veni o Ordonanță de Urgență care să amâne intrarea în aplicare a Regulamentului, pe de o parte. Pe de altă parte, așteaptă să vadă ce se întâmplă efectiv cu acele amenzi care par într-o altă zonă de 20 mln. de euro cifra de afaceri. Și răspunsul bineînțeles va fi adaptat de la caz la caz în funcție de interesul pe care trebuie să-l găsească fiecare dintre acești manageri.

Bogdan Dumitrache: Senzația pe care o aveți este că fiecare dintre ei, dintre noi se gândește că poate se întâmplă la altul. Și am putea trage concluzii.

Raul Felix Hodoș: Exact, vor să vadă ce se întâmplă la celălalt. Și dacă la celălalt se întâmplă atunci poate voi apela și eu la un consultant. Un consultant care să-mi spună ce să fac. Aveam o discuție, cam pe același palier. Două hoteluri, ambele de 4*, într-unul dintre ele un personal mai tânăr și mai deschis ideii de Occident. Evident a fost foarte interesat și am și început un preaudit, celălalt din star a respins și a spus că a mai auzit de acestea, nu se întâmplă nimic. Protecția de muncă e în aceeași zonă, protecția animalelor a fost în aceeași zonă și până la urmă și protecția datelor este în același trend. Deci până la urmă se va aplica și cu siguranță va trebui va avocat să-ți convingi clientul că este spre binele lui să implementeze GDPR-ul. Acum întrebarea care s-a pun în scris este dacă e bine să fii avocat al operatorului sau avocat al persoanei vizate? Pentru a fi avocat al operatorului, lucrurile sunt puțin mai complicate în sensul în care nu poți să fii doar avocat sau cel puțin dacă ești un avocat trebuie să fii unul cu mai multe competențe, printre care competențe de natură informatică IT și competențe de natură management organizațională, pentru că știm foarte bine că în momentul în care chemăm un avocat în care să se auditeze o relație economică, o relație comercială s-ar putea să n-o mai avem. Pentru că avocatul ar elimina toate riscurile și până la urmă va spune că n-o facem. Bineînțeles că nu se pune problema să închidem afacerile și atunci cu ajutorul unui IT-ist și eventual dacă nu avem în managerul societății  o persoană cu care să putem lucra cu o altă persoană de specialitate, cu un alt mamager să încercăm să creăm acel audit care după aceea să ne conducă la elementele care trebuie implementate pentru a fi GDPR complain. Pe de altă parte ca avocat al persoanei vizate vei acționa punctual. Și atunci dacă acționezi punctual te pregătești pentru fiecare dintre cazuri în parte. Indiferent dacă este un salariat, dacă este un potențial cumpărător vizat de o compania de marketing.

Bogdan Dumitrache: Dilema persoanei vizate este ce victimă să-și aleagă dintre multipele pe care le are la dispoziție, în stadiul actual cel puțin sau cel pe care îl putem prefigura în mai 2018.

Bogdan-Petru Mihai: Eu am o viziune temporară a bunăstării, să spun așa. La început este bine să fii avocatul operatorului până termini cum complains-ul. După ce a terminat toată lumea termină cu complains-ul treci la avocatul „vânător de greșeli”.

Lucian Bondoc: Apropo de reclamații, cred că riscul principal va fi de reclamație la autoritare și amendă din partea autorității. Cel de-al doilea risc ca persoana să câștige efectiv ceva trebuie să demonstreze o pagubă și aici lucrurile cred că vor merge mult mai prost decât ar putea cineva să spere. Cei drept este că rămâne și partea de amendă în sine care poate uneori stimula o abordare de tranzacție pentru a se evita un rău mai mare, dar stric dauna persoanei fizice respective de foarte multe ori va fi discutabilă sau redusă.

Daniel-Mihail Șandru: Toate conceptele acelea deschise pe care le-ați enumerat la început după ele urmează alin (2) și aici operatorii responsabili să demonstreze această respectare.

Bogdan-Petru Mihai: Poate lucrurile sunt mai greu de demonstrat vis-a-vis de prejudiciul suportat de o persoană fizică. Viitorul e digital și de acum încolo după cum observăm din ce în ce mai pregnant sunt mai problematice aspectele din lumea virtuală. Am văzut că au apărut banii vituali, se tranzicționează miliarde cu banii virtuali. O să mutăm pe majoritatea existenței noastre pe mediul virtual. Ce se întâmplă când cuiva îi este furată identitatea on-line și cu respeciva identitate furată se întâmplă anumite lucruri prejudiciabile? Cred că există și un viitor și aici. Dacă acum probabil nu îl vedem așa de tangibil, în evoluția aceasta a lucrurilor și mai ales prin evoluția lucrurilor spre digitizarea ei va atrage și la rândul ei prejudicii din ce în ce mai mari cauzate de încălcarea drepturilor persoanelor fizice. Mai ales că este o vânătoare. Chiar astăzi am aflat, cine are Yahoo poate știe, iarăși s-au furat absolut toate conturile de mail-uri. Putem vorbi și de un prejudiciu și acolo.

Lucian Bondoc: Este o chestiune care în România vorbim, mulți ani de acum încolo nu va fi preocuparea principală și această amendă, să spun. Dar într-adevăr mai ales că și la noi se face simulări de Class Action ca să spun așa…

Bogdan-Petru Mihai: Nu cu succes, din păcate.

Lucian Bondoc: La noi nu este prevăzut ca atare. Se fac cumva exerciții care seamănă, dar nu sunt.

Daniel-Mihail Șandru: Dar și când o să reaușească…

Lucian Bondoc: Da, dar în situațiile în care au avut loc interesul peconier direct era evident. Într-o astfel de situație rămâne partea mai multe de hărțuire și chiar de război comercial. Eu cred că e mult mai probabil ca astfel de situații să fie folosite într-un război comercial indirect și decât în aspecte în care o persoană fizică este mai de capul ei. Să spunem mai puțin frustrare persoanală. Da, mă duc la autoritate și care vor fi cu siguranță și la noi în număr foarte mare. Dacă acest regulament rămâne în această formă cel puțin în România  va fi o schimbare de paradigmă pe termen lung, pentru că va avea un impact absolut în tot ce se întâmplă. Când cumperi o societate va fi extrem de important ce se întâmplă, în relații comerciale s-ar pune problema altfel, standartul în care îmi aleg partenerul comercial va trebui să integreze și faptul că acel partener comercial este în stare asigure o anumită conformare sau nu, dacă mai spune sau nu, dacă asigurările pe care ni le dă valorează ceva sau nu.

Bogdan-Petru Mihai: Întrebare! Ați spus până acum Conditions Precedent. Conformarea pentru achiziție?

Lucian Bondoc: Este un aspect care de când a apărut regulamentul îl avem în vedere.

Bogdan-Petru Mihai: Dar l-ați impus?

Lucian Bondoc: Nu, pentru că în multe situații face parte din exercițiul propriu de preluare și de integrare. Deci ca să-l pui și pe el să-l facă, de multe ori este vorba de un exercițiu cumva artificial, pentru că trebuie să ajungi la semnare în primul rând ca să știi că merită și este un cost aferent care de multe ori se duce din preț. Plus că modul în care o face, neștiind propria organizație nici nu este neapărat integrat. E o chestiune care am discutat-o cu mulți clienți ca să le arătăm că știm subiectul, dar discutând totuși la modul mai pragmatic de multe ori nu are sensul să pui astfel problema din acest motiv. Ar fi un exercițiu care s-ar deduce oricum și s-ar face într-un mod deficil de armonizat cu ce am eu în propria mea organizație și mulținațională.

Bogdan-Petru Mihai: Cert este că trebuie să faci chiar și momentul unei tranzacții măcar un review de suprafață a ceea ce se întâmplă acolo. Chiar dacă nu ajungi la complains trebuie să vezi riscurile care reies din ce se întâmplă la el acolo, pentru că sunt unii clienți care neagă cu totul că este prelucrat.

Lucian Bondoc: La tranzacții de timp MND este ușor, pentru că problema noi o ridicăm de mult timp, dar acum în activitatea de zi cu zi în care insiști pe tot felul de contracte care o să treacă dincolo de momentul mai, problema încă nu se pune cum ar trebui să se pună de foarte multe ori. Încă se merge ideea că o să alegem un termen limită la un moment dat și atunci mă uit și la un contract din februarie ca și cum m-aș uita la unul de acum doi ani. Ceea ce e puțin poate contraproductiv, însă este o chestiune pur și simplu de timp.

Bogdan-Petru Mihai: Trebuie pur și simplu luată ca și cum regulamentul s-ar aplica. E așa le văd, pentru că timpul trece și n-o să mai ai ocazia să te întorci înapoi să vezi ceea ce vezi acum, poți să le pui de acum.

Bogdan Dumitrache: Mă uitam la art. 82 alin (4) trebuie să abordăm problema și într-o conferință de Drept civil ultima, domnul Ionuț Florin Popa cred că sesizase aspectul. Această răspundere pentru întregul prejudiciu care revine operatorilor sau mai multor persoane împuternicite de operatori sau un operator și o persoană împuternicită operator care sunt implicați în aceeași operațiune de prelucrare și răspund după ce un aliniat anterior spune că operatorul este exonerat de răspundere dacă dovedește că nu este răspunzător în nici un fel pentru evenimentul care a cauzat prejudiciu. Acestea sunt două texte care teoretic nu sunt în contradicție, fiindcă ați făcut referire mai devreme la această situație în care intri în patenertiat sau intru în operări.

Lucian Bondoc: Este procesarea de carduri. Nu știu, am o bancă, un ATM care este într-un magazin ș.a.m.d., și/sau pe partea de IT în general se întâmplă foarte multe situații și acolo într-adevăr nu aș vedea un conflict direct. Ideea este că dacă am aceeași prelucrare și am mai mulți se merge pe acest principiu. Îl văd puțin periculos în practică din motivul evocat. Prejudiciul de foarte multe ori, cel puțin în România va fi un minimal al persoanei vizate în sine, problema va se pune mai mult pe riscul de amendă. Și dacă nu sunt implicați în aceeași prelucrare rămâne aplicabilă pe aliniatul de mai sus.

Bogdan-Petru Mihai: Și mai este riscul reputațional. Iarăși, pentru că una dintre sancțiuni este că trebuie să-i spui că am încălcat. Și în general, la societățile care fac din imaginea lor un bun pe piață, mai ales cele mai sunt în media, în mediul on-line care activează și fac bani din marketing n-o să-și mai dea nimeni pe mâna lor datele personale pentru a fi prelucrate, pentru că deja sunt doriți reputațional și o să-i întrebe partenerii ce diligențe au făcut cu procesatorul de date că el și-a încălcar drepturile.

Lucian Bondoc: Aici va fi un risc în primul rând chiar la consultanții care fac aceasta, să spun, pentru că dacă vor avea o problemă din punctul acesta de vedere, dar din păcate este genul de legislație unde, cred că riscul reputațional va fi ultima grijă, pentru că va fi o problemă atât de răspândită încât și valoarea acestei chestiuni va fi mai redusă.

Irina Alexe: Dar eventualele încălcări comise anterior de operator reprezintă un criteriu care este luat în considerare la individualizarea unei alte sancțiuni administrative, alte măsuri corective și e important. Mai este important și nu am discutat deloc despre conduita operatorului și despre buna lui credință, și despre toate măsurile pe care el le ia ca încălcările să nu se producă sau dacă s-au produs să limiteze efectele și la fel este foarte important rolul DPO-ului pe care dacă ai obligativitatea să-l numești și nu-l numești sancțiunea este din prima clasă până la 10 mln. de euro. Și dacă-l numești trebuie să fii atent, să vedem cine este și ce face, și trebuie vedem cum îl desemnezi. Cred că una dintre întrebările, cred că chiar următoarea se referea la acest responsabil cu protecția datelor, cât este el de important în cadrul unei organizații. Eu cred că este foarte important, dar depinde de unde îl luăm și cum îl pregătim, și ce resurse îi asigurăm, pentru că eu îl văd în cazul unei organizații, exceptând evident păstrând proporțiile, având ca aceleași misiuni administrative pe care autoritatea le are într-un stat. Adică monitorizare, consiliere, îndrumare, competențe pe care le are și autoritatea. Și ar trebui să discutăm puțin mai mult despre această instituție care nu este nou introdusă de regulament, că ea a fost prevăzută anterior și de Directivă, dar nu era obligatorie. Acum art. 37 ne spune care erau situațiile în care este obligatorie desemnarea unui DPO.

Lucian Bondoc: Lucrurile trebuie privite în dinamică. În prezent, astăzi sunt extrem de puține persoane în România care ar putea să-și asume acest rol, dar peste o lună, două lucrurile s-ar putea schimba fundamental. Știm tot felul de situații în care sunt tot felul de programe de instruire în curs și sunt persoane care vor ajunge la acest nivel destul de rapid, pentru că în care ajungi totuși la această claritate a structurii proprii în privința scopului, temeii, datelor, după aceea nu ar trebui să fie extrem de greu să te ții de ea. Va fi un efort laburios, se și vorbește dacă trebuie să am o slujbă de sine stătătoare sau part time.

Irina Alexe: Regulamentul permite și așa și așa depinde de complexitate evident.

Lucian Bondoc: Da, trebuie să fie direct, să nu aibă conflicte de interes.

Irina Alexe: Trebuie să fie independență. Avem atenție de conflictele de interese.

Bogdan-Petru Mihai: Trebuie să fie competent. Eu cred că competența este primul criteriu pe care trebuie să-i selectăm pe DPO, pentru că punem în mâna lui și one time only risc, adică a doua dacă ai greșit nu mai contează, prima oară contează. Trebuie să fim foarte atenți cu cel pe care îl desemnăm și el ține 4% din cifra noastră de afaceri sau 20 mln eventual. Chiar dacă nu în mod direct, pentru că decizia se află în mâna administratorului, este persoana care stimulează, influențează și are un rol de catalizator la nivelul societății pentru toate activitățile acestea. Eu sfătuiam ca să fie un departament în sine, adică respectivul DPO să aibă sub ordinea lui câte un reprezentat de la fiecare departament esențial, HR, marketing. Din cadrul IT, din cadrul societății care să fie responsabil și să se ocupe de prelucrările generate de propriile departamente, pentru că altfel nu poate să lucreze de unul singur, să aibe niște puncte comune, dar acestea sunt la nivel orgazițional dacă este intern, dar dacă este extern este un pic cam complicat, dar recomandarea ar fi ca pentru societățile care au multe prelucrări și un nivel de complexitate mai ridicat să fie intern.

Irina Alexe: Și eu cred la fel. Pentru operatorii care au un volum mare de date și care au ei multe activități este bine să desemneze acest DPO din rândul personalului propriu și chiar dacă nu-l au acum să-l pregătească, pentru că am văzut cu toții că este foarte important să ai încredere în el, îi dai acces absolut la tot ce înseamnă organizația ta. Deși este tentant să spui că poți să-l desemnezi pe baza uni contract de servicii, cealaltă posibilitate pe care o prevedere regulamentul, aici eu văd multe probleme, în primul rând încrederea și timpul.

Bogdan-Petru Mihai: Da, doar că aici ar putea să fie eficient pentru persoanele care nu-și permit unul desemnat și atunci poate să-i cumpere un pic de timp de la DPO, dar sfatul este chiar dacă pe regulament nu-ți trebuie un DPO tot tu să ți-l denumești, pentru că este un paravan, o interfață între tine și autoritate și persoanele vizate și îți poți organiza mai bine munca cu DPO.

Irina Alexe: Și în primul rând poate să te sfătuiască cum să faci să fie bine, adică te conformezi cu prevederile Regulamentului, chiar dacă nu este obligatorie desemnarea lui.

Lucian Bondoc: Varianta internă este de preferat  în principal și din perspectiva confidențialității, pentru că una este totuși interesele de conformare, dar să ai acces la o serie mai largă de afaceri ridică și probleme de confidențialitate. Industria bancară ridică și forme de interes bancar și atunci cred că multe companii, mai ales acele mari cred că vor privelegia aceasta, dar cred că celelate n-o să facă nici una nici alta, rămâne de văzut.

Bogdan Dumitrache: Practic o să apară o ofertă de cursuri pentru cei care o să faci DPO, disting de conferințele și cursurile actuale care-și propun să propage interesul regulament.

Irina Alexe: Trebuie să spunem că abia în noiembrie această ocupație a fost introdusă în COR în 21 noiembrie printr-un ordin comun prin Ministrul Muncii și Justiției Sociale și Președintelui NS-ului și înțelegem că sunt în derulare procedurile pentru aprobarea standului ocupațional.

Bogdan-Petru Mihai: În ceea ce privește cursurile recomand mare atenție atât operatorilor de date, cât și persoanelor care vor să meargă să facă aceste cursuri, pentru că unele sunt mai bune decât altele.

Bogdan Dumitrache: Aceasta este un risc inerent, pentru că este un fenomen de masă, nevoia de DPO este imensă și atunci riscul pe fond de cantitate…

Bogdan-Petru Mihai: Dar riscul, după cum am spus, este la nivelul operatorilor și ar trebui limitat într-un fel izvorul acesta de cursuri pe piață de slabă calitate.

Daniel-Mihail Șandru: Cele mai tari sunt sistemele care vin de la astfel de cursuri și te invită să participi.

Bogdan Dumitrache: Date cu caracter personal.

Irina Alexe: Oricum trebuie să precizăm că Regulamentul nu prevede condiții specifice de pregătire pentru DPO. Are însă niște condiții pe care le prevedere astfel încât acest DPO să trebuiască să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției…

Bogdan Dumitrache: Responsabilul cu protecția datelor este descifrat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în drepturi practicile din domeniul protecției datelor.

Irina Alexe: Da, dar este important și continuarea pe care nu ați marcat-o. Pe baza capacității să îndeplinească sarcinile prevăzute de art. 39. Pentru că la 39 avem sarcinile pe care acest DPO trebuie să le îndeplinească.

Bogdan Dumitrache: Eu m-am legat de trimiteri pe care le face ca la un studiu de specialitate. Evident, nu este vorba de așa ceva, dar atrage atenția că nu contează să ai încredere în el, trebuie să aibă în special cunoștințe în specilitate drepturi și practice în domneniul protecției datelor, ceea ce sună destul de ambițios raportat la spațiul național.

Lucian Bondoc: La sfârșitul lunii mai chiar cred că vor fi destule persoane care chiar o să aibă acest nivel de cunoștințe destul de bun. Astăzi sunt extrem de puține.

Bogdan Dumitrache: E februarie, nu trebuie să ne grăbim. Domnule Hodoș, așa un ultim cuvânt de la Târgul Mureș, poate pe ideile de discutate până acum sau pe o altă idee, pentru că subiectul mustește, subiectul nu este fertil.

Raul Felix Hodoș: Sunt foarte multe lucruri de povestit. Mă gândeam la o altă temă, cea care s-a ridicat în scris, legată de criptare. Dacă trebuie să criptăm datele, cum le criptăm, dacă mergem strict pe semnătură electronică, mergem pe criptare biometrică. Evident că la acea acest moment încă sunt multe necunoscute. Dacă este să le criptăm strict criptografic, am avea o limitare extrem de importantă a metodelor de criptare. Pe de altă parte dacă acceptăm faptul că și biometric pot fi aceste date criptate, ceea ce conform principiului neutralității tehnologice putem să aplicăm și noi această criptare biometrică, lucrurile ar fi mult mai simple. Este genul telefoanelor care se criptează cu amprentă, dacă ne referim la date biometrice sau tot în acest gen, retina, scanarea retine, vocea mai nou. Evident că datele trebuie să fie criptate. Cât de mult trebuie să fie criptate? Dacă ne gândim la faptul că până și serverul NASA care este evident foarte bine apărat a fost spart la un moment dat chiar de către un român, până la urmă în domeniul informatic respectăm faptul că sunt vulnerabili, indiferent cât de mult o facem. Ce ar trebui să urmărească autoritatea? Să ne luăm măsuri de precauție adecvate. Nu este foarte precisă și atunci trebuie să ne luăm astfel de măsuri încât să putem demonstra buna noastră credință, dorința de a respecta Regulamentul și în cazul în care totuși se întâmplă astfel de lucruri, prima și primul fapt pe care trebuie să facem este să anunțăm autoritatea de viciul pe care-l avem și să lupm măsuri în măsura în care se poate acest lucru. Sunt foarte multe lucruri de discutat și având această distanță până la dumneavoastră mi-e un pic mai greu ca să intru în discuție. Vă mulțumesc încă o dată pentru primire în mijlocul dumneavoastră și urmăresc mai departe cu la fel de mult interes. Vă mulțumesc și spor mai departe la dezbatere!

Daniel-Mihail Șandru: Firmele trebuie să-și aducă aminte că tot trebuie să încheiem cu ceva, să încheiem cu începutul. Începutul Regulamentul sună așa: Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un Drept fundamental. Deci Regulamentul se adresează sau protejează persoanele fizice, nu protejează societățile de nici o culoare spre bucuria avocaților de la această masă. Și în consecință nu este interesat câte pierderi are societate pentru datele de exemplu prelucrate înainte de 25 mai 2018. Nu este prelucrat de cât de costisitoare este operațiunea aceasta de împărțire pe scopuri și cât să meargă de departe că nimeni nu știe precis. Toată aplicarea Regulamentului care o să se facă din 25 mai 2018 se va face având în vedere centrul. Centrul atenției este persoana fizică.

Bogdan-Petru Mihai: Bazate pe niște indicii și niște indicații, sunt niște ghiduri de implementare care unul dintre motivele care ar trebui să meargă operatorii cu implementarea ar fi nivelul mare al amenzilor și uitați-vă cât de mari sunt amenzile. Deci puteți, dacă vă gândiți la o amendă de 10 mln, puteți să băgați 5 mln de euro în implementare.

Irina Alexe: Mie mi se pare că aceasta este cheia.

Lucian Bondoc: Poți s-o luăm de multe ori.

Bogdan-Petru Mihai: Cu atât este mai eficient, cu atât este mai ieftin.

Lucian Bondoc: O dată pe control.

Bogdan Dumitrache: Din ciclul a doua oară să nu se mai repete, pentru că nici nu are cum.

Bogdan-Petru Mihai: E cu atât mai ieftină. Adică îți poți lua amenda de două ori, jumate din prima amendă este foarte ieftină, când o iei de trei ori deja e gratis implementarea.

Bogdan Dumitrache: Investiția aproape cât jumătate de amendă. Aici depinde și de anvergura operatorilor. La un moment dat Regulamentul spune că sigur se poate avea îm vedere și caracterul rezonabil al cheltuielilor raportat la scopul și la dimensiunea activității.

Lucian Bondoc: Poziționat și într-o logică constructivă și acolo unde va vedea efort, acest lucru va fi recunoscut. Nu poți să tratezi la fel pe cele care chiar încearcă și probabil este dacă nu sută la sută oricum în bună parte cu unul care nu a făcut ncii un efort și unde transpare, să spun, rea credință.

Bogdan Dumitrache: Va fi sancționat cel care nu a făcut nici un efort.

Lucian Bondoc: Da, adică acolo ar trebui să fie clară prirotizarea. Pot să mai apară aceste incidente în reclamații care să schimbe puțin această logică, însă nu sunt multe scoluții și cred că este o schimbare, o filozofie pe termen lung. Aici nu sunt prea multe soluții decât de a le intregra. Cred că peste un an sau doi, sunt mai mulți o să se simtă mai confortabil cu subiectul, pentru că se va degaja și o practică, și o oarecare generalizare în piață a unor moduri de raportare ce înseamnă proporțional în anumite situații necasar cum definesc aceste scopuri și lucrurile vor intra într-o matcă. Dar revenind la exemplu poate și cu care am început cu legislația concurenței care este mai clară va fi necesară această abordare către constructivă în piață din partea autorității, lucru care nu este prea frecvent în România. Însă, în cazul acesta chiar ar fi necesar și salutare. În vestul Europei nu cred că se vor năpusti să aplice sancțiuni, ci vor urmări tipologii și partenerilor care îi deranjează.

Bogdan Dumitrache: Aș putea spune că încercând așa o conluzie de luni seara, că frică ne este doar de ceea ce este necunoscut și că respectul este o formă a fricii față de ceva de cunoaștem sau începem să cunoaștem, sau ne străduim să cunoaștem. Ceea ce înseamnă că tuturor ne este frică de GDPR deocamdată. O seară frumoasă tuturor!