Conformitatea cu GDPR implică asumarea de către operatori a unui angajament permanent de a proteja în mod eficient datele cu caracter personal şi de a respecta drepturile persoanelor vizate. Acest angajament este însoţit însă de multiple provocări pe care companiile le întâmpină în mod frecvent în activitatea de zi cu zi. Revizuirea constantă a politicilor de prelucrare a datelor, punerea în aplicare a măsurilor de securitate din ce în ce mai stricte şi instruirea corespunzătoare a personalului sunt doar câteva dintre activităţile esenţiale pe care orice operator de date cu caracter personal trebuie să le aibă în vedere.
În cei cinci ani de la apariţia GDPR, s-a putut observa o creştere a gradului de complexitate a mediului economic şi social, mai ales în contextul digitalizării şi adoptării tehnologiilor avansate, astfel că se impune o atenţie sporită în ceea ce priveşte măsurile şi practicile ce trebuie adoptate de către organizaţii, pentru a evita sancţiunile şi riscul reputaţional.
Cadrul de reglementare
Una dintre provocările în această materie rezultă din însuşi cadrul de reglementare. De la stabilirea bazelor legale pentru prelucrarea datelor, până la implementarea principiilor privacy by design şi privacy by default, companiile au nevoie de o înţelegere profundă a legislaţiei. În multe situaţii, GDPR foloseşte termeni vagi sau nedefiniţi, cum ar fi „întârziere nejustificată”, „risc pentru drepturi şi libertăţi” şi „efort disproporţionat”.
În mod similar, GDPR nu oferă nicio definiţie a ceea ce constituie un nivel „rezonabil” de protecţie a datelor cu caracter personal, oferind autorităţilor de reglementare o oarecare libertate în evaluarea nivelului de conformitate.
Astfel, se conturează din ce în ce mai mult nevoia de revizuire a cadrului de reglementare actual sau emiterea de îndrumări din partea autorităţilor de supraveghere pentru mai multă claritate.
Controale interne şi monitorizare
În ultimii ani, am putut observa un progres notabil din partea organizaţiilor, în special a multinaţionalelor care lucrează cu volume mari de date, în aria de monitorizare a activităţilor de prelucrare şi introducere de controale interne şi mecanisme de verificare a conformităţii cu principiile GDPR.
Companiile trebuie să efectueze audituri, evaluări şi revizuiri periodice pentru a monitoriza şi demonstra conformitatea lor. Totodată, trebuie să fie pregătite să gestioneze solicitările persoanelor vizate, cum ar fi dreptul de acces, rectificare sau ştergere, prin stabilirea unor proceduri interne şi fluxuri de soluţionare cât mai rapide şi eficiente.
Gestionarea unui volum mare de cereri şi menţinerea unui sistem centralizat pentru a putea urmări şi răspunde acestor solicitări reprezintă o provocare suplimentară pentru organizaţii.
Multe companii şi-au format echipe interne sau externe de experţi în domeniul protecţiei datelor care au pus la punct procesele de prelucrare şi au ajutat la conştientizarea colectivă privind necesitatea conformării cu regulile GDPR. Echipele interne, prin rolul lor de a monitoriza, actualiza şi îmbunătăţi în mod constant procesele interne, contribuie semnificativ la o creştere a calităţii practicilor GDPR în Romania.
Costuri ridicate de conformitate
Pentru a putea asigura conformitatea şi menţine un nivel adecvat de monitorizare şi control, organizaţiile sunt nevoite să ia în considerare şi costurile generate de aceste activităţi şi să aloce bugete importante în acest sens.
Companiile trebuie să investească în sisteme performante de management al datelor, să implementeze măsuri tehnice şi organizatorice de securitate eficiente împotriva atacurilor cibernetice, să folosească instrumente de monitorizare a duratei de stocare a datelor şi mecanisme de ştergere a acestora şi, nu în ultimul rând, să asigure instruirea periodică a personalului.
Obţinerea consimţământului valabil
O altă provocare are în vedere obţinerea din partea persoanelor vizate a consimţământului privind prelucrarea datelor personale în anumite scopuri, într-un mod transparent şi complet informat, anterior colectării şi prelucrării datelor lor.
Organizaţiile trebuie să se asigure că, acolo unde prelucrarea datelor personale are loc pe baza consimţământului persoanelor vizate, acestea l-au exprimat în mod liber, specific, informat şi lipsit de ambiguitate.
Astfel, companiile trebuie să instituie mecanisme de colectare şi management al consimţământului, asigurându-se că acesta este colectat şi exprimat în mod valabil, precum şi păstrat şi utilizat în baza unor evidenţe clare şi complete.
GDPR şi AI
Inteligenţa Artificială (AI) prezintă noi provocări pentru respectarea GDPR. Sistemele de AI pot implica procese automate de luare a deciziilor care pot încălca drepturile şi libertăţile fundamentale ale persoanei vizate, în cazul în care aceste tehnologii nu sunt utilizate în mod corespunzător.
Conform GDPR, persoanele vizate au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. În situaţiile de excepţie, atunci când luarea acestor decizii este permisă, persoanele vizate au dreptul de a obţine intervenţie umană, de a-şi exprima punctul de vedere şi de a contesta decizia.
Acest lucru ridică provocări, deoarece funcţionarea unor modele de AI poate fi opacă. Sistemele de AI pot lua decizii pe care chiar şi creatorii lor nu le înţeleg complet, încălcând astfel principiul transparenţei GDPR. De asemenea, conceptul de minimizare a datelor stabilit de GDPR şi nevoia AI pentru volume mari de date sunt aparent contradictorii.
Organizaţiile care intenţionează să folosească AI vor trebui să găsească un echilibru între utilizarea datelor pentru a instrui sistemele lor de AI şi respectarea cerinţelor GDPR pentru a proteja drepturile şi libertăţile fundamentale ale persoanelor vizate.
Autor: Anca Atanasiu, Avocat, Senior Managing Associate, Băncilă, Diaconu şi Asociaţii
