Conformitatea cu GDPR implica asumarea de catre operatori a unui angajament permanent de a proteja in mod eficient datele cu caracter personal si de a respecta drepturile persoanelor vizate. Acest angajament este insotit insa de multiple provocari pe care companiile le intampina in mod frecvent in activitatea de zi cu zi. Revizuirea constanta a politicilor de prelucrare a datelor, punerea in aplicare a masurilor de securitate din ce in ce mai stricte si instruirea corespunzatoare a personalului sunt doar cateva dintre activitatile esentiale pe care orice operator de date cu caracter personal trebuie sa le aiba in vedere.

In cei cinci ani de la aparitia GDPR, s-a putut observa o crestere a gradului de complexitate a mediului economic si social, mai ales in contextul digitalizarii si adoptarii tehnologiilor avansate, astfel ca se impune o atentie sporita in ceea ce priveste masurile si practicile ce trebuie adoptate de catre organizatii, pentru a evita sanctiunile si riscul reputational.

Cadrul de reglementare

Una dintre provocarile in aceasta materie rezulta din insusi cadrul de reglementare. De la stabilirea bazelor legale pentru prelucrarea datelor, pana la implementarea principiilor privacy by design si privacy by default, companiile au nevoie de o intelegere profunda a legislatiei. In multe situatii, GDPR foloseste termeni vagi sau nedefiniti, cum ar fi „intarziere nejustificata”, „risc pentru drepturi si libertati” si „efort disproportionat”.

In mod similar, GDPR nu ofera nicio definitie a ceea ce constituie un nivel „rezonabil” de protectie a datelor cu caracter personal, oferind autoritatilor de reglementare o oarecare libertate in evaluarea nivelului de conformitate.

Astfel, se contureaza din ce in ce mai mult nevoia de revizuire a cadrului de reglementare actual sau emiterea de indrumari din partea autoritatilor de supraveghere pentru mai multa claritate.

Controale interne si monitorizare

In ultimii ani, am putut observa un progres notabil din partea organizatiilor, in special a multinationalelor care lucreaza cu volume mari de date, in aria de monitorizare a activitatilor de prelucrare si introducere de controale interne si mecanisme de verificare a conformitatii cu principiile GDPR.

Companiile trebuie sa efectueze audituri, evaluari si revizuiri periodice pentru a monitoriza si demonstra conformitatea lor. Totodata, trebuie sa fie pregatite sa gestioneze solicitarile persoanelor vizate, cum ar fi dreptul de acces, rectificare sau stergere, prin stabilirea unor proceduri interne si fluxuri de solutionare cat mai rapide si eficiente.

Gestionarea unui volum mare de cereri si mentinerea unui sistem centralizat pentru a putea urmari si raspunde acestor solicitari reprezinta o provocare suplimentara pentru organizatii.

Multe companii si-au format echipe interne sau externe de experti in domeniul protectiei datelor care au pus la punct procesele de prelucrare si au ajutat la constientizarea colectiva privind necesitatea conformarii cu regulile GDPR. Echipele interne, prin rolul lor de a monitoriza, actualiza si imbunatati in mod constant procesele interne, contribuie semnificativ la o crestere a calitatii practicilor GDPR in Romania.

Costuri ridicate de conformitate

Pentru a putea asigura conformitatea si mentine un nivel adecvat de monitorizare si control, organizatiile sunt nevoite sa ia in considerare si costurile generate de aceste activitati si sa aloce bugete importante in acest sens.

Companiile trebuie sa investeasca in sisteme performante de management al datelor, sa implementeze masuri tehnice si organizatorice de securitate eficiente impotriva atacurilor cibernetice, sa foloseasca instrumente de monitorizare a duratei de stocare a datelor si mecanisme de stergere a acestora si, nu in ultimul rand, sa asigure instruirea periodica a personalului.

Obtinerea consimtamantului valabil

O alta provocare are in vedere obtinerea din partea persoanelor vizate a consimtamantului privind prelucrarea datelor personale in anumite scopuri, intr-un mod transparent si complet informat, anterior colectarii si prelucrarii datelor lor.

Organizatiile trebuie sa se asigure ca, acolo unde prelucrarea datelor personale are loc pe baza consimtamantului persoanelor vizate, acestea l-au exprimat in mod liber, specific, informat si lipsit de ambiguitate.

Astfel, companiile trebuie sa instituie mecanisme de colectare si management al consimtamantului, asigurandu-se ca acesta este colectat si exprimat in mod valabil, precum si pastrat si utilizat in baza unor evidente clare si complete.

GDPR si AI

Inteligenta Artificiala (AI) prezinta noi provocari pentru respectarea GDPR. Sistemele de AI pot implica procese automate de luare a deciziilor care pot incalca drepturile si libertatile fundamentale ale persoanei vizate, in cazul in care aceste tehnologii nu sunt utilizate in mod corespunzator.

Conform GDPR, persoanele vizate au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. In situatiile de exceptie, atunci cand luarea acestor decizii este permisa, persoanele vizate au dreptul de a obtine interventie umana, de a-si exprima punctul de vedere si de a contesta decizia.

Acest lucru ridica provocari, deoarece functionarea unor modele de AI poate fi opaca. Sistemele de AI pot lua decizii pe care chiar si creatorii lor nu le inteleg complet, incalcand astfel principiul transparentei GDPR. De asemenea, conceptul de minimizare a datelor stabilit de GDPR si nevoia AI pentru volume mari de date sunt aparent contradictorii.

Organizatiile care intentioneaza sa foloseasca AI vor trebui sa gaseasca un echilibru intre utilizarea datelor pentru a instrui sistemele lor de AI si respectarea cerintelor GDPR pentru a proteja drepturile si libertatile fundamentale ale persoanelor vizate.

Autor: Anca Atanasiu, Avocat, Senior Managing Associate, Bancila, Diaconu si Asociatii