Autor: Anca Atanasiu, Avocat, Senior Managing Associate, Băncilă, Diaconu şi Asociaţii

Conformitatea cu GDPR implică asumarea de către operatori a unui angajament permanent de a proteja în mod eficient datele cu caracter personal și de a respecta drepturile persoanelor vizate. Acest angajament este însoțit însă de multiple provocări pe care companiile le întâmpină în mod frecvent în activitatea de zi cu zi. Revizuirea constantă a politicilor de prelucrare a datelor, punerea în aplicare a măsurilor de securitate din ce în ce mai stricte și instruirea corespunzătoare a personalului sunt doar câteva dintre activitățile esențiale pe care orice operator de date cu caracter personal trebuie să le aibă în vedere.

În cei cinci ani de la apariția GDPR, s-a putut observa o creștere a gradului de complexitate a mediului economic și social, mai ales în contextul digitalizării și adoptării tehnologiilor avansate, astfel că se impune o atenție sporită în ceea ce privește măsurile și practicile ce trebuie adoptate de către organizații, pentru a evita sancțiunile și riscul reputațional.

Cadrul de reglementare

Una dintre provocările în această materie rezultă din însuși cadrul de reglementare. De la stabilirea bazelor legale pentru prelucrarea datelor, până la implementarea principiilor privacy by design și privacy by default, companiile au nevoie de o înțelegere profundă a legislației. În multe situații, GDPR folosește termeni vagi sau nedefiniți, cum ar fi „întârziere nejustificată”, „risc pentru drepturi și libertăți” și „efort disproporționat”.

În mod similar, GDPR nu oferă nicio definiție a ceea ce constituie un nivel „rezonabil” de protecție a datelor cu caracter personal, oferind autorităților de reglementare o oarecare libertate în evaluarea nivelului de conformitate.

Astfel, se conturează din ce în ce mai mult nevoia de revizuire a cadrului de reglementare actual sau emiterea de îndrumări din partea autorităților de supraveghere pentru mai multă claritate.

Controale interne și monitorizare

În ultimii ani, am putut observa un progres notabil din partea organizațiilor, în special a multinaționalelor care lucrează cu volume mari de date, în aria de monitorizare a activităților de prelucrare și introducere de controale interne și mecanisme de verificare a conformității cu principiile GDPR.

Companiile trebuie să efectueze audituri, evaluări și revizuiri periodice pentru a monitoriza și demonstra conformitatea lor. Totodată, trebuie să fie pregătite să gestioneze solicitările persoanelor vizate, cum ar fi dreptul de acces, rectificare sau ștergere, prin stabilirea unor proceduri interne și fluxuri de soluționare cât mai rapide și eficiente.

Gestionarea unui volum mare de cereri și menținerea unui sistem centralizat pentru a putea urmări și răspunde acestor solicitări reprezintă o provocare suplimentară pentru organizații.

Multe companii și-au format echipe interne sau externe de experți în domeniul protecției datelor care au pus la punct procesele de prelucrare și au ajutat la conștientizarea colectivă privind necesitatea conformării cu regulile GDPR. Echipele interne, prin rolul lor de a monitoriza, actualiza și îmbunătăți în mod constant procesele interne, contribuie semnificativ la o creștere a calității practicilor GDPR în Romania.

Costuri ridicate de conformitate

Pentru a putea asigura conformitatea și menține un nivel adecvat de monitorizare și control, organizațiile sunt nevoite să ia în considerare și costurile generate de aceste activități și să aloce bugete importante în acest sens.

Companiile trebuie să investească în sisteme performante de management al datelor, să implementeze măsuri tehnice și organizatorice de securitate eficiente împotriva atacurilor cibernetice, să folosească instrumente de monitorizare a duratei de stocare a datelor și mecanisme de ștergere a acestora și, nu în ultimul rând, să asigure instruirea periodică a personalului.

Obținerea consimțământului valabil

O altă provocare are în vedere obținerea din partea persoanelor vizate a consimțământului privind prelucrarea datelor personale în anumite scopuri, într-un mod transparent și complet informat, anterior colectării și prelucrării datelor lor.

Organizațiile trebuie să se asigure că, acolo unde prelucrarea datelor personale are loc pe baza consimțământului persoanelor vizate, acestea l-au exprimat în mod liber, specific, informat și lipsit de ambiguitate.

Astfel, companiile trebuie să instituie mecanisme de colectare și management al consimțământului, asigurându-se că acesta este colectat și exprimat în mod valabil, precum și păstrat și utilizat în baza unor evidențe clare și complete.

GDPR și AI

Inteligența Artificială (AI) prezintă noi provocări pentru respectarea GDPR. Sistemele de AI pot implica procese automate de luare a deciziilor care pot încălca drepturile și libertățile fundamentale ale persoanei vizate, în cazul în care aceste tehnologii nu sunt utilizate în mod corespunzător.

Conform GDPR, persoanele vizate au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. În situațiile de excepție, atunci când luarea acestor decizii este permisă, persoanele vizate au dreptul de a obține intervenție umană, de a-și exprima punctul de vedere și de a contesta decizia.

Acest lucru ridică provocări, deoarece funcționarea unor modele de AI poate fi opacă. Sistemele de AI pot lua decizii pe care chiar și creatorii lor nu le înțeleg complet, încălcând astfel principiul transparenței GDPR. De asemenea, conceptul de minimizare a datelor stabilit de GDPR și nevoia AI pentru volume mari de date sunt aparent contradictorii.

Organizațiile care intenționează să folosească AI vor trebui să găsească un echilibru între utilizarea datelor pentru a instrui sistemele lor de AI și respectarea cerințelor GDPR pentru a proteja drepturile și libertățile fundamentale ale persoanelor vizate.

Autor: Alex Milcev, Liderul departamentului de Asistenţă fiscală şi juridică, EY România

O simplă căutare pe Google după General Data Protection Regulation (GDPR) arată, în mai puțin de 50 de secunde, aproape 700 de milioane de rezultate (a se citi „pagini”), ceea ce este un bun indiciu nu doar despre complexitatea subiectului, ci și despre gradul de interes al jucătorilor din piață, fie companii, fie persoane fizice. Pentru că este vorba, pe de o parte, de protejarea datelor și a informațiilor din și despre companie, într-o piață puternic concurențială, iar, pe de altă parte, despre siguranța datelor personale, oferite și utilizate în diferite circumstanțe.

Lucrurile dobândesc o și mai mare anvergură când vine vorba despre fluxurile financiare ale companiilor – intrări și ieșiri de active – bănești, digitale și materiale, bazate pe contracte comerciale. Totul înseamnă date, iar tot ceea ce înseamnă date în timpurile actuale și, mai ales big data presupune obligatoriu măsuri de siguranță, confidențialitate, protecție.

Am putea aprecia, fără nicio exagerare, că, din punct de vedere financiar, implementarea normelor GDPR scutește compania de potențiale neplăceri de pe urma nerespectării acestora, fie din neștiință, fie din rea-voință. Iar înainte de amenzi și penalizări, sunt procesele costisitoare în instanță, pe care le pot deschide terți (persoane fizice sau juridice) pentru a-și apăra integritatea datelor folosite abuziv sau fără acordul lor precis exprimat.

Regulile generale de protecție a datelor au fost adoptate și, ca urmare, impuse în Uniunea Europeană, în anul 2016. Potrivit programului gradual de implementare, România a trebuit să se conformeze regulamentului european începând cu anul 2018.

Vorbim despre o istorie scurtă, chiar la nivelul UE, dar plină de evenimente neplăcute, care s-au concretizat în amenzi absolut amețitoare, inclusiv în România. Și, pentru că cei mai la îndemână pentru autorități – în cazul României vorbim despre Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) – de a fi subiectul unui control sunt întotdeauna marii jucători, amenzile au mers către companii importante din piață, inclusiv către bănci. Mai mult, într-un clasament anual al țărilor în care s-au aplicat amenzi pentru încălcarea Regulamentului, România figura, în anul 2021, pe locul trei, după Italia și Ungaria.

Este foarte posibil ca mediul economic local, mai ales companiile românești mici și mijlocii, să nu fi luat încă foarte în serios ideea că adoptarea unei politici interne coerente de aplicare și conformare pe regulile europene GDPR este absolut obligatorie și depășește cadrul strict al unei cheltuieli prevăzute în bugetul companiei, fie cu o soluție GDPR, fie cu un angajat care să fie format și să se ocupe exclusiv de acest aspect în cadrul companiei (data protection officer – DPO).

Exemplele amenzilor pentru nerespectarea regulilor de protecție a datelor – fie că este vorba despre date interne (financiare sau ale angajaților) sau externe (ale clienților/partenerilor/acționarilor) – ar trebui să dea de gândit oricărui coordonator de business, fiind de preferat o investiție în pachetul de protejare a datelor prelucrate de companie, în locul unei penalizări drastice pentru neconformare.

Implementarea prevederilor GDPR este, de fapt, o investiţie care poate să ducă la creșterea profitabilității, astfel cum reiese dintr-un studiu al companiei CISCO dat publicității: peste 40% din organizațiile intervievate au beneficii de cel puțin două ori mai mari, decât cheltuielile lor realizate cu implementarea conformităţii GDPR.

Cel puțin la fel de important ca însăși adoptarea uneia sau alteia dintre cele două variante rămâne premisa de la care orice top manager sau owner al unei companii trebuie să pornească: oricine, oricând poate face obiectul unui control al autorității. Cu alte cuvinte, să nu se bazeze nimeni pe ideea că autoritatea NU va ajunge să controleze respectarea normelor GDPR.

Tocmai de aceea, sunt de avut în vedere trei mari aspecte din această perspectivă: analiza cost versus beneficii a implementării și respectării regulilor GDPR în companie; analiza consecințelor pe termen lung a nerespectării regulamentului GDPR, din punct de vedere al notorietății, imaginii și al relațiilor de business în domeniul de activitate al companiei; poziționarea ca lider și impunerea conduitei de conformare în respectarea regulilor GDPR în sectorul de activitate al fiecăruia.

La primul punct, este vorba despre decizia de a implementa regulile, a le monitoriza și a face update-urile de conformitate pe parcursul anului, astfel încât la evaluarea anuală să existe cât mai puține puncte de neconformare. Dacă, într-un anumit interval, stabilit de echipa de control, compania nu rezolvă aspectele constatate ca fiind în neregulă, urmează sancțiunile.

Vorbim aici despre creșterea eficienței activității, a vânzărilor și a veniturilor companiei – ceea înseamnă amortizarea cheltuielilor cu implementarea unei formule de GDPR, indiferent care ar fi aceasta: externalizată ori printr-un DPO intern.

Prin urmare, atenție la: monitorizarea periodică și actualizarea proceselor de business din companie, astfel încât să respecte normele GDPR, concomitent cu monitorizarea noutăților în standardele GDPR, tocmai pentru ca fluxurile interne de lucru și relația cu terții să fie conforme cu acestea.

Nu mai puțin importantă este educarea personalului prin traininguri în domeniul protecţiei datelor, astfel încât echipa să înţeleagă și să aplice întocmai regulile în acest domeniu, pentru a evita incidente nedorite, care duc la amenzi și penalizări.

——————–

Notă: Conform datelor din sondajul companiei CISCO, în perioada 2018 – 2021, în Uniunea Europeană amenzile aplicate pentru nerespectarea regulilor GDPR, au crescut constant, de la 436.000 euro, pentru anul 2018, la 72 milioane euro pentru anul 2019, 171 milioane euro pentru anul 2020, după care anul trecut s-a ajuns la 1 miliard euro, record absolut.

Autori:

• Daniel Vinerean, Avocat Senior Coordonator, D&B David și Baias
• Andrei Niculescu, Avocat Colaborator, D&B David și Baias

Comitetul European pentru Protecția Datelor (EDPB) propune un nou ghid pentru calcularea amenzilor aplicabile în cazul încălcărilor prevederilor GDPR, care ar putea conduce la creșterea nivelurilor acestora, pe de o parte, și la posibilitatea anticipării scenariului de amendă aplicabil, pe de altă parte. Ghidul se află în dezbatere publică până la 27 iunie.

Deși intenția declarată a EDPB este de a asigura aplicarea unitară a prevederilor GDPR de către autoritățile de supraveghere europene, ghidul nu este obligatoriu și cuprinde principii și mecanisme orientative de individualizare a sancțiunilor. Autoritățile naționale de supraveghere au libertatea de a aplica acest ghid sau de a utiliza o metodologie similară. În plus, anumite prevederi ale ghidului nu sunt aplicabile în cazul în care legislația națională prevede un regim sancționator diferit pentru autoritățile publice (așa cum se întâmplă, de altfel, în România).

În ciuda acestor limitări, ghidul propus de EDPB prezintă detaliat principiile de analiză și sancționare a posibilelor încălcări ale GDPR și este de așteptat ca autoritățile de supraveghere naționale să aplice recomandările acestei autorități europene.

Este deja cunoscut faptul că GDPR se aplică oricărei entități care prelucrează date cu caracter personal, indiferent de mărime, obiect de activitate, volum de date cu caracter personal prelucrate sau orice alte criterii asemănătoare. Prin urmare, EDPB consideră că este echitabil ca diferențele de mărime și evident, putere financiară, dintre entitățile care trebuie să respecte și să aplice GDPR, să fie reflectate prin aplicarea unui punct comun de plecare în individualizarea amenzilor, respectiv cifra de afaceri.

Astfel, ghidul stabilește mai multe praguri ale cifrei de afaceri în funcție de care autorităților naționale de supraveghere le este recomandabil să procedeze la individualizarea și aplicarea amenzilor administrative în temeiul GDPR, respectiv:

• pentru entitățile cu o cifră de afaceri mai mică sau egală cu 2 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 0.2% din cifra de afaceri;
• pentru entitățile cu o cifră de afaceri mai mică sau egală cu 10 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 0.4% din cifra de afaceri;
• pentru entitățile cu o cifră de afaceri mai mică sau egală cu 50 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 2% din cifra de afaceri;
• pentru entitățile cu o cifră de afaceri cuprinsă între 50 de milioane de euro și până la 100 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 10% din cifra de afaceri;
• pentru entitățile cu o cifră de afaceri cuprinsă între 100 de milioane de euro și până la 250 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 20% din cifra de afaceri;
• pentru entitățile cu o cifră de afaceri de peste 250 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 50% din cifra de afaceri.

Ca regulă, principiul statuat de EDPB este că valoarea amenzii este mai mare în cazul entităților cu cifră de afaceri mai mare, motivat cel mai probabil de faptul că, în cazul acestor entități, prelucrările de date cu caracter personal afectează într-o măsură mai mare drepturile și libertățile persoanelor vizate.

Trebuie precizat că aceste niveluri de la care se poate pleca cu ocazia individualizării amenzii nu reprezintă sume fixe, mai ales că GDPR nu indică un cuantum minim al amenzilor care pot fi aplicate. În plus, autoritățile de supraveghere pot să stabilească cuantumul amenzii într-un interval cuprins între minimul posibil (care poate fi chiar zero, dacă nu sunt aplicate pragurile minime recomandate de EPDB, așa cum am arătat mai sus) și maximul admisibil.

Investigarea în cinci pași a încălcărilor GDPR. Ghidul este redactat pornind de la principiul că amenzile administrative aplicate în temeiul GDPR trebuie să fie eficace, proporționale și disuasive. Ca atare, abordarea EDPB indică cinci pași care ar trebui urmați de autoritățile de supraveghere atunci când investighează o posibilă încălcare a prevederilor legale aplicabile în materia protecției datelor cu caracter personal sancționabilă conform GDPR, respectiv:

• identificarea activităților de prelucrare incidente situației analizate și evaluarea aplicabilității prevederilor GDPR privind încălcările sancționabile, precum și stabilirea existenței intenției de încălcare, respectiv a neglijenței entității investigate;
• identificarea bazei legale de aplicare a amenzii prin raportare la încălcările prevăzute de GDPR, respectiv dacă fapta este sancționată cu amendă de 10 milioane de euro sau 2% din cifra de afaceri globală sau, dimpotrivă cu amendă de 20 milioane de euro sau 4% din cifra de afaceri globală, stabilirea gradului de pericol și raportarea la cifra de afaceri a entității investigate;
• evaluarea circumstanțelor agravante sau a celor atenuante, analizând comportamentul trecut sau prezent al entității investigate, cu consecința creșterii, respectiv a diminuării corespunzătoare a amenzii;
• stabilirea cuantumului maxim al amenzii, indiferent dacă încălcarea este rezultatul uneia sau a mai multor activități de prelucrare; și
• analizarea caracterului eficace, proporțional și disuasiv al amenzii finale, cu posibilitatea creșterii, respectiv a diminuării acesteia în mod corespunzător.

Așadar, înainte de stabilirea efectivă a cuantumului amenzii, autoritățile de supraveghere trebuie să analizeze circumstanțele de fapt ale încălcării și să procedeze la încadrarea într-una dintre situațiile sancționate de GDPR. În concret, circumstanțele de fapt pot reprezenta o singură încălcare sau mai multe, în această din urmă situație fiind posibilă aplicarea unei amenzi a cărei valoare nu poate depăși cuantumul maxim prevăzut de GDPR pentru cea mai gravă încălcare.

Urmare a evaluării naturii, gravității și duratei încălcării, dar și a caracterului său intenționat sau neglijent, GDPR impune autorităților de supraveghere să analizeze eventualele circumstanțe agravante sau atenuante aplicabile situației de fapt. Astfel de circumstanțe pot include:

• orice acțiuni întreprinse de entitatea investigată pentru a reduce prejudiciile cauzate persoanelor vizate;
• gradul de responsabilitate cu privire la măsurile tehnice și organizatorice implementate;
• eventualele încălcări anterioare;
• gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale acesteia;
• modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere;
• modul în care entitatea a dus la îndeplinire măsurile dispuse de autoritatea de supraveghere cu privire la încălcarea investigată;
• aderarea la coduri de conduită adecvate sau la mecanisme de certificare aprobate;
• orice alte circumstanțe agravante sau atenuante.

Dacă, în cazul stabilirii cuantumului minim de la care autoritățile de supraveghere ar trebui să pornească cu ocazia individualizării amenzii, ghidul face propuneri concrete de procente aplicabile, în cazul circumstanțelor agravante sau atenuante, nu sunt indicate nici modalități concrete de evaluare, dar nici procente clare care ar putea fi aplicate. Prin urmare, stabilirea cuantumului final al amenzii va ține seama de toate elementele analizate în cursul investigației, aprecierea finală aparținând autorității de supraveghere competente.

Fără îndoială, cele succint prezentate anterior sunt de natură să creeze o practică unitară la nivelul autorităților de supraveghere europene în contextul investigării și sancționării încălcărilor GDPR cel puțin din perspectiva nivelurilor minime de la care ar trebui să plece cu ocazia stabilirii amenzilor finale. Rămâne însă de văzut cum va evolua conținutul ghidului propus de EDPB în această etapă de consultare publică. Un lucru este însă cert, intenția de reglementare a modului în care sunt investigate și sancționate încălcările GDPR reprezintă o preocupare la nivel european, scopul urmărit fiind de a asigura finalitatea corespunzătoare a regulilor aplicabile domeniului protecției datelor cu caracter personal.

Autor: Alina Făniță, CEO PKF Finconta

Avansul tehnologic și hiperconectivitatea reformulează criteriile care definesc încrederea în companii. Mediul online propagă mesajele cu o viteză fără precedent. Furtul datelor sau comportamentele frauduloase, atunci când apar, nu mai sunt o chestiune rezolvată doar intern de companii. Opinia publică este tot mai bine informată și are repere tot mai solide cu privire la comportamentele inacceptabile sau la protejarea datelor cu caracter personal.

Ca să gestioneze riscul și să construiască încredere, directorii financiari ai marilor companii sunt preocupați de două aspecte:

1. Integrarea tehnologiilor avansate de data analytics pentru gestionarea riscului, volatilității și pentru respectarea cadrului de reglementare.
2. Reanalizarea abordărilor consacrate în contextul avansului rapid al tehnologiei și modificarea regulilor și a normelor din business. Astfel normele legislative și standardele contabile devin subiectul readaptărilor ca răspuns la aceste schimbări.

Colaborarea dintre diversele funcțiuni ale companiei este esențială în era conectivității

Echipele care reușesc să colaboreze trans-organizațional obțin două beneficii majore:

1. Ajung la înțelegerea mai clară a corelației dintre risc și managementul informației de business. De aceea abordarea integrată a guvernanței informației oferă răspuns la cerințele legislative precum standardele internaționale sau legislația UE.
2. Reușesc gestionarea volumelor de date în creștere fără să piardă înțelegerea și controlul asupra tipului de informație și locului unde este stocată. În condițiile GDPR companiile sunt expuse riscului de a nu putea identifica date pe care să le șteargă, așa după cum prevede acest regulament.

Gestionarea provocărilor noilor tehnologii se face cu atenție sporită pentru securitatea datelor

Companiile se confruntă cu obstacole semnificative în implementarea de noi sisteme inovatoare. Preocupările cu privire la securitatea informațiilor din cloud sunt obstacolul numărul unu în calea inovării tehnologice în domeniul serviciilor financiare.

Avansul tehnologiei și creșterea volumelor de informații ar trebui să dea companiilor șansa să se întrebe dacă informațiile pe care le prezintă echipelor de audit intern și consiliului de administrație au evoluat în conformitate progresul tehnologic. În fond, calitatea dezbaterii și a luării deciziilor la nivelul top managementului depinde și de eficacitatea supravegherii modului în care aceasta își derulează activitatea.

Deoarece controalele interne, conformitatea și cultura organizațională, precum și prevenirea fraudei sunt din ce în ce mai importante, echipele de audit și consiliile de supraveghere caută oameni cu competențe de analiză a bazelor de date.

Calitatea superioară a datelor și noile tehnologii deschid o nouă eră a guvernanței corporative

Tehnologiile avansate de data analytics nu doar ajută funcția financiară să performeze diferit, dar aduc și mai multă valoare adăugată și furnizează încredere tuturor factorilor implicați în ce privește informația non-financiară. Acestea oferă o imagine în timp real, la costuri reduse, cu un control automat care diminuează riscurile.

În loc de concluzie

Echipele performante care fac raportarea se bazează pe date de diferite tipuri și valorifică progresele tehnologice. Acestea oferă informații de calitate părților interesate, cu responsabilități decizionale, ca să-și îndeplinească rolul. Membrii consiliului de administrație folosesc aceste date istorice, dar și predictive, ca să aibă o înțelegere completă a cadrului în care decid.

Gestionarea datelor ca un bun strategic al companiei, tranziția gândirii financiare către integrarea noilor tehnologii și provocarea structurilor de conducere tradiționale pentru a accepta schimbarea de paradigmă ar trebui să preocupe companiile dacă vor să aibă și în viitor cadrul în care să decidă în cât mai mare cunoștință de cauză.

* * *

Despre PKF Finconta

De peste 24 de ani, PKF Finconta este una dintre principalele 10 firme de servicii profesionale din România. Ca membri ai PKF International Ltd. suntem parte dintr-o rețea internațională de firme independente din punct de vedere legal, care oferă consultanță și audit oriunde în lume.Grupul PKF Finconta este format din patru societăți cu capital românesc: PKF Finconta, PKF Finconta Consultanță, PKF Finconta HR și Finconta Consulting SPRL, membre ale organismelor profesionale naționale CECCAR, CAFR, CCFR și UNPIR. Prin intermediul acestora oferim servicii de audit financiar, analiză financiară corporativă, consultanță fiscală, întocmirea dosarului prețurilor de transfer, servicii de contabilitate, salarizare, resurse umane, insolvență, auditarea fondurilor nerambursabile și due diligence de achiziții.

În contextul discuțiilor recente de la nivel europeanpe tema protejării drepturilor în online, inclusiv a drepturilor de autor și a intereselor consumatorilor în contextul cumpărăturilor pe internet (ex, geo-blocking¹), se prefigurează o tendință tot mai accentuată de reglementarea activităților din online.

Publicitatea pe internet este azi un element cheie de influențare a preferințelor consumatorilor. În lipsa unor reglementări specifice, obligațiile și restricțiile aplicabile jucătorilor de pe această piață sunt neclare și pot genera confuzie în rândul comercianților activi pe această piață.

În lipsa unor reglementări specifice în acest sector, evident, se vor aplica regulile generale privind publicitatea², precum și legislația incidentă care vizează comerțul online, comunicările electronice și protecția consumatorilor. GDPR-ul joacă, de asemenea, un rol important.

Cu toate acestea, organizațiile profesionale cu rol de auto-reglementare în domeniul publicității (precum Interactive Advertising Bureau Romania și Romanian Advertising Council) au luat inițiativa și au venit în întâmpinarea industriei stabilind bune practici în domeniu, obligatorii pentru membrii lor.

Care sunt însă cele mai importante reguli pe care ar trebui să le aibă în vedere orice jucător care alege publicitatea on-line ca mod de promovare a serviciilor sau produselor sale?

Reguli generale aplicabile în domeniul publicității

Obligații și interdicții în cazul publicității online. Ca principiu de bază, publicitatea online trebuie să fie decentă, corectă și să fie elaborată în spiritul responsabilității sociale, fiind interzisă prin lege publicitatea înșelătoare sau subliminală (ex. publicitatea care prejudiciază respectul pentru demnitatea umană și morala publică, discriminează, aduce prejudicii imaginii, demnității și vieții particulare a persoanelor sau exploatează credulitatea sau frica persoanelor).

Pentru evitarea oricărui dubiu, orice afirmație care nu poate fi probată poate fi calificată drept publicitate înșelătoare, iar persoana responsabilă sancționată cu amendă cuprinsă între 3.000 și 30.000 RON. Dacă activitatea este considerată practică comercială înșelătoare în relația cu consumatorul, comerciantul poate fi sancționat cu amendă cuprinsă între 5.000 și 100.000 RON.

Restricții suplimentare. De asemenea, în ceea ce privește publicitatea pentru anumite categorii de produse sau servicii (ex. produse din tutun, băuturi alcoolice, arme, substanțe stupefiante și medicamente, produse sau servicii destinate minorilor), legislația și regulamentele platformelor de publicitate online (ex. Google, Facebook) impun o serie de restricții suplimentare în funcție de tipul produsului.

Restricții specifice pentru publicitate prin email. Totodată, legislația în vigoare prevede restricții clare cu privire la publicitatea prin intermediul e-mail-urilor: (i)obligația obținerii consimțământului expres, prealabil, al destinatarului pentru primirea acestui tip de comunicări; (ii) respectarea condițiilor cu privire la subiect și conținut (ex. mesajul să fie ușor identificabil drept comunicare comercială, subiectul mesajului trebuind să înceapă prin cuvântul “PUBLICITATE” scris cu majuscule); (iii) obligația ca persoana în numele căreia sunt făcute comunicările comerciale să fie clar identificată (prin includerea datelor de identificare și de contact).

GDPR și publicitatea (Cazul Google)

Efectele GDPR în domeniul online au fost aduse recent în atenție, atunci când autoritatea de supraveghere a prelucrării datelor cu caracter personal din Franța (CNIL³) a sancționat Google cu o amendă de 50 de milioane de euro pentru două tipuri de încălcări în legătură cu serviciile de publicitate online și anume: (i) încălcarea obligațiilor de transparență și informare și (ii) încălcarea obligației de a avea un temei legal pentru prelucrare (în speță, lipsa consimțământului valabil cu privire la publicitatea personalizată).

Pentru o înțelegere mai bună a celor două tipuri de abateri considerate de CNIL ca fiind încălcări ale reglementărilor din domeniul protecției datelor cu caracter personal, vom sumariza mai jos aspectele relevante reținute în acest caz de autoritatea de reglementare din Franța.

Încălcarea obligației de informare. În esență, autoritatea a considerat că informațiile esențiale privind prelucrarea datelor cu caracter personal sunt răspândite în mod excesiv în numeroase documente, fiind necesari pași multipli pentru a ajunge la informația relevantă. CNIL a stabilit totodată că operațiunile de prelucrare sunt intruzive și masive în special datorită numărului de servicii oferite, cantității și naturii datelor prelucrate și combinate.

Încălcarea obligației de a obține consimțământul. Autoritatea a considerat că Google nu a obținut consimțământul în mod valabil deoarece utilizatorii nu au fost informați suficient, iar consimțământul nu este specific și neechivoc. Deși utilizatorul poate modifica unele dintre opțiunile asociate contului (ex. afișare reclame personalizate) în momentul creării acestuia, acest proces implică numeroși pași, iar afișarea reclamelor personalizate este preselectată. Utilizatorul trebuie să accepte Termenii și Condițiile pentru servicii Google și procesarea datelor sale cu caracter personal conform Politicii de Confidențialitate a Google pentru crearea contului, consimțământul fiind astfel dat global pentru toate operațiunile de prelucrare efectuate, nu în mod specific pentru fiecare scop.

Concluziile cazului Google. Cazul Google subliniază cel puțin trei idei:

• Informarea persoanelor vizate trebuie să fie efectuată într-un mod concis, ușor accesibil și ușor de înțeles, utilizând un limbaj simplu și clar;
• Temeiului legal al prelucrării trebuie identificat corespunzător și comunicat într-un mod clar și neechivoc;
• În cazul în care prelucrarea datelor cu caracter personal se face în temeiul consimțământului, acesta trebuie să fie suficient de informat, specific și neambiguu.

Având în vedere lipsa unei practici solide a autorităților din România în urma intrării în vigoare a GDPR, concluziile cazului Google ar putea reprezenta un fundament și pentru comercianții români astfel încât să își poată structura modul de comunicare și de asigurare a acceptului din partea potențialilor clienți.

Importanța deciziei pentru companii – cazul Facebook. Decizia CNIL este totodată importantă mai ales în considerarea faptului că multe dintre campaniile de publicitate online se desfășoară prin intermediul platformelor oferite de Google și Facebook. Deși, în cazul de față, sancțiunea a fost aplicată doar Google, nu se poate exclude o potențială sancționare, în alte situații, și a utilizatorilor platformelor de publicitate online.

În acest sens, amintim faptul că, într-o cauză soluționată în 2018¹în baza unor prevederi din legislația anterioară similare celor din GDPR, Curtea de Justiție a Uniunii Europene a stabilit că administratorul unei pagini Facebook pentru fani are, împreună cu Facebook, calitatea de operator cu privire la datele cu caracter personal ale vizitatorilor paginii sale, putând fi și el sancționat.

Motivarea deciziei în cazul Facebook. Curtea a explicat că, pentru crearea unei pagini Facebook pentru fani, administratorul său stabilește anumiți parametri (în funcție, printre altele, de audiența sa țintă și de obiective de promovare ale activităților sale) extrem de relevanți pentru statisticile realizate ca urmare a vizitelor efectuate de fani pe pagina respectivă. Folosind filtrele oferite de către Facebook, administratorul definește criteriile pe baza cărora trebuie să fie întocmite aceste statistici și poate chiar să desemneze categoriile de persoane ale căror date cu caracter personal vor fi exploatate de către Facebook. Acesta poate obține date privind audiența sa țintă (ex. date demografice, informații privind comportamentul de cumpărare online al vizitatorilor paginii sale, categoriile de produse sau servicii care îi interesează), date pe care le poate folosi pentru eficientizarea elaborării de promoții speciale și direcționarea mai bună a ofertei de informații.

Bune practici în materia publicității

Așa cum menționăm mai sus, în Romania există o serie de organisme de auto-reglementare în materia publicității online ce vin să suplinească (într-o oarecare măsură) lipsa unor reglementări specifice.

Organisme de auto-reglementare. Legislația în materie de publicitate și comerț online menționează posibilitatea de autocontrol a activităților în domeniu prin intermediul unor organizații profesionale cu rol de auto-reglementare, cum sunt IAB Romania (Interactive Advertising Bureau Romania) și RAC (Romanian Advertising Council). Deși regulile acestor entități pot fi impuse doar membrilor acestora, ele constituie bune practici în domeniul publicității.

IAB Romania a publicat standarde și recomandări vizând diferite tipuri de publicitate, inclusiv publicitatea prin intermediul e-mailului, un ghid de vizibilitate pentru publiciști și bune practici pentru publicitatea comportamentală.

RAC are ca obiectiv declarat crearea și dezvoltarea unui sistem etic de autocontrol în domeniul publicității, în spiritul concurenței loiale, care să asigure protecția consumatorilor și interesul public general împotriva consecințelor negative ale publicității. Membrii RAC au elaborat Codul de Practică în Comunicarea Comercială, un set de reguli etice pentru publicitatea online și comunicările comerciale, și își propun să o extindă și către alți jucători din domeniu.

În încheiere, punctăm un alt aspect foarte important în relația dintre jucătorii de pe piața publicității online, și anume răspunderea fiecăruia în cadrul relațiilor ce iau naștere între aceștia.

Răspunderea pentru publicitate. În mod frecvent, activitatea de publicitate pe internet este externalizată către o companie afiliată sau către un terț. Întrucât autorul, realizatorul de publicitate și reprezentantul legal al mijlocului de difuzare (ex., pagina web) răspund solidar cu persoana care își face publicitate în cazul încălcării obligațiilor legale, modalitatea în care actorii de pe piața publicității își reglementează contractual răspunderea și ghidurile de bune practici la care aderă aceștia capătă o importanță deosebită.

În considerarea celor expuse mai sus, reiterăm recomandarea de a reglementa contractual în mod clar obligațiile și responsabilitățile fiecărei părți. Totodată, subliniem necesitatea de a acorda atenție respectării obligațiilor impuse de GDPR, cu atât mai mult cu cât sancțiunile pentru nerespectarea acestora se pot ridica la un nivel relativ mare aplicat la cifra de afaceri a contravenientului.

Autor: Claudia Grosu, Avocat, Radu și Asociații SPRL

[1] Regulamentul (UE) 2018/302 al Parlamentului European și al Consiliului din 28 februarie 2018 privind prevenirea geoblocării nejustificate și a altor forme de discriminare bazate pe cetățenia sau naționalitatea, domiciliul sau sediul clienților pe piața internă și de modificare a Regulamentelor (CE) nr. 2006/2004 și (UE) 2017/2394, precum și a Directivei 2009/22/CE

[2] De exemplu, Legea 148/2000 privind publicitatea, Legea 158/2008 privind publicitatea înșelătoare și publicitatea comparativă

[3] Commission Nationale de l’Informatique et des Libertés

[4] Hotărârea Curții (Marea Cameră) din 5 iunie 2018 în Cauza Wirtschaftsakademie Schleswig‑Holstein (C‑210/16)

Deşi implementarea şi respectarea regulamentului GDPR cade, de obicei, în grija unei persoane desemnate sau a unei echipe, toţi angajaţii din companie vor trebui să fie puşi la curent cu noile norme. Când vine vorba de GDPR în IT, miza este destul de mare, având în vedere cantitatea considerabilă de date preluate şi prelucrate în mod constant.

Chiar şi o mică neglijenţă sau neatenţie poate avea consecinţe deosebit de grave cu privire la nivelul de securitate al datelor sensibile. Deoarece persoanele desemnate să aibă grijă de implementarea regulamentului ştiu ce au de făcut, breşa de securitate poate exista în rândul angajaţilor. Iată ce trebuie făcut pentru a te asigura că nu vor exista probleme.

Toţi angajaţii trebuie să fie informaţi cu privire la noile norme de securitate

Atâta timp cât o persoană activează în cadrul companiei dumneavoastră, trebuie să fie mai mult decât conştientă de existenţa noilor norme de securitate în ceea ce priveşte datele cu caracter personal. Puteţi opta pentru servicii GDPR în acest sens, aducând în cadrul companiei persoane care vor informa corect toţi angajaţii dumneavoastră. GDPR Advisors este o companie de consultanţă GDPR care oferă acest tip de servicii, aşadar nu ezitaţi să solicitaţi ajutor adecvat. Atunci când informarea este făcută de persoanele potrivite, procesul este mai scurt şi eficient, astfel încât toată lumea îşi reia activitatea cât mai curând cu putinţă.

Ce trebuie un angajat să ştie?

Orice angajat trebuie să cunoască modalitatea corectă de autentificare şi delogare în şi din sistemele folosite de companie. O operaţiune de acest gen efectuată greşit sau ignorată poate crea breşe de securitate.

Dacă se utilizează aplicaţii, angajaţii trebuie să ştie cum şi când acestea se folosesc. Trebuie determinate aplicaţiile pentru care este permisă operarea de date cu caracter personal, iar lista va trebui înmânată fiecărui angajat.

Dacă utilizaţi filtre pentru traficul realizat pe Internet sau ce privesc folosirea e-mail-ului, aveţi grijă să spuneţi angajaţilor că acest lucru se întâmplă şi scopul pentru care aceste filtre sunt folosite. Filtrarea este recomandată pentru că sporeşte securitatea, nepermiţând clonarea website-urilor pentru a putea obţine informaţii din interiorul lor.

Este recomandat să monitorizaţi şi modul în care calculatoarele din cadrul companiei sunt folosite, astfel încât să puteţi găsi erorile atunci când ele se întâmplă. Dar, acest lucru este unul ce trebuie adus şi la cunoştinţa angajaţilor. Ei trebuie să ştie că echipamentele pe care le folosesc sunt monitorizate, din motive de securitate şi respectare a GDPR-ului.

Dacă supravegheaţi birourile cu camere web sau aveţi access la conversaţiile, atât telefonice cât şi pe chat, între angajaţi, asiguraţi-vă că toată lumea ştie despre aceste lucruri. Compania dumneavoastră poate face astfel de monitorizări atunci când vine vorba de sporirea securităţii şi calitatea proceselor din cadrul companiei. Aşadar, angajaţii trebuie să înţeleagă că nu e vorba de spionaj sau monitorizare a persoanelor, ci doar măsuri sporite de protecţie care vor ajuta la găsirea sursei problemelor, dacă şi când acestea vor avea loc.

În cazul în care angajaţii dumneavoastră primesc dispozitive mobile şi au voie să le folosească în afara companiei, aduceţi-le la cunoştinţă modalitatea în care le pot folosi. De asemenea, ar fi ideal să criptaţi astfel de dispozitive, atfel încât să nu existe scurgeri accidentale de date.

Învăţaţi angajaţii să folosească parole adecvate şi ce înseamnă o parolă de încredere. Instruiţi-i şi cu privire la utilizarea memoriilor de tip flash, a USB-urilor, şi a conexiunilor Bluetooth. Dacă există o politică de backup în cadrul companiei, şi angajaţii trebuie să ştie despre ea şi cum se face un backup de date corect.

Alte recomandări

O autentificare bazată pe doi factori, în loc de unul singur, este mai sigură, în cazul în care parola setată ajunge să fie compromisă.

Ar trebui puse la punct procedure special pentru cazurile în care compania angajează sau se desparte de un angajat, pentru că şi aici vorbim de managementul datelor cu caracter personal, iar GDPR-ul trebuie respectat şi în cazul persoanelor ce lucrează într-o companie, nu doar pentru persoanele din exteriorul instituţiei.

Nu este deloc recomandat ca mai mulţi utilizatori să folosească acelaşi tip de user şi parolă pentru a se loga la un sistem. În cazul în care o problem va apărea, va fi greu să determinaţi cine este responsabil. Pe lângă acest aspect, folosirea aceluiaşi user şi aceleaşi parole pentru toata lumea va face sistemul vulnerabil.

Concluzie

Menţineţi o evidenţă clară a tipurilor de acces pe care le permiteţi în companie, cu cine şi la ce tip de informaţie sau sistem are acces. De asemenea, setaţi limitări şi nu oferiţi cheile de acces decât persoanelorautorizate.

Sursa: GDPR Advisors 

Prima generație de responsabili cu protecția datelor cu caracter personal, data protection officer, a susținut examenul de absolvire în data de 19 octombrie la București în fața comisiei de examinare. Aceștia au finalizat programul de formare profesională organizat PwC România împreună cu societatea de avocatură D&B David și Baias, cu sprijinul Academiei PwC.

A doua generație este programată vineri, 9 noiembrie 2018, pentru examenul de absolvire în urma căruia participanții vor dobândi certificate de absolvire emise de Ministerului Muncii și Justiției Sociale și de Ministerului Educației Naționale.

Cursul a fost susținut de formatori cu experiență în aplicarea practică a principiilor Regulamentului privind protecția datelor cu caracter personal (GDPR) și de experți în securitate cibernetică. Materialele prezentate în cadrul cursului îmbină pregătirea teoretică cu cea practică și ating atât aspecte de natură juridică, cât și tehnică.

De-a lungul celor două sesiuni de pregătire care au avut loc până la acest moment participanții au fost ajutați să înțeleagă noțiunile și principiile cu care operează Regulamentul General de Protecție a Datelor. Un accent deosebit a fost pus pe latura practică a activității specifice unui responsabil cu protecția datelor.

„Iată-ne la finalul celei de-a doua sesiuni a cursului și în fața perspectivei de a organiza lunar câte o astfel de sesiune. Succesul de până acum se datorează modului pragmatic și aprofundat în care am înțeles să abordăm formarea participanților. Am acordat prioritate situațiilor practice asociate poziției de DPO și am împărtășit din experiența noastră acumulată în cele peste 50 de proiecte legate de implementarea prevederilor Regulamentului General de Protecție a Datelor”, a declarat Manuela Guia, Partener, Liderul echipei dedicate domeniului protecției datelor cu caracter personal din cadrul D&B David și Baias.

„Suntem încântați că putem vorbi deja de două generații de cursanți pregătiți de către echipele noastre de specialiști. Poziția de responsabil cu protecția datelor cu caracter personal are atât valențe tehnice cât și de cunoaștere și aplicare a legislației în acest domeniu. Acesta este motivul pentru care viitorii specialiști în acest domeniu vor fi un element deosebit de important în orice organizație. Dacă ar fi să numesc o caracteristică a viitorului DPO, aceea ar fi abilitatea de a lucra cu concepte tehnice și juridice, în același timp, dar și să reușească implementarea unor proceduri din ambele domenii astfel încât informațiile cu care lucrează organizațiile să fie în permanentă siguranță” a declarat Mircea Bozga, Partener, Liderul departamentului de Risk Assurance, PwC România.

Cursul a fost susținut, din partea D&B David și Baias, de către Cătălina Ilie și Daniel Vinerean, avocați seniori, specializați în domeniul protecției datelor cu caracter personal. Secțiunea tehnică a cursului a fost predată de Robert Stoicescu, Senior Manager, PwC România și Alin Raicu, Manager, PwC România, amândoi specializați în securitate informatică.

PwC Romania a programat următoarea sesiune a cursului pentru data de 19 noiembrie 2018. Absolvenții vor primi în urma cursului certificate de absolvire emise de Ministerul Muncii şi Justiției Sociale şi a Ministerului Educației Naționale.

Mai multe detalii privind cursul de responsabil cu protecția datelor organizat de PwC România şi D&B David și Baias sunt disponibile în secțiunea de aici a Academiei PwC.

Despre D&B David și Baias

D&B David și Baias este societatea de avocatură afiliată PwC în România și este parte din rețeaua internațională PwC Legal, care cuprinde 3000 de avocați în 90 de țări. Echipa D&B David și Baias este alcătuită din 50 de avocați (dintre care 4 parteneri) și acordă consultanță și asistență juridică societăților locale și multinaționale în domenii precum: fuziuni, achiziții și restructurări, societăți comerciale și grupuri de societăți, proprietăți imobiliare, concurență și ajutoare de stat, servicii financiare și piețe de capital, relații de muncă și resurse umane, proprietate intelectuală, protecția consumatorului și a datelor cu caracter personal, litigii fiscale și comerciale.

Mai multe informații pe www.david-baias.ro.

Despre PwC

Scopul PwC este de a construi încredere în sânul societății și de a contribui la rezolvarea unor probleme importante. Firmele din rețeaua PwC ajută organizațiile și indivizii să creeze valoarea adăugată de care au nevoie. Suntem o rețea de firme prezentă în 158 de țări cu mai mult de 236.000 de specialiști dedicați oferirii de servicii de calitate de audit, consultanță fiscală și consultanță pentru afaceri. Spuneți-ne care sunt lucrurile importante pentru dumneavoastră și descoperiți mai multe informații despre noi vizitând site-ul www.pwc.ro.

• Ciprian Păun
  O reformă care se lasă așteptată
  Evoluţii fiscale recente
• Bianca Danciu
  Costurile excendentare ale îndatorării – reguli fiscale noi începând cu 1 ianuarie 2018.  De la teorie la practică
• Mirela Păunescu 
  Impozitarea tranzacțiilor cu monedă virtuală în cazul societăților românești care aplică IFRS
• Gabriel Biriș 
  Paper Consult sau cum nu poți repara un rău cu un alt rău
• Luisiana Dobrinescu 
  Taxarea inversă, facilitate și responsabilitate
• Ioana Maria Costea, Despina Martha Ilucă 
  Buna-credință în colectarea TVA. Noi dimensiuni rezultate din hotărârea pronunțată în cauza Paper Consult
• Andrei Ștefănescu
  Rolul facturii fiscale în cadrul raporturilor juridice contractuale
• Horațiu Sasu 
  Cooperarea administrativă în materie fiscală la nivelul UE și (ne)respectarea Regulamentului GDPR
• Ionița Cochințu
  Tariful de utilizare și tariful de trecere pe rețeaua de drumuri naționale din România –  cadrul legal și aspecte jurisprudențiale
• Jurisprudență fiscală națională
  Viorel Terzea – Sinteză de jurisprudență fiscală națională privind angajarea răspunderii solidare  în materie fiscală (partea a II-a)
  
• Jurisprudența fiscală a instanțelor europene
  Sinteza hotărârilor în materie fiscală pronunțate de Curtea de Justiție a Uniunii Europene  în perioada mai – iunie 2018 
  

• 38% dintre executivii din 55 de țări declară că practicile legate de corupție sunt larg răspândite în mediul de afaceri
• România percepută cu un nivel mai scăzut al corupției față de anul trecut
• Nivelurile mitei și ale corupției pe piețele emergente sunt de două ori mai ridicate decât cele de pe piețele dezvoltate
• 20% dintre respondenții cu vârsta până în 35 de ani ar fi dispuși să ofere bani pentru a câștiga sau a păstra o afacere

Practicile legate de mită și corupție nu au mai înregistrat nicio o ameliorare la nivel global încă din 2012, în ciuda intensificării, fără precedent, a activității de investigare și control și a introducerii unor noi legi privind răspunderea penală a companiilor în această perioadă, se arată în EY Global Fraud Survey. Ajuns la a cinsprezecea ediție, studiul sondează percepțiile a 2.550 de directori executivi din 55 de țări.

38% dintre executivii de la nivel global consideră că mita și corupția au rămas prezente în mediul de afaceri, deși autoritățile de reglementare și agențiile de aplicare a legii au impus penalități de peste 11 miliarde de dolari din 2012 până în prezent.

Niveluri de percepție ale corupției mai ridicate pe piețele emergente. România soluționează unele probleme.

Diferența dintre nivelurile de percepție ale corupției dintre țări rămâne semnificativă, 20% dintre respondenții de pe piețele dezvoltate indică faptul că mita și corupția se produc pe scară largă în afaceri, comparativ cu mai mult de jumătate (52%) dintre cei de pe piețele emergente.

Conform rezultatelor sondajului, România este în prezent plasată sub media globală, cu 34%. Trebuie remarcat faptul că percepția a scăzut de la 36% cât înregistra în sondajul de anul trecut, dar rezultatul este încă departe de media scorului  țărilor dezvoltate, de 20%. “Sondajul care a captat răspunsul participanților români de-a lungul ultimilor 6 ani arată  îmbunătățiri vizibile ale percepției privind corupția în țară. România este un studiu de caz important pentru UE cu privire la modul în care măsurile instituționale abordează corupția “, subliniază  liderul Serviciului de Investigare a Fraudelor și al Disputelor (FIDS) din EY România, Kenan Burcin Atakan.

Regiunile în care se consideră că riscurile de corupție sunt ridicate, cu valori mai mari decât media globală, sunt Europa Centrală și de Est (47%), Orientul Mijlociu (62%) și America Latină (74%), în ciuda îmbunătățirii legislației anticorupție și a intensificării acțiunilor de combatere a acesteia în anumite țări.

Există o discrepanță între intenție și performanță

Integritatea se află pe ordinea de zi a echipelor de conducere, iar 97% dintre respondenți recunosc importanța integrității organizației lor. Cu toate acestea, se observă o discordanță între intențiile organizațiilor și comportamentul real. 13% dintre respondenți spun că ar fi dispuși să ofere bani pentru a câștiga sau a păstra o afacere. Acest procent se ridică la 20% în rândul celor care au sub 35 de ani (1 din 5 respondenți, comparativ cu unul din opt respondenți cu vârsta peste 35 de ani).

În acest context, organizațiile trebuie, pe de o parte, să clarifice la nivel intern faptul că a acționa corect intră în responsabilitatea fiecărui angajat, iar a implementa un program de responsabilizare, de sus în jos pe linie ierarhică, în care să implice angajații – intră în responsabilitatea managementului.

22% dintre respondenți consideră că a avea o conduită etică ține de fiecare individ, în timp ce 41% spun că intră în responsabilitatea conducerii companiei.

În privința gestionării abaterilor, 78% dintre respondenți au declarat că organizațiile lor sancționează aceste practici, însă, doar 57% au auzit de cazuri în care anumiți angajați au fost penalizați.

Un management eficient al implementării unor standarde etice trebuie să-i includă însă și pe terți – cei care acționează în numele organizației, potrivit raportului. În prezent, analizarea afacerii unei terțe părți nu pare să reprezinte o prioritate, doar 59% dintre respondenți spun că au o abordare bazată pe identificarea riscurilor și pe un proces de verificare a integrității în rândul terților.

Conformarea la prevederile GDPR

Noul Regulament al UE privind protecția generală a datelor (GDPR) are deja și va continua să aibă un impact semnificativ asupra oricărei organizații care colectează, procesează, folosește și stochează datele cu caracter personal ale cetățenilor UE, ca parte a activității lor zilnice. Ca atare, companiile ar trebui nu doar să fie conștiente de dispozițiile GDPR, ci să le înțeleagă profund, împreună cu noile drepturi pe care le va avea persoana vizată, urmând un model și o strategie holistică, concentrându-se asupra următoarelor domenii: conformitatea legislativă, mediul juridic domestic și internațional, precum și securitatea IT.

La întrebarea în ce măsură companiile lor cunosc prevederile GDPR, 38% dintre respondenții români au răspuns pozitiv. Acest nivel de conștientizare se apropie de media globală de 40%, dar este mai scăzut decât media țărilor dezvoltate și a celor din Europa Centrală și de Est, de 54%, respectiv 42%.

“Afacerile românești nu sunt încă pregătite să se conformeze cu prevederile GDPR. În timp ce instituțiile financiare și companiile mari au luat măsuri pentru a se conforma noii legislații, întreprinderile locale ar trebui să își reconsidere punctul de vedere începând de astăzi, cu mai puțin de o lună înainte de punerea în aplicare”,  susține Kenan Burcin Atakan, liderul FIDS România.

Ca urmare a digitalizării pieței și a dezvoltării tehnologice extrem de rapide, companiile continuă să se confrunte cu un număr tot mai mare de atacuri cibernetice, inițiate fie de atacatori individuali, fie de rețele de crimă organizată și de grupări teroriste. Atunci când se produc breșe de securitate, acestea pot avea un puternic impact asupra operațiunilor, ceea ce ar putea duce la pierderi operaționale mari și la generarea unor riscuri semnificative din perspectiva conformității cu prevederile GDPR.

Participanții la sondaj sunt de părere că atacurile cibernetice reprezintă al doilea cel mai mare risc pentru afaceri după mediul macroeconomic, cu 38% răspunsuri pozitive.

Kenan Burcin Atakan, liderul FIDS România evidențiază faptul că ”digitalizarea pieței, combinată cu investițiile scăzute în securitatea informatică, pot expune companiile la pierderi semnificative rezultate din activități frauduloase”.

****

Despre studiu

În perioada octombrie 2017 –  ianuarie 2018, agenţia  de  cercetări  globale  de  piaţă  Ipsos MORI a  desfăşurat 2.550 de interviuri în 55 de țări, în limba locală a statelor respective. Eșantionul a fost conceput astfel încât să acopere punctele de vedere ale executivilor responsabili cu combaterea fraudei, în mod special directori financiari, manageri de conformitate, directorii departamentelor juridice și ai departamentelor de audit. În cadrul acestui raport, piețele emergente au inclus: Argentina, Bulgaria, Brazilia, Chile, China, Columbia, Croația, Cipru, Republica Cehă, Hong Kong, Egipt, Estonia, Ungaria, India, Iordania, Israel, Kenya, Letonia, Lituania, Malaesia, Mexic, Nigeria, Oman, Polonia, România, Rusia, Arabia Saudită, Serbia, Singapore, Slovacia, Slovenia, Africa de Sud, Turcia, Emiratele Arabe Unite, Ucraina, Ungaria.

Piețele dezvoltate au fost considerate: Australia, Austria, Belgia, Canada, Danemarca, Finlanda, Franța, Germania, Grecia, Irlanda, Italia, Japonia, Luxemburg, Olanda, Norvegia, Noua Zeelandă, Portugalia, Spania, Suedia, Elveția și Marea Britanie și Statele Unite ale Americii.

  ****

Despre EY România

EY este una dintre cele mai mari firme de servicii profesionale la nivel global, cu 250.000 de angajaţi în peste 700 de birouri din 150 de ţări şi venituri de aproximativ 31,4 miliarde de USD în anul fiscal încheiat la 30 iunie 2017. Reţeaua noastră este cea mai integrată la nivel global iar resursele din cadrul acesteia ne ajută să le oferim clienţilor servicii prin care să beneficieze de oportunităţile din întreaga lume. În România, EY este liderul de pe piaţa serviciilor profesionale încă de la înfiinţare, în anul 1992. Cei 770 de angajaţi din România şi Republica Moldova furnizează servicii integrate de audit, asistenţă fiscală, asistenţă în tranzacţii şi servicii de asistenţă în afaceri către companii multinaţionale şi locale. Avem birouri în Bucureşti, Cluj-Napoca, Timişoara, Iaşi şi Chişinău. EY România s-a afiliat în 2014 singurei competiții de nivel mondial dedicată antreprenoriatului, EY Entrepreneur Of The Year. Câștigătorul ediției locale reprezintă România în finala mondială ce are loc în fiecare an în luna iunie la Monte Carlo. În finala mondială se acordă titlul World Entrepreneur Of The Year. Pentru mai multe informaţii, vizitaţi pagina noastră de internet: www.ey.com

Biriş Goran societate aflată în topul avocaturii româneşti și PrivacyOne, cabinet specializat în consultanţă juridică în domeniul protecţiei datelor personale, anunţă că îşi vor uni forţele pentru a oferi servicii consolidate de consultanță în materie de protecția datelor cu character personal. Zona de expertiză a PrivacyOne – axată în prezent pe alinierea la noul Regulament de protecţie a datelor cu caracter personal – vine să completeze portofoliul de servicii Biriş Goran cu o cunoaştere în profunzime a subiectului GDPR.

“Experienţa îndelungată a Andreei Lisievici (PrivacyOne) în domeniul protecţiei datelor personale, consultanţa de înaltă calitate în domeniul GDPR, precum şi modul de gândire şi prioritizare a consultanţei pe care o oferă, sunt foarte asemănătoare cu valorile care ne ghidează pe noi, la Biriş Goran” – a declarat Gabriel Biriş, partener fondator al casei de avocatură, unul dintre cei mai buni specialişti în fiscalitate la ora actuală. “Gândim la fel şi sunt convins de faptul că piaţa de consultanţă va reacţiona pozitiv la valoarea adăugată pe care această colaborare o va aduce clienţilor noştri“, a completat Gabriel Biriş.

La rândul ei, Andreea Lisievici crede că parteneriatul nou creat va sprijini efortul PrivacyOne de a livra la cea mai înaltă calitate şi că beneficiarii acestuia – clienţii ambelor companii – vor aprecia produsele de consultanţă integrate oferite în această manieră. “Am muncit mult ca să ajungem la nivelul de excelenţă pe care l-am atins, iar Privacy One se afla meritoriu la nivelul la care este cotată astăzi. Am găsit în Biriş Goran un partener ideal venit la cel mai bun moment cu putinţă, şi vom putea astfel aduce clienţilor noştri plusul de atenţie de care aceştia au nevoie.” a declarat Andreea Lisievici. “Portofoliul de clienţi PrivacyOne, compus din nume mari ale pieţei româneşti, va beneficia nu doar de servicii de aliniere şi implementare a noilor reglementări cu privire la protecţia datelor cu caracter personal, ci de întreaga noastră capacitate în toate domeniile consultanţei juridice de afaceri.”

****

Andreea Lisievici este partener al PrivacyOne, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate şi este un trainer și lector experimentat.

Biriş Goran este o societate de avocatură de business înființată în 2006 și are o echipă formată din peste 35 de avocați. Biriș Goran oferă o gamă largă de servicii cu accent pe domenii precum: fiscalitate și taxe, tranzacții imobiliare, drept societar, fuziuni și achiziții, concurență, litigii, proprietate intelectuală, IT&C și protecția datelor, dreptul muncii, finanțări, precum și restructurări și insolvență.

Ariile de practică ale Biriș Goran sunt incluse frecvent printre cele mai bune din țară de publicații precum Chambers Europe și European Legal 500.