Legea privind datele (Data Act): aspecte de luat în considerare pentru afacerea dumneavoastră

Începând cu data de 12 septembrie, modul în care datele circulă între companii, clienți și furnizori de servicii este pe cale să se schimbe, odată cu intrarea în vigoare a Legii privind datele (Regulamentul 2023/2854) în UE. Legea privind datele redefinește cine controlează informațiile generate de produsele conectate și serviciile conexe, în special în contextul IoT. Pentru companiile românești, aceasta nu este doar o altă reglementare a Bruxelles-ului, deoarece va afecta în mod direct modul în care construiți produse, negociați contracte și proiectați sistemele IT.

Scopul principal al Legii privind datele este de a oferi utilizatorilor, fie că sunt persoane fizice sau companii, un drept clar de acces și reutilizare a datelor create atunci când utilizează produse sau servicii conectate. De asemenea, obligă furnizorii de servicii cloud și alte servicii de prelucrare a datelor să faciliteze și să facă mai transparentă schimbarea furnizorului.

Cu toate acestea, nimic din toate acestea nu anulează principiile GDPR: în cazul datelor cu caracter personal, toate obligațiile GDPR rămân în vigoare. În schimb, Legea privind datele adaugă un nou nivel de obligații la cadrul existent, favorizând oportunitățile de afaceri prin creșterea concurenței pe piața reparațiilor.

Implicații practice

Pe scurt, dacă compania dvs. produce dispozitive inteligente, gestionează IoT industrial, dezvoltă aplicații legate de produse conectate sau oferă servicii cloud, atunci vă aflați în sfera de aplicare și trebuie să luați măsurile necesare pentru a vă adapta. Va trebui să:

1. Oferiți utilizatorilor acces și portabilitate: Persoanele și organizațiile care utilizează produsele dvs. trebuie să poată recupera datele pe care le generează, rapid și într-un format utilizabil, și să le direcționeze către un alt serviciu, dacă doresc.
2. Fiți transparenți de la început: Contractele și informațiile despre produse trebuie să precizeze în mod clar ce date vor fi generate, cum sunt utilizate, cine le poate vedea și în ce condiții. Surprizele după semnare nu au fost niciodată acceptabile, dar Legea privind datele consolidează acest lucru într-un mod armonizat.
3. Faceți schimbarea posibilă din punct de vedere tehnic: Nu este suficient să promiteți portabilitatea pe hârtie, deoarece va trebui să furnizați instrumente de export, să sprijiniți conversiile de format și să vă asigurați că încărcările către un nou furnizor pot avea loc fără costuri prohibitive sau întârzieri.
4. Aliniați contractele la termenii model: Comisia Europeană a publicat Termeni contractuali model (MCT) și Clauze contractuale standard (SCC) pentru partajarea datelor și serviciile cloud. Deși nu sunt obligatorii, acestea constituie un punct de referință pentru echitate. Se recomandă să le utilizați ca punct de plecare atunci când revizuiți propriile acorduri pentru a facilita relațiile contractuale.
5. Mențineți conformitatea cu GDPR în paralel: Ori de câte ori datele sunt sau ar putea fi personale din punct de vedere contextual, regulile GDPR continuă să se aplice ca de obicei. Asigurați-vă că bazele legale, drepturile persoanelor vizate și măsurile de securitate sunt integrate în orice procese noi ale Legii privind datele. Astfel de procese ar trebui documentate în mod corespunzător în registrele de activitati ale companiei dumneavoastră.
6. Protejați-vă împotriva accesului ilegal din străinătate: Chiar și pentru datele nepersonale, legea introduce măsuri de protecție împotriva cererilor guvernamentale care intră în conflict cu legislația UE. Cel mai bine este să integrați acest lucru în evaluările de risc și în politicile de transfer.

Cum să vă pregătiți in cadrul propriei firme

În primul rând, ar trebui să începeți prin cartografierea ecosistemului dvs. de date: identificați fiecare produs, senzor, aplicație și modul cloud care generează sau stochează date. Apoi, documentați în mod corespunzător unde circulă și cine poate avea acces la ele. Apoi, revizuiți contractele cu clienții, partenerii și furnizorii actuali. Acest pas vă va ajuta să semnalizați orice clauze care limitează exportul de date, impun costuri ascunse sau necesită formate proprietare.

În al doilea rând, reuniți echipele juridice, de IT și de protecție a datelor cât mai devreme posibil în cadrul proceselor. Conformitatea nu este doar un exercițiu juridic: implică proiectarea API-urilor, canalele de export, înregistrarea, criptarea, copiile de rezervă și răspunsul la incidente. Se recomandă să efectuați o migrare de probă către un alt furnizor pentru a vedea dacă sistemele dvs. oferă cu adevărat portabilitate, ceea ce puteți face cu un partener contractual actual.

În plus, nu uitați de DPO, deoarece multe companii așteaptă prea mult pentru a-și implica DO-urile în noile activități. Copierea clauzelor model fără a le adapta la ecosistemul de afaceri sau neținând cont de separarea seturilor de date, fie ele personale sau nu, este, de asemenea, ceva ce îndrumările unui DPO pot remedia. O altă greșeală pe care companiile tind să o facă este să considere că „exportul” este un simplu clic pe un buton, când de fapt acesta necesită procese testate.

În cele din urmă, trebuie să urmăriți cu atenție modul în care autoritățile române desemnă organismele de aplicare și emit orientări. Chiar dacă Legea privind datele este direct aplicabilă, autoritățile de reglementare locale vor juca probabil un rol important. Dacă vă mențineți la curent, veți putea să vă adaptați înainte de apariția problemelor, iar colaborarea cu responsabilul cu protecția datelor și echipele de conformitate vă va asigura alinierea atât la obiectivele de afaceri, cât și la RGPD și la noutățile Legii privind datele.

Concluzie

Legea privind datele poate reprezenta o provocare, cu obligații suplimentare, dar și o oportunitate. Companiile pot utiliza noile funcționalități în avantajul lor competitiv, iar nivelul suplimentar de transparență și cerințele contractuale pot fi considerate atât o povară, cât și un avantaj. GDPR ne-a oferit un cadru de referință în materie de confidențialitate, iar acum Legea privind datele se bazează pe acesta.

Pentru companiile din România, recomandarea este să nu considere cele două legi ca obligații concurente, ci mai degrabă ca instrumente complementare: în timp ce GDPR protejează persoanele fizice și drepturile acestora, Legea privind datele clarifică drepturile și obligațiile întreprinderilor în ceea ce privește accesul la date.

Ana Combei

Junior Privacy & Data Protection Consultant