GDPR, de la aniversare la reformă: Modificările propuse recent la regulament ar reprezenta un nou capitol pentru protecția datelor în UE

Articol scris de Adela Nuță, Managing Associate.

În centrul acestor propuneri se află intenția de a simplifica anumite obligații procedurale prevăzute de GDPR, fără a atenua, însă, substanța drepturilor garantate persoanelor vizate. Potrivit estimărilor Comisiei, măsurile avute în vedere ar putea conduce la economii anuale de aproximativ 400 de milioane de euro pentru întreprinderile europene - un impact semnificativ într-un climat economic caracterizat prin presiuni inflaționiste și costuri operaționale în creștere.

Una dintre cele mai relevante modificări propuse vizează eliminarea obligației de a ține evidențe ale activităților de prelucrare pentru microîntreprinderile și întreprinderile mici care nu desfășoară prelucrări cu risc ridicat. În forma actuală, această obligație impune o sarcină disproporționată pentru entități care, deși sunt supuse regulilor GDPR, nu operează volume de date sau activități care să justifice un nivel ridicat de documentare. Astfel, o abordare diferențiată, în funcție de riscul concret al prelucrării, ar reflecta o mai bună aplicare a principiului proporționalității.

În acest context apreciem că a fost relevantă reacția comună a Comitetului European pentru Protecția Datelor (EDPB) și a Autorității Europene pentru Protecția Datelor (EDPS), exprimată într-o scrisoare adresată Comisiei la 8 mai 2025. Cele două autorități au salutat în mod preliminar această inițiativă de simplificare, subliniind, însă, că este necesară o evaluare atentă a impactului acestor modificări asupra organizațiilor vizate, în special asupra celor cu mai puțin de 500 de angajați. Cu toate acestea, instituțiile menționate au atras și atenția asupra riscului ca o relaxare excesivă a obligațiilor de documentare să afecteze indirect aplicarea altor dispoziții din GDPR, în absența unui cadru de monitorizare corespunzător. Totodată, EDPB și EDPS au accentuat importanța menținerii unui echilibru între interesul legitim al întreprinderilor de a reduce sarcinile administrative și dreptul fundamental la protecția datelor.

Alte modificări prevăzute în pachetul propus includ simplificarea notificării privind desemnarea responsabilului cu protecția datelor (DPO), printr-o procedură standardizată la nivelul UE, precum și digitalizarea completă a formularisticii aferente interacțiunii cu autoritățile de supraveghere. Se prefigurează astfel un cadru normativ mai agil, în care interoperabilitatea procedurală între autoritățile naționale să devină regula, nu excepția, iar aplicarea GDPR să beneficieze de o mai mare eficiență instituțională.

Este de remarcat, în acest sens, și propunerea de standardizare digitală a formularelor utilizate în relația cu autoritățile de protecție a datelor, măsură care va facilita comunicarea transfrontalieră, va reduce timpii de procesare și va contribui la o aplicare mai coerentă a regulamentului în întregul spațiu european. Este un pas esențial în direcția consolidării unui veritabil spațiu comun de protecție a datelor, în care cooperarea între autoritățile naționale să fie nu doar posibilă, ci și funcțională efectiv.

Aceste propuneri se înscriu în inițiativa mai largă a Comisiei intitulată „Relief Package”, care vizează reducerea sarcinilor administrative în mai multe domenii ale dreptului Uniunii, fără a compromite obiectivele de reglementare. Ele reflectă un efort de recalibrare legislativă, adaptat atât lecțiilor învățate în cei șapte ani de aplicare a GDPR, cât și realităților digitale în continuă evoluție.

Privind retrospectiv, cei șapte ani de aplicare a GDPR au adus nu doar un nou standard global în materie de protecție a datelor, ci și multiple provocări de ordin practic și juridic. Au fost stabilite premisele unei guvernanțe a datelor bazate pe transparență, responsabilitate și control individual, dar au apărut și dificultăți în ceea ce privește aplicarea uniformă, cooperarea transfrontalieră între autorități sau răspunsul la evoluțiile tehnologice rapide generate, între altele, de inteligența artificială. Tot în acest interval, s-au succedat decizii esențiale ale Curții de Justiție a Uniunii Europene (precum invalidarea mecanismelor de transfer internațional de date), au fost pronunțate sancțiuni istorice (inclusiv împotriva unor platforme digitale dominante), iar cadrul transatlantic de transfer de date a fost renegociat sub presiunea unor realități geopolitice în schimbare.

Așadar, aniversarea GDPR în 2025 nu este doar un moment simbolic, ci și un prilej de revizuire pragmatică. În măsura în care propunerile Comisiei vor fi adoptate, perioada următoare se va distinge printr-o nouă etapă de aplicare a normelor de protecție a datelor - una mai eficientă, mai prietenoasă pentru operatori, dar la fel de fermă în apărarea drepturilor fundamentale ale persoanelor fizice.