by office

News19 January 20260 comments

Legal Expert Review: Noua Lege privind Protecția Datelor cu Caracter Personal

La 25 iulie 2024, Parlamentul Republicii Moldova a adoptat Legea nr. 195/2024 privind protecția datelor cu caracter personal („Legea nr. 195/2024”). Legea nr. 195/2024 va înlocui actualul cadru instituit prin Legea nr. 133/2011 și va deveni aplicabilă începând cu august 2026.

Noua reglementare transpune, în mod substanțial, Regulamentul (UE) 2016/679 („GDPR”) și reprezintă una dintre cele mai ample reforme legislative cu impact direct asupra activității companiilor care prelucrează date cu caracter personal în Republica Moldova sau în legătură cu persoane aflate pe teritoriul acesteia.

Un cadru normativ aliniat standardelor UE

Legea nr. 195/2024 instituie un cadru normativ structurat, construit pe arhitectura GDPR, care reglementează, inter alia, obligațiile operatorilor și ale persoanelor împuternicite, drepturile persoanelor vizate, regimul transferurilor de date cu caracter personal, precum și situațiile specifice de prelucrare, tratate distinct de regulile generale. Prin această structură, legislația națională este adusă într-o aliniere reală cu standardele Uniunii Europene, depășind abordarea formalistă a cadrului anterior și integrând mecanismele esențiale de aplicare a protecției datelor.

Responsabilitatea operatorului de date și demonstrarea conformității

Un element central al Legii nr. 195/2024 îl constituie consacrarea expresă a responsabilității operatorului de date, inclusiv obligația acestuia de a demonstra respectarea principiilor prelucrării datelor. Din perspectivă practică, aceasta se reflectă în:

• obligația de a ține evidențe ale activităților de prelucrare;
• efectuarea evaluărilor de impact asupra protecției datelor (DPIA) pentru prelucrările cu risc ridicat;
• implementarea unor măsuri tehnice și organizatorice adecvate;
• desemnarea unui responsabil cu protecția datelor (DPO), în cazurile prevăzute de lege;
• clarificarea raporturilor dintre operatori de date, operatori asociați și persoane împuternicite.

Domeniul de aplicare și impactul asupra companiilor străine

Legea nr. 195/2024 reglementează în mod expres domeniul de aplicare teritorială, preluând modelul GDPR. Astfel, aceasta se aplică nu doar operatorilor stabiliți în Republica Moldova, ci și operatorilor care nu au sediu local, atunci când prelucrarea este legată de oferirea de bunuri sau servicii persoanelor aflate în Republica Moldova sau monitorizarea comportamentului acestora.

Pentru grupurile internaționale, aceste prevederi pot genera obligații suplimentare, inclusiv desemnarea unui reprezentant în Republica Moldova și revizuirea fluxurilor de date transfrontaliere.

Transferurile internaționale de date

Regimul transferurilor de date cu caracter personal este reglementat într-un capitol distinct și este aliniat mecanismelor prevăzute de GDPR. Legea consacră principiul general al transferurilor internaționale și reglementează, în mod expres, deciziile de adecvare, garanțiile adecvate, regulile corporatiste obligatorii, precum și derogările aplicabile și cooperarea internațională.

Rolul autorității de supraveghere și mecanismele de control

Legea nr. 195/2024 consacră un capitol separat Centrului Național pentru Protecția Datelor cu Caracter Personal („Centrul”). Misiunea Centrului este de a supraveghea și monitoriza aplicarea legislației privind protecția datelor, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice.

În acest context, Legea nr. 195/2024 detaliază:

• procedurile de examinare și investigare aplicabile în cazul unor presupuse încălcări ale regimului de protecție a datelor;
• regimul de sancționare, incluzând sancțiuni pecuniare și procedura de aplicare a amenzilor pentru încălcări ale legislației privind protecția datelor. În funcție de natura și gravitatea încălcării, amenzile pot ajunge până la 1.000.000 MDL sau, în cazul întreprinderilor, până la 1% din cifra de afaceri anuală, respectiv până la 2.000.000 MDL sau până la 2% din cifra de afaceri anuală, luându-se în calcul valoarea cea mai mare. Legea prevede, totodată, un mecanism de aplicare progresivă a sancțiunilor în primii ani de la intrarea sa în vigoare, însă, în cazul unor încălcări grave sau sistemice, expunerea financiară și reputațională pentru operatori poate deveni semnificativă.

Repere juridice pentru o conformare sustenabilă

În jurisprudența și practica jurisdicțiilor care sunt aliniate la GDPR, conformarea cu legislația privind protecția datelor nu este analizată ca un set de obligații punctuale, ci ca un sistem juridic coerent, construit în jurul modului în care datele cu caracter personal sunt prelucrate în mod efectiv de operatorul de date.

În acest context, bunele practici pentru operatori se structurează în jurul câtorva repere juridice de bază:

1. Statutul juridic al entității

Operatorul de date trebuie să poată demonstra (i) dacă acționează ca operator, operator asociat sau persoană împuternicită; (ii) că această calificare reflectă controlul real asupra scopurilor și mijloacelor prelucrării; și (iii) că aranjamentele contractuale cu terții sunt aliniate rolului efectiv.

2. Identificarea fluxurilor de date

În evaluarea conformării, un alt exercițiu relevant este identificarea categoriilor de date prelucrate de către operatorul de date și traseului complet al datelor cu caracter personal: colectare, utilizare, divulgare, transfer, stocare, arhivare, ștergere. Acest traseu constituie cadrul în care se analizează legalitatea, proporționalitatea și necesitatea prelucrării.

Așadar, operatorul de date trebuie să identifice și să documenteze: (i) ce categorii de date sunt prelucrate de operatorul de date; (ii) sursa colectării; (iii) scopurile utilizării, inclusiv caracterul necesar la momentul colectării; (iv) destinatarii divulgării; (v) existența transferurilor externe; (vi) durata păstrării și modalitatea de ștergere.

3. Legalitatea prelucrării și temeiurile aplicabile

Pentru fiecare categorie de date și flux trebuie să existe: (i) un scop determinat și legitim; (ii) un temei legal aplicabil; (iii) proporționalitatea între scop și datele prelucrate; (iv) justificare documentată a temeiului legal identificat. Un risc tipic identificat în practică este utilizarea reflexă sau neadecvată a consimțământului ori a altor temeiuri legale.

4. Evidențele activităților de prelucrare

Operatorul de date trebuie să mențină evidențe care să reflecte: scopurile prelucrării, categoriile de date și persoane vizate, destinatarii și transferurile, perioadele de stocare, măsurile de securitate.

5. Stocarea, retenția și ștergerea

Operatorul de date trebuie să asigure existența termenelor de stocare, procedurilor de ștergere și anonimizare, regulilor de arhivare. Un risc tipic identificat în practică este păstrarea datelor pe termen nedeterminat.

6. Transparența și drepturile persoanei vizate

Operatorul de date urmează să asigure două aspecte:

• Informarea persoanelor vizate, asigurând astfel că informările sunt complete, corelate cu fluxul real al datelor cu caracter personal, actualizate pentru destinatari, transferuri și retenție.
• Exercitarea corespunzătoare a drepturilor persoanelor vizate, astfel operatorul trebuie să aibă proceduri funcționale pentru exercitarea drepturilor, termene respectate, evidență a cererilor și a răspunsurilor.

7. Dezvăluirea și transferurile de date

Operatorul de date trebuie să poată explica cui sunt divulgate datele, în ce temei, dacă există transferuri în afara jurisdicției, ce mecanism legal susține transferul de date.

Pentru orice transfer transfrontalier trebuie să existe un mecanism legal aplicabil, documentație care să asigure continuitatea nivelului de protecție specific fiecărui transfer și aplicarea corespunzătoare a excepțiilor permise de legislația în vigoare.

8. Externalizarea și controlul lanțului de prelucrare

În relația cu persoanele împuternicite, operatorul trebuie să asigure instrucțiuni documentate, garanții adecvate, control asupra sub-procesării, având în vedere că operatorul de date rămâne responsabil pentru întregul flux de date.

9. Securitatea și gestionarea incidentelor

Operatorul de date trebuie să poată demonstra măsuri tehnice și organizatorice adecvate, proceduri de gestionare a incidentelor, evaluarea riscului asupra drepturilor persoanelor vizate, documentarea deciziilor și notificarea Centrului, după caz.

10. Relația cu angajații și disciplina internă

Operatorul de date trebuie să asigure instruirea personalului, obligațiile de confidențialitate, controlul accesului, existența regulilor privind utilizarea echipamentelor personale și accesarea sistemelor ce conțin date cu caracter personal.

În contextul noii Legi nr. 195/2024, documentarea nu trebuie privită ca un exercițiu formal, ci ca un instrument esențial de protecție juridică. Registrul activităților de prelucrare, politicile interne și procedurile aplicabile au relevanță numai în măsura în care reflectă fidel realitatea operațională și permit operatorului să demonstreze, în mod concret, controlul efectiv asupra fluxurilor de date cu caracter personal.

Experiența practicii europene arată că diferența dintre o conformare sustenabilă și una vulnerabilă în fața controalelor sau litigiilor este dată de calitatea acestei documentații și de capacitatea operatorului de a o corela cu modul real de prelucrare a datelor. În perspectiva intrării în vigoare a Legii nr. 195/2024, o analiză juridică structurată a fluxurilor de date și a cadrului intern de conformare reprezintă un pas necesar pentru limitarea riscurilor legale și reputaționale.

Dacă aveți întrebări privind aplicațiile practice a noii legi sau doriți să evaluați nivelul de pregătire al organizației dvs., vă invităm să ne contactați la ACI Partners.

This material is prepared by Nicolina Țurcan,
Senior Associate, ACI Partners.