Obligaţia actuală a companiilor de a raporta acelaşi incident de securitate către multiple instituţii ar putea fi înlocuită cu un sistem de raportare unică, care să reducă birocraţia şi să simplifice sarcinile firmelor, a spus Monica Iancu, partener Bondoc & Asociaţii, subliniind că protejarea datelor rămâne esenţială atât tehnic, cât şi contractual.
„Cred că suntem de acord că având în vedere care e importanţa datelor pentru orice întreprindere este evident că materialitatea condiţiilor trebuie să rămână – cum te protejezi tehnic şi contractual pentru a-ţi proteja datele. Probabil că partea de simplificare, şi în acest sens există propuneri, pe partea de procedură. Spre exemplu, acum fiecare dintre aceste cadre legislative prevăd obligativitatea de a raporta un incident de securitate la diverse autorităţi, una dintre propuneri care cred că e bine venită este principiul raportării unice care să fie ulterior distribuită către autorităţile relevante dar să nu existe această obligaţie pentru antreprenorul respectiv să comunice cu 10 autorităţi în acelaşi timp pe aceeaşi problemă”, a spus Monica Iancu, Partner, Bondoc & Asociaţii în cadrul conferinţei ZF Digital Summit 2025. România în era AI: Agenţi de progres sau de risc?.
Alte declaraţii:
♦ Eu m-aş gândi la un subiect care să acopere toate tipurile de reglementări şi să fie ca un numitor comun. O preocupare a mea, care cred că ar trebui să fie a oricărui client, este cum anticipez riscurile legale. Spre exemplu, multe din tool-urile care sunt pe piaţă şi pe care multe companii le iau pentru că sunt convinse că le asigură optimizarea proceselor, propun în mod implicit ca datele respective să fie folosite şi pentru antrenarea tool-urilor acelora sau a altor tool-uri ale aceluiaşi furnizor. Nu spun că această opţiune nu trebuie acceptată, dar trebui gândită. Este un risc din punctul meu de vedere şi trebuie să te gândeşti cum peste doi ani procesele respective să „unlearn” datele pe care tu i le-ai furnizat, mai ales dacă sunt date personale.
♦ Probabil că în România o să fie dificultatea de a găsi o soluţie în condiţiile în care soluţiile anterioare sunt foarte diverse, nu spun că ar trebui să îmbrăţişăm precedentul dar că încă sunt soluţii foarte diverse pe aceleaşi situaţii şi probabil că şi pentru AI o să fie o dificultate să ajute într-un astfel de proces.
♦ Trebuie să ne imaginăm că din tot ce s-a discutat din variate industrii, toate acele descrieri de produse, procese şi fenomene practic implică un input de date şi asta are un efect în plan juridic. Şi practic aici este intervenţia noastră. Probabil că vă puteţi imagina cât este de dinamică analiza în contextul atâtor aplicaţii care se dezvoltă şi acestui fenomen de AI.
♦ Este un proces continuu care acum se mişcă între două obiective bine definite – acela de protecţie şi în acelaşi timp şi cel de simplificare. Nu am terminat bine să reglementăm tot ce aveam nevoie să reglementăm ca industria să meargă mai departe că iată suntem forţaţi să simplificăm şi în sensul ăsta există iniţiative de simplificare pornind de la GDPR, Data Act şi regulamentul de AI care nici măcar nu a intrat integral în vigoare. Cred că e o dilemă importantă cum să faci ca lucrurile să fie în continuare reglementate fără să sufoci inovaţia creând în acelaşi timp certitudine şi încredere pentru consumator pentru că până la urmă, oricât am vorbi despre AI dacă nu ajungem să o folosim pentru obiectivele care contează şi o folosim doar pentru nişte întrebări doar ca să ne lămurim la nivel preliminar nişte aspecte probabil că nu ne va ajuta foarte mult în continuare. Adică nu ne ajută în medicină, în deciziile care contează. Pentru asta, pentru a ajunge acolo ai nevoie de reglementare. Al doilea obiectiv este cum să simplifici încât să nu faci ca inovaţia de care ai nevoie să nu se mai întâmple ceea ce se întâmplă acum. Există o iniţiativă de simplificare a reglementărilor la care vom ajunge probabil în următoarea perioadă.
♦ Probabil că va creşte diversitatea, o să fie o tipologie nouă, există deja destul de multe litigii în zona asta de conţinut media care e adevărul, care e răspunderea celui care găzduieşte conţinutul respectiv, iar în ceea ce priveşte AI propriu-zisă, nu mă îndoiesc că şi în prezent avem situaţii de răspundere cauzate de produse de acest fel. Cred că nu ar trebui să fie ceva ce nu se poate face cu instrumentele pe care le avem acum în legislaţie. Principiile răspunderii civile delictuale funcţionează, sunt suficient de elastice încât să te ajute într-o situaţie de acest gen. În acelaşi timp există o intenţie de reglementare care am văzut că a fost adusă în discuţie, pentru a ajuta puţin mai mult domeniul care e foarte specific şi tehnic – cine e vinovat de o anumită faptă – creându-se anumite prezumţii de cauzalitate. Una dintre prezumţiile răspunderii civile delictuale este tocmai această cauzalitate între faptă şi prejudiciu. În domeniul acesta a existat această intenţie de a se crea anumite prezumţii de cauzalitate printr-un proiect de directivă care a fost suspendat şi acum se reia discuţia cu privire la el şi care poate să ajute foarte mult zona aceasta.
♦ Tot legat de securitate cibernetică ce mi se pare relevant este că zonele, industriile care intră în sfera de aplicare a legislaţiei sunt foarte reglementate. Este zona de sănătate, de energie, zona bancară. Cred că - pentru că drumul până la implementarea deplină a cadrului legislativ este încă lung, mai avem destul de multe acte normative de implementat – este important de creat anumite insule pentru anumite industrii. Pentru că nu prea seamănă între ele şi sunt specificităţi – cum sunt domeniul sănătăţii - care uneori sunt mai bine guvernate de autoritatea de reglementare în domeniul respectiv. Sau cel puţin să se ţină seama de specificul respectiv atunci când se realizează legiferarea.
