Business Hi-Tech

Obligatia actuala a companiilor de a raporta acelasi incident de securitate catre multiple institutii ar putea fi inlocuita cu un sistem de raportare unica, care sa reduca birocratia si sa simplifice sarcinile firmelor, a spus Monica Iancu, partener Bondoc & Asociatii, subliniind ca protejarea datelor ramane esentiala atat tehnic, cat si contractual.

"Cred ca suntem de acord ca avand in vedere care e importanta datelor pentru orice intreprindere este evident ca materialitatea conditiilor trebuie sa ramana - cum te protejezi tehnic si contractual pentru a-ti proteja datele. Probabil ca partea de simplificare, si in acest sens exista propuneri, pe partea de procedura. Spre exemplu, acum fiecare dintre aceste cadre legislative prevad obligativitatea de a raporta un incident de securitate la diverse autoritati, una dintre propuneri care cred ca e bine venita este principiul raportarii unice care sa fie ulterior distribuita catre autoritatile relevante dar sa nu existe aceasta obligatie pentru antreprenorul respectiv sa comunice cu 10 autoritati in acelasi timp pe aceeasi problema", a spus Monica Iancu, Partner, Bondoc & Asociatii in cadrul conferintei ZF Digital Summit 2025. Romania in era AI: Agenti de progres sau de risc?.

Alte declaratii:

￢ Eu m-as gandi la un subiect care sa acopere toate tipurile de reglementari si sa fie ca un numitor comun. O preocupare a mea, care cred ca ar trebui sa fie a oricarui client, este cum anticipez riscurile legale. Spre exemplu, multe din tool-urile care sunt pe piata si pe care multe companii le iau pentru ca sunt convinse ca le asigura optimizarea proceselor, propun in mod implicit ca datele respective sa fie folosite si pentru antrenarea tool-urilor acelora sau a altor tool-uri ale aceluiasi furnizor. Nu spun ca aceasta optiune nu trebuie acceptata, dar trebui gandita. Este un risc din punctul meu de vedere si trebuie sa te gandesti cum peste doi ani procesele respective sa "unlearn" datele pe care tu i le-ai furnizat, mai ales daca sunt date personale.

￢ Probabil ca in Romania o sa fie dificultatea de a gasi o solutie in conditiile in care solutiile anterioare sunt foarte diverse, nu spun ca ar trebui sa imbratisam precedentul dar ca inca sunt solutii foarte diverse pe aceleasi situatii si probabil ca si pentru AI o sa fie o dificultate sa ajute intr-un astfel de proces.

￢ Trebuie sa ne imaginam ca din tot ce s-a discutat din variate industrii, toate acele descrieri de produse, procese si fenomene practic implica un input de date si asta are un efect in plan juridic. Si practic aici este interventia noastra. Probabil ca va puteti imagina cat este de dinamica analiza in contextul atator aplicatii care se dezvolta si acestui fenomen de AI.

￢ Este un proces continuu care acum se misca intre doua obiective bine definite - acela de protectie si in acelasi timp si cel de simplificare. Nu am terminat bine sa reglementam tot ce aveam nevoie sa reglementam ca industria sa mearga mai departe ca iata suntem fortati sa simplificam si in sensul asta exista initiative de simplificare pornind de la GDPR, Data Act si regulamentul de AI care nici macar nu a intrat integral in vigoare. Cred ca e o dilema importanta cum sa faci ca lucrurile sa fie in continuare reglementate fara sa sufoci inovatia creand in acelasi timp certitudine si incredere pentru consumator pentru ca pana la urma, oricat am vorbi despre AI daca nu ajungem sa o folosim pentru obiectivele care conteaza si o folosim doar pentru niste intrebari doar ca sa ne lamurim la nivel preliminar niste aspecte probabil ca nu ne va ajuta foarte mult in continuare. Adica nu ne ajuta in medicina, in deciziile care conteaza. Pentru asta, pentru a ajunge acolo ai nevoie de reglementare. Al doilea obiectiv este cum sa simplifici incat sa nu faci ca inovatia de care ai nevoie sa nu se mai intample ceea ce se intampla acum. Exista o initiativa de simplificare a reglementarilor la care vom ajunge probabil in urmatoarea perioada.

￢ Probabil ca va creste diversitatea, o sa fie o tipologie noua, exista deja destul de multe litigii in zona asta de continut media care e adevarul, care e raspunderea celui care gazduieste continutul respectiv, iar in ceea ce priveste AI propriu-zisa, nu ma indoiesc ca si in prezent avem situatii de raspundere cauzate de produse de acest fel. Cred ca nu ar trebui sa fie ceva ce nu se poate face cu instrumentele pe care le avem acum in legislatie. Principiile raspunderii civile delictuale functioneaza, sunt suficient de elastice incat sa te ajute intr-o situatie de acest gen. In acelasi timp exista o intentie de reglementare care am vazut ca a fost adusa in discutie, pentru a ajuta putin mai mult domeniul care e foarte specific si tehnic - cine e vinovat de o anumita fapta - creandu-se anumite prezumtii de cauzalitate. Una dintre prezumtiile raspunderii civile delictuale este tocmai aceasta cauzalitate intre fapta si prejudiciu. In domeniul acesta a existat aceasta intentie de a se crea anumite prezumtii de cauzalitate printr-un proiect de directiva care a fost suspendat si acum se reia discutia cu privire la el si care poate sa ajute foarte mult zona aceasta.

￢ Tot legat de securitate cibernetica ce mi se pare relevant este ca zonele, industriile care intra in sfera de aplicare a legislatiei sunt foarte reglementate. Este zona de sanatate, de energie, zona bancara. Cred ca - pentru ca drumul pana la implementarea deplina a cadrului legislativ este inca lung, mai avem destul de multe acte normative de implementat - este important de creat anumite insule pentru anumite industrii. Pentru ca nu prea seamana intre ele si sunt specificitati - cum sunt domeniul sanatatii - care uneori sunt mai bine guvernate de autoritatea de reglementare in domeniul respectiv. Sau cel putin sa se tina seama de specificul respectiv atunci cand se realizeaza legiferarea.