Aici descoperim
dreptul tehnologiei


This time last year I was participating in an event which was going to change my life in a significant way. Global Legal Hackathon, the biggest legal innovation competition was organised by Hristescu & Partners  for the second time in Romania.

I wanted to participate in this event since 2018, but I didn’t have the courage. I didn’t believe in myself and I didn’t think that I could have an idea which mattered, so I didn’t register for the 2018 competition, and I regretted it. In 2019 I said to myself: that’s it! I’m doing it! Even if I didn’t have a team, nor a clear idea about what I was going to do, I registered for the competition. It was there that my idea turned into something palpable, I found a team and I placed second for a solution to simplify Terms and Conditions on websites and apps so that the Internet user knows exactly what he or she agrees to online.

The first place was obtained by Lawrelai, the lawyer chatbot which provides legal advice to tourists having legal problems in another country, solution which obtained the first place in New York too at the final stage. GLH is an international competition and last year Romania obtained the first place.

There is not too much to say about me. I am 29-year-old lawyer and, like any millennial lawyer, I have a passion for technology. This made me launch in 2017 a blog on Internet law: . In 2018 I launched a GDPR KIT with which companies can implement the Regulation by themselves. The experience gained at Global Legal Hackathon in 2019 helped me launch a platform for online courses on GDPR: Focus powered by LegalUp. 


In 2018 I regretted not having registered for the competition, so in 2019 I decided to participate in the event because I realized that the digitisation of the legal field is a fact, and to go against the current is an impossible mission. And I thought it would be a good idea to seize this opportunity. Obviously, I also thought that I was going to meet interesting people (which indeed happened). I didn’t register to win, but it just happened. It was an interesting combination between an idea, a team and a presentation. I am participating this year too, but with a new team, and, as last year, I don’t do it to win, but for the experience and for the people I will meet. If me and my team obtain an award this year, it will be welcomed, if not, the experience I will gain and the networking I will be doing will be worth much more than a diploma.


The fun time began on Friday evening at 6 o’clock and ended on Sunday around 9 o’clock in the evening. And when I say fun, I want to stress the fact that this is not a solemn and boring competition, the atmosphere is entertained by Radio Guerilla, the food is good, the people are positive and joyful. I remember that the event had four stages: (1) First pitch and team formation  (Friday evening); (2) Work sessions (hacking sessions) – Saturday and Sunday; (3) Pitch sessions (Sunday) și (4) Award ceremony – Sunday.

  1. First pitch and team formation (Friday evening)

At this stage, I was happy to find out that there was no problem if I still didn’t have an idea (I can join a team which has one) and that there was no problem at all if I didn’t have a team (I can join any team, no one is left behind). I noticed that mentors and organisers were very active in helping setting up the teams so that (1) no one was left behind and (2) all teams had the two components: legal and IT.

Those who wished to speak presented their ideas in front of the public in order to attract teammates. It was an interesting starting point which gave us an idea about what projects would be put into practice by the end of the competition.

Also, if you want to participate and you don’t have an idea, you can adopt a theme from the ones made available by the organisers.

My idea was still at an embryonic stage, but I found colleagues who believed in my idea (Ecaterina Donciu, Diana Marusic, Eugeniu Cernei) and thus we formed a team and we managed to have a final idea by Saturday. When we had the final form, we started to build a prototype and then prepare a presentation.

  1. Hacking sessions

Except for lunch breaks, we worked very hard during Saturday and Sunday. We knew that we had to have a prototype by Sunday, a PowerPoint presentation and a maximum 5-minute pitch during which we had to convince the jury that our solution deserved to win.

I particularly enjoyed the way the mentors involved and how they helped us with everything they could and mostly with their experience coming from the most various domains (IT, legal, entrepreneurship, marketing, public speaking etc.) so that we could build a successful prototype and a proper presentation, but I can also note here the constant concern of the organisers to make sure we had everything we needed.

I was in charge of the legal part. Me and Ecaterina were both in charge of product management. Ecaterina made the PowerPoint presentation, logo and design. Diana and Eugeniu were in charge of the programming, and me and Diana presented together the idea in front of the public in a pitch of maximum 3 minutes. Yes, we were a team and despite our small differences of opinion, we managed to reach common ground and win second place.

  1. Pitch sessions

We followed our mentors’ advice and decided to have a short and straight-to-the-point presentation, an open and funny description of our idea. We talked for 3 minutes in front of the jury, but the time was enough even for a short demo. I think that the most important part was the 20 second video demo we presented. I didn’t have stage fright, after all I was speaking in front of the persons with whom I had spent more than 30 hours. After the presentation, we had some questions from the jury about how we would build and monetise our solution. We were ready for this too, thanks to our mentors.

  1. Award ceremony 

If I knew I would win second place, I would have put on a nicer dress because this picture was all over internet.

Although my tee-shirt said: „Rule #1. Never be #2”, we were runner-up. The first place was won by Lawrelai. Now I realize that my scarf didn’t match anything else I was wearing, but it is my lucky scarf.


Beside the diploma, two mentoring programs and other awards from the sponsors, this competition offered me things I couldn’t obtain from anywhere else and this is why I will heartily recommend this competition to all my friends.

  1. Networking

I have met so many interesting people (lawyers, entrepreneurs, programmers, web designers), we became friends and I am still in touch with some of them, we exchange useful information and we help each other with everything we can.

  1. Energy

The people were positive and I charged myself with energy for my next projects. In fact, after GLH19, my life immediately changed for the better. The organisers and the mentors did an excellent work and it was truly one of the best organised events I had ever participated in.

  1. Experience

In short, I have acquired a set of knowledge which I successfully applied to my activity, such as:

  • technical knowledge: I learned how to work more efficiently as a lawyer, how to automate what should be automated so that I do not waste my time with manual work.
  • communication skills: I learned how to communicate with the programmers and how to use simple words (not legal jargon) in order to send out my message.
  • presentation skills: I learned how to synthetize information, how to present what is important and to leave out useless details and how to express an idea and a message so that they can be understood by the others.
  • entrepreneurial skills: I learned about how you can monetise an application, how you can build partnerships and other entrepreneurial skills for which you would pay thousands of euros at specific courses.
  • team spirit: I improved my team working skills and I understood that sometimes it is important to accept other ideas so that things go well. For example, although I didn’t like the chosen name, I preferred to go with it to avoid useless conflicts, taking into consideration that the time was limited and the contribution to the actual work was much more important.
  • leadership skills: In my team there were two leaders: me and Ecaterina. We didn’t manage to decide which one is the `boss` so we preferred to share this role. This is why when she told me what I had to do, I did so without any comments, because I trusted her. Similarly, when I said what it had to be done, everyone did so because what mattered at the end was to have a functioning project.
  • stress management. I remember that there were two minutes left until we had to submit our presentations and, although I panicked for a few seconds, I finally managed to get myself together and to successfully overcome the situation.

In short, the value of the experience acquired is undeniable. I have obtained in three days what I would have obtained if I had invested thousands of euros in entrepreneurship, leadership, communication or public speaking courses. 

If you are a developer, lawyer, a legal professional, UX designer or a business developer, you can register for this year competition  here. 


I could not finish this article without saying a few words about our solution. I am a lawyer dealing mainly with Terms and Conditions and other legal documents for web sites and applications. I have noticed that these documents are never read by the Internet user, although, in most cases, they are very important and represent actual contracts. Yes, as an Internet user you have a contract with Google, Facebook, Whatsapp and with the rest of the online services you use. As our world becomes more and more digitised, more and more contracts are made electronically and, as a user, you become part of this contract simply by clicking it and you acquire different rights and obligations. I think it is important to know what you agree to online. But since these documents are long and written in a complicated legal language, it is very difficult to grasp the information which concerns you.

Our solution is a Chrome extension prototype which lets you know when you are about to enter an online contract and if you click on it, then it will sum up the information and translate for you from a legal language into common language what exactly you agreed to. The solution has also a translation functionality into the language you speak. Let’s take, for example, online shopping. When you are shopping online on a foreign web site you may have certain questions, but you have to read through dozens of pages in English written in a complex legal language in order to find the information you need. If you activate the accordion Chrome extension, the most important things will be presented to you by using a language you can understand, for example:

  • Are there any other fees beside the price of the product?
  • Can I return the product?
  • How can I return the product?
  • What happens with my personal data I provided online?
  • How and when will I get my money back if I return the product?
  • What warranties are provided?
  • What rights do I have?
  • Where can I contact you?
  • Who are you?
  • What security measures did you implement? Am I sending my personal data to a secure platform?

Our solution, using artificial intelligence and ML, should be able to (1) sum up the documents using accordion design; (2) translate from legal language into common language; (3) translate into the user’s language.


I will definitely participate this year too for the experience, the people, the fun time and the ideas. I would like to see as many ideas and solutions as possible. I would like to meet this year as many lawyer colleagues as possible and see them join the movement and as many entrepreneurs and programmers as possible who are interested in a really high potential field: the legal field.


You can register online free of charge for Global Legal Hackathon 2020 (Bucharest and Iași) before 4 March 2020  here. 

Let’s all have a good time at GLH2020!  Dare to hack the legal way! 



Legea nr. 1/2020 privind pensiile ocupaționale este o reglementare recentă, publicată în Monitorul Oficial nr. 10 din 8 ianuarie 2020. Intrarea sa în vigoare, potrivit aceluiași cadru normativ, se realizează în termen de 30 de zile de la data publicării sale în Monitorul Oficial al României.

Legea precizată vizează reglementarea pensiilor ocupaționale. Ce înseamnă însă acest termen, prin raportare la prevederile legale?

Conform art. 3, alin. (1), lit. x), prin ,,pensie ocupațională” vom înțelege :

  • acea sumă
  • plătită în mod periodic participantului
  • în mod suplimentar și
  • în mod distinct de suma furnizată de sistemul public
  • care a fost obținută ca urmare a calității de participant la un fond de pensii ocupaționale.

În completare, prin ,,participant” vom înțelege, în temeiul art. 3, alin. (1), lit. v), acea persoană care a aderat la un fond, care a plătit la un fond (sau în numele căreia s-au plătit contribuții la un fond) și care are drept – prezent sau viitor – la o pensie ocupațională.



Art. 1 din prezenta lege vizează obiectul său de reglementare. În raport de temeiurile legale, obiectul de reglementare este unul multiplu, incluzând în această categorie, conform lit. a)-f) următoarele :

  • autorizarea şi funcţionarea administratorilor şi a fondurilor de pensii ocupaţionale;
  • supravegherea desfăşurării activităţii entităţilor prevăzute anterior, în România, pe teritoriul celorlalte state membre şi pe teritoriul statelor terţe;
  • avizarea şi funcţionarea instituţiilor de credit pentru desfăşurarea activităţii de depozitare şi de custodie a activelor fondurilor de pensii ocupaţionale;
  • avizarea auditorilor financiari, pentru activitatea desfăşurată în calitate de auditor al administratorilor şi al fondurilor de pensii ocupaţionale;
  • supravegherea entităţilor precizate la punctul anterior, pentru desfăşurarea activităţii de depozitare şi de custodie a activelor fondurilor de pensii ocupaţionale;
  • supravegherea entităţilor prevăzute în cadrul normativ, pentru activitatea acestora în legătură cu fondurile de pensii ocupaţionale şi administratorii acestora.


Important de precizat în acest cadru normativ este și domeniul de aplicare. În sensul precizat, conform art. 2 din prezenta lege, dispozițiile sale se vor aplica:

  • fondurilor de pensii ocupaționale și administratorilor de fonduri de pensii ocupaționale ;
  • depozitarilor, numai cu privire la activitatea de depozitare şi custodie a activelor fondurilor de pensii ocupaţionale și auditorilor financiari ;
  • angajatorilor ;
  • fondului de garantare a drepturilor din sistemul de pensii private.

KIT GDPR Premium


Există și categorii exceptate de la aplicare, pe care cadrul normativ le precizează. Conform art. 2, alin. (2), legea nu se va aplica : instituțiilor care administrează sistemele de securitate socială (reglementate de Regulamentul (CE) nr. 883/2004 al Parlamentului European şi al Consiliului din 29 aprilie 2004 privind coordonarea sistemelor de securitate socială şi Regulamentul (CE) nr. 987/2009 al Parlamentului European şi al Consiliului din 16 septembrie 2009 de stabilire a procedurii de punere în aplicare a Regulamentului (CE) nr. 883/2004 privind coordonarea sistemelor de securitate socială), instituţiilor reglementate de Directiva 2009/65/CE a Parlamentului European şi a Consiliului din 13 iulie 2009 de coordonare a actelor cu putere de lege şi a actelor administrative privind organismele de plasament colectiv în valori mobiliare (și de celelalte directive prevăzute cu titlu exemplificativ de către prezenta lege), instituţiilor care funcţionează în sistem redistributiv și instituţiilor în cadrul cărora salariaţii din întreprinderile plătitoare nu au dreptul legal la prestaţii şi în care întreprinderea plătitoare poate răscumpăra activele în orice moment, fără a îşi îndeplini neapărat obligaţiile de plată a pensiilor.

Cadrul normativ conține definiții ale termenilor precizați anterior, cuprinzând (de la) conturarea noțiunii de ,,pensie ocupațională”, definind totodată și calitatea de ,,participant” și de ,,instrumente financiare”.

De asemenea, cadrul normativ precizează și entitățile care pot să administreze fonduri, incluzând în această categorie, conform art. 4, alin. (1), lit. a)-c), societățile de pensii (care sunt constituite în baza cadrului actual), societăţile de pensii, societăţile de administrare a investiţiilor şi societăţile de asigurare de viaţă care sunt autorizate să administreze fonduri de pensii facultative şi/sau fonduri de pensii administrate privat și societăţile de administrare a investiţiilor şi societăţile de asigurare de viaţă, autorizate în condiţiile prezentei legi de către A.S.F. (Autoritatea de Supraveghere Financiară), pentru activitatea de administrare a fondurilor.

Este precizat, totodată, care sunt documentele necesare pentru autorizarea de constituire a societății de pensii, dintre care precizăm (cu titlu exemplificativ): proiectul actului constitutiv, dovada că fondatorii deţin resursele financiare necesare vărsării capitalului social, provenienţa acestora, cazierele judiciare şi cazierele fiscale ale fondatorilor, documente privind fondatorii cu informaţii referitoare la statutul lor juridic, eventuala lor calitate de persoane afiliate, precum şi natura legăturilor dintre ei, documente din care să reiasă soliditatea financiară a fondatorilor.


Te-ar putea interesa și:


Autor: Av. Ioana Mirea

Piata Energiei Electrice din Romania trece de aproape 20 de ani, prin ample procese legislative de transformare si dezvoltare.

Desi, se doreste o piata concurentiala sanatoasa, care sa asigure preturi avantajoase la energie,  avem o  singura bursa  de energia electrica, cunoscuta sub numele de OPCOM (Operatorul Pietei de Energie Electrica si de Gaze Naturale din Romania) unde se efectueaza tranzactii de energie electrica.   (Legea  energiei electrice si a gazelor naturale nr. 123/2012)

Prin comparatie, pe piata gazelor naturale exista 2 burse  OPCOM S.A. si Bursa Romana de Marfuri (BRM), urmand sa li se alatura in curand si prima bursa privata de gaze naturale din Romania, numita Humin Trade.

Trebuie mentionat ca BRM a tranzactionat energie electrica si gaze naturale cu mult inainte de infiintarea OPCOM S.A. OPCOM S.A. a aparut in anul 2000, in urma restructurarii CONEL in baza Hotararii nr.627, fiind parte din structura Transelectrica S.A.

Initial, OPCOM S.A. a avut ca obiect de activitate administrarea pieței de energie electrică, stabilirea ordinii de merit-vânzare pentru producători către furnizori, în scopul menținerii echilibrului permanent dintre producție și consum, asigurând desfășurarea tranzacțiilor și contractelor comerciale ale participanților autorizați pe bază de licențe în condițiile legii.

In prezent, OPCOM S.A. administreaza urmatoarele piete de energie electrica: Piata pentru Ziua Urmatoare, Piata Intra-Zilnica, Piata Centralizata cu negociere dubla continua a contractelor bilaterale de energie electrica, Piata Centralizata a contractelor bilaterale de energie electrica, Piata Centralizata pentru energie electrica din surse regenerabile

sustinuta prin certificate verzi, Piata Centralizata pentru Serviciul Universal, Piata de energie electrica pentru clientii finali mari si Piata Certificatelor Verzi.

De asemenea, in afara acestor piete, OPCOM S.A. administreaza si Piata pentru Ziua Urmatoare de Gaze Naturale, Piata Intrazilnica de Gaze Naturale si Piata Centralizata de Gaze Naturale.

In conformitate cu legislatia europeana, OPCOM S.A. ar trebui sa fie „scoasa” din Legea nr. 123/ 2012, astfel incat sa se permita infiintarea unor noi burse de energie electrica in Romania (vezi bursele de gaze naturale).

Eforturile constante de a adera la piete comune de energie electrica, asa cum s-a  intamplat in cazul proiectului 4MMC din noiembrie 2014 (Romania, Ungaria, Cehia, Slovacia) si al altor proiecte europene vor duce la noi oportunitati de tranzactionare a energiei electrice.

De asemenea, cooperarea la nivel regional este incurajata, de catre Uniunea Europeana, nu doar intre statele membre cu care se invecineaza, dar si cu semnatarii din Comunitatea Energiei si cu tarile membre ale Spatiului Economic European.

In viitor se preconizeaza existenta unei singure piete de energie electrica la nivelul Europei, energie electrica tranzactionata pe mai multe burse de energie.

In Romania vor aparea noi actori pe piata de energie electrica. Acestia se numesc PROSUMATORI. Termenul defineste clientul final care detine instalatii de producere a energiei electrice, inclusiv in cogenerare, a carui activitate specifica nu este producerea energiei electrice. Prosumatorul este producatorul care detine instalatii de producere a energiei electrice mai mici de 12 Kw si care consuma din energia electrica produsa pe care o poate stoca, iar surplusul il poate vinde distribuitorului din zona respectiva, acesta cumparandu-i energia electrica la pretul Pietei pentru Ziua Urmatoare.

Prin aparitia acestor Prosumatori, Piata de energie electrica va cunoaste o schimbare in sensul ca acestia nu vor tranzactiona energia electrica prin intermediul burselor si nu vor avea nevoie de licenta de producator de energie electrica.

Schimbarile in acest sector sunt influentate deopotriva de masurile pe care Uniunii Europene le ia cu privire la schimbarile climatice dar si de „trendurile” digitale.





Ioana Mirea este avocat în Baroul Bucuresti din 2009, vorbeste la nivel avansat engleza si franceza, iar experienta acumulata o  recomanda pe drept comercial, dreptul proprietatii intelectuale, energie electrica si gaze naturale, data protection si privacy.


Cazul, așa cum a fost raportat la data de 12 noiembrie 2018, este despre un fost angajat al unei firme de reparații de autovehicule care, la noua sa firmă, a accesat fără drept mii de înregistrări ale clienților, care conțineau date cu caracter personal, utilizând datele de conectare ale foștilor colegi. El a pledat vinovat și a fost condamnat la șase luni de închisoare.

Până în prezent, ICO a investigat și a urmărit încălcări ale legislației în materie penală în temeiul reglementărilor privind protecția datelor. Cu toate acestea, pedeapsa maximă care poate fi impusă pentru asemenea încălcări este o amendă. Deși amenzile pot fi mari, acestea sunt lipsite de efectul descurajator specific riscului de detenție.

Secțiunea 1 a Computer Misuse Act 1990 prevede pentru hacking (accesul neautorizat la materiale informatice) o pedeapsă maximă de doi ani de închisoare.

Există o suprapunere semnificativă între utilizarea ilegală a datelor cu caracter personal și utilizarea abuzivă a computerului. Este clar faptul că infracțiunea de hacking nu se limitează la hackerul care accesează în mod malefic sistemul informatic al unor persoane, ci se extinde în mod egal la activități inofensive, cum ar fi angajații care accesează fără autorizație anumite părți din sistemele angajatorilor,  sau în alte scopuri decât cele pentru care a fost acordată autorizația. Acest tip de comportament ar putea fi urmărit penal în temeiul oricăreia dintre cele două legi.

ICO, în calitate de organism statutar, este autorizată să solicite sancțiuni penale pentru orice infracțiune, cu excepția cazului în care există o dispoziție care să o împiedice să facă acest lucru. Faptul că aceleași fapte au putut fi sancționate în temeiul Data Protection Act nu împiedică sanționarea în temeiul Computer Misuse Act, dacă există convingerea că este oportun. În afară de cele mai aspre sancțiuni, infracțiunea de acces neautorizat în cadrul Computer Misuse Act ar putea să reflecte mai îndeaproape o sancționare corespunzătoare, furnizând ICO o alternativă la infracțiunea foarte specifică de “obținere a datelor fără consimțământ” în cadrul s170 DPA.

Persoanele care primesc o scrisoare nedorită de la ICO, nu se vor mai alege în cel mai rău caz cu o amendă. ICO spune că are posibilitatea și va solicita pedepse cu închisoarea.



În cadrul celui de-al treilea Pachet de Mobilitate, Comisia Europeană a adoptat o “Strategie a UE pentru Mobilitatea Viitorului” în mai 2017. Această strategie a propus “o abordare globală a mobilității contectate și automatizate, stabilind o agendă europeană clară, ambițioasă și orientată către viitor”, identificând “acțiuni de susținere pentru dezvoltarea și desfășurarea tehnologiilor-cheie, a serviciilor și a infrastructurii “și “asigurându-se că implementarea mobilității conectate și automatizate va putea fi susținută de cadrele juridice și politice ale UE , abordând simultan problemele sociale și de mediu care vor fi decisive pentru acceptarea publică”.

Consultarea publică privind mobilitatea conectată și automatizată (CAM) este deschisă pentru comentarii până la data de 4 decembrie și Comisia dorește să identifice “principalele provocări legate de dezvoltarea vehiculelor conectate și automatizate”, punând accent pe:

  • amenințările la adresa securității informatice și problemele de încredere. Fără o abordare sectorială specifică privind securitatea informatică, Comisia încearcă să propună diverse măsuri pentru a crea un cadru pentru securitatea informatică în CAM, inclusiv ca parte a Regulamentului General privind Siguranța (revizuit în prezent prin procesul legislativ al UE), mai exact pentru a include normele în curs de dezvoltare la nivel internațional;
  • aspecte privind administrarea datelor, aspecte legate de respectarea vieții private și de protecția datelor personale: strategia CAM a Comisiei a sugerat monitorizarea cadrului actual, reglementat de GDPR și Directiva privind confidențialitatea în mediul electronic, iar consultarea urmărește identificarea unor acțiuni prin care statele membre să pună în aplicare principiile în acest cadru, pentru a promova accesul, schimbul de date, prelucrarea și stocarea datelor; și
  • diferite aspecte ale nevoilor tehnologice pentru testarea la scară largă sau pre-implementarea 5G: Comisia dorește să identifice dacă statele membre au nevoie de orientări în ceea ce privește banda de frecvență care ar putea fi utilizată pentru testare și experimentare la scară largă sau pentru o implementare timpurie.

În ceea ce privește contribuția industriei, Comisia a adresat întrebări specifice unor principalilor actori, cum ar fi producătorii de mașini, furnizorii de servicii de internet și furnizorii de servicii de telecomunicații, precum și celor care vizează publicul, utilizatorii finali și autoritățile publice. Rezultatele acestei consultări vor constitui o recomandare politică adresată statelor membre și actorilor din industrie, care urmează a fi adoptată până la sfârșitul anului 2018 – începutul anului 2019. Odată cu mandatul Comisiei care se va schimba anul viitor, este probabil ca această recomandare politică să alimenteze necesitatea unei acțiuni legislative suplimentare în următorii cinci ani.

De remarcat este faptul că strategia CAM se dezvoltă în paralel cu alte activități la nivelul UE privind vehiculele automatizate, inclusiv cele conduse de grpul Comisiei Europene GEAR 2030 și Platforma C-Roads.




Hotărârea în cauza C-207/16 Ministerio Fiscal


Infracțiunile care nu prezintă o gravitate deosebită pot justifica un acces la datele cu caracter personal păstrate de furnizorii de servicii de comunicații electronice din moment ce acest acces nu aduce o atingere gravă vieții private.

În cadrul unei anchete privind o infracțiune de tâlhărie având ca obiect un portofel și un telefon mobil, poliția judiciară spaniolă a solicitat judecătorului de instrucție care se ocupa de cauză acordarea accesului la datele de identificare ale utilizatorilor numerelor de telefon activate de pe telefonul mobil furat într-o perioadă de douăsprezece zile de la data tâlhăriei. Judecătorul de instrucție a respins această cerere pentru motivul că, printre altele, faptele aflate la originea anchetei penale nu ar constitui o infracțiune „gravă” – adică, potrivit dreptului spaniol, o infracțiune sancționată cu o pedeapsă cu închisoarea de cel puțin cinci ani – accesul la datele de identificare nefiind posibil decât pentru acest tip de infracțiuni. Ministerio Fiscal (Ministerul Public spaniol) a declarat apel împotriva acestei decizii la Curtea Provincială din Tarragona, Directiva asupra confidențialității și comunicațiilor electronice prevede că statele membre pot restrânge drepturile cetățenilor în cazul în care o asemenea restrângere constituie o măsură necesară, corespunzătoare și proporțională, în cadrul unei societăți democratice, pentru a proteja securitatea națională, apărarea și siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice.

Curtea Provincială din Tarragona arată că, ulterior adoptării deciziei judecătorului de instrucție, legiuitorul spaniol a introdus două criterii alternative pentru determinarea gradului de gravitate a unei infracțiuni în privința căreia sunt autorizate păstrarea și comunicarea datelor personale. Primul este un criteriu material legat de infracțiuni specifice și grave, care sunt deosebit de prejudiciabile pentru interesele juridice individuale și colective.

Al doilea este un criteriu normativ formal, care stabilește un prag minim de trei ani de închisoare, prag care cuprinde marea majoritate a infracțiunilor. În plus, instanța spaniolă consideră că interesul statului de a sancționa comportamentele infracționale nu poate justifica ingerințe disproporționate în drepturile fundamentale consacrate de Carta drepturilor fundamentale a Uniunii Europene. Prin urmare, Curtea Provincială din Tarragona solicită Curții să stabilească pragul de gravitate a infracțiunilor de la care poate fi justificată o ingerință în drepturile fundamentale precum accesul autorităților naționale competente la datele cu caracter personal păstrate de furnizorii de servicii de comunicații electronice.

Prin hotărârea de astăzi, Curtea amintește că accesul unor autorități publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice, în cadrul unei proceduri de urmărire penală, intră în domeniul de aplicare al directivei. În plus, accesul la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, constituie o ingerință în drepturile fundamentale ale acestora din urmă, consacrate de cartă.

Totuși, Curtea declară că ingerința respectivă nu prezintă o asemenea gravitate încât acest acces ar trebui să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave. Curtea arată că accesul autorităților publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice constituie o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor, consacrate de cartă, chiar în absența unor împrejurări care permit calificarea acestei ingerințe drept „gravă” și fără a fi relevant dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit sau nu au suferit eventuale inconveniente ca urmare a acestei ingerințe.

Directiva enumeră însă obiective susceptibile să justifice o reglementare națională care guvernează accesul autorităților publice la aceste date și care derogă, astfel, de la principiul confidențialității comunicațiilor electronice. Enumerarea respectivă prezintă un caracter exhaustiv, așa încât acest acces trebuie să urmărească în mod efectiv și strict unul dintre aceste obiective. Curtea observă că, în ceea ce privește obiectivul prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor, textul directivei nu limitează acest obiectiv numai la combaterea infracțiunilor grave, ci se referă la „infracțiuni” în general. În Hotărârea Tele2 Sverige2 , Curtea a statuat că numai combaterea infracționalității grave este susceptibilă să justifice un acces al autorităților publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații care, considerate în ansamblu, permit deducerea unor concluzii precise privind viața privată a persoanelor ale căror date sunt vizate. Această interpretare a fost însă motivată prin faptul că obiectivul urmărit de o reglementare care guvernează acest acces trebuie să se raporteze la gravitatea ingerinței în drepturile fundamentale în cauză pe care o determină această operațiune. Astfel, în conformitate cu principiul proporționalității, o ingerință gravă nu poate fi justificată în acest domeniu decât prin obiectivul privind combaterea infracționalității care trebuie de asemenea să fie calificată drept „gravă”. În schimb, dacă ingerința nu este gravă, respectivul acces este susceptibil să fie justificat de un obiectiv privind prevenirea, investigarea, detectarea și urmărirea penală a unor „infracțiuni” în general.

Curtea consideră că accesul doar la datele care fac obiectul cererii în discuție nu poate fi calificat drept ingerință „gravă” în drepturile fundamentale ale persoanelor ale căror date sunt vizate, din moment ce aceste date nu permit să se tragă concluzii precise cu privire la viața lor privată. Prin urmare, Curtea concluzionează că ingerința pe care ar implica-o un acces la astfel de date este susceptibilă să fie justificată de obiectivul privind prevenirea, detectarea, investigarea și urmărirea penală a unor „infracțiuni” în general, fără a fi necesar ca aceste infracțiuni să fie calificate drept „grave”.



Potrivit art. 12 din Legea nr. 506/2004 și art. 6 din Legea nr. 365/2002 privind comerțul electronic, este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare, prin fax sau poștă electronica sau orice altă altă metodă care foloseste care folosește servicii de comunicații electronice destinate publicului (mesaje SPAM), cu excepția cazului în care destinatarul și-a exprimat, în prealabil, în mod expres consimțământul pentru a primi astfel de notificări.

Consimțământul destinatarului poate fi probat cu orice mijloc de probă, însă sarcina probei revine expeditorului.

Aceste dispoziții de mai sus se completează cu cerințele consimțământului impuse de GDPR. Astfel, potrivit GDPR, consimțământul trebuie să fie:

  • dat în mod liber

Persoana trebuie să facă o alegere reală dacă consimte sau nu la marketing. Organizațiile nu trebuie să constrângă, să stimuleze persoanele să consimtă sau să penalizeze persoanele care refuză să consimtă.

Atunci când marketingul este o condiție de abonare la un serviciu, organizația va trebui să demonstreze cum a fost acordat consimțământul în mod liber.

Și potrivit Grupului de Lucru Art. 29[1], consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.[2]

  • specific

În contextul marketingului direct, consimțământul trebuie să fie specific fiecărui canal de comunicare prin care se dorește transmiterea mesajelor (e-mail, sms, apel automat, chatbot, push notifications etc)

  • informat

Oamenii trebuie să înțeleagă pentru ce anume își dau consimțământul.[3] Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

Exemplu: O companie realizează un apel de marketing către o persoană fizică. În timpul apelului, persoană este întrebată dacă dorește să fie contactată de companii terțe în scopuri de marketing. Persoana spune „da”. Apoi urmează un mesaj automat în care un robot enumeră rapid denumirea a 20 de companii care sunt incredibil de greu de înțeles într-un timp atât de scurt. Acesta nu va fi un consimțământ informat. În primul rând, deoarece i s-a solicitat acordul persoanei înainte ca aceasta să fie informată despre companiile terțe și în al doilea rând deoarece mesajul automat este practic imposibil de înțeles.

  • lipsit de ambiguitate

Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.

Tăcerea, inacțiunea sau căsuțetele pre-bifate nu valorează consimțământ. Consimțământul trebuie să implice o acțiune reală, ca de exemplu o semnătură, bifarea unei căsuțe sau un răspuns clar la un e-mail.

Exemplu: O companie decide să folosească baza de date a clienților pentru a trimite mesaje promoționale. Clienții nu au consimțit anterior recepționării marketing-ului, astfel încât compania trimite o scrisoare clienților prin care îi informează că urmează să le transmită informații despre promoții prin e-mail și prin poștă. În scrisoare se indică un număr de telefon unde clienții pot suna și își pot exprima poziția că nu doresc să primească marketing. Inacțiunea de a răspunde nu valorează contimțământ. Prin urmare, urmând această „strategie” de obținere a consimțământului, compania nu va putea să își promoveze serviciile prin marketing direct, deoarece consimțământul nu este clar și nu implică o acțiune reală. [4]

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței. 

Autor Laura Pintilie

Studentă anul II

Universitatea Babeş-Bolyai Cluj-Napoca Facultatea de Drept.


Cum s-a născut GDPR?

Am observat cu toții cât de mult a început GDPR să apară tot mai des și mai des într-o perioadă atât de scurtă de timp în viețile noastre. Practic, aproape orice site care este pus în temă în ceea ce privește reglementarea ce va intra în vigoare în data de 25 mai, afișează, în momentul deschiderii paginii, o căsuță/notificare care cuprinde succint ceea ce ar trebui să înțeleagă utilizatorul referitor la datele sale personale.

Din ce în ce mai multă lume cunoaște  ce este și ce privește acest Regulament General de Protecție a Datelor, însă nu este la fel de important când, unde și din ce motiv s-a născut “strămoșul” acestuia?

Germenul la nivel unional al regulamentelor care privesc protecția datelor personale a apărut la data de 28 ianuarie 1981, sub numele de “Convenția nr. 108” și a fost semnată de membrii Consiliului Europei la Strasbourg. Acesta reprezintă unul dintre primele instrumente juridice adoptate la nivel internațional în domeniul protecției datelor personale.

România a ratificat Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal prin Legea nr. 682/2001. Prin Legea nr. 55/2005 țara noastrã a ratificat și Protocolul adițional la Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal, cu privire la autoritãțile de control și fluxul transfrontalier al datelor.

Observăm astfel cum încă din anul 1981, oamenii au început să se preocupe de riscul traficului de date necorespunzător. Deși probabil sună a ficțiune la nivel mental, vorbind despre vremurile de acum 37 de ani raportat la ceea ce dispunem astăzi, este adevărat că încă de atunci (sau poate și mai devreme, în accepțiunea unora) era necesară o astfel de garantare a respectării vieții private în acest sens, așa cum clarifică și preambulul Convenției:

“Scopul prezentei convenţii este de a garanta pe teritoriul fiecărui stat parte, fiecărei persoane fizice, oricare ar fi cetăţenia sa sau reşedinţa sa, respectarea drepturilor şi libertăţilor sale fundamentale şi, în special, dreptul la viaţa privată, faţă de prelucrarea automatizată a datelor cu caracter personal care îl privesc (protecţia datelor).”


     Comitetul Consultativ

         Prin această Convenție a fost creat și Comitetul Consultativ, în baza Capitolului V al prezentului document, fiind format din reprezentanții tuturor statelor membre ale Consiliului Europei, semnatare ale Convenției. În componența sa se regăsesc și un președinte, alături de doi vice-președinți.

Atribuțiile sale sunt în principiu de a elabora proiecte de instrumente juridice în vederea adoptãrii acestora de cãtre Comitetul de Miniștri și, totodatã,  de a emite avize și rapoarte.

La lucrãrile Comitetului pot participa și reprezentanți ai statelor membre ale Consiliului Europei, dar care nu au semnat Conventia nr. 108, iar reuniunile acestuia au loc, de regulă, la sediul Consiliului la Strasbourg.

Ce părere are România?

România a ratificat Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal prin Legea nr. 682/2001.

Prin Legea nr. 55/2005 țara noastrã a ratificat și Protocolul adițional la Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal, cu privire la autoritãțile de control și fluxul transfrontalier al datelor.

Țara noastră se califică a fi membru activ, participând prin reprezentanții Autoritãții Naționale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal la reuniunile Comitetului, având drept de vot.

Convenția adusă la actualitate?

Convenția  trece în prezent printr-un proces de modernizare și adaptare la provocãrile privind protecția datelor reprezentate de noile tehnologii în domeniul comunicațiilor. Proiectul de modernizare a Convenției a fost inițiat de cãtre Comitetul Consultativ.

Procesul de revizuire va urmãri cele douã mari obiective, respectiv sã rãspundã provocãrilor la adresa vieții private ca rezultat al utilizãrii noilor tehnologii în domeniul comunicațiilor și sã sublinieze importanța mecanismului de follow-up cu privire la implementarea principiilor stabilite prin aceasta.

Astfel, în octombrie 2011 au început discuțiile privind modernizarea Convenției 108, Comitetul Consulativ  ajungând la adoptarea, la nivelul tehnic în 2012 a unui text de protocol de revizuire. Comitetul miniștrilor a decis înființarea unui comitet ad-hoc privind protecția datelor format din reprezentanți ai statelor membre ale Consiliului Europei cu misiunea de a finaliza modernizarea Convenției 108 prin negocierea formalã a textului protocolului de amendare.

Întrucât majoritatea statelor pãrți la Convenția 108 sunt membre atât ale UE, cât și ale Consiliului Europei, se dorește realizarea unor modificãri compatibile între instrumentele juridice de la nivelul acestor douã organizații internaționale.





Persoana vizată are dreptul să solicite operatorului să șteargă fără întârziere datele cu caracter personal  care o privesc în următoarele cazuri:

  • datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  • persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
  • persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;
  • datele cu caracter personal au fost prelucrate ilegal;
  • datele cu caracter personal trebuie șterse pentru respectarea legii;
  • datele cu caracter personal au fost colectate în legătură cu oferirea de servicii online copiilor.

Operatorul va trebui să ia o decizie cu privire la o astfel de solicitare. Ștergerea datelor nu se va realiza dacă:

  • datele sunt necesare pentru exercitarea dreptului la liberă exprimare și informare;
  • datele sunt necesare pentru îndeplinirea unei obligații legale;
  • din motive de interes public în domeniul sănătății publice;
  • în scopuri de arhivare în interes public;
  • pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Exemplu: O persoana decide să părăsească un site de rețele sociale. Are dreptul de a-i cere operatorului să șteargă datele cu caracter personal care îi aparțin, iar operatorul va trebui să se conformeze. 

 Exemplu: O persoană decide să părăsească un site de rețele sociale. Pe acest site, persoana a cumpărat servicii de publicitate. Persoana înaintează o cerere de ștergere a datelor. Compania realizează că poate șterge datele, însă legea o obligă să păstreze timp de 10 ani facturile emise către persoană. Prin urmare, va șterge doar o parte din date, păstrându-le pe cele care trebuie păstrate potrivit legii.

Exemplu: O publicație online a publicat, la cererea unor elevi nemulțumiți, un articol defăimător despre o profesoară. Acesta înaintează o cerere de ștergere a datelor, iar publicația este obligată să o șteargă, deoarece informația nu este de interes public.


VREI SĂ TE ALINIEZI LA GDPR? Afă mai multe aici

Autor Laura Pintilie

Studentă anul II

Universitatea Babeş-Bolyai Cluj-Napoca Facultatea de Drept.


Datele speciale

În viața unui om al secolului XXI, oricine are la cunoștință faptul că mediul informatic invadează întreg mapamondul, începând să devină o mână de ajutor pentru omul de rând, și o sursă de venit pentru specialiști. Cel puțin o dată în viață, oricare dintre noi a oferit internetului date cu privire la nume, vârstă, domiciliu, fie că e vorba despre o înregistrare pe rețelele de socializare, fie o simplă cazare la hotel.

Acestea poartă denumirea de date personale, așa cum le caracterizează și articolul 3, litera (a) din Legea 677/2001 “date cu caracter personal-orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este aceea care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau mai mulți factori specifici identității sale fizice , fiziologice, psihice, economice, culturale sau sociale.” Vorbim despre date personale atunci când acestea îndeplinesc condițiile de mai sus (o femeie din Brașov care se numește Constantin Elena Maria). În mod contrar, ele se numesc  date anonime  (o femeie din Brasov de 40 de ani).

Acum, că am clarificat noțiunea de date personale, putem vorbi și despre datele speciale, o categorie aparte de date, delimitate strict prin lege:


  • Rasa
  • Etnia
  • Orientarea politică
  • Religia
  • Convingerile filozofice sau de natură similară
  • Apartenența sindicală
  • Date privind starea de sănătate
  • Date privind viața sexuală

Pe lângă acestea, există o altă categorie de date, care beneficiază de un regim special:

  • Date cu caracter personal, având o funcție de identificare generală, cum este codul numeric personal (CNP)
  • Date personale referitoare la fapte penale sau contravenții.

Cum putem prelucra datele speciale intr-o manieră legală?

Reglementării privitoare la prelucrarea datelor cu caracter personal îi este consacrat Capitolul III al Legii 677/2011. Articolul 7, alin. (1) interzice în mod expres prelucrarea unor astfel de date, însă ca o excepție a acestei reguli, articolul 7, alin. (2) subliniază că prevederile primului nu se aplică în următoarele cazuri:

  • Când persoana vizată și-a dat în mod expres consimțământul pentru o astfel de prelucrare

Acest consimțământ reprezintă că persoana înțelege cum vor fi prelucrate aceste date, unde vor merge și in ce scop. În general, acordul este bazat pe încrederea conferită de transparența procesului de prelucrare, în condițiile cunoștinței de cauză. De cele mai multe ori, acesta se materializează în bifarea căsuței “Accept termenii și condițiile”, deși frecvent, termenii nu sunt cunoscuți datorită omiterii lecturării textului care le cuprinde.

  • Când prelucrarea este necesară în scopul respectării obligațiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii

Acestă excepție este imperios necesară ca prevederile dreptului muncii să nu contravină Legii 677/2001, deoarece există anumite obligații specifice domeniului, luând ca exemplu înregistrarea angajatului în sistemul Revisal. Cu toate acestea, este interzis ca angajatorul să transmită aceste date unei alte companii, instituții, organizații sau asociații, fără acordul expres al celui care le furnizează.

Pot exista însă cazuri în care există o obligație legală de a transmite datele, în calitate de angajator, așa cum ar fi de exemplu o cerere de la ANAF.

KIT GDPR Premium


  • Când prelucrarea este necesară pentru protecția vieții, integrității persoanei vizate

În acest sens, există anumite cazuri în care chiar lipsa prelucrării datelor speciale pot pune în pericol viața sau integritatea persoanei vizate sau a alteia. Astfel, această condiție se insitutie ca un mijloc de protecție, de exemplu în cazul unei persoane aflată în incapacitate fizică sau juridică de a-și da consimțământul.

  • Când prelucrarea este efectuată în cadrul activităților legitime de către o fundație, organizație

Atunci când prelucrarea este conformă activităților sale din statut, o organizație cu scop nelucrativ și cu specific politic, filozofic, religios ori sindical și persoana vizată este membră a acelei organizații, se poate dispune acest procedeu.  Ca exemplu, un scop legitim este atunci când un ONG pentru promovarea libertății sexuale reprezintă în instanță o persoana căreia i-au fost încălcate drepturile.

  • Când prelucrarea se referă la date făcute publice în mod manifest de persoana vizată
  • Cand prelucrarea este necesară în scopuri de medicinale :
  • De medicină preventivă
  • De stabilire a diagnosticelor medicale
  • De administrare a unor îngrijiri sau tratamente speciale pentru persoana vizată
  • De gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate

Condiția esențială de aplicare a cazurilor sus-numite este ca acestea acestea să fie făcute sub supravegherea cadrului medical supus secretului profesional sau unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul.

  • Când legea prevede în mod expres aceasta în scopul protejării unui interes public important

Se impune condiția ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate și a celorlalte garanții prevăzute de prezenta lege (677/2001).

Articolul (3) vine să întăreasca obligația autorităților publice de a respecta și a ocroti viața intimă, familială și privată, reamintind totuși faptul că deși acestea sunt tot mai prezente în rutina cotidiană, nu dețin monopol asupra vieții noastre.

În final, se impune o mică recomandare pentru păstrarea “sănătății juridice” a unui cetățean, subiect de drept cu drepturi și obligații-precauția este întotdeauna cea mai ușoară cale de a evita conflictele și încălcările arbitrare de drepturi. Pentru asta, se invită încurajator consultarea termenilor și condițiilor următoarea data când decideți furnizarea informațiilor cu caracter personal, deoarece consecințele negative pot fi de multe ori subestimate sau neanticipate.




Pintilie Laura-Adriana

Universitatea Babes-Bloyai Cluj Napoca, Facultatea de Drept