Regulamentul UE 2016/679 – cunoscutul „Regulament general privind protecția datelor”, care înlocuiește și abrogă Directiva 95/46/CE având același obiect – trasează conturul, punctele principale și medianele domeniului prelucrării datelor cu caracter personal aflat între granițele teritoriale și jurisdicționale ale Uniunii Europene.
Dacă majoritatea actorilor implicați în procesul prelucrării datelor cu caracter personal se bucură, grație regulamentului, de o definiție cuprinzătoare inserată în textul articolului 4, nu același lucru se poate afirma despre funcția responsabilului cu protecția datelor (în continuare, „RPD”), care nu este identificată, însă tinde spre a fi identificabilă, prin aceea că RPD este desemnat de către operator sau de către persoana împuternicită de către operator.
Operatorul se poate întreba care sunt situațiile în care trebuie să numească un RPD, care vor fi atribuțiile acestuia, dar și pe baza a ce criterii se va face desemnarea propriu-zisă. Pentru primele două întrebări, răspunsul este oferit chiar de către regulament și va fi expus în continuare, la punctele 1. și 2. Chestiunii evocate la cea de-a treia întrebare îi va fi, însă, oferit de către regulament un răspuns implicit, abstract și ușor eliptic, fapt care poate genera, după cum relevă și titlul articolului, dificultăți în desemnarea RPD, aspect care va fi tratat la punctul 3.
1. Când este necesară numirea unui RPD?
Răspunsul la întrebarea formulată este dat chiar de art. 37 din regulament. Astfel, operatorul și persoana împuternicită de operator desemnează un RPD ori de câte ori există una dintre următoarele trei criterii:
(a) autoritate publică („prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale”);
(b) scară largă, monitorizare periodică („activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care,
prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă”);
(c) scară largă, categorii speciale de date personale („activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10”).
Termeni precum „autoritate publică”, „activități principale” sau „scară largă” sunt explicați în Ghidul privind Responsabilul cu protecția datelor, adoptat în anul 2016 de către Grupul de lucru constituit în acest sens pe vechiul art. 29 din Directivă (https://www.dataprotection.ro/servlet/ViewDocument?id=1384).
Suplimentar față de situațiile de la a)-c), regulamentul ne relevă faptul că RPD poate fi desemnat sau, după caz – acolo unde dreptul Uniunii/ dreptul intern solicită acest lucru – va fi desemnat și în alte cazuri în care se prelucrează date personale.
În termeni mai conciși, RPD va fi desemnat în toate cazurile în care există o dispoziție normativă în acest sens (fie ea internă sau unională – care, prin caracterul ei obligatoriu, echivalează cu una internă). În cazurile în care nu există o astfel de dispoziție, operatorii sau persoanele împuternicite de aceștia vor avea facultatea de a desemna un astfel de RPD.
În ambele cazuri, RPD poate fi un membru al personalului operatorului/ persoanei împuternicite de operator sau poate fi o persoană independentă, care să își îndeplinească sarcinile în baza unui contract de servicii. Pe de altă parte, în niciunul dintre aceste cazuri, între operator/ persoană împuternicită și RPD nu va exista un raport de subordonare. Cel dintâi nu va putea oferi instrucțiuni RPD în ceea ce privește îndeplinirea sarcinilor acestuia, iar RPD se va bucura de o poziție de oarecare autonomie.
2. Care sunt sarcinile unui RPD?
Art. 39 din regulament se concentrează înspre a identifica minimul atribuțiilor pe care trebuie să le îndeplinească RPD. Astfel, acestea sunt:
„(a) informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor;
(b) monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
(c) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum și, dacă este cazul, consultarea cu privire la orice altă chestiune.”
Alături de enumerarea limitativă și deloc exhaustivă furnizată de regulament, acesta mai menționează în art. 38 și faptul că RPD poate îndeplini și alte sarcini și atribuții. Însă, în îndeplinirea acestora, operatorul sau persoana împuternicită se obligă să se asigure că niciuna dintre sarcini nu va genera un conflict de interese.
3. Considerații privind desemnarea propriu-zisă a unui RPD
Pentru început, regulamentul ne relevă faptul că RPD este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și
practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.
Deși în termeni ușor generali și chiar abstracți, dispoziția dorește a indica domeniile în care potențialul RPD trebuie să dețină cunoștințe și experiență. Însă, este ușor de sesizat inexistența vreunei condiții exprese privind calificarea profesională a candidatului la funcția de RPD: regulamentul nu impune ca acesta să parcurgă un curs de calificare profesională ori să dețină o licență de studii superioare într-un anumit domeniu.
În acest sens, Grupul de lucru afirmă faptul că este necesar ca RPD să aibă experiență în legislația și practicile din domeniul protecției datelor la nivel național și european și să dețină cunoștințe aprofundate despre protecția datelor, însă fără a impune modalitatea prin care această experiență să fie dobândită.
În mod concret, singura condiție prevăzută de regulament este existența cunoștințelor teoretice și practice din domeniul protecției datelor cu caracter personal, condiție ce exprimă implicit apartenența RPD-ului la acest domeniu – apartenență materializată într-o formă sau alta. Spiritul dispoziției excedă cu atât mai mult litera acesteia prin însuși faptul că domeniul amintit se află la congruența dintre tehnic și juridic. Tocmai de aceea, RPD mai este supranumit și „juristul specializat în tehnologie”.
În lumina celor menționate mai sus, considerăm relevant a aminti faptul că o inițiativă de reglementare a profesiei de RPD a fost depusă în anul 2020 în Parlamentul României, având ca scop întocmai clarificarea criteriilor pe baza cărora un RPD va putea fi desemnat de către operator/ persoana împuternicită. Printre criteriile pe care inițiativa legislativă le propunea se numără și necesitatea efectuării unui curs de specializare/perfecționare care s-ar finaliza cu obținerea unui certificat în acest sens. Cu toate că o astfel de inițiativă poate apărea ca fiind binevenită, criticile aduse de către Asociația Specialiștilor în Confidențialitate și Protecția Datelor – ASCPD (organizație non-guvernamentală înființată cu scopul de a ajuta, defini, susține și îmbunătăți profesia de RPD) și, ulterior, clasarea acesteia de către Senat, ca primă cameră decizională, o vor contrazice.
Astfel, ASCPD observă faptul că, prin proiectul de lege se aduce atingere dreptului Uniunii Europene, substanțial și procedural, întrucât viziunea proiectului: 1. afectează
independența Autorității Naționale de Supraveghere și autonomia exercitării atribuțiilor de către RPD și 2. creează obstacole și costuri suplimentare pentru operatorii care fac eforturi de conformare la regulament, limitând libertatea acestora de a desemna persoanele pe care le consideră potrivite pentru îndeplinirea funcției. În plus, se încalcă dreptul Uniunii Europene și prin raportare la aspectele de procedură, deoarece inițiativa legislativă a fost exercitată cu nerespectarea regulilor evaluării proporționalității, astfel cum stabilește Directiva(UE) 2018/958, privind efectuarea unui test de proporționalitate înainte de adoptarea unor noi reglementări referitoare la profesii.
În consecința celor expuse mai sus, inexistența unor criterii concrete de desemnare a RPD și, din contră, existența unei autonomii a operatorului/ persoanei împuternicite, ar trebui să fie privite dintr-o perspectivă benefică, tocmai prin acordarea către acesta a unei marje de libertate aproape arbitrară – libertate îngrădită numai de propriile dispoziții ale regulamentului.
Cu toate acestea, dacă RPD este ales dintre membrii personalului unității în care are loc procesarea datelor, este imperativ ca operatorul/ persoana împuternicită să supravegheze în mod continuu ca această libertate să nu facă posibilă nașterea unui conflict de interese prin faptul că RPD are un rol dublu: de supraveghere a protecției datelor și, în același timp, de definire a modului de gestionare a acestora.
Tocmai din acest motiv, în practică va putea părea dificilă alegerea unui RPD dintre persoanele deja existente în unitatea în care se dorește desemnarea lui – fie din cauza conflictului de interese amintit adineauri, fie din cauza volumului mare de date procesate. În consecință, mulți dintre operatori/ împuterniciți tind să aleagă un RPD extern, căruia nu îi vor trebui mai mult de 2/3 zile pe lună pentru îndeplinirea sarcinilor aferente funcției și care ar exclude, prin natura sa, posibilitatea nașterii unui conflict de interese.
Așadar, nu există un răspuns magic pentru alegerea unui RPD, iar Grupul de lucru recomandă ca hotărârea să se ia de la caz la caz de către fiecare operator/ împuternicit în parte, ținând cont de limitele dezbătute mai sus. Se pune, astfel, problema libertății și a granițelor ei, a avantajelor și, paradoxal, a constrângerilor acesteia, chestiuni care țin de fiecare individ în parte, iar, în situația dată, de fiecare operator în parte, care trebuie să desemneze, ținând cont atât de dispozițiile regulamentului și îndrumările grupului de lucru, cât și de propriul liber arbitru, RPD corespunzător pentru fiecare procesare de date personale.