Temeiul legal pentru care o firmă poate fi controlată de ANSPDCP, în felul acesta, este dat de Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și de Procedura de efectuare a investigațiilor, din 09.10.2018.
Conform Procedurii de efectuare a investigațiilor, dacă există opoziție, din partea unei firme, în vederea desfășurării investigației, ANSPDCP „poate solicita autorizarea judiciară, dată prin încheiere de către președintele Curții de Apel București sau de către un judecător delegat de acesta”.
O astfel de autorizație poate fi contestată la Înalta Curte de Casație și Justiție, însă contestația nu suspendă executarea. Astfel, odată obținută autorizația, firma nu se mai poate opune.
Din acest motiv, este important de văzut de ce ANSPDCP are puteri atât de extinse în desfășurarea investigațiilor, similare organelor de procedură penală. Mai mult, conform Codului de procedură penală, cele din urmă au nevoie de mandat din partea judecătorului de drepturi și libertăți sau din partea instanței pentru efectuarea unei percheziții, în timp ce ANSPDCP are dreptul de a desfășura investigația fără un mandat (autorizația fiind necesară doar dacă există opoziție din partea firmei vizate).
Motivul principal pentru care există puteri atât de extinse date ANSPDCP îl reprezintă legislația europeană și efectivitatea desfășurării investigațiilor. De exemplu, Regulamentul general privind protecția datelor (GDPR) prevede, în preambulul acestuia, că orice autoritate națională de protecția a datelor, din cadrul Uniunii Europene, trebuie să aibă aceleași competențe și să fie efective.
În plus, același Regulament prevede că investigațiile desfășurate la sediul persoanelor vizate „ar trebui exercitate în conformitate cu cerințele specifice din dreptul procedural național, cum ar fi obligația de a obține în prealabil o autorizare judiciară”. Astfel, se poate vedea că GDPR a abordat exact această problemă, urmărind să garanteze respectarea drepturilor fundamentale ale persoanelor investigate prin referirea la respectarea garanțiilor procedurale naționale.
Mai mult, chiar și Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (actul normativ care preceda GDPR, dar care nu mai este în vigoare, la acest moment) prevedea faptul că autoritățile însărcinate cu supravegherea activităților de protecție a datelor trebuiau să aibă competențe efective de investigație, în special în privința accesului la datele relevante.