UPDATE: Nu vom avea o lege a DPO-ului prea curând. Propunerea de anul trecut a fost clasată

Proiectul de lege a ridicat o serie de semne de întrebare încă de la înregistrare, deoarece iniţiatorii nu şi-au motivat intervenţia legislativă, în condiţiile în care Regulamentul general privind protecția datelor (GDPR) reglementează deja anumite elemente ale DPO-ului, şi nici ANSPDCP nu a fost consultată.

Principalul element al propunerii se referea la condițiile pe care va trebui să le îndeplinească cineva, pentru a deveni DPO:

• să aibă capacitate deplină de exercițiu;
• să aibă studii superioare, cu diplomă de licență;
• să aibă o vechime în muncă de cel puțin un an;
• să fi efectuat un curs de specializare / perfecționare, absolvit cu certificat care să ateste competențele necesare exercitării profesiei;
• să fie apt, din punct de vedere medical, pentru exercitarea acestei activități;
• să nu fi fost condamnat definitiv pentru săvârșirea unei infracțiuni de natură să aducă atingere prestigiului profesiei. 

După aceea, proiectul prevedea care sunt atribuțiile unui DPO. E vorba, aici, de chestiuni ce țin de informarea organizației pentru care își desfășoară activitatea cu privire la cadrul legal aplicabil în domeniul protecției datelor, gestionarea relației cu Autoritatea de protecție a datelor ori de analiza și evaluarea riscurilor de prelucrare a datelor cu caracter personal. 

În plus, proiectul mai stabilea și chestiuni privitoare la răspunderea DPO-ului, inclusiv faptul că putea fi stabilite, prin contract, limite cu privire la răspunderea civilă a acestuia. De asemenea, propunerea mai conținea prevederi referitoare la sancțiunile ce îi vor putea fi aplicate DPO-ului, iar abaterile pentru care vor putea fi dispuse asemenea sancțiuni ar fi urmat să fie stabilite de Corpul Responsabililor cu protecția datelor cu caracter personal din Romania (organ reglementat tot prin această propunere legislativă).

Problemele propunerii

La scurt timp după înregistrarea propunerii legislative, Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) a atras atenția asupra problemelor generale ridicate de această iniţiativă pentru reglementarea profesiei de DPO. 

A fost scoasă în evidență o serie de probleme, printre care lipsa unei analize de proporționalitate (raportat la necesitatea reglementării), înainte de a fi înregistrată propunerea legislativă (cu atât mai mult cu cât dreptul Uniunii Europene (UE) pretinde o astfel de analiză). Inițiatorii proiectului nu au explicat, clar și în detaliu, de ce este această intervenție legislativă necesară. Ținând cont că, nu de puține ori, reglementarea unor profesii ar putea produce mai multe consecințe negative decât benefice, modalitatea aceasta de adoptare a unei asemenea legi ar putea crea riscuri pentru cei care vor desfășura activitate de DPO și pentru protecția datelor, în general. În plus, se punea problema și de nerespectarea dreptului UE.

După aceea, unul din cele mai controversate aspecte ale proiectului era obligația ca, pe viitor, cei care vor dori să devină DPO să fie nevoiți să efectueze un curs de specializare/perfecționare, absolvit cu certificat care să ateste competențele necesare exercitării profesiei. În plus, în ceea ce privește furnizorii de formare profesională, care vor fi acreditați pentru a oferi asemenea cursuri, propunerea legislativă părea a stabili o competență exclusivă pentru viitorul Corp al Responsabililor cu protecția datelor cu caracter personal din România (care va fi organizația profesională a DPO-urilor).

De asemenea, ASCPD a mai scos în evidență o serie de probleme specifice în legătură cu obligarea de certificare a DPO-ului. În primul rând, era neclar dacă spiritul GDPR ar permite obligarea DPO-ului de a urma un curs, în condițiile în care acesta, într-adevăr, nu o interzice expres, dar este precizat că un DPO poate fi oricine cu competențe recunoscute (nu neapărat printr-un curs formal) în domeniul protecției datelor. Cei de la ASCPD precizau că există o logică pentru care GDPR pretinde doar existența unor cunoștințe în domeniu, fără să oblige DPO-ul să obțină o acreditare formală - pentru a permite, cât mai rapid, desemnarea unui DPO. În condițiile în care oricine vrea să devină DPO trebuie să fie acreditat, prin urmarea unui curs formal, se poate pune problema dacă acest formalism nu ar crea un blocaj suplimentar. 

În plus, ar trebui avut foarte mare grijă la sancțiunile aplicabile DPO-ului, unde sunt stabilite acestea, existența unui grad de proporționalitate între faptă și sancțiune și, mai ales, luarea în considerare a importanței poziției pentru domeniul protecției datelor și a faptului că aplicarea unor sancțiuni excesive ar putea afecta puternic efectivitatea DPO-ului.

Chiar dacă reglementarea propriu-zisă a DPO-ului reprezintă un aspect de noutate, acest lucru nu înseamnă că anumite elemente nu sunt reglementate acum, mai ales de GDPR. De exemplu, cei interesați pot găsi, aici, informații cu privire la situațiile în care angajarea unui DPO este obligatorie. De asemenea, GDPR stabilește și anumite aspecte ce țin de atribuțiile DPO-ului.

Atenție! Prevederile propunerii legislative nu se vor aplica, clasarea sa înseamnă că parcursul legislativ s-a încheiat.