Au participat la discuții instituții publice, cum ar fi ANFP, Avocatul Poporului, Universitatea Politehnica, avocați din cadrul unor reputate companii de consultanta din domeniul juridic, cum ar fi KPMG sau NNDKP dar și reprezentanți ai unor companii de prestare a serviciilor de securitate cibernetica, precum este Cyber Smart Defense dar și Responsabili cu protecția datelor (DPO) și reprezentanți ai departamentelor juridice ale unor companii private, precum Banca Transilvania, Huawei Technologies, Raiffeisen Bank, OLX Group, Complex Educațional Laude Reut, Lidl Romania sau ITHINK SOFTWARE SOLUTIONS & SERVICES.
Autoritatea a evidențiat ca în anul 2023, plângerile și reclamațiile s-au menținut la nivelul celor de anul 2022, așadar nu a avut loc o trecere în revistă a acestora, având în vedere că subiectul central al conferinței a fost Responsabilul cu Protecția Datelor.
DPO-ul a dobândit o importanță deosebită în ultimii din punct de vedere al importantei acestui rol în aplicarea legii, iar autoritatea își propune sa sprijine funcția și rolul acestor profesioniști în activitatea acestora și recunoaște că DPO-ul a contribuit semnificativ în cunoașterea de către operatori a dispozițiilor Regulamentului General cu Protecția Datelor (GDPR).
Un loc important în discuții a vizat contextul generat de avansul tehnologic, respectiv dezvoltarea noilor tehnologii (inteligența artificială și realitatea virtuală), care presupune o creștere a riscului de implementare a unor mijloace de supraveghere suplimentare, tendința observată de ANSPDCP la unele autorități publice fără a realiza o evaluare temeinică a drepturilor și libertăților angajaților, dar și a obligațiilor legale ale acestor operatori de date prealabil instituirii acestora.
A fost totodată abordat în repetate rânduri în cadrul conferinței subiectul Regulamentului care reglementează inteligența artificială (IA), subliniindu-se faptul că rapiditatea adoptării de către actorii comerciali ai soluțiilor IA generează o piață de aproximativ 300 miliare de dolari pentru dezvoltarea tehnologiilor care integrează inteligența artificială iar specialiștii din domeniul protecției datelor sunt obligați să realizeze (între alte demersuri), o Evaluare a Impactului privind Protecția Datelor (DPIA) privind prelucrarea datelor înainte de a implementa proiecte care presupun dezvoltarea sistemelor AI sau a utilizării acestor mijloace.
Remarcăm și valul de reglementari noi care se revarsă peste piața de e-commerce și care se ramifică în toate verticalele digitale, principalele legislații care vor fi adoptate în următorii doi ani (2024 – 2025) fiind: Regulamentul AI (aflat în negociere finală), Data Act (aplicare din septembrie 2025), DSA (aplicabil din februarie 2024), DMA (aplicabil din martie 2024), NIS 2 (aplicabil din octombrie 2024), DORA (aplicabil în sectorul financiar din octombrie 2025), Pachetul Regulament AML (aflat în negociere finală) și Directiva Transparentei Plăților (cu termen de transpunere în legislația națională în iunie 2026).
Directorul Direcției Juridice a ANSPDCP a prezentat constatările autorității privind rolul DPO-ului la nivel național dar și la nivelul Uniunii Europene din perspectiva aplicării articolelor 37 – 39 din GDPR și ale legii nr. 190/2018, al reglementarii naționale a funcției DPO in Codul Ocupațiilor din România (COR) din anul 2017, dar și din perspectiva Raportului privind Acțiunea coordonata de verificare cu privire la desemnarea si poziția responsabililor cu protecția datelor, desfășurată de Boardul Protecției Datelor European (EDPB), publicat în data de 16 ianuarie 2024 și la care au participat cu răspunsuri la chestionarele EDPB un număr de 19,087 de DPO și 42,875 organizații (operatori de date și persoane împuternicite de operatori).
La nivelul Uniunii Europene, concluziile Raportului publicat de EDPB sunt următoarele:
- - sunt alocate resurse insuficiente DPO;
- - nu sunt suficienți experți în domeniul protecției datelor iar și cursurile pentru pregătirea DPO sunt insuficiente;
- - sunt constatate conflicte de interese in exercitarea funcției;
- - la numirea DPO se impune realizarea unei analize a resurselor (financiare, umane) necesare, iar analiza trebuie sa fie reluata periodic;
- - cumularea DPO cu alte atribuții afectează substanțial îndeplinirea de care DPO a sarcinilor;
- - operatorul nu poate stabili pentru DPO sarcini care îl pun pe DPO in conflict de interese;
- - atribuțiile și sarcinile DPO ar trebui sa fie scrise eventual în fisa postului, iar atribuțiile trebuie sa fie aduse al cunoștință operatorului sau a persoanei împuternicite pentru și în numele cărora DPO-ul activează.
La nivel național, din răspunsurile transmise de DPO, au rezultat următoarele:
- - 82% dintre DPO erau angajați ai operatorilor;
- - 87% erau desemnați pe perioada nedeterminata;
- - 23% au pregătire juridica;
- - 8% au pregătire tehnica;
- - 46% dintre DPO participanți la studiu au o experiență de 3-5 ani in domeniul protecției datelor cu caracter personal, și
- - 33% beneficiază de mai mult de 32 de ore pe an de formare.
Acest din urmă punct este îngrijorător din perspectiva resurselor alocate DPO-ului, pentru accesul la formare profesională continuă într-un domeniu asaltat de reglementari legislative noi, care repoziționează profesionistul din domeniul juridic tot mai aproape de noțiuni și cunoștințe de ordin tehnic, iar pe profesionistul în domeniul informației tehnologiei (IT) tot mai aproape de cunoștințele juridice.
De asemenea, în plan național, din răspunsurile DPO participanți, a rezultat că:
- - 79% au primit toate sarcini efective ale unui DPO;
- - 44% au fost contractați sau angajați cu normă întreagă;
- - 30% au un adjunct;
- - 56% au resurse suficiente;
- - 61% sunt consultați pentru aspecte privind protecția datelor;
- - 56% dintre opiniile DPO sunt respectate, ceea ce înseamnă că, remarca cu îngrijorare autoritatea, 50% dintre opiniile DPO nu sunt respectate;
- - 51% dintre rapoartele scrise de DPO ajung la nivelul conducerii, așadar în 50% dintre cazuri, DPO nu are posibilitatea de a realiza rapoarte scrise adresate direct conducerii – respectiv celui mai înalt nivel al conducerii organizației pentru care DPO-ul activează și în raport cu care, DPO-ul se subordonează direct, conform GDPR.
Autoritatea subliniază că DPO este desemnat fie din cadrul operatorului, sau este externalizat, în baza unui contract de prestare servicii. Cei mai mulți dintre DPO, sunt însă desemnați din cadrul companiei operatorului sau a persoanei împuternicite.
Totodată, autoritatea s-a aplecat asupra Hotărârii CJUE din 9 februarie 2023 în cauza C-453/2021 – operatorul a demis DPO pentru că se află într-un conflict de interese, considerând aceasta un motiv grav, având în vedere ca DPO-ul îndeplinirea o funcție importantă în ierarhia decizională a organizației.
CJUE a fost de părere că, la nivelul legii naționale, relevant este faptul că în măsura în care, DPO-ul primește mai multe sarcini care îl pun în situația de a stabili mijloacele și scopurile prelucrării datelor, aceasta reprezintă implicit un caz de aducere a DPO-ului într-o situație de conflict de interese.
Autoritatea a evidențiat că o serie de sesizări au fost transmise în atenția sa spre soluționare pe parcursul anului 2023, atât de către instituții (cu precădere autorități publice), semnalând anumite incompatibilități ale DPO-ului desemnat sau, în unele cazuri chiar DPO-ul a sesizat ANSPDCP împotriva autorității angajatoare, pentru neacordarea accesului DPO la anumite informații interne la care acesta are acces, în virtutea atribuțiilor pe care le justifică rolul sau, potrivit legii.
Autoritatea a avertizat respectivele instituții și a emis planuri de remediere a situațiilor notificate, urmând totodată aplicarea și implementarea respectivelor masuri.
Nu în ultimul rând, recomandările ANSPDCP pentru operatorii economici (operatori de date cu caracter personal și persoane împuternicite de operatori) sunt următoarele:
- - Companiile din domeniul public și privat trebuie să acorde sprijin substanțial DPO în ceea ce privește resursele financiare alocate funcției acestuia, respectiv infrastructură (spațiu adecvat, buget, facilitați, echipamente) și personalul necesar pentru desfășurarea atribuțiilor;
- - DPO să aibă atribuții exclusive în domeniul protecției datelor;
- - înscrierea DPO-oului la cursuri de perfecționare / traininguri în fiecare trimestru;
- - Informare transmisă către toți angajații cu privire la desemnarea DPO, rolul și atribuțiile stabilite, pentru a-i fi oferit sprijinul și informațiile necesare;
- - DPO să aibă la dispoziție o echipă, în cazul operatorilor cu structuri semnificative, spre exemplu în ministere, autorități centrale, bănci;
- - DPO să primească sprijin activ din partea conducerii la cel mai înalt nivel;
- - DPO să beneficieze de canale de comunicare directă și periodică cu managementul superior.
Remarcăm faptul că direcția privind susținerea DPO-ului nu este o intenție națională ci o inițiativă documentată și stabilită la nivel UE, urmând a observa modul în care Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal sprijină DPO, care are într-adevăr nevoie de ajutor în multe privințe.