Pe parcursul anului 2019, operatorii au înregistrat la Autoritatea Naţională de Supraveghere un număr de 4318 responsabili cu protecția datelor numiți de către operatorii din sectorul public și privat (Sursa: raportul anual 2019 ANSPDCP, pag.70) care se adaugă la cei 7225 responsabili cu protecția datelor numiți pe tot parcursul anului 2018 (Sursa: raportul anual 2018 ANSPDCP, pag.106).
În total, de la data aplicării Regulamentului UE 679/2016 și până la începutul anului 2020 au fost notificați către Autoritate 11543 de responsabili. Dar ce înseamnă această cifra? Este acest număr suficient pentru a deservi toate organizațiile din sectorul public și privat care au obligația de a desemna un DPO? Vă invităm să analizăm împreună datele.
Când este este obligatorie desemnarea unui responsabil cu protecția datelor?
Conform Art. 37 din GDPR, desemnarea responsabilului cu protecția datelor este obligatorie pentru:
- Toate autoritățile și organismele publice (indiferent de datele pe care le prelucrează, exceptând instanțele care acționează în exercițiul funcției lor jurisdicționale)
Autoritățile și organismele publice includ autoritățile naționale, regionale și locale, organizațiilor private care îndeplinesc sarcini publice sau exercită autoritate publică trebuie să numească un DPO.
- Organizații care, ca activitate de bază, monitorizează persoane în mod sistematic și la scară largă
Monitorizarea periodică și sistematică a persoanelor vizate include toate formele de urmărire și profilare, atât online, cât și offline inclusiv în scopul publicității comportamentale.
- Organizații care prelucrează categorii speciale de date cu caracter personal la scară largă
Atunci când se stabilește dacă procesarea se face la scară largă, liniile directoare afirmă că trebuie să țineți cont de următorii factori: numărul sau procentul persoanelor vizate în cauză, volumul de date cu caracter personal prelucrate, gama elementelor diferite de prelucrat, extinderea geografică a activității, durata sau permanența activității de prelucrare.
Prin Legea 190/2018 a fost introdusă o nouă categorie de prelucrări care implică obligativitatea desemnării unui DPO:
- Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în vederea realizării intereselor legitime urmărite de operator sau de o parte terță
Numere de identificare națională sunt acele numere prin care se identifica o persoana fizica în anumite sisteme de evidenta și care au aplicabilitate generala, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare sociala sau de sănătate.
Celor de mai sus li se adaugă organizațiile care nu îndeplinesc criteriile de obligativitate a numirii unui DPO dar care doresc numirea unui Responsabil cu protecția datelor pe bază de voluntariat,urmând încurajările atât ale Grupului de lucru instituit prin articolul 29 („WP29”) cât și ale Autorității naționale în domeniul protecției datelor.
Luând în considerare faptul că numărul autorităților publice din România, conform Registrului Național al Instituțiilor Publice din România, publicat de Agenția pentru Agenda Digitala a României (AADR), se ridică la peste 41.227, dacă excludem instanțele care acționează în exercițiul funcției lor jurisdicționale, rezultă peste 40.000 de instituții publice care sunt obligate sa desemneze un Responsabil cu protecția datelor.
Dacă acestui număr impresionant i se adaugă alte mii reprezentând operatori privați care, prin natura prelucrărilor, au obligația de a desemna un DPO, sau care nu au aceasta obligație dar au desemnat voluntar un DPO, estimările depășesc cu ușurință cifra de 50.000 de entități care ar fi trebui să numească un DPO și să-l comunice Autorității naționale de supraveghere.
Atenție: A nu se confunda numărul de DPO notificați Autorității cu numărul real de specialiști în protecția datelor, având în vedere că (indiferent că au calitatea de angajat sau este un serviciu externalizat) poate fi desemnat un responsabil cu protecția datelor unic, simultan, pentru mai multe entități.
Câți DPO sunt la nivelul Uniunii Europene?
Potrivit unui studiu realizat de Asociația Internațională a Profesioniștilor în Confidențialitate (IAPP), aproximativ 350.000 de organizații europene dintr-un total estimat de 500.000 au desemnat și notificat un Responsabili cu protecțiea datelor (DPO) în primul an de la aplicarea Regulamentului general privind protecția datelor (GDPR).
Aceasta estimare a fost realizată pe baza datelor oferite de 12 state care reprezinta 80% din produsul intern brut al Spațiul Economic European (SEE). În raportul IAPP nu a fost luat în calcul numărul de DPO din Germania, a cărei legislații anterioară GDPR-ului prevedea necesitatea numirii de ofițeri de protecție a datelor, motiv pentru care aproximativ 182.000 de DPO sunt înregistrați la Autoritatea germană.
CEO al IAPP, Trevor Hughes, a declarat: "Companiile au integrat protecția datelor în structurile lor de guvernare și au îmbrățișat cerințele de responsabilitate cerute de GDPR. Bineînțeles, doar numirea unui DPO nu este suficientă. Organizațiile trebuie să se asigure că responsabilii cu protecția datelor sunt instruiți și calificați pentru a aborda una dintre problemele de politică tehnologică definitorii ale timpului nostru, protejând confidențialitatea și datele persoanelor."
Căt costă un DPO la nivelul Uniunii Europene?
Într-o cercetare separată, IAPP a chestionat membrii din Europa în ceea ce privește salariul și compensația globală. Rezultatele acestui sondaj arată că un DPO din Europa câștigă un salariu mediu de 88.000 de dolari pe an.
Cel mai probabil acest chestionar nu a ajuns și la specialiștii romani și spunem asta convinși fiind că suma rezultată ar fi fost sensibil mai redusă.
Care sunt riscurile nedesemnării unui DPO?
Conform Art. 83 a) din GDPR, nerespectarea dispozițiilor art. 37-39 (cele care reglementează activitatea Responsabilului cu protecția datelor), de către operatori din mediul privat, poate fi sancționată cu amenda administrativă de până la 10.000.000 Euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală.
În ceea ce privește autoritățile/organismele publice naționale, Legea 190/2018 instituie un regim special, astfel că încălcarea art. 37-39 din GDPR constituie contravenție și se sancționează cu amendă de la 10.000 lei până la 100.000 lei. Am putea încerca să facem o glumă spunând ca diferența între 10 milioane de euro și 100 de mii de lei constă doar în două zerouri și o conversie a monezii, deci nimic spectaculos, dar știm că nu va râde nimeni..
Ce concluzii putem trage?
Cele 11543 de notificări înregistrate la Autoritate, privind desemnarea responsabililor cu protecția datelor, sunt un indiciu clar al lipsei de responsabilități în special din partea autorităților publice, adică exact cei care ar trebui sa constituie un exemplu pentru restul operatorilor din România.
Cauzele acestei discrepanțe majore le putem intui cu ușurință:
- nealocarea bugetului necesar angajării sau contractării unu DPO;
- lipsa unor programe de formare la nivel național (un număr extrem de mic de universități au dezvoltat cursuri postuniversitare pentru protecția datelor care a lăsat loc numeroaselor cursuri de o după-amiază);
- Și poate cel mai important: dezinteresul majorității organismelor publice naționale de a se alinia la dispozițiile GDPR.
Toate aceste “lipsuri” necesită o remediere treptată dar sincronizată pentru a se evita apariția în piață a mii de “specialiști” fără pregătirea necesară unei activități atât de dificilă și importantă.
Mai mult, desemnarea unui DPO prin cumul de funcții este o soluție care trebuie cântărită cu mare atenție, existând riscul ca Responsabilul cu protecția datelor să se afle în incompatibilitate sau să nu trateze rolul de DPO ca fiind cel principal și implicit să nu aloce suficient timp și energie, obținându-se astfel doar o aliniere formală la GDPR din perspectiva obligației numirii unui Responsabil cu protecția datelor.
În tot acest context descris, concluzionăm că România are nevoie de specialisti, mult mai mulți decat cei deja înregistrați deja, pentru a asigura implementarea principiilor GDPR atât în cadrul organizațiilor private cât și în cadrul celor peste 40.000 de instituții publice.