Pe tot parcursul anului 2018, această întrebare a plutit peste orice discuție care privea numirea unui responsabil cu protecția datelor personale (sau DPO, pe scurt) într-o companie. Furnizori de cursuri, influenceri nou-formați în materia protecției datelor personale, care nu înțelegeau foarte bine spiritul Regulamentului general privind protecția datelor (GDPR) și multe alte persoane au promovat și predicat de multe ori obligativitatea certificării sau acreditării unui DPO înainte ca acesta să ocupe o funcție. Așa să fie?

Toate aceste abordări au un punct comun: oferă foarte puține argumente în sprijinul existenței acestei obligativități. Așa că am considerat utilă o analiză care să acopere atât prevederile teoretice din GDPR (ce spune, de fapt, legislația, despre această obligativitate), precum și practica Autorităților de Supraveghere din Europa, pentru a concluziona mai apoi dacă există o astfel de obligație sau nu în România.

Ce prevede GDPR

Art. 37 alin. (5) al GDPR prevede că DPO-ul „este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile [unui DPO]”.

Mai mult, preambulul 97 prevede că „nivelul necesar al cunoștințelor de specialitate ar trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate”.

Traduse, prevederile de mai sus punctează un aspect extrem de important al vieții economice moderne.Trăim într-o lume atât de complicată, cu implicații atât de largi și nișe de activitate atât de punctuale, încât e imposibil să existe o entitate care să poată pregăti oamenii pentru fiecare dintre punctele pe care va trebui să le aibă în vedere în viitor, odată cu ocuparea funcției de DPO.

De aceea, spiritul GDPR prevede chiar faptul că o certificare/acreditare a unui DPO nu e posibilă și nici de dorit (un DPO „este desemnat pe baza calităților profesionale”, respectiv „nivelul necesar al cunoștințelor de specialitate ar trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate”). Îndrăznesc chiar să cred că o acreditare sau certificare obligatorie pentru un DPO ar putea fi contrară spiritului GDPR.

Ce spun autoritățile de supraveghere din alte țări

Singura autoritate europeană care a dezvoltat o schemă de acreditare pentru DPO este cea spaniolă. Chiar și în acest caz, însă, se menționează faptul că acreditarea este opțională și poate funcționa ca un master, dacă vreți, pentru cei care vor să arate că au cunostințe mult mai evoluate decât alte persoane, atunci când e vorba despre ocuparea unei funcții de DPO.

Mai mult, autoritatea spaniolă menționează și punctele minime pe care va trebui să le îndeplinească un cursant pentru a putea fi acreditat ca DPO conform acestor programe incluse în schema de acreditare. O să vedeți că, din multe puncte de vedere, vorbim de o materie de semestru / an și nicidecum despre cursuri ținute câteva zile într-o atmosfera de „prietenie și colaborare”.

Potrivit autorității spaniole, lectorii care țin cursul organizate de aceste organisme de certificare vor trebui „să aibă o pregătire profesională și o experiență profesională echivalentă sau mai mare decât candidatul care urmează să fie certificat și capacitatea de a evalua examenele de evaluare”. De asemenea, lectorii vor trebui să aibă o diplomă de licență și o experiență de cel puțin cinci ani în domeniul protecției datelor sau al securității informațiilor.

Pentru a fi putea participa la examenul de certificare ca DPO, potrivit schemei impuse de autoritățile spaniole, doritorii vor trebui să demonstreze că au:

• cel puțin cinci ani de experiență profesională care lucrează în domeniul activităților și / sau proiectelor legate de protecția datelor; sau
• o experiență de cel puțin trei ani în cadrul aceluiași program, plus cel puțin 60 de ore de pregătire specializată recunoscută; sau
• o experiență de cel puțin doi ani plus cel puțin 100 de ore de formare; sau
• în cazul experienței zero, cel puțin 180 de ore de formare.

Autoritatea de supraveghere din Irlanda a dezvoltat, de asemenea, un program de certificare pentru DPO, menționând, de asemenea, caracterul opțional al acestuia atunci când e vorba despre ocuparea funcției de DPO.

Există și o serie de certificări private, care oferă cursanților recunoașterea conferită de participarea la programele în cauză. De asemenea, ele sunt opționale și pot juca, în viitor, rolul unor supracalificări utile pentru cei care vor să arate că nu sunt doar simpli DPO, ci DPO supercalificați pentru munca pe care o desfășoară.

E, deci, nevoie de o certificare sau acreditare pentru a ocupa funcția de DPO?

Concluzia e, deci, că nu vorbim despre obligativitatea certificării sau acreditarii unui DPO atunci când acesta este angajat pe funcția în cauză într-o organizație. Bineînteles, pot exista organizații care să impună, prin punctele de îndeplinit de către candidații la poziția în cauză, obligativitatea atestării cunoștințelor DPO prin parcurgerea cursurilor unui program acreditat. Dar, aici, vorbim despre cerințe similare cu posturile pentru care se solicită sau se menționează faptul că absolvirea unui curs MBA ar putea constitui un plus.

SURSA : www.avocatnet.ro