Deși am mai atins subiectul, revin asupra sa după ce am citit ce se discută prin online-ul autohton despre responsabilul cu protecția datelor personale, inclusiv „durerile facerii„. Revin la ceea ce consider esența competențelor acestui rol:  evaluarea riscurilor.

Cu privire la nivelul de expertiză, Ghidul WP 243 precizează că „must be commensurate with the sensitivity, complexity and amount of data an organisation processes.„

Cu privire la capacitatea de a-și îndeplini sarcinile, același ghid precizează că „personal qualities should include for instance integrity and high professional ethics; the DPO’s primary concern should be enabling compliance with the GDPR. The DPO plays a key role in fostering a data protection culture within the organisation and helps to implement essential elements of the GDPR, such as the principles of data processing, data subjects’ rights, data protection by design and by default, records of processing activities, security of processing, and notification and communication of data breaches.„

Cele de mai sus se aplică și în cazul în care DPO este externalizat cu particularitatea că, dacă avem o „echipă„, cerințele de mai sus pot fi „sparte„ între membrii echipei.

În suportul de curs CIPM (Certified Information Privacy Manager) care tratează managementul protecției datelor personale nu doar din perspectiva GDPR(!!!), în cazul DPO, se menționează:

„The DPO: Required skills:

• Risk/IT
• Legal expertise/independence
• Cultural/global
• Leadership/broad exposure
• Self starter/board level
• Common touch/teaching
• No conflicts/credibility

Cursul a fost scris înainte de apariția GDPR dar vedem  că face trimitere la aceleași aspecte. Nu detaliez fiecare enunț din lista anterioară, ci notăm o primă distincție: cunoștințe despre evaluarea riscurilor, inclusiv riscuri IT. Să ne reamintim acum și ce spune GDPR:

  „Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.„

Nu doar cunoștințe despre legislație ci și „practici„. De ce  sînt importante cunoștințele despre evaluarea riscurilor (la adresa drepturilor și libertăților persoanei vizate, nu doar riscuri IT)? Recital 77,  Art. 39(2) și  35(2) impun ca DPO să își îndeplinească sarcinile ținînd cont de „ riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării„

DPO trebuie să înțeleagă care sînt riscurile din IT care conduc la riscuri la adresa drepturilor și libertăților persoanei vizate, inclusiv dreptul la protecția datelor. Pentru a înțelege aceste riscuri trebuie să înțeleagă fluxul datelor în întregul ecosistem al organizației și să interpreteze impactul pentru persoana vizată. În funcție de aceste riscuri ajută la implementarea cerințelor GDPR. Cum tehnologia nu prea stă locului și tot evoluează, experiența în domeniul IT este obligatorie: infrastructură, baze de date, tehnologii/soluții de securitate, audit etc.

A doua „filă de poveste„ se referă la ceea ce eu consider că nu a fost încă dezbătut. Art. 39(1) precizează că DPO „cooperează cu autoritea de supraveghere„ și este „punct de contact pentru autoritatea de supraveghere„. Atribuțiile Autorității vizează „protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal„. Punînd cap la cap cele de mai sus, rezultă deci că rolul DPO nu trebuie înțeles doar ca cel care asigură conformitatea organizației cu cerințele GDPR ci că este, în primul rînd,  cel care ajută la protejarea persoanelor!

În COR, responsabilul cu protecția datelor personale este la Grupa de bază 2422 -specialiști în domeniul politicilor administrative….descrierea grupei este foarte sugestivă: „Specialistii in domeniul politicilor administrative dezvolta si analizeaza politicile referitoare la proiectarea, implementarea si modificarea operatiunilor si programelor guvernamentale si comerciale.„

Va mai trece ceva timp pînă cînd vom putea discuta de o profesie și nu de o ocupație. Și poate vom vedea și un cod etic al profesiei. Cine să îl dezvolte este însă altă….filă de poveste….

Despre etică vorbim mai puțin…

PS. Ultima decizie CJEU îmi confirmă ce spuneam cam în urmă cu un an (pe Linkedin): da, numele și prenumele sau adresa sînt date cu caracter personal. Dar riscurile la adresa persoanei vizate (în majoritatea „contextelor„) sînt mai mici decît în cazul altor date cu caracter personal.