Pentru comunicare profesională JURIDICE.ro recomandă Infinit PR
TOP LEGAL
Print Friendly, PDF & Email

Opinii ale specialiștilor despre Procedura ANSPDCP de efectuare a investigațiilor

26.10.2018 | JURIDICE.ro
Abonare newsletter

În Monitorul Oficial al României, partea I, nr. 892 din data de 23 octombrie 2018, a fost publicată Procedura Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) de efectuare a investigațiilor.

Am solicitat unor specialiști în protecția datelor cu caracter personal puncte de vedere la cald cu privire la noua reglementare, cărora le mulțumim și pe această cale pentru.

Iată opiniile specialiștilor:

Horia Ispas

Horia Ispas

Av. Horia Ispas, Partner ȚUCA ZBÂRCEA & ASOCIAȚII: „Procedura de efectuare a investigațiilor („Procedura”) aprobată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („Autoritatea”) prin Decizia nr. 161/2018 nu reprezintă, în sine, o surpriză pentru mediul de afaceri local. Competențele sporite de control fuseseră anticipate la nivel normativ de reglementare primară prin modificările Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității, iar proiectul Procedurii a fost supus dezbaterii publice.

Practic, orice entitate poate fi vizată de o investigație a Autorității, efectuată fie ex officio (inclusiv în urma unei notificări privind încălcări ale securității datelor), fie la plângerea persoanelor vizate. Prin noua reglementare, Autoritatea dobândește atribuții similare altor autorități cu competențe de control (e.g. Consiliul Concurenței) în a efectua investigații inopinate (dawn raids), alături de cele cu înștiințare prealabilă. Dincolo de detaliile procedurale pentru fiecare tip de investigație, notăm câteva aspecte sensibile care ne-au atras atenția:
– Potrivit Procedurii (art. 19 e)), entitatea controlată are obligația „să furnizeze într-o formă completă documentele, informațiile, înregistrările și evidențele solicitate […] fără a putea opune caracterul confidenţial al acestora”. Această obligație generală de dezvăluire de date la cererea Autorității, dacă nu va fi judicios filtrată de echipa de control, poate ridica probleme în privința acelor documente, informații care sunt protejate de garanții edictate la nivel de legislație primară, precum cele privind privilegiul avocat-client și secretul profesional (art. 35 din Legea avocaturii nr. 51/1995.
– Remarcăm, de asemenea, caracterul univoc al investigației, inspectorii Autorității având largi competențe în a organiza investigația, accesând, la alegere, sursele și mijloacele pe care le consideră necesare (verificarea oricăror documente, echipamente, audiere de persoane, etc). Din păcate, Procedura nu formalizează pe parcursul investigației un cadru de răspuns/fundamentare a poziției entității controlate (dreptul de a depune comentarii la neregularitățile invocate, dreptul de a solicita audierea unor persoane, etc). Singurele mijloace de apărare sunt oferite doar ex post, după finalizarea investigației, sub forma obiecțiunilor la procesul-verbal de constatare/sancționare (nu este clar care ar fi efectul acestora după întocmirea procesului-verbal) și, desigur, contestație la instanța competentă.
– În fine, anticipând o creștere a numărului de investigații din partea Autorității, recomandăm entităților cu expunere în zona prelucrării datelor cu caracter personal adoptarea unor proceduri interne și efectuarea de sesiuni de training privind obligațiile, drepturile și conduita în cazul unei investigații din partea Autorității.”


Sandra Olănescu

Sandra Olănescu

Av. Sandra Olănescu, Partner CLIZA: „La prima vedere, se poate observa menținerea acelorași două modalități de sesizare a ANSPDCP, în sensul începerii unei investigații, respectiv: din oficiu ori la primirea unei plângeri.

Totuși, Procedura instituie o serie de schimbări față de procedura anterioară (id est Procedura privind activitatea de investigații și controale prealabile, în forma revizuită aprobată prin Decizia nr. 76/2012). Dintre acestea, este notabilă renunțarea la planificarea anuală și lunară a investigațiilor din oficiu, la controlul prealabil obligatoriu (ca urmare a eliminării obligației de înregistrare a operatorilor), aplicarea unui regim sancționator care discriminează pozitiv autoritățile/organismele publice, dacă se constată încălcarea legii.

În ipoteza primirii unei plângeri, Procedura stabilește că analizarea și soluționarea acesteia se va realiza în conformitate cu Procedura de primire și soluționare a plângerilor (aprobată prin Decizia nr. 133/2018, publicată în Monitorul Oficial al României nr. 600 din 13 iulie 2018).

Sub aspect terminologic, sintagma „control prealabil” este înlocuită cu termenul „investigație”.

În mod firesc, Procedura este în acord cu Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”) din 26 iulie 2018. Sub acest aspect, nu poate trece neobservată instituirea regimului sancționator mult mai lejer pentru autoritățile sau organismele publice, sens în care, indiferent de gravitatea încălcării săvârșite de către o asemenea autoritate, se va proceda, întotdeauna, la aplicarea sancțiunii avertismentului, urmată de stabilirea uni plan de remediere (prin care se stabilește și un termen de remediere).

Practic, amenzile (mult mai blânde față de limitele prevăzute de GDPR) pot fi aplicate de ANSPDCP numai în ipoteza în care autoritatea/organismul public(ă), deși a avut la dispoziție un termen de remediere, nu a acționat conform planului stabilit.  Oricum, o autoritate publică poate primi un maxim de amendă de 200.000 lei, în vreme ce, pentru aceeași faptă, un operator privat riscă un maxim de amendă de 20 milioane euro sau 4% din cifra de afaceri globală din anul anterior, fără a beneficia de vreun termen de remediere.

Bineînțeles, legiuitorul român a valorificat permisivitatea GDPR cu privire la aplicarea unor derogări în situații specifice, sens în care criticile formulate mai sus comportă strict un caracter de oportunitate, nicidecum unul de legalitate.”


George Trandafir

George Trandafir

Av. George Trandafir, Managing Partner TRANDAFIR & ASOCIAȚII: „Aprobarea, prin Decizia nr. 161/2018 a ANSPDCP, a procedurii de efectuare a investigațiilor („Procedura”) reprezintă o etapă esențială în exercitarea de către aceasta a atribuțiilor prevăzute de Regulamentul General privind Protecția Datelor („GDPR”). În urma analizei succinte, la cald, a acestei Proceduri, apreciem că demersul legislativ este perfectibil. Am selectat mai jos câteva aspecte care, din perspectiva noastră, ridică unele semne de întrebare.

1. Lipsa garanțiilor procedurale adecvate în cazul investigației la sediul ANSPDCP

Potrivit art. 32 alin. (3) din Procedură: „În mod excepțional, după caz, procesul-verbal de constatare/sancționare poate fi încheiat la sediul autorității, fără convocarea reprezentanților entității controlate, atunci când se decide că există dovezi suficiente/relevante pentru finalizarea investigației, pe baza notei echipei de control aprobate de șeful ierarhic.” (s.n.).

Chiar dacă în temeiul art. 32 alin. (4) din Procedură este permisă transmiterea de obiecțiuni cu privire la procesul-verbal, iar acesta poate fi contestat la instanța de contencios administrativ, art. 32 alin. (3) permite aplicarea unei sancțiuni, fără posibilitatea, nici măcar teoretică, de exercitare a dreptului la apărare al persoanei investigate (audiatur et altera pars).

Apreciem că această modalitate de exercitare a puterii publice conferite ANSPDCP contravine prescripțiilor art. 83 alin. (8) din GDPR, care stabilește că exercitarea competențelor autorității de supraveghere trebuie completată de oferirea unor garanții procedurale adecvate, fapt evidențiat și în documentul elaborat de Article 29 Working Party, intitulat „Orientări privind aplicarea și stabilirea unor amenzi administrative în sensul Regulamentului nr. 2016/679”, disponibil aici http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611237.

Chiar în jurisprudența Curții de Justiție a Uniunii Europene s-a stabilit că o persoană vizată de o investigație ce ar putea avea consecințe juridice negative asupra sa trebuie să își poată prezenta punctul de vedere autorității care o investighează, înainte de impunerea efectivă a sancțiunii (e.g. cauza T-231/97, New Europe Consulting Ltd).

Prin urmare, apreciem că nu poate să existe o justificare legală, compatibilă cu dreptul comunitar, pentru prevederile sus-menționate.

2. Obligația de respectare a secretului profesional

În baza art.17 alin. (2) lit. (h) și (i) din Procedură, personalul de control al ANSPDCP va putea verifica și ridica orice document considerat relevant pentru investigație.

Aceste dispoziții își au corespondentul în prevederile art. 58 alin. (1) lit. (e) și (f) din GDPR. Implementarea acestora trebuie corelată însă cu art. 90 din GDPR („Obligația privind păstrarea confidențialității”), care permite statelor membre să asigure un echilibru între competențele de investigare ale autorității de supraveghere și obligația de respectare a secretului profesional.

Spre exemplu, în cazul avocaților, prin recomandarea nr. 2/12/2016, CCBE (Council of Bars and Law Societies of Europe) s-a pronunțat deja în legătură cu modalitatea de implementare a acestei dispoziții în sistemele de drept ale statelor membre; s-a propus condiționarea aplicării competențelor de investigație precizate la art. 58 alin. (1) lit. (e) și (f) din GDPR, în ceea ce îi privește pe avocați, de exprimarea consimțământului baroului din care face parte avocatul respectiv: https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Guides_recommentations/EN_ITL_20161202_CCBE_Recommendations_regarding_the_implementation_of_the_GDPR.pdf.

Or, prevederile art. 90 din regulament ar fi trebuit avute în vedere, cel puțin la elaborarea Procedurii, pentru a se evita un evident conflict între legi. În absența unei corelări efectuate de legiuitor, în mod necesar va reveni instanțelor misiunea de a se pronunța cu privire la acest echilibru.

3. Lipsa menționării în Procedură a aplicării obligatorii a criteriilor de individualizare a sancțiunilor

Art. 83 alin. (2) din GDPR stabilește criteriile urmând a fi aplicate de autoritățile naționale competente, în mod obligatoriu, în toate cazurile de încălcare a prevederilor regulamentului, pentru individualizarea sancțiunilor urmând a fi dispuse.

Art. 23 alin. (2) al Procedurii nu conține nici măcar o referire sau o trimitere la aceste criterii, în contextul în care reglementează conținutul procesului-verbal încheiat de către reprezentanții ANSPDCP în urma constatării unei contravenții și/sau a dispunerii unei sancțiuni. Potrivit art. 23 alin. (2) lit. (h) din Procedură, procesul-verbal trebuie să conțină, între altele, doar „împrejurările ce pot servi la aprecierea gravității faptei”.

Pentru a asigura respectarea principiului impunerii unor sancțiuni eficace, proporționale și disuasive – cf. paragrafele nr. 150, 151 și 152 din preambulul GDPR – considerăm că s-ar fi impus trimiterea expresă la criteriile din art. 83 alin. (2) din GDPR, astfel încât să fie preîntâmpinate situațiile în care aplicarea acestora ar ajunge să fie condiționată de dispozițiile actelor normative naționale.

Aceste circumstanțe trebuie să fie avute în vedere ori de câte ori o sancțiune este stabilită, mai ales în contextul în care statele membre au obligația de a înlătura orice obstacol de la aplicarea dispozițiilor unui regulament (cauza C- 49/60, Hauptzollamt Hamburg c. Bolmann).

4. Efectul suspensiv al exercitării contestației împotriva actelor ANSPDCP

Potrivit art. 28 alin. (2) din Procedură (corespondent al art. 14 indice 4 din Legea nr. 102/2005), formularea căii de atac a contestației împotriva unui act al ANSPDCP conduce doar la suspendarea măsurii amenzii; prin urmare, eventualele măsuri corective dispuse prin actul atacat pot fi suspendate doar în condițiile art. 15 din Legea nr. 554/2004 a contenciosului administrativ.”

* Specialiștii consultați sunt membri PLATINUM JURIDICE.ro

Abonare newsletter

Aflaţi mai mult despre , , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

JURIDICE.ro este o platformă de exprimare. Publicăm şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica şi dumneavoastră pe JURIDICE.ro, vă rugăm să citiţi Politica noastră şi Condiţiile de publicare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereCărţiEvenimenteProfesioniştiRomanian Lawyers Week