ASCPD a transmis autorităților un studiu de impact al proiectului legislativ privind profesia de DPO
În data de 27 Noiembrie 2020, ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR (ASCPD) a înaintat mai multor autorități europene și naționale un punct de vedere la proiectul de lege privind organizarea profesiei de responsabil cu protecția datelor cu caracter personal înregistrat la Biroul Senatului României sub nr. B653/2020 la data de 10.11.2020.
“Prin acest demers anunțăm că legislația Uniunii Europene a fost încălcată prin promovarea acestui proiect de lege. Studiul de impact realizat și transmis tuturor autorităților implicate demonstrează nerespectarea exigențelor Uniunii Europene privind profesiile reglementate. În acest moment, nu se justifica aceasta lege care modifică rolul DPO-ului, deja instituit de legiuitorul UE în vederea apărării drepturilor și libertăților persoanelor vizate, și de aceea am solicitat acordarea avizului negativ și retragerea proiectului de lege de pe agenda Parlamentului”, a declarat Marius DUMITRESCU, Președintele ASCPD.
Acest studiu a fost transmis către Comisia Europeană, Comitetul European Pentru Protecția Datelor (EDPB), Confederația Organizațiilor Europene pentru Protecția Datelor (CEDPO), Avocatul Poporului, Senatul României, Camera Deputaților, Secretariatul General al Guvernului, Consiliul Legislativ, Consiliul Economic și Social și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, solicitându-se acordarea avizului negativ și retragerea proiectului de lege de pe agenda Parlamentului.
Principalele argumente prezentate în sprijinul solicitărior transmise autorităților:
- transformarea funcției de DPO în profesie reglementată nu răspunde exigențelor de independență a Responsabilului, prevăzute de RGPD și în ghidul EDPB și exigențele de proporționalitate prevăzute de legislația europeană, respectiv nu a fost realizată o analiză de impact;
- proiectul de lege aduce atingere dreptului Uniunii Europene, substanțial și procedural, inclusiv prin încălcarea art. 37-38 din RGPD;
- proiectul de lege și modalitatea de promovare a acestuia (în regim de urgență, fără dezbatere publică, fără consultarea ANSPDCP) reprezintă un risc la adresa statului de drept;
- exercitarea funcției de DPO în condițiile stabilite de acest proiect de lege, generează o fragmentare la nivelul statelor UE, nepermisă de aplicarea RGPD;
- proiectul de lege are un impact negativ asupra liberei circulații a persoanelor și a serviciilor în cadrul Uniunii Europene; dreptul la muncă și libertatea alegerii profesiei;
- proiectul de lege aduce atingere independenței în exercitarea atribuțiilor Autorității Naționale de Supraveghere, independenței exercitării atribuțiilor Responsabilului cu protecția datelor și are o viziune limitată la teritoriul național cu efecte anticoncurențiale; noile atribuții pentru ANSPDCP introduse de proiectul de lege exced competențele Autorității, nefiind în concordanță cu prevederile Regulamentului (UE) 679/2016;
- proiectul de lege creează obstacole și costuri suplimentare pentru operatorii care fac eforturi de conformare la GDPR și limitează libertatea acestora de a desemna persoanele pe care le consideră potrivite pentru îndeplinirea funcției;
- proiectul de lege propune înființarea nejustificată a unei noi entități, alta decât autoritatea de supraveghere, cu scopul de verificare a activității DPO și de aplicare de sancțiuni acestuia. Organizația nou creată va avea activități paralele cu atribuțiile de investigare și control ale Autorității de Supraveghere, nefiind supusă niciunei forme de control extern.
- proiectul de lege încalcă prevederile Legii 24/2000 privind normele de tehnică legislativă și regulamentele de organizare și funcționare a camerelor Parlamentului în ce privește următoarele aspecte: competența Camerei sesizate; inexistența vreunui studiu de impact; lipsa unei argumentări serioase în expunerea de motive care să pornească de la realitățile concrete din România; lipsa notei de fundamentare; necorelarea cu alte acte normative, precum legile de protecție a datelor, din România, în special cu legea 190/2018 privind unele măsuri de aplicare a RGPD; absența, în cuprinsul proiectului, a oricăror soluții adecvate, judicioase și fundamentate; absența consultării partenerilor sociali.