Importanța acreditării competențelor DPO

Tendinte (de , February 14, 2018)

Mai e puțin până la iminenta intrare în vigoare a Regulamentului EU 2016/ 679 și unul dintre aspectele care se află (încă) într-un con de umbră este acreditarea responsabililor cu protecția datelor (Data Protection Officer – DPO). Textul GDPR și Ghidul DPO realizat de Grupul de Lucru Articolul 29 (WP29) sunt destul de laconice în prezentarea cerințelor profesionale pentru poziția de DPO și nu pomenesc nimic de atestarea acestora.

Lipsa de informații explicite generează o zonă crepusculară, destul de critică pentru un Regulament european cu serioase implicații legislative. Cum alegem un DPO? Pe ce criterii profesionale? Cine ne garantează expertiza profesională a celui pe care îl vom numi în acest rol, element cheie în adopția GDPR? Cine acreditează companiile care fac instruirea DPO? Sunt întrebări legitime care își găsesc cu greu răspunsul,  în condițiile în care în mod oficial nu există un organism de recunoaștere a competențelor unui DPO, nici la nivel UE și nici în celelalte țări membre. Cu o singură excepție, pe care o vom discuta la sfârșit.

Ce găsim în GDPR, ghiduri și recomandări

Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie ”desemnat pe baza calităților profesionale şi, în special, a cunoștințelor de specialitate în dreptul şi practicile din domeniul protecției datelor, precum şi pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.” Destul de laconic, nu? Potrivit Considerentului 97 din GDPR un DPO trebuie să fie ”o persoană care deține cunoștințe de specialitate în materie de legislație şi practici privind protecția datelor și  trebuie să acorde asistență operatorului pentru monitorizarea conformității ”.  Destul de ambiguu.

Aceeași idee este reluată în Ghidul WP29 care sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport.  O explicație logică, dar tot nu știm cine ne garantează expertiza? Tot în acest ghid se arată că, pe lângă spiritual etic și integritatea profesională, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum experiență în legislația și practicile de protecție a datelor la nivel național și european, nivelul de cunoștințe în funcție de operațiunile de prelucrare,  înțelegerea acestor operațiuni și a cerințelor de securitate și protecție, precum și (după caz) cunoștințe privind reglementările legale din domeniul public.

Lipsa unei entități de recunoaștere a competențelor

Deci ce criterii trebuie să primeze la numirea unui DPO? Să punem pe cineva priceput, ca să-l avem în schema la data de 25 mai? Sau să ne bazăm pe cineva care știe ce este de făcut când apare o breșă de Securitate? Putem avea încredere într-un tânăr cu abilități manageriale care face o instruire de 4-5 zile? Desigur, dar învățatul ”din mers” presupune asumarea unor riscuri.

Mai există opțiunea externalizării acestei poziții și apelarea la un DPO specializat. Ce fel de specializare ar trebui să aibă acesta pentru a fi de încredere? Putem să încredințăm oricui informațiile cele mai sensibile ale unei companii?

Formarea DPO pe piața din România

La noi există deja câteva oferte de instruire pentru DPO. Unele dintre acestea sunt girate de instituții internaționale de certificare profesională care acordă diplome DPO Certified  în anumite condiții, altele sunt inițiative locale care oferă programe de instruire pentru cei care vor să se specializeze în GDPR.

În acest moment niciunul dintre aceste programe de instruire nu beneficiază de recunoașterea unei autorități naționale sau europene, care să reglementeze certificarea DPO.  Ce putem face în aceste condiții? Practica demonstrează că în lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. Statisticile arată că e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de peste 300 de ore de proiect pentru obținerea unei experiențe  de DPO.

Modelul spaniol

Autoritatea de Protecție a Datelor Personale din Spania (AEPD) este prima din Europa care a stabilit un set de reguli pentru certificarea DPO. Acestea explică în detaliu ce abilități trebuie să demonstreze un DPO pentru ași putea exercita funcția în proiectele GDPR. Pentru aceasta, AEPD colaborează cu ENAC (Entitatea Națională Spaniolă pentru Acreditări) și cu un grup de experți în protecția datelor. Rolul ENAC este acreditarea schemei de certificare care se face conform standardului ISO 17024. AEPD apreciază că va fi necesar și un proces de autorizare a entităților care oferă servicii de instruire. Să sperăm că acest model va fi adoptat treptat și de celelalte țări membre, iar forurile UE vor gira recunoașterea europeană a acestor competențe.


Tags: ,

Trackbacks

Leave a Trackback