Implementarea normativă a GDPR în România (ediția 197). VIDEO+Transcript

Implementarea normativă a GDPR în România

Societatea de Științe Juridice (SSJ)
București 3, str. Turturelelor 50, et. 4

Luni, 21 mai 2018, ora 19:30

Invitat
Av. Lucian Bondoc, Managing Partner BONDOC & ASOCIAȚII
Moderator
Av. dr. Andrei Săvescu, Managing Partner SĂVESCU & ASOCIAȚII, coord. JURIDICE.ro

Participarea în sală este rezervată membrilor și invitaților.

Extras VIDEO: 6′. VIDEO integral, pentru membri: 66′

[restrict]

VIDEO integral, pentru membri: 66′

Andrei Săvescu: Bună seara, stimați colegi! Mă bucur să ne revedem la ediția nr. 197 a dezbaterilor JURIDICE.ro, o ediție care este ultima înainte de intrarea în aplicare a minunatului Regulament privind Protecția Datelor cu Caracter Personal, care a reușit să sperie numeroși agenți economici și să bucure numeroși avocați. Unii sunt de părere că Regulamentul, așa cum a fost el făcut, seamănă cumva cu o treabă românească, adică este ceva poetic și interesant, apreciabil, frumos și are și o anumită acuratețe. Lucrurile vor fi mult mai simple după ce statele vor adopta reglementări naționale de implementare a GDPR-ului. Și România o să procedeze la fel. O să discutăm despre aceasta cu domnul avocat Lucian Bondoc, Managing Partner BONDOC & ASOCIAȚII. Vă mulțumesc! Mă bucur că suntem doar noi doi astăzi, pentru că o să putem discuta fără să ne certăm, fără să avem probabil controverse, câteva chestiuni care sunt foarte interesante în preajma votului care ar trebui să vină mâine, practic, pe proiectul legii de punere în aplicare a Regulamentului în România. O să revenim într-un minut după ce o să puteți urmări imagini cu câțiva dintre partenerii dezbaterilor JURIDICE.ro. Revenim cu o întrebare. Sigur, se spune că mai bine prea târziu decât niciodată, pare totuși timpul destul de scurt până la 25 mai?

Lucian Bondoc: Da, a fost și una dintre problemele, până la urmă, ale efortului de pregătire a multor societăți pentru conformare, pentru că este complicat să avansezi în niște direcții dacă nu știi exact forma finală a dreptului național. Aici este adevărat că, totuși, Regulamentul – și aș insista pe acest lucru, exact pe ideea pe care ai menționat-o – este totuși într-o formă surprinzător de imprecisă juridic pentru cum suntem noi obișnuiți cu dreptul european. Sunt foarte, foarte mulți termeni vagi și care, până la urmă, se pretează la interpretări subiective. Și unde ar fi fost salutară o intervenție poate mai rapidă a autorităților, nu doar din România, dar și din alte țări, pentru a da mai multă siguranță juridică până la urmă, pentru că foarte mulți actori economici vor sigur să se conformeze, doar să știe la ce. Acum, faptul că încă nu avem o lege adoptată în România, s-ar părea că o s-o treacă mâine în Senat, promulgarea e puțin probabil să aibă loc oricum până la expirarea termenului. Evident că nu are cum să fie decât regretabil. Deși forma actuală a proiectului se cunoaște și noi și foarte mulți avocați au încercat să o ia în calcul în ceea ce au asistat, aproape inerent vor fi necesare probabil mici ajustări în diverse privințe, în funcție de forma care chiar va apărea în Monitorul Oficial. Pe scurt, este regretabil că nu a fost încă promovată această lege cu mult timp în urmă, pentru a exista această certitudine juridică. Este regretabil că nu pare să fie în vigoare nici la momentul în care expiră momentul de producere de depline efecte al Regulamentului, vor fi necesare mici ajustări după. Pe de altă parte, pe partea pozitivă, cred că, din punct de vedere psihologic, acest stadiu tardiv induce, totuși, și mai multă flexibilitate la nivelul Autorității, mai multă înțelegere în prima fază și va da puțin mai mult timp unor societăți comerciale și altor entități vizate de acest Regulament, până la urmă, să mai remedieze mici lucruri sau diverse aspecte care încă sunt în stadiul de analiză. Cel puțin, aceasta ar fi așteptarea normală din partea pieței.

Andrei Săvescu: Probabil că Autoritatea așteaptă și ea forma finală a Regulamentului după preconizata rectificare.

Lucian Bondoc: Nu-i adevărat, de altfel și la nivelul Autorității, având în vedere și personalul existent, a fost un efort colosal în toată această perioadă, pentru că, efectiv, toată lumea a tras din toate direcțiile, încercând să afle și mai multă orientare și tot acest efort legislativ este un efort cu adevărat extrem de greu de dus, ca să spun așa. Plus că, este adevărat că dacă ne uităm și la multe țări din jur, sunt foarte puține autorități care au oferit prea multe informații de fapt, existând un fel de așteptare reciprocă, din cum vedem noi. Ne-am uitat aproape zilnic pe site-urile multor autorități din multe țări, tocmai din acest efort de a încerca să corelăm mai multe puncte și să venim în întâmpinarea clienților noștri, și, cu puține excepții, și chiar și acolo, până la urmă, informația oferită nu a fost atât de detaliată sau de substanțială cum ne-am fi așteptat. Va fi, clar, un efort în pasul doi. Adică, vor fi probabil o lună, două în care va fi în continuare o abordare de decantare și în care eu cred că Autoritatea va fi asaltată și după apariția proiectului de lege cu o serie de solicitări de clarificare sau de confirmare a unor pași și, încă o dată, în ideea că, totuși, lumea vrea să se conformeze, dar trebuie să aibă și mai multă predictibilitate cum să o facă, mai ales când vorbim de ramificații în societăți foarte mari, unde sunt lucruri costisitoare și unde, până la urmă, este greu să modifici ceva foarte ușor și foarte rapid.

Andrei Săvescu: Da, pare că Autoritatea o să abordeze cu înțelepciune chestiunile, dar credeți că o va face cu aceeași măsură? Nu vi se pare că, cel puțin în proiectul de lege, parcă ar fi o măsură diferită pentru sectorul public și sectorul privat?

Lucian Bondoc: Este unul dintre punctele în care chiar și Regulamentul a fost criticat, pentru că a permis, în mod expres, un fel de abordare mai laxă față de autoritățile publice. Proiectul de lege în forma actuală și care, încă o dată, este foarte, foarte probabil să fie adoptat ca atare mâine în Senat, face și el această abordare în care, practic, față de autoritățile publice, în primă fază, se merge pe mustrare cu un plan de remediere și în pasul doi se pot da niște amenzi, dar care undeva ar merge până în 100.000-200.000 euro. Aici este clar o dublă măsură, cel puțin aparentă. Unde eu sper să nu mai fie o dublă măsură, ar fi în partea de executare, pentru că totuși și Autoritatea și în momentul în care legiuitorul instituie sancțiuni pentru sectorul public, deci teoretic putea și să nu o facă, pentru că formularea din Regulament este ”dacă” și ”în măsura în care”. Bine, nu ar fi fost drept să nu fie nicio sancțiune, dar dacă instituie o sancțiune, unul dintre principiile pe care și Regulamentul merge și, până la urmă, este inerent și unui stat de drept, este al proporționalității. Și atunci unde speranța unui avocat pentru clienții săi este că, dacă cumva se va ajunge la o situație de considerare că s-a încălcat ceva, ar trebui să fie acest regim luat în calcul pe proporționalitate. Adică, dacă măsura de a o încălca este similară, nu poți ca unui actor să-i dai 100.000 euro și altuia 20 de milioane de euro. Și, de altfel, evident că, și din punct de vedere juridic, avem de gând să folosim cu foarte multă fermitate acest aspect în cazul în care se va ajunge la așa ceva. Iarăși, face parte și din abordarea care sperăm să fie una înțeleaptă a Autorității, până acum cred că a fost, însă și Autoritatea se poate schimba cumva în timp. Mai ales că statul român, totuși, prin multe autorități care vin în control, are o mentalitate puțin represivă. Aici este cazul să facă altfel. Cred că, la nivel european, în foarte multe țări va fi altfel și ar fi păcat ca, iarăși, noi să strălucim doar prin intransigența și duritatea cu care se aplică ceva, într-un context în care nici nu oferi claritatea necesară și în care ai aplica o dublă măsură, raportat la gravitatea unor fapte până la urmă similare. Deci, încă o dată, aparent este o dublă măsură, sperăm ca în practică aceasta să nu fie o dublă măsură, prin prisma principiului proporționalității, până la urmă.

Andrei Săvescu: Dar credeți că eforturile de conformare din sectorul public sunt la fel de intense ca eforturile din sectorul privat?

Lucian Bondoc: Nu. Cred că sectorul public este mult în urma sectorului privat, dar și aici România, din păcate, tinde să fie o țară de oaze și e vorba și de gradul de sofisticare al unor companii și de mărimea lor și de resursele pe care le au pentru așa ceva. Acest Regulament, pentru a fi respectat întocmai, necesită un efort colosal, sunt multe lucruri care s-au făcut în practică în ultimul timp, cred că mai mult formal, dar nu neapărat cu o analiză puternică în spate. Ca să asiguri o informare când obții datele, cum se spune în Regulament, la art. 13, ar trebui să ai o chestiune cumva automată sau de fiecare dată să dai un e-mail. Adică, sunt niște consecințe care, fie aduc oarecum modalități absurde de implementare sau necesită niște resurse însemnate pentru a le face într-un mod eficient. Și atunci statul ar trebui să considere că majoritatea sectorului privat nu are aceleași mijloace ca statul. Deci, dacă statul nu a ajuns la un punct de conformare corespunzător, nu ar trebui să aibă așteptări sau o abordare inflexibilă față de sectorul privat. Desigur, sunt o serie întreagă de companii, mai ales companiile mai mari care au și o abordare și o vizibilitate multi-jurisdicțională și care, din experiența noastră și din ce simțim, sunt mult mai avansate decât marea majoritate a sectorului de stat. Dar nu ar trebui să fie o aplicare a Regulamentului în funcție de puteri, pentru că nu este aici acest criteriu. Pe de altă parte, trebuie un echilibru în această reglementare, pentru că este una atipică. Este o reglementare care este extrem de dificil de respectat, mai ales de companiile mici și mijlocii. Și statul nostru cred că are foarte multe sectoare în prezent care sunt foarte departe de analiza necesară pentru a se conforma.

Andrei Săvescu: Excede cadrul discuției, nu vă întreb ce părere aveți în legătură cu filosofia Regulamentului, de ce este atât de costisitoare. Pentru că este costisitoare, măsurile organizatorice și tehnice sunt obositoare. De ce a fost făcut ca să fie atât de grea conformarea? Care sunt valorile realmente ocrotite?

Lucian Bondoc: Cred că au fost vreo trei aspecte. Cred că, din păcate, el a avut și o origine puțin mai mult – nu aș spune geopolitică -, dar a avut una politică, în contextul scandalurilor Snowden, și în care Uniunea Europeană a dorit să reafirme niște valori într-un context în care s-a simțit cumva mai expusă față de alte blocuri, privilegiind foarte mult persoana privată. Și intimitatea este ceva foarte important, însă aici ajung la pasul doi. Din păcate, cred că anumite secțiuni din Regulament, chiar dacă a luat foarte mult timp pregătirea lui și se face de oameni foarte inteligenți, cred că a fost pregătit cu oarecare ruptură de anumite realități, s-a mers pe anumite inerții, cred, mergându-se pe o serie de formulări anterioare, unde sancțiunile erau mult mai mici și unde n-au prea contat. Și atunci, eu cred că industrii întregi n-au fost suficient de atente, nu au acordat atenția pe care, de obicei, o acordă reglementărilor europene, până când nu a fost cumva prea târziu. Și, în prezent, sunt formulări pe care, dacă iei orice jurist din orice țară să le discutăm împreună, să vedem dacă ajungem trei juriști la exact aceeași concluzie pe ce înseamnă anumiți termeni. Ce înseamnă minimizare? Vedem că ajungi la o chestiune care depinde de la caz la caz, ori în momentul în care ajungi la aspecte care pot fi interpretate, în funcție de opinie, deja nu mai poți să ai neapărat același reper din partea tuturor. De altfel, dacă ne uităm deja la comunicările pe care noi, ca avocați, le-am primit de la diverse entități care consideră că s-au conformat deja sau nu, observăm o varietate uriașă de formulări și de puneri a problemei și asta de la entități destul de sofisticate, și nu o spun la modul ironic. Pur și simplu, în momentul în care ai o astfel de varietate, înseamnă că este totuși o problemă și în spate, cu textul. Al treilea lucru este că, dacă ne uităm puțin la economia textului, eu personal sunt un mare susținător de drepturi individuale, dar cred că am sărit puțin prea departe, pentru că cred că, dacă s-ar aplica într-adevăr la literă, ar putea să creeze o serie de dezavantaje Uniunii Europene, în comparație cu alte blocuri. Pentru că, acum, ce înseamnă ”big data”? Nu e atât doar de algoritm, e vorba și de masa de date care intră, ori dacă afectezi fundamental și nu ești flexibil pe volumul de date care intră și concluziile pe care le poți scoate sunt mai… Pentru că, chiar dacă tu ai un algoritm extrem de inteligent, el până la urmă scoate informații într-un anumit volum de date și o varietate de situații. Or, dacă o abordare o are China, cu cele 1,4 miliarde de locuitori, și o abordare Uniunea Europeană și o altă abordare în America, trebuie gândit foarte bine în pasul doi care vor fi consecințele. Dar aici intrăm, într-adevăr, mai mult în zona de filosofie, pentru că, până la urmă, trebuie ținut un echilibru, doar că trebuie cumva mai mult. Nu sunt sigur că Regulamentul sau proiectul de lege asigură cu adevărat acest echilibru și că va fi nevoie de o oarecare înțelepciune în practică, să nu ajungem la modalități cumva mai românești tipice, pur și simplu represive. ”Hai, să colectăm niște bani la bugetul de stat” și nu să încercăm să vedem cu adevărat ce este acolo nociv. Dacă a fost cu adevărat un prejudiciu, dacă alții, prin alte țări, își falimentează eventual societățile cu această prevedere legislativă sau doar încearcă să cenzureze comportamente cu adevărat de masă sau nocive, de genul celor care au fost recent criticate la nivel european. Rămâne cumva de văzut, noi, până la urmă, trebuie să ne pregătim pentru cazul cel mai rău, ca să zic așa.

Andrei Săvescu: Credeți că legea noastră, proiectul, încearcă să repare un pic GDPR-ul sau este pe aceeași linie?

Lucian Bondoc: Aș spune că, până la urmă, este pozitiv că se aprobă, aș spune că sunt niște oportunități care nu au fost sesizate de acest proiect de lege, se pot face poate în pasul doi. În primul rând, el era absolut necesar din cauza modului de reglementare anterior al regimului CNP-ului. În Regulament acesta nu mai era tratat ca o dată specială, în legislația noastră era o problemă, deci modificarea în acest sens era esențială, măcar pentru corelare cu Regulamentul și pentru a nu ajunge la concluzii absurde și la un standard mult mai ridicat în România. Și proiectul de lege clar accelerează în direcția aceasta. Din păcate, aș spune că, totuși, într-un mod cam prea constrângător, pentru că dacă ne uităm puțin la garanțiile care trebuie respectate, dacă se aprobă, încă o dată, în forma aceasta în Senat, va fi complicat în practică. Mai ales că, în practică, este evident că are loc o modificare majoră de temei al prelucrării dinspre consimțământ, cum era pe vechiul regim, către interesul legitim. În primul rând, întrucât ai un interes legitim, tinzi de foarte multe ori să o faci. Dacă vorbim doar de noi, ca avocați, desigur că dacă faci niște contracte și te referi la niște persoane în contracte, CNP-ul este singurul mod de a fi sigur că ai identificat corect persoana la care te refereai. Și aici nu mă refer la un contract cu persoană vizată, dar până la urmă la orice persoană la care te referi într-un contract este modul de a o identifica, de a evita, că sunt în persoane cu același nume ș.a.m.d.. Și este o chestiune, în care, când ne uităm la garanții precum că în astfel de situații întotdeauna să ai un responsabil pentru protecția datelor, mie cel puțin, îmi pare o cerință excesivă, pentru că aproape că nu este societate comercială în România care să nu aibă niște CNP-uri prin inbox-uri și care să nu le aibă și în viitor. Și ar trebui toată lumea să-și numească un astfel de responsabil sau să încalce legislația. Mulți sunt convins că nici nu au habar de acest aspect și sunt la fel de convins că foarte mulți au CNP-uri prin inbox, pentru că lumea nu acordă atenție atât de mare cum pare să-i acorde Regulamentul acestui element. Este o dată de identificare, dar face parte din activitatea foarte multor societăți, în modul de relaționare. De asemenea, dacă ne uităm la obligația de instruire periodică – se spune aici – a persoanelor care, sub directa autoritate a operatorului, prelucrează date cu caracter personal. Aici ce să zic? Până la urmă, sub directa autoritate a operatorului sunt toți salariații unei societăți. Este discutabil câți prelucrează datele, dar până la urmă, în lumea de astăzi, oricine care are un calculator și un cont de e-mail face prelucrarea de date personale. Deci, se pot ajunge la niște concluzii cumva absurde că o societate, să nu dăm nume, dar cu 15.000 de salariați din România, dacă au cont de e-mail, ar trebui să-i facă pe toți experți sau să le asigure formări tuturor în materia datelor personale, doar pentru că sunt CNP-uri pe acolo, ceea ce, iarăși, nu prea are sens, ca să spun așa.

Andrei Săvescu: Îi poate instrui periodic, o dată la cinci ani.

Lucian Bondoc: Da, dar dacă faci o instruire la 15.000 de oameni… Desigur că se poate spune ”trebuie luat consimțământ” și atunci nu este o problemă, ar fi pe interes legitim, dar consimțământul evident că poate fi retras. Și în măsura în care poate fi retras, în primul rând, că dacă poate cineva să-ți trimită în inbox astfel de date, într-un mod în care pentru tine nu au valoare în mod deosebit, dar nu ai pur și simplu mijloacele să identifici la nivelul a 10.000 de salariați sau a 2.000 de salariați când au loc astfel de lucruri, aspecte de arhivare ș.a.m.d.. Desigur că ele, fiind stocate electronic, sunt preluate de arhivă. Ajungi la un concept de prelucrare în sensul Regulamentului, însă, încă odată, într-o direcție care pare cel puțin excesivă și în care nu sunt convins că s-au analizat în profunzime cazurile practice în care așa ceva se poate întâmpla. Până la urmă, dacă se spunea ”Mai bine faci o analiză de impact cu privire la datele personale, și vezi ce garanții sunt”, ar fi fost o chestiune mai adaptată la ce se întâmplă în practică și nu ar fi fost un pat al lui Procust, cu niște cerințe care cred că sunt extrem de greu de respectat în practică în toate situațiile în care a avea un CNP în activitate sau legat de activitate este ceva destul de frecvent.

Andrei Săvescu: Încerc să fiu avocatul Autorității, deși nu are nevoie de asta. Mă gândesc că poate, dintre temeiurile de la art. 6, probabil că gândirea a fost că lit. f) este cea mai slabă, cea mai flexibilă, care permite cea mai mare libertate unui operator. Și atunci, din motivul acesta, Autoritatea apreciază ”Domnule, ai libertate, e destul de relaxat, intră multe sub litera f). Haideți, să punem un DPO.” Acesta ar putea fi un argument în favoarea introducerii acestui art. 4 din proiect. Însă aș vrea să vă întreb, din experiența dumneavoastră de lucru pe acest domeniu, dacă vi se pare că temeiul pe lit. f) este ceva rar pentru organizații sau, în realitate, lit. f), la un moment dat, se regăsește în orice organizație? Adică poate să funcționeze o organizație în care temeiurile să fie doar pe celelalte litere și să nu existe lit. f? Că dacă da, atunci este bine. Dacă lit. f) se găsește peste tot, este grav.

Lucian Bondoc: Pentru că în direcția aceasta este și cumva întrebarea, nu pot decât să confirm. Și eu cred că orice avocat care lucrează pe acest domeniu, poate să confirme că este cel mai răspândit temei și nu pentru că lumea se agață de el ca fiind salvarea și îți permite să ocolești alte temeiuri poate mai exigente, ci, pur și simplu, că aceasta este viața reală. Și, cum spuneam mai devreme, trebuie să ai un acces în clădire, să spunem, adică aceste date de identificare se schimbă pe e-mail în activitatea unei societăți, cât de cât mari, extrem de frecvent. A face doar pe bază de consimțământ, pe lângă faptul că este dificil de colectat practic de foarte multe ori, înseamnă să te și expui, ca în minutul 2 să cauți prin tot ce ai manual sau electronic, pentru că, iarăși, depinde și de mijloacele pe care le ai la dispoziție, să vezi dacă mai este ceva, pe acolo, cu un CNP uitat, și este cu totul anormal. Regulamentul recunoaște interesul legitim, acesta trebuie să fie legitim, ceea ce până la urmă induce un standard de obiectivitate, deci va trebui să faci un test, va trebui să-l justifici. Ipoteza, deci, nu este a unui pretext, ci a unui interes legitim demonstrat. Dacă el este demonstrat, atunci nu ar trebui să fiu eu împins sau să mi se impună niște condiții, ca și cum ar fi așa de simplu să obțin un consimțământ, pentru că este și vorba de consecințele aferente. De exemplu, dacă ai un contract cu cineva pe care l-ai identificat, el este extrem necesar pentru contabilitate. Atunci ar însemna că trebuie să-i scot CNP-ul de acolo. Deci, să spunem că îl cheamă ”Ion Popescu”. Ar trebui să nu mai pot să procesez CNP-ul, pentru că nu m-aș mai încadra aici dacă și-a retras consimțământul și să am un contract cu un anume Ion Popescu și să văd ce fac cu el după. Sunt niște consecințe absurde. Deci CNP-ul este o dată absolut rezonabilă de identificare…

Andrei Săvescu: Sau să avem DPO.

Lucian Bondoc: Da, pentru că, până la urmă, atâta timp cât toate datele personale sunt despre a identifica o persoană, faptul că cu una identifici mai precis decât cu alta, nu ar trebui să te ducă la un standard sau la o grijă excesivă, pentru că scopul este unul asumat – vreau să identific. Ceea ce ar trebui să facă diferența este scopul în care o fac. Dacă-mi trebuie CNP-ul pentru a-l da unor cămătari să-l răpească sau să recupereze de la el ceva, este cu totul altceva. Dar dacă vorbesc de o identificare absolut naturală, nu ar trebui să fiu penalizat că utilizez o dată care este mai precisă. Și în cazul de față, proiectul de lege, încă o dată, este un pas clar pozitiv, că totuși regularizează regimul. Pe de altă parte, condițiile atașate cred că, din păcate, îl fac extrem de dificil de folosit în practică și pentru anumite companii va fi efectiv imposibil sau va fi cu un cost cu totul excesiv față de beneficii. Mai ales că, dacă nu ai niște mijloace electronice, ca să faci o urmărire zilnică, pentru companii mai mari care interacționează cu foarte multe persoane, când obții sau nu CNP-ul, că l-ai cerut sau nu l-ai cerut sau dacă ți se oferă pur și simplu, este absolut excesiv.

Andrei Săvescu: Deci, din câte înțeleg, având în vedere că lit. f) este practic prezentă în toate companiile și la companiile care au o oarecare mărime clar este prezentă, înțeleg că sensul modificării de la art. 4 lit. b), cu DPO pentru când se prelucrează CNP-ul, este, în realitate, că va fi necesar DPO pentru toate companiile. Nu vi se pare că se abate această lege? Adică adaugă la Regulament, face ca DPO-ul să fie o prezență peste tot, adică necesitatea de a avea DPO devine cvasi-generală. Dacă lit. f) este prezentă în toate companiile, atunci DPO va fi în toate companiile.

Lucian Bondoc: Dacă se prelucrează CNP-ul, dar CNP-ul este o dată extrem de utilizată și nu din motive nocive sau rău intenționate, ci, pur și simplu, pentru că în viața reală este o dată de identificare precisă a cuiva cu care interacționezi. Și în loc să ai 10 date ale cuiva, ai o dată cu care chiar îl identifici, de aceea nu ar trebui, încă o dată, să fii penalizat. Eu sper ca acest aspect să fie clarificat, poate, în forma finală a legii sau măcar în pasul 2, pentru că o respectare ad literam, fie va însemna că sunt companii care o să încalce această lege, fără să-și dea seama măcar sau că, până la urmă, ar trebui să-și mărească schema de personal sau să mai aloce unei persoane angajate niște responsabilități cu totul inutil. Gândiți-vă câte societăți mici, care au CNP-ul cu diverse ocazii, ar trebui să-și numească un responsabil. Și până la urmă un responsabil nici nu-ți oferă o garanție absolută. Dacă s-ar fi cerut această evaluare, ea se putea face și, desigur, dacă se făcea temeinic, ar fi putut să ofere aceste garanții, simplul fapt că am o persoană acolo numită, împreună cu instruirea absolut tuturor pentru a avea un CNP. Stabilirea de termene de stocare cu termene specifice, iarăși, este un aspect discutabil, pentru că, în mod normal, pe art. 13 avem fie perioada de stocare sau criteriile de determinare ale acesteia. Dacă ne uităm la ce a apărut deja prin piață, chiar la o firmă de avocatură, nici măcar criteriile nu le găsim acolo și aici se cer termene specifice, la lit. c), iarăși într-o formulare cea mai clară posibil, dar care iarăși este un element cumva complicat. Să spunem așa, cineva are nevoie de CNP-uri, că vrea să-i identifice pe cei cu care interacționează. Ar trebui să-și numească un responsabil, ar trebui să pună termene specifice când trebuie șterse. Termen specific ce înseamnă? Pentru că eu, dacă am o activitate zilnică și îmi intră zilnic 100 de email-uri sau 1000 pe organizație, unul îmi intră astăzi, unul poimâine. Deci, dacă nu am ceva automat ca să mi-l recunoască și o să pun un termen de 6 luni, 6 ani, ar însemna că, fie le iau la mână, fie ar trebui să am ceva, o unealtă informatică care să mi le repereze automat și când fixez acea dată… Noi, în relația cu clienții, am și mers pe o idee, cu niște criterii în general și, de asemenea, cu o perioadă la început de an, de regulă ianuarie-februarie, în care se face o chestiune de curățenie. Și vorbesc de companii care au cât de cât resurse, dar este aberant pur și simplu să o faci la modul zilnic. Ajungi și la concluzii absurde. Nu știu, poate a venit cineva la unsprezece seara versus cinci ziua, ți-a expirat cu o zi diferență. Este ceva ce, pur și simplu, nu se poate face la modul ales. Nu cred că acesta a fost scopul Regulamentului. Aceste reglementări trebuie făcute conectat la viața reală și într-un mod în care să asigure conformarea, nu să-ți genereze greșeli pur și simplu. Și ar trebui, într-adevăr, reprimate comportamentele cu adevărat nocive și clarificate care sunt acestea, nu ”Hai să pun niște lucruri pe acolo și vom vedea după”. Dacă ne uităm puțin la text, el face un pas important pe partea aceea, coboară din nou pe pământ CNP-ul, dar însoțit de niște garanții care, raportat la viața reală și la situațiile în care eu, de fapt, pot să iau consimțământ sau că mi se poate retrage și rămân fără el, ce fac? Din păcate, nu ajută prea mult.

Andrei Săvescu: Înțeleg că, de fapt, conceptul este că acest DPO este un fel de garant al conformării, el protejează compania în raport cu Autoritatea sau este – ca să glumesc – reprezentantul Autorității în interiorul companiei? Sunt două extreme, vreau să spun.

Lucian Bondoc: Nu. Evident că el are niște responsabilități proprii și niște drepturi proprii, până la urmă, și de autonomie, dar el este un angajat al societății. Și, în primul rând, el este doar un om. Acum sunt formări, citește și el acest proiect de lege, citește Regulamentul, încearcă să-și facă treaba cât mai bine. S-ar putea să fie și o oportunitate, în sensul că se creează niște posturi cumva mai multe decât în mod normal. Doar că, iarăși, aici depinde, adică dacă cineva crede că o să se găsească zeci de mii de DPO pe stradă, undeva… Nu, sunt oameni care trebuie formați, mulți dintre ei sunt deja angajați acolo și doar o să mai aibă niște lucruri în plus și pentru o plată, eventual, suplimentară. Deci, până la urmă, este important să fie cineva intern, care este foarte aproape de acest regim și căruia să i se poată pune întrebări și care să poată să țină sub control situația. Nu este o soluție miracol. Ceea ce trebuie făcut, în principal, este să se clarifice așteptările și ce înseamnă anumite cerințe, tocmai pentru a avea cât mai puțină nevoie, nu vorbesc doar de avocați, dar în general să poți să citești singur, să-ți dai seama cam despre ce este vorba, să nu trebuiască să ai nu știu câți traducători sau consultanți la fiecare pas. Consultanță care nici nu poate fi asigurată în viața reală chiar în tot ce mișcă.

Andrei Săvescu: Dacă ar fi să dați un exemplu de situație în care legiuitorul român ar fi fost potrivit să intervină și să reglementeze ceva ce Regulamentul îi permitea. Până acum am discutat că regula este un pic intruzivă, dar poate sunt situații în care este invers…

Lucian Bondoc: Aici ce să zic? Eu cred că Autoritatea, la noi, a făcut un efort foarte mare în toată această perioadă. Pe partea de CNP, cred că reglementarea, așa cum apare acum, este excesivă. Cred că se va realiza acest lucru foarte curând și sper să fie remediat în pasul doi măcar. Și motivul pentru care am menționat acest aspect este să explic de ce eu consider excesive aceste lucruri și de ce cred că ar părea excesive foarte multor societăți care știu cu ce fel de date personale lucrează, fără să urmărească nimic. Pe de altă parte, Regulamentul are numeroase prevederi în care dă o oarecare posibilitate de intervenție a dreptului național. Și Autoritatea de la noi, practic, a mers cumva către două tipuri de situații, sunt foarte multe situații în care nu a intervenit și cred că a făcut foarte bine, pentru că erau multe situații în care putea să vină cu niște lucruri în plus sau cu niște lucruri de precizie, însă unde riscul ar fi fost să nu fie bine adaptate la realitatea românească sau la realitatea unor industrii. Și atunci este mai bine să nu faci niște lucruri în plus. Oricum, mai vezi ce se întâmplă în piață, mai vezi ce mai fac alte autorități și, eventual, mai intervii în pasul doi, în măsura necesară. Sunt, însă, situații unde ar fi trebuit, cred, intervenit și un exemplu ar fi art. 10 din Regulament. Este acela care spune că ”Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul art. 6 alin. (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.” Ideea este că prelucrarea de date cu privire la condamnări și infracțiuni – în engleză termenul este ”offense” la infracțiune – în foarte multe societăți din România, și persoane fizice, când interacționează cu cineva pentru prima dată, au ajuns să-și facă niște verificări și verificările sunt făcute, aș spune, pentru un interes legitim, extrem de bine conturat, că nu vrei să fii păcălit, nu vrei să-ți fie afectată reputația indirect. Sunt foarte, foarte multe societăți comerciale care au proceduri pentru așa ceva și unde este imperativ să o faci și este pentru protecția și juridică, și financiară, și reputațională. Ori, aproape inevitabil sunt verificări și în spațiul public, sunt date obținute poate indirect, dar evident că te interesează dacă cineva a fost condamnat pentru spălare de bani sau dacă a avut nu știu câte infracțiuni la activ și îți propune o relație de afaceri. Or, pe acest articol, așa cum este el formulat, mi se pare puțin naiv, pentru că, până la urmă, ce ar însemna? Adică, nu contează, e bine să dai o șansă oricui întotdeauna, indiferent ce a făcut și ar trebui să nu te intereseze deloc aceste aspecte. Bine că a ieșit din închisoare și atunci poți să faci din nou cu el o afacere. Aici este și zona de cazier ș.a.m.d., nu vorbesc de a nega cuiva o a doua șansă sau nu vorbesc de zona de angajări, depinde. În dreptul românesc, sunt puține situații unde aș spune că este autorizată o astfel de procesare. Este zona de gestionare, sunt câteva profesii unde ți se permite, chiar se solicită să ai un cazier, însă realitatea, și românească, dar nu numai românească, economică mai vastă, în contextul în care evoluțiile economice sunt foarte rapide, în care infracțiunile devin mai sofisticate, în care se lucrează acum foarte mult pe aspecte de înșelăciune, efectiv, într-un fel sau altul, în care solidaritatea financiară este foarte importantă, pentru că riști să-ți pui în pericol propria societate, pentru că n-ai fost atent la niște lucruri și la background-ul cuiva, te poate împinge spre concluzia că având acest art. 10 și neavând nimic în proiectul de lege, se pune sub semnul întrebării dacă mai poți să faci astfel de verificări. Ceea ce cred că ar fi cumva absurd pe fond, dar, din perspectivă de text, este ceva unde am sperat și sper în continuare că se va recunoaște, într-un text, undeva, că astfel de lucruri sunt cumva naturale și chiar de interes absolut legitim. Sunt mai multe lucruri în Regulament, nu vreau nici să facem o citire paranoică a lui…

Andrei Săvescu: Vreți să spuneți că nu se mai cere cazierul. Adică, dacă este prevăzut în lege, dacă este obligatoriu să ceri cazierul.

Lucian Bondoc: Bine, acum nu vreau nici să dăm idei Autorității, pentru că, ce se întâmplă? Sunt multe companii care ar dori să facă aceasta în continuare, pentru că este absolut esențial pentru o protecție cât de cât decentă, pentru a-ți face datoria față de acționari, față de societate. Așa, desigur, se poate spune ”Bun, hai să relaționăm cu oricine, nu este nicio problemă.” Sunt societăți care fac astfel de cercetări pentru a verifica să nu intre în conflict de interese, deci chiar interese foarte bine conturate. Aici, însă, dacă ne uităm efectiv la cum este formulat acest art. 10, dacă mergem pe o idee că el face parte, până la urmă, din regnul administrativ al ramurilor de drept, poți să spui niște întrebări. Și, personal, mi-aș fi dorit ca în forma finală a acestei legi, pentru că eu cred că dacă rămâne forma actuală vor fi, totuși, niște ajustări la câteva luni după, sper, astfel de aspecte să fie totuși, să se regăsească. Așa cum s-au băgat niște prevederi legate de aspectele de cercetare în domeniul medical, care sunt chiar foarte importante și personal cunosc foarte bine despre ce este vorba și este esențial să fie o astfel de prevedere. Mai sunt, totuși, alte zone care afectează foarte multe industrii și acest art. 10 cred că este un foarte bun exemplu, unde un plus de claritate ar fi salutar pentru aspecte care sunt absolut de bun simț.

Andrei Săvescu: Da, îngrijorător. Dar aș vrea să vă întreb, acum noi suntem preocupați de dreptul muncii, am văzut că la art. 5 din proiect, la prelucrarea datelor cu caracter personal, în contextul relațiilor de muncă, printre altele este discutată chestiunea supravegherii video la locul de muncă, care nouă ni se pare o chestiune pe care Regulamentul o lăsase destul de aspru reglementată, așa încât este binevenită reglementarea națională. Voiam să vă întreb în legătură cu lit. d) de la art. 5 din proiect, ”alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența.” Mie îmi este greu să-mi dau seama ce vrea legiuitorul cu acest articol.

Lucian Bondoc: Acest articol pare să fi mers mai mult în ideea unei supravegheri efectiv în ceea ce face angajatul în fiecare moment, dar, în primul rând, aș menționa că ar fi fost salutară o distincție clară între acest tip de monitorizare, dacă asta s-a avut în vedere, și cea care, până la urmă, vizează protecția locurilor și CCTV-ul clasic, să spun. Aproape că nu este companie mai mare care să nu aibă sistemul de monitorizare video, până la urmă, pentru siguranța, securizarea intrărilor, a personalului în spațiile comune, fără să aibă neapărat aceasta și în biroul salariaților. Aici este puțin formulat vag, pentru că locul de muncă, în general, în contractele de muncă este trecut la sediul societății, deci care este cu totul, nu doar în biroul lui anume. Și, încă odată, pare cumva că pune în aceeași găleată niște lucruri totuși puțin diferite, pentru că una este speța Bărbulescu și una este o monitorizare de tip CCTV, care este aproape în orice societate comercială. Legat de pct. d), aici este și puțin delicat, pentru că avem două ipoteze. Este o ipoteză în care cineva nu are încă așa ceva. Și atunci, practic, ce spune lit. d) este să încerci mai întâi altceva. Vezi că nu merge și atunci poți să treci la următorul nivel, care ar fi cel de monitorizare la locul de muncă, probabil în sens de birou. Lucrez la calculator și am o cameră în spatele meu. Dar, în măsura în care sunt societăți care au deja așa ceva la locul de muncă și care erau conforme pe legislația anterioară, deja articolul se citește în altă cheie, pentru că la cum apare aici, ar însemna ca acestea, fiind condiții cumulative – ”dacă” și pe urmă este ”și” – ar însemna că ar trebui să le închidă în minutul 1, să încerce altceva și, după aceea, dacă reușesc să demonstreze că acel altceva este mai puțin eficient, să repornească ce aveau deja. Și aici este cred că o formulare cumva mai puțin fericită prin această prismă, adică pare să fie avută în vedere doar situația cuiva care n-a făcut așa ceva niciodată, s-ar gândi să o facă și atunci cumva, ca o gradualitate, mai încearcă și altceva. Aici se poate discuta. Adică bun, am avut o spargere, ce fac? Mai încerc să mai văd dacă îmi mai vine una și, după aceea, instalez? Sau instalez la început? Este o discuție întreagă, dar, cel puțin pentru cei care aveau deja, consecința este cumva absurdă. Ar însemna că pare că trebuie să le închidă, să le repornească după ce li se mai fură ceva, eventual, din sediu. În fine, deci, încă odată, dacă au avut în vedere locul de muncă, în sensul extrem de specific al biroului, al calculatorului, că am o cameră în spate este una, apropo de intimitatea și la locul de muncă din speța Bărbulescu, la cum este formulat, din păcate, e cam prea larg și pare să pună un semn de întrebare și pe sistemele CCTV și nu cred că aceasta a fost intenția, pentru că și Autoritatea este extrem de obișnuită cu aceste sisteme și sunt extrem de răspândite, răspund unor interese legitime destul de clare, aș spune, și unui mod de derulare a activităților în prezent, care le fac chiar necesare și fără o intruziune deosebită în viața privată. De altfel, este și acest aspect la lit. c), ”a consultat sindicatul sau, după caz, reprezentanții angajaților”. Aici ce să spun? Sunt societăți comerciale  – și multe – care nu au reprezentanți și sindicat. Și unele poate au obligația măcar să asigure cadrul de negociere de alegeri pentru unii dintre ei, dar unele nici măcar nu au această obligație legală. Mai ales sunt în zone de IT sau dacă lucrezi în domenii foarte sensibile, unde vorbim de protecția unor drepturi de proprietate intelectuală foarte importantă, uneori chiar este recomandat să ai o monitorizare foarte strictă, pentru că dacă cineva din personal nu respectă niște reguli și ai o încălcare sau poate îți ia ceva de acolo sau cooperează cu un concurent, miza este atât de mare, încât așa ceva ar putea să fie justificat. Deci pot să fie situații în care chiar este legitim să ai așa ceva, sunt domenii atât de sensibile și de potente financiar sau comercial și unde miza este atât de mare, încât așa ceva se practică și prin alte țări. Noi, iarăși, avem cumva aici, din păcate, o haină – aș spune – puțin cam strâmtă și potențial puțin utilizabilă de o parte din societățile care altfel n-ar trebui să fie neapărat discriminate doar prin aceasta. Dacă nu am reprezentanți ce fac? Mă apuc să fac neapărat rost de unii, ca să reușesc să bifez și criteriul c)?

Andrei Săvescu: Îi consult pe toți. Le trimit o scrisoare tuturor și îi întreb: ”Ce părere aveți?”. Bine, acum cu chestia legată de supravegherea video a salariaților. Până la urmă, putem înțelege. Alineatul final ne spune că pot să fie cauze, adică ne sugerează lit. e) de la art. 5, că ar putea să fie chestiuni, că este totuși mai relaxat. Ce părere aveți despre chestiunea supravegherii video, adică a prelucrării datelor biometrice? Să zicem că avem sistemul de supraveghere video la locul de muncă în general, la firmă, și vine un musafir, un oaspete. Vine, de exemplu, soția unui salariat sau dacă vine un copil, care este un minor sub 16 ani, și el apare pe camera video, ce facem cu datele respective? Aceasta este o chestiune capcană, este o chestiune capcană din perspectiva art. 9 din Regulament.

Lucian Bondoc: Da, aici ce se întâmplă? Cred că intenția art. 5 nu a fost, totuși, să interfereze cu CCTV-ul clasic, ci a fost, mai degrabă, în sensul discutat mai devreme de o monitorizare în cadrul biroului, efectiv, la locul de muncă, cu ce fac efectiv zilnic. Din păcate, textul putea să fie mai clar. Acum de partea de CCTV ce să zic? Până la a veni soția angajatorului, în primul rând, că în fiecare zi îți vin o grămadă de curieri, sunt angajați care comandă mâncare, vin cu un plic, pleci cu un plic. Adică, sunt persoane care se perindă pe acolo, deci sigur că vin parteneri de afaceri, potențiali parteneri din partea persoanelor care vor sponsorizare. Și desigur că ai partea aceasta, în care pur și simplu le elimini, ai ștergerea acestora, după un număr de zile și acesta este modul rezonabil în care în care poți să o faci. Dar aceasta, încă odată, mergând pe ideea că art. 5 nu interferează cu CCTV-ul și că se referă cumva doar la o parte, deci a fost concentrat, mai degrabă, pe speța Bărbulescu decât pe litera lui actuală, care poate fi interpretată mai larg, din păcate. Și, iarăși, că spuneam la lit. d), nu vreau să fiu ironic la modul gratuit, este cumva normal să ai o gradualitate, doar că ceea ce vreau să spun aici este că, pe de o parte, ar fi trebuit foarte clar delimitat între CCTV și restul, pe de altă parte, ar trebui totuși analizat ce se întâmplă acolo, când am deja aceste sisteme, pentru că așa se merge pe ideea că automat trebuie să le închid, să pun altele mai puțin intruzive și, după aceea, să le repornesc. Nu este o abordare eficientă economic sau să fie neapărat justificabilă din perspectiva datelor personale.

Andrei Săvescu: Da, probabil că este, mai degrabă, speța Bărbulescu aici, pentru că art. 5 nu părea a se referi la situații în care monitorizarea se face în mall-uri, să spunem. Se monitorizează salariații tuturor magazinelor. Adică este o chestiune de logistică…

Lucian Bondoc: Nu cred că acesta a fost sensul. Ar fi trebuit să spună, de exemplu, în scopul realizării intereselor legitime urmărite de angajator și trebuia să spună unele dintre ele. Sunt toate interese legitime? Adică e cumva mai larg textul. Dar cred că sensul a fost cel pe care amândoi l-am discutat mai devreme, deci cel legat de speța Bărbulescu.

Andrei Săvescu: Apropo de implementare, ar mai fi de discutat, dar aș prefera să nu discutăm aceasta cu legea Autorității, practic, care reglementează chestiuni de procedură, că timpul se apropie de final. Aș zice să le păstrăm pentru o dezbatere ulterioară pe chestiunile procedurale, în care să discutăm laolaltă chestiuni care țin de metodologia controlului. Dar poate o să facem asta după prima amendă, Doamne ferește!

Lucian Bondoc: Oricum, acum trebuie să vedem forma finală a legii, ea include clar niște prevederi care sunt salutare. Pe acest aspect cu CNP-ul, în mod deosebit, îmi par totuși niște formulări excesive, pe celălalt articol, la locul de muncă, cred că trebuie interpretat în sensul speței Bărbulescu și atunci este mai puțin relevant. Deși și acolo, încă o dată, este o haină puțin cam strâmtă. Pe de altă parte, este o problemă cu care se confruntă cumva toată lumea, în toate jurisdicțiile europene, unde observăm un fel de orizont de așteptare și în care multe autorități și mulți actori economici așteaptă să vadă ce fac ceilalți. Cred că modul în care s-a reglementat sau se reglementează acest aspect de sancționare a statului ar trebui să joace favorabil și modul de raportare la sectorul privat. Cred că Autoritatea, cel puțin din interacțiunile noastre cu dumnealor, realizează foarte bine complexitatea fenomenului și diferența de putere și neclaritățile textului pentru segmente foarte largi ale sectorului economic și cred că problema se va aborda cu înțelepciune, cel puțin într-o primă fază, după care se va strânge cumva încet, încet șurubul, cum a fost, de altfel, și pe alte legislații, cum este legislația dreptului concurenței ș.a.m.d.

Andrei Săvescu: Eu sesizez la dumneavoastră niște cuvinte cheie – dar nu e momentul acum să le spunem – pe care le auzim când se fac cereri în fața CJUE. S-ar putea să aibă vizite, mi se pare că din cuvintele pe care le spuneți rezultă o sugestie – așa îmi sună mie – că ar putea să fie citit mai cu atenție de judecători CJUE, poate chiar de la primele incidente.

Lucian Bondoc: În prezent, și o spun cu destulă responsabilitate, și cu un recul pe multe subiecte pe care ne-am uitat și pe multe companii, sunt o serie de prevederi în acest Regulament, și proiectul de lege nu schimbă neapărat în zona respectivă, care te pot duce chiar spre zona de obligații imposibile. Desigur că, iarăși, aici trebuie văzută cheia în care el a fost adoptat, a fost una cumva diferită. Adică, eu nu cred că anumite lucruri din Regulament au fost redactate pentru o interpretare literară cărora li se pretează și în care o autoritate din România sau din altă țară ar fi tentată pentru a colecta niște bani la buget. Și România oricum are multe alte probleme, dacă va folosi acest act normativ dintr-o perspectivă bugetară, va rata încă o posibilitate să fie înțeleaptă și va fi iarăși mult diferită față de alte autorități din alte state care se vor concentra cu adevărat pe comportamentele de reprimat. Pentru avocați este o oportunitate cumva cinică, dar și o responsabilitate, pentru că, de exemplu, am avut situații, sunt anumite situații în piață, în care sunt colegi avocați care încearcă să facă sute de proiecte. Noi avem foarte multe proiecte, dar credem că este extrem de important să fii foarte atent ce faci, pentru că doar de a oferi un fel de asigurare în piață cuiva, pentru că atunci, în momentul în care va interveni un control, nu este neapărat cel mai înțelept lucru, încercăm să facem o analiză cât mai bună, poate uneori suntem prea paranoici, dar textul permite.

Andrei Săvescu: Ca o întrebare de final, credeți că legiuitorul european – care e o chestiune abstractă – el, în înțelepciunea lui, știe ce vrea? Știe ce vrea să obțină că acest Regulament? Aveți sentimentul că știe ce vrea? Normativ vorbesc.

Lucian Bondoc: Acest Regulament este unul dintre foarte puținele unde am avut sentimentul că – nu aș spune că este o treabă românească, pentru că sunt și treburi românești foarte bune – nu cred că au gândit-o neapărat până la capăt și nu cred că au gândit-o într-un mod în care o autoritate de control ar putea să o facă. Și, de asemenea, cred că faptul că multe reglementări europene sunt destul de echilibrate și inteligente, pentru că imput-ul din industrie, din piață este enorm. Cred că la acest Regulament multe industrii nu au fost pe fază decât atunci când a fost cumva prea târziu, pentru că foarte mult timp  – și conceptele sunt între ele similare – nu a prea contat din perspectivă de sancțiune și atunci nu și-au pus foarte mult probleme. Noi vedem, în prezent, și factori sofisticați. Sunt aspecte, în primul rând, în sensul că nu știu de unde să le apuce sau care implică niște modificări informatice colosale sau extrem de dificil de reglat, pur și simplu. Or, dacă aceste analize ar fi fost făcute mai din timp, cum se întâmplă de obicei, cred că și formulările din Regulament ar fi fost altele, de aceea și cred că la modul de implementare în alte țări europene va fi foarte mult echilibru și multă înțelepciune și sper să fie și la noi. Pentru moment, chiar cred că este cazul. Să vedem cum va evalua și Autoritatea.

Andrei Săvescu: Mulțumesc foarte mult pentru această discuție, a fost foarte interesantă. Am reținut cele trei chestiuni foarte concrete pe art. 10 și pe chestiunea penală, chestiunea cu video-ul la locul de muncă, chestiunea cu CNP-ul, care aceasta pare a fi cea mai arzătoare, dacă lit. f) din art. 6 este foarte prezentă. Sper să ne revedem într-o dezbatere următoare, după ce Regulamentul va fi viu, trezit.

Lucian Bondoc: Vreau să fac doar o precizare, apropo de acest CNP și de obligația de a avea DPO. Aproape orice avocat din România chiar are de a face cu CNP-uri. Desigur că atunci când faci o identificare a identității părților, poți să spui că o faci în perspectiva unei autorizări de stat, într-un fel, și acolo s-ar pune poate problema altfel, dar în modul nostru de activitate, avem foarte des de a face cu CNP-urile, pentru că noi avem reflexul că atunci când se face un act sau un contract, este foarte important să identifici corect despre cine vorbești. Majoritatea firmelor din piață, nu mai vorbesc și de cabinete individuale sau cu 2-3 avocați, nu cred că și-au pus problema până acum să aibă vreun DPO. Și ar fi păcat să înceapă să și-o pună din cauza acestui art. 6, pentru că nu știu cum se vor încadra cu CNP-urile sau ar trebui, de mâine, să renunțe la CNP-uri în modul în care își desfășoară activitatea.

Andrei Săvescu: Da, va fi drastic, doar dacă nu este o chestiune deliberată, dar nu cred, în sensul că trebuie să fie sute de mii de DPO. N-a fost timp pentru a se face un studiu, cred că nu și-au dat seama că lit. f), în realitate, este pretutindeni, că temeiurile celelalte sunt sau nu sunt pe art. 6, dar că lit. f) este prezentă aproape în toate companiile. Cred că nu și-au dat seama de chestiunea aceasta.

Lucian Bondoc: Eu cred că a fost un reflex cumva, dacă tot schimbă regimul și l-am avut așa de sus, nu-l facem așa de diferit. Dar aici cred că este, din păcate, o exagerare, pentru că eu cred că se subapreciază mult frecvența cu care această dată personală este folosită, se supraapreciază mult impactul, pentru că toate datele personale au acest regim, pentru că pot să asigure până la urmă identificarea cuiva. Faptul că o faci mai precis prin CNP decât prin multe altele, n-ar trebui să te ducă la această problematică. Și în litera textului, dacă rămâne așa, poate să ducă la concluzii îngrijorătoare, inclusiv pentru profesia de avocat și nu așa se corelează piața muncii, adică sunt convins că nu aceasta a fost intenția. Acum, să reglăm șomajul din România prin angajările de DPO, pentru că nu există în prezent, trebuie creați, ca să spun așa. Oricum, se poate discuta foarte mult, sunt și alte zone interesante.

Andrei Săvescu: Deci o să avem o micro-catastrofă, dacă trece așa.

Lucian Bondoc: N-aș vrea să dăm idei Autorității. Cu o interpretare decentă, putem să nu o avem, dar litera textului, totuși, aș prefera să fie ajustată, pentru că, în prezent, ea nu este foarte bună și exemplul profesiei avocaților cred că este unul chiar foarte la îndemână.

Andrei Săvescu: Eu insist pe opinia că Autoritatea  – sau cine o fi fost inițiatorul, Autoritatea probabil – nici nu putea să facă o estimare cât de frecvent este art. 6. Aparent, este o șesime din situații, așa grosso modo. În realitate, neavând reprezentarea că, de fapt, pe interes legitim, este o chestiune extrem de răspândită și atunci de aceea li s-a părut că este doar lit. f).

Lucian Bondoc: În primul rând, consimțământul implică o relație cât de cât de parteneriat, dar, în viața reală, chiar vrei să-i identifici și pe cei cu care nu ai neapărat o relație de parteneriat, nu mai vorbesc de profesia de avocat. Și atunci a miza pe un temei care îți poate fi retras oricând, totuși nu este foarte realist, până la urmă.

Andrei Săvescu: Am depășit timpul. Vă mulțumesc foarte mult, a fost o discuție foarte frumoasă și sunt convins că o să mai avem discuții în legătură cu acest Regulament. Vă mulțumesc și dumneavoastră, stimați colegi din fața calculatoarelor, pentru că fără dumneavoastră JURIDICE.ro n-ar fi așa cum este. Vă dorim o seară plăcută!

[/restrict]