Procedura de efectuare a investigațiilor („Procedura”) aprobată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („Autoritatea”) prin Decizia nr. 161/2018 nu reprezintă, în sine, o surpriză pentru mediul de afaceri local. Competențele sporite de control fuseseră anticipate la nivel normativ de reglementare primară prin modificările Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității, iar proiectul Procedurii a fost supus dezbaterii publice.
Practic, orice entitate poate fi vizată de o investigație a Autorității, efectuată fie ex officio (inclusiv în urma unei notificări privind încălcări ale securității datelor), fie la plângerea persoanelor vizate. Prin noua reglementare, Autoritatea dobândește atribuții similare altor autorități cu competențe de control (e.g. Consiliul Concurenței) în a efectua investigații inopinate (dawn raids), alături de cele cu înștiințare prealabilă. Dincolo de detaliile procedurale pentru fiecare tip de investigație, notăm câteva aspecte sensibile care ne-au atras atenția:
- Potrivit Procedurii (art. 19 e)), entitatea controlată are obligația „să furnizeze într-o formă completă documentele, informațiile, înregistrările și evidențele solicitate […] fără a putea opune caracterul confidenţial al acestora”. Această obligație generală de dezvăluire de date la cererea Autorității, dacă nu va fi judicios filtrată de echipa de control, poate ridica probleme în privința acelor documente, informații care sunt protejate de garanții edictate la nivel de legislație primară, precum cele privind privilegiul avocat-client și secretul profesional (art. 35 din Legea avocaturii nr. 51/1995);
- Remarcăm, de asemenea, caracterul univoc al investigației, inspectorii Autorității având largi competențe în a organiza investigația, accesând, la alegere, sursele și mijloacele pe care le consideră necesare (verificarea oricăror documente, echipamente, audiere de persoane, etc). Din păcate, Procedura nu formalizează pe parcursul investigației un cadru de răspuns/fundamentare a poziției entității controlate (dreptul de a depune comentarii la neregularitățile invocate, dreptul de a solicita audierea unor persoane, etc). Singurele mijloace de apărare sunt oferite doar ex post, după finalizarea investigației, sub forma obiecțiunilor la procesul-verbal de constatare/sancționare (nu este clar care ar fi efectul acestora după întocmirea procesului-verbal) și, desigur, contestație la instanța competentă;
- În fine, anticipând o creștere a numărului de investigații din partea Autorității, recomandăm entităților cu expunere în zona prelucrării datelor cu caracter personal adoptarea unor proceduri interne și efectuarea de sesiuni de training privind obligațiile, drepturile și conduita în cazul unei investigații din partea Autorității.