Transferul de date cu caracter personal. Despre eficacitatea regulilor corporatiste obligatorii.
Fluxul transfrontalier de date cu caracter personal poate expune persoanele vizate la un risc sporit în ceea ce privește capacitatea reală de a iși exercita drepturile instituite de GDPR. După cum prevede Regulamentul 2016/679, persoana vizată trebuie să beneficieze într-un mod veritabil de toate drepturile sale, iar recomandarea pentru operatorii de date este de a se asigura ca facilitează și mijlocesc exercitarea acestora.
Având în vedere obstacolele de comunicare dintre autoritățile de supraveghere din statele membre UE și cele non-membre, precum și lipsa de instrumente de soluționare materială a unei plângeri adresate în această perioadă tranzitorie către autorități, sarcina garantării drepturilor persoanelor vizate revine operatorilor de date cu caracter personal care trebuie să ia toate măsurile de securitate necesare pentru protecția datelor acestora.
În procesul decizional privind transferul de date urmează a fi analizate cel puțin următoarele aspecte:
- Existența unei decizii din partea Comisiei cu privire la caracterul adecvat de protecție al statului către care se realizează transferul;
- Existența unor derogări specifice;
- Realizarea transferului în baza unor garanții adecvate.
Cea mai mare provocare apare în rândul întreprinderilor constutite în grupuri de firme. Regulamentul 2016/679 recomandă printre tipurile de măsuri adecvate de protecție, setul de reguli corporatiste obligatorii, o serie de proceduri omogene pe care să le adopte toate fimele din grup în mod obligatoriu și care să fie supuse avizării Autorității Naționale De Supraveghere a Prelucrării Datelor cu Caracter Personal.
Ca și descriere, “Grup de întreprinderi” reprezină două sau mai multe societăți interconectate prin control și/sau deținerea participațiilor calificate.
„Controlul” este capacitatea de a determina sau influența în mod dominant, direct ori indirect, politica financiara și operațională a unei societăți sau deciziile la nivelul organelor societare.
Cu toate acestea, deși la nivel operațional se presupune că toate firmele din grup se pot coordona în baza principiului desfășurării activităților comerciale comune, pentru aplicarea GDPR lucrurile însă nu mai sunt la fel de simple.
Legislația internă, inclusiv în materie penală, poate fi deosebită de la un stat la altul, iar adoptarea de proceduri comune trebuie să aibă ca numitor comun și în ceea ce privește regimul sancționator.
Trecând totuși peste acest obstacol, o altă posibilă piedică a implementării de reguli corporatiste este acceptarea de către operator sau de persoana împuternicită de operator, care îşi are sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru în cauză care nu îşi are sediul în Uniune. Operatorul sau persoana împuternicită de operator este exonerată de această răspundere, integral sau parţial, numai dacă dovedeşte că membrul respectiv nu a fost răspunzător de evenimentul care a cauzat prejudiciul.
Este lesne de înteles că legiuitorul a dorit să stabilească o asumare veritabilă a responsabilității de către fiecare operator din Grupul de întreprinderi, însa dacă iesim din sfera soluționării sesizărilor de către autoritățile de supraveghere și trecem pe tărâmul dreptului procesual civil, nu stim cum poate opera din punct de vedere legal atragerea răspunderii unui operator pentru un alt operator și cum poate dovedi o entitate vinovăția sau nevinovăția unei alteia din grup.
Pentru a se evita crearea unei situții juridice de o complexitate mai mare decât poate permite cadrul legislativ, se vor avea în vedere mai degrabă celelalte garanții adecvate pe care GDPR le propune operatorilor de date și împuterniciților lor, precum și adoptarea cel puțin a următoarelor măsuri recomandate de speciliști:
- Desemnare a unui responsabil privind protecția datelor la nivel de fiecare entitate care face parte din grup precum și a unui responsabil unitar
- Existența unui registru de prelucrare a datelor individual
- Proceduri operaționale specifice la nivel de departamente
- Atenție sporită către informarea persoanelor vizate – complet, corect, coerent
- Proceduri pentru facilitarea exercitării drepturilor persoanelor vizate
- Evaluări de impact atunci când este cazul
- Consolidarea unui plan de instruire pentru salariați/colaboratori
- Încheierea unor acorduri cu furnizroii/partenerii
Implementând măsurile mai sus propuse, se va evita atragerea răspunedii tuturor operatorilor de date care fac parte din grup și in același timp se va asigura o mai buna protecție a persoanelor vizate care își vor putea exercita drepturile în mod direct fără a pica în plasa operațională a unui mecanism anevoios.
