Edit the existing ACS Path logo image so that it fits cleanly into a square 1:1 aspect ratio canvas, keeping the full logo content centered without distortion, on a fully transparent background suitable for use on dark or light site headers.

ACSPath

We support companies in implementing GDPR compliance,
managing data protection risks,
and building robust governance frameworks
aligned with EU regulations.

A desemna sau a nu desemna un DPO? — aceasta este întrebarea*

Clean, modern corporate-style photo related to GDPR and data protection: a diverse small team in a glass-walled office reviewing data privacy reports and a dashboard with padlock and shield icons, cool neutral tones with dark blue accents, minimal and uncluttered composition, consistent with existing site imagery.

Din perspectiva conformității cu Regulamentul (UE) 2016/679, desemnarea unui DPO nu este o opțiune generală, ci o obligație legală în anumite situații clar definite și o recomandare de bună practică în altele.

Când este DPO obligatoriu?

Conform dispozițiilor art. 37 alin. (1) din Regulament, operatorul sau persoana împuternicită trebuie să desemneze un DPO în trei ipoteze:

  1. Autorități sau organisme publice
    – obligație automată (cu excepția instanțelor în activitatea jurisdicțională).
  2. Monitorizare regulată și sistematică pe scară largă
    – ex.: tracking online, scoring clienți, telematică/GPS, profilare comportamentală.
  3. Prelucrare pe scară largă a categoriilor speciale de date
    – ex.: sănătate, date biometrice, date privind condamnări penale etc.

Noțiunile de „scară largă”, „monitorizare sistematică” sau „activitate principală” nu sunt definite matematic în GDPR, dar sunt dezvoltate în orientările Comitetul European pentru Protecția Datelor (fostul WP29). Acestea indică evaluarea cumulativă a unor criterii precum: numărul de persoane vizate, volumul de date, durata prelucrării și aria geografică.

Recomandările Comisiei Europene

Comisia Europeană subliniază, în materialele sale oficiale pentru implementarea GDPR, că desemnarea unui DPO este recomandată ori de câte ori:

  • prelucrarea implică riscuri ridicate pentru drepturile persoanelor;
  • există procese complexe sau recurente de prelucrare;
  • organizația dorește să demonstreze accountability [art. 5 alin. (2) GDPR].

Cu alte cuvinte, chiar și în absența unei obligații legale stricte, desemnarea unui DPO poate fi necesară în practică pentru a asigura conformitatea și pentru a reduce riscurile operaționale și, mai ales, reputaționale.

Practică și interpretare

Nu există, la acest moment, o jurisprudență CJUE extinsă exclusiv pe obligația de desemnare a DPO. Totuși, instanțele și autoritățile naționale aplică constant principiile generale din GDPR, în special:

  • abordarea bazată pe risc;
  • principiul responsabilității (accountability).

Relevantă indirect este jurisprudența CJUE privind interpretarea largă a noțiunilor din GDPR, unde Curtea a arătat că analiza trebuie făcută în concret, în funcție de impactul asupra persoanelor vizate, nu formal.

În practică, autoritățile de supraveghere sancționează nu doar lipsa DPO acolo unde este obligatoriu, ci și:

  • desemnări formale, fără independență reală;
  • conflicte de interese (ex.: DPO care este și director IT sau HR).

Când „ai nevoie” de DPO, chiar dacă nu este obligatoriu

Din perspectivă DPO, există situații frecvente în care, deși nu se întrunesc strict condițiile art. 37, desemnarea este practic necesară, de exemplu:

  • companii cu activitate intensă de marketing și baze mari de clienți;
  • organizații care folosesc tehnologii de monitorizare (GPS, CCTV, analytics);
  • grupuri de companii cu fluxuri complexe de date;
  • entități care gestionează date sensibile în mod constant (chiar dacă nu „la scară largă” în sens strict).

Concluzie

Desemnarea unui DPO trebuie analizată nu doar formal, prin raportare la art. 37 GDPR, ci și funcțional, în funcție de riscurile reale ale prelucrării.

Astfel, în esență, desemnarea unui DPO:

  • este obligatorie în cazurile expres prevăzute de GDPR;
  • este recomandată în orice situație cu risc ridicat sau complexitate crescută;
  • devine, în practică, un instrument esențial de conformitate și de demonstrare a responsabilității operatorului.

O abordare prudentă este aceea de a evalua intern necesitatea DPO printr-o analiză documentată și, în caz de dubiu, de a opta pentru desemnare, având în vedere costul relativ redus comparativ cu riscurile de neconformitate.

*Prezentul material are caracter informativ și reflectă o interpretare generală a aspectelor analizate, fără a constitui consultanță juridică aplicabilă unor situații concrete. Pentru evaluări specifice sau soluții adaptate, vă invităm să ne contactați prin completarea formularului disponibil, accesând butonul de mai jos.

Contactează-ne

Lasă un răspuns

Descoperă mai multe la ACSPath

Abonează-te acum ca să citești în continuare și să ai acces la întreaga arhivă.

Continuă lectura