Comitetul european pentru protecția datelor (CEPD), fostul Grup de lucru articolul 29 pentru protecția datelor (înființat Directiva 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, eng. „Article 29 Working Party”), reprezintă un organ al UE cu personalitate juridică, independent, însărcinat cu aplicarea coerentă a GDPR. Comitetul reunește șefii autorității de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția datelor sau reprezentanții acestora. Comisia Europeană are dreptul să participe la activitățile și  reuniunile CEPD fără a avea drept de vot.

Chiar dacă Directiva 95/46/CE a fost abrogată prin intrarea în vigoare a GDPR, activitatea Grupului de lucru materializată prin emiterea de avize, recomandări și ghiduri, influențează implementarea în practică a framework-ului legal ce ține de protecția datelor, și anume prin metamorfoza instituțională reglementată la art. 94 alin. (2) teza a doua GDPR, care prevede că trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpretează ca trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.

Acte. Categoriile principale de acte emise de CEPD, potrivit GDPR, sunt:
– avize;
– decizii;
– orientări;
– recomandări;
– bune practici.

Forța juridică. Actele emise de CEPD (Grupul de lucru articolul 29) au forță juridică diferită, după cum legiuitorul european a înțeles să reglementeze fiecare situație.

Avize. Pentru anumite măsuri expres prevăzute la art. 64 GDPR (de exemplu adoptarea unei liste de operațiuni pentru care este necesară DPIA, coduri de conduită, criterii pentru acreditare, clauze standard, reguli corporatiste obligatorii), Comitetul emite un aviz cu privire la chestiunea care i-a fost prezentată de autoritatea de supraveghere națională, autoritatea fiind ținută pe deplin de avizul Comitetului.

Decizii. Comitetul emite decizii obligatorii atunci când, printre altele, o autoritate de supraveghere vizată a formulat o obiecție relevantă și motivată la un proiect de decizie a autorității principale sau autoritatea principală a respins o astfel de obiecție ca nefiind relevantă sau motivată, în special cu privire la încălcarea sau nu a GDPR. De asemenea, Comitetul emite decizii obligatorii în cazul în care există opinii divergente cu privire la care dintre autoritățile de supraveghere vizate deține competența pentru sediul principal sau în cazul în care o autoritate de supraveghere competentă nu solicită avizul Comitetului în cazurile obligatorii sau nu ține seama de avizul Comitetului.

Orientări. Recomandări. Bune practici. Aceste categorii de acte au caracter de recomandare, îndrumare, nefiind obligatorii pentru subiecții vizați de normele GDPR. Pentru aceste tipuri de acte, considerăm că nu trebuie să interpretăm rezultatul activității Grupului de lucru pe 29, respectiv Comitetului, ca izvor formal de drept.

Teoria generală a dreptului cunoaște noțiunea de interpretare a izvoarelor dreptului, care nu reprezintă altceva decât un mecanism prin care se face aplicarea dreptului posibilă, spre exemplu în cazul în care un act normativ vine într-o formă comprimată și nu poate prevedea toate aspectele ce doreau să fie atinse de legiuitor. Interpretarea care are impact în mod direct cu privire la aplicarea normelor juridice este cea oficială, clasificată în autentică, legală și jurisdicțională[i].

– Interpretarea autentică este acea interpretare care provine de la însuși organul emitent al actului normativ, în situația noastră vorbim despre Parlamentul European și Comisia Europeană. Comitetul este un organ care are personalitate juridică proprie și nu are atribuții de legiferare la nivelul Uniunii[ii].

– Interpretarea legală provine de la un organ competent să emită acte normative de același nivel cu actul normativ supus interpretării.

– Interpretarea jurisdicțională este oferită la nivelul Uniunii Europene de către CJUE. La nivelul național, de către instanțele judiciare ale statului, inclusiv de Curțile Supreme, interpretare care poate fi oferită cu privire la o speță, deci de aplicabilitate strict personală, sau în scopul interpretării și aplicării unitare a legii (interpretări de principiu).

Orientările, recomandările și bunele practici nu pot fi calificate conform niciuneia din categoriile menționate anterior, însă considerăm că ar trebui să fie avute în vedere de Operatori, persoanele împuternicite de operatori precum și de consultații acestora din următoarele motive:
– lipsa unor interpretări cu privire la aplicarea coerentă a GDPR: la nivel național, în Monitorul Oficial nr. 432 din data de 22 mai 2018, Partea I, a fost publicată Decizia nr. 99/2018 privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;
– incidența unor circumstanțe privind impunerea amenzilor administrative: Autoritatea națională de supraveghere, în cazul individualizării amenzii administrative, va trebuie să tină cont de gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându-se seama de măsurile tehnice și organizatorice implementate de aceștia. Considerăm că un Operator care ține seama de orientările, recomandările și bunele practici în domeniul protecției datelor dă dovada de un grad ridicat de responsabilitate.

În concluzie, în anumite situații, actele emise emise CEPD (Grupul de lucru articolul 29) sunt obligatorii (avize, decizii). Cu privire la orientări, recomandări și bune practici, chiar dacă acestea nu sunt obligatorii, recomandăm însușirea lor de către Operatori sau persoanele împuternicite de operatori, având în vedere că acestea sunt surse de interpretare primordiale pentru entitățile care au competența de oferi o interpretare oficială a GDPR și pentru a da dovadă de un grad ridicat de responsabilitate.

[i] Nicolae Popa, Teoria generală a dreptului ed. 3. București: ed. C.H. Beck, 2008, p. 201.
[ii] Marian Nicolae, Drept civil. Teoria generală. Vol. I Teoria dreptului civil. București: ed. Solomon, 2017, p. 514.

Avocat Laurențiu Petre
Partner SĂVESCU & ASOCIAȚII

Vlad Bercu
Partner JURIDICE MOLDOVA