Transparența instituțională din perspectiva GDPR

   

„Nu trebuie să vezi tot drumul ca să începi, e suficient să fii dispus să faci pasul de azi, iar restul devine clar pe măsură ce înaintezi.”

     În ultimii ani, am ajuns să observ că termenul „transparență instituțională” este folosit atât de des, încât riscă să devină un fel de decor retoric, apare în strategii, comunicate, rapoarte și chiar în discursuri festive, dar nu întotdeauna se vede în mod concret în relația de zi cu zi dintre instituție și cetățean. Tocmai de aceea mi se pare util să privesc transparența nu doar ca valoare administrativă generală, ci ca obligație operațională, cu reguli, termene, criterii de calitate și consecințe, iar Regulamentul General privind Protecția Datelor (GDPR) îmi oferă una dintre cele mai clare „lentile” pentru a face această trecere de la ideal la practică. Din perspectiva GDPR, transparența nu este un bonus de comunicare, ci o condiție de legalitate și echitate a prelucrării, întrucât principiul „legalității, echității și transparenței” este plasat chiar în nucleul principiilor de prelucrare, ceea ce înseamnă că o instituție poate avea un temei legal pentru prelucrare, dar tot poate eșua la capitolul transparență dacă nu explică suficient de clar ce face cu datele și de ce (European Parliament and Council of the European Union, 2016, art. 5). Interesant este că aici GDPR devine, într-un fel, un profesor sever de comunicare instituțională, nu e suficient să ai dreptate juridic, trebuie să fii și inteligibil pentru persoana vizată, iar asta schimbă standardul după care evaluăm „deschiderea” unei instituții. În mod concret, transparența instituțională, în logica GDPR, se exprimă prin obligații de informare și comunicare formulate explicit: informațiile trebuie oferite într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar, iar comunicarea cu persoana vizată trebuie să fie efectivă, nu doar formală (European Parliament and Council of the European Union, 2016, art. 12–14). Din punctul meu de vedere, aceasta este una dintre cele mai importante mutări conceptuale pe care le aduce GDPR în sectorul public, instituția nu mai poate „ascunde” complexitatea în spatele jargonului administrativ și nici nu mai poate trata informarea ca pe o anexă inevitabilă, pe care o citește nimeni, dar o semnează toată lumea. Pe această bază, tema transparenței instituționale devine legată direct de drepturile persoanei vizate, pentru că dreptul de acces, dreptul la rectificare, ștergere, restricționare, opoziție sau portabilitate sunt, în esență, mecanisme prin care cetățeanul poate verifica și controla prelucrarea, iar fără transparență aceste drepturi rămân mai degrabă teoretice decât exercitabile (European Parliament and Council of the European Union, 2016, art. 15–22). Consider că acesta este punctul în care transparența încetează să fie doar o virtute organizațională și devine un instrument de echilibrare a puterii informaționale dintre instituție și individ, adică un mod concret prin care cetățeanul nu este tratat ca „obiect de evidență”, ci ca subiect de drepturi. În același timp, transparența instituțională nu poate fi înțeleasă serios fără a recunoaște tensiunea ei structurală: instituțiile publice au obligații de deschidere și justificare în fața publicului, dar au și obligații de confidențialitate și protecție a datelor, iar uneori aceste două logici par să se ciocnească exact în locurile cele mai sensibile, precum publicarea documentelor, comunicarea listelor, afișarea informațiilor în spațiul public sau furnizarea de copii și extrase. Aici, din perspectiva mea, miza reală nu este să alegi între „transparență” și „GDPR”, ci să construiești o transparență compatibilă cu protecția datelor, adică o transparență care clarifică acțiunea instituției fără să expună inutil persoanele. De aceea, obiectivul acestui demers este să clarifice conceptual și aplicat ce înseamnă transparența instituțională atunci când o analizez din perspectiva GDPR, cu accent pe obligațiile de informare, calitatea comunicării, exercitarea drepturilor persoanei vizate și mecanismele administrative care fac transparența funcțională, nu doar declarativă. În mod implicit, mă interesează și întrebări precum: cum arată o informare „clară” într-o instituție publică, ce înseamnă transparența ca practică organizațională, unde apar cele mai frecvente confuzii și ce tip de soluții procedurale pot reduce tensiunea dintre deschidere și protecția datelor. În final, îmi asum de la început o poziție care mie mi se pare realistă, transparența instituțională nu este un eveniment, ci un sistem de rutină, iar GDPR nu este doar o colecție de articole, ci un standard de relaționare instituțională care obligă administrația să își traducă puterea procedurală într-o comunicare inteligibilă și verificabilă. Dacă reușesc să păstrez această idee pe parcurs, atunci transparența încetează să fie „promisiune” și devine infrastructură de încredere, ceea ce, pentru sectorul public, este probabil una dintre cele mai valoroase investiții pe termen lung. 

Transparența instituțională ca „regulă de joc” în epoca GDPR

    Când folosesc expresia „transparență instituțională”, eu nu mă refer doar la ideea de a publica documente pe un site sau de a răspunde politicos la solicitări, ci la capacitatea instituției de a explica, într-o formă inteligibilă și verificabilă, cum își exercită puterea administrativă atunci când colectează, folosește, transmite sau păstrează date despre oameni, iar interesant este că GDPR transformă această capacitate într-o condiție juridică a unei prelucrări corecte, nu într-un ornament de imagine. Regulamentul spune explicit că operatorul trebuie să furnizeze informațiile și comunicările către persoana vizată într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu, ceea ce înseamnă că transparența devine, în esență, o obligație de „traducere” a birocrației în limbaj uman, nu doar o obligație de „publicare” (European Parliament and Council of the European Union, 2016, art. 12). Din perspectiva mea, aceasta este una dintre cele mai utile presiuni pe care GDPR le pune pe administrație, pentru că obligă instituția să-și demonstreze buna-credință nu prin fraze solemne, ci prin claritate, iar claritatea, oricât ar părea un detaliu de stil, ajunge să fie o formă de corectitudine instituțională. În ghidurile WP29 privind transparența, ideea centrală este că informarea persoanei vizate nu trebuie înțeleasă ca o simplă formalitate, ci ca un proces de comunicare efectivă, în care informațiile sunt structurate astfel încât omul să poată înțelege repede ce este esențial, iar apoi să poată aprofunda, fiind recomandate soluții de tip „layered approach”, tocmai ca să nu transformi transparența într-un zid de text care, deși complet, devine inutil (Article 29 Working Party, 2018). Eu cred că acest punct este aproape terapeutic pentru sectorul public, fiindcă ne obligă să recunoaștem un adevăr simplu: dacă ai „informat” pe hârtie, dar omul nu poate înțelege, atunci ai produs doar conformitate internă, nu transparență reală, iar diferența dintre cele două se vede imediat atunci când cetățeanul încearcă să-și exercite drepturile și se lovește de un limbaj care pare scris mai mult pentru a se apăra instituția decât pentru a lămuri persoana. Din perspectiva drepturilor persoanei vizate, EDPB subliniază că dreptul de acces este o componentă esențială a întregului sistem de protecție a datelor, pentru că permite verificarea legalității prelucrării și face posibilă exercitarea celorlalte drepturi, ceea ce înseamnă că transparența nu este doar „înainte de prelucrare”, prin informare, ci și „în timpul prelucrării”, prin răspunsuri complete și coerente la solicitări (European Data Protection Board, 2023). Personal, consider că aici transparența capătă o dimensiune foarte practică și, în același timp, foarte incomodă pentru instituții: nu mai este suficient să ai o politică frumoasă pe site, ci trebuie să poți demonstra, la cerere, ce date ai, de unde le ai, de ce le ai, cui le-ai transmis și cât timp le ții, iar această capacitate de a răspunde nu se obține printr-un document, ci prin proceduri interne funcționale și printr-o cultură organizațională care tratează întrebările cetățeanului ca pe un drept, nu ca pe o perturbare a rutinei. Dintr-o perspectivă de guvernanță, OECD discută ideea că încrederea publică este influențată de competența instituțiilor și de dimensiunea „valorilor” în decizia publică, iar transparența este unul dintre canalele prin care instituția face vizibile atât competența, cât și orientarea ei către interesul public (OECD, 2017). Eu aș completa această idee spunând că, în logica GDPR, transparența devine un test de maturitate administrativă: instituția care poate explica limpede prelucrările și poate răspunde consecvent la drepturile persoanei vizate transmite nu doar că „respectă legea”, ci că înțelege relația cu cetățeanul ca pe o relație de responsabilitate, iar aici apare un câștig pe termen lung, pentru că încrederea nu se construiește prin declarații, ci prin experiențe repetate de claritate, predictibilitate și respect. În fine, ceea ce mi se pare definitoriu în acest capitol este că transparența instituțională, văzută prin GDPR, nu mai poate fi tratată ca o activitate periferică, delegată „când avem timp” către cineva care redactează un text standard, ci ca un criteriu structural al prelucrării, adică o condiție de legalitate și echitate care trebuie proiectată în formulare, în fluxuri, în răspunsuri, în interfețe digitale și în comportamentul concret al instituției, iar dacă aș spune lucrurile foarte direct, aș spune că GDPR ne obligă să trecem de la transparența ca vitrină la transparența ca infrastructură, ceea ce, pentru administrația publică, este o schimbare de paradigmă mai serioasă decât pare la prima vedere.

 Cum „scrie” GDPR transparența în obligații concrete

    Când încerc să pun transparența instituțională pe baze juridice, îmi dau seama că GDPR nu o tratează ca pe o simplă „politică de comunicare”, ci o ancorează chiar în principiile fundamentale ale prelucrării, iar asta schimbă tot, pentru că nu mai vorbim despre preferințe de stil sau despre cât de simpatic sună un text pe site, ci despre o condiție care ține de corectitudinea prelucrării în sine. Ideea centrală este că prelucrarea trebuie să fie nu doar legală și echitabilă, ci și transparentă în raport cu persoana vizată, iar transparența, în această logică, înseamnă ca omul să poată înțelege, fără să ghicească și fără să se simtă „pierdut în procedură”, ce se întâmplă cu datele lui, de ce se întâmplă și ce drepturi reale are în raport cu instituția. (European Parliament and Council of the European Union, 2016, recital 39). Consider că această formulare este, paradoxal, una dintre cele mai „administrative” lecții din GDPR, fiindcă ne spune direct că transparența nu este un efect secundar al legalității, ci o parte din legalitate, iar dacă instituția nu explică inteligibil, atunci, chiar dacă are temei, relația cu cetățeanul rămâne incompletă și vulnerabilă la suspiciune. Apoi, GDPR face un pas și mai practic și spune, cu o precizie care mie îmi place, că operatorul trebuie să ia măsuri adecvate pentru a furniza informațiile și comunicările către persoana vizată într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu, iar asta este, pentru mine, momentul în care transparența devine un standard de design instituțional, nu doar o obligație de conținut. (European Parliament and Council of the European Union, 2016, art. 12). Din perspectiva mea, articolul acesta pune administrația într-o situație interesantă și, uneori, inconfortabilă, pentru că o obligă să își verifice propriile reflexe birocratice, dacă informația este „corectă”, dar scrisă într-un limbaj care cere traducător simultan și răbdare de maratonist, atunci instituția poate fi conformă pe hârtie, însă rămâne opacă în practică, iar opacitatea practică este exact ceea ce subminează încrederea. Tot în același cadru, obligațiile de informare din articolele dedicate informării la colectare și din surse indirecte fixează, de fapt, „fișa de transparență” a instituției, adică acel set minim de răspunsuri pe care instituția trebuie să le dea preventiv, cine este operatorul, care sunt scopurile și temeiurile, cât timp se păstrează datele, cui se pot transmite, ce drepturi există, cum se poate depune o plângere și, foarte important, dacă există decizii automatizate sau profilare, ceea ce, în instituțiile publice, capătă greutate pentru că multe interacțiuni sunt standardizate, digitalizate sau integrate între sisteme. (European Parliament and Council of the European Union, 2016, art. 13–14). Eu aș completa această idee spunând că, în sectorul public, informarea nu este doar o „notă GDPR”, ci un act de clarificare a puterii, când instituția explică scopurile și temeiurile, ea explică, de fapt, de ce are dreptul să ceară anumite date și unde se oprește acest drept, iar acea limită explicitată e un semn de maturitate instituțională. În interpretarea și aplicarea acestor obligații, ghidurile WP29 despre transparență au o contribuție foarte utilă, pentru că pleacă de la ideea că transparența este eficientă doar dacă informația ajunge la persoană într-o formă utilizabilă, motiv pentru care se recomandă abordarea stratificată, formulările clare, evitarea ambiguităților și prezentarea informației astfel încât omul să poată prinde esențialul rapid, iar apoi să aprofundeze, ceea ce sună simplu, dar în practică este exact opusul stilului „document de instituție” pe care îl recunoaștem cu toții după primul paragraf. (Article 29 Working Party, 2018). Din perspectiva mea, valoarea acestor ghiduri este că ele fac vizibil un adevăr pe care administrația îl ignoră uneori, transparența nu se măsoară în numărul de pagini publicate, ci în gradul de înțelegere pe care îl produce, iar dacă înțelegerea lipsește, atunci instituția a comunicat în gol, chiar dacă a „furnizat informația”. Mai mult, cadrul normativ al transparenței nu se epuizează în informarea inițială, fiindcă GDPR leagă explicit comunicarea de exercitarea drepturilor persoanei vizate, iar aici intră în scenă dreptul de acces ca instrument de verificare, pentru că el obligă instituția să confirme dacă prelucrează sau nu date, să ofere informațiile cerute de Regulament și să furnizeze o copie a datelor, iar ghidurile EDPB despre dreptul de acces insistă că acest drept este un element esențial al întregului sistem de protecție a datelor și trebuie implementat astfel încât să fie efectiv, nu doar teoretic. (European Data Protection Board, 2023). Personal, consider că tocmai aici se vede dacă transparența instituțională este reală sau doar declarativă, pentru că în momentul în care un cetățean cere acces, instituția nu mai poate rămâne la nivelul „am publicat politica”, ci trebuie să arate că are evidențe, proceduri, criterii și capacitatea de a răspunde coerent, ceea ce, în administrația publică, devine un test de organizare internă, nu doar de conformitate juridică. În final, ceea ce rețin din acest capitol este că GDPR construiește transparența ca un lanț normativ care pleacă de la principii, trece prin obligații de informare și comunicare, și ajunge la drepturi exercitabile, iar instituția este transparentă nu atunci când declară că este transparentă, ci atunci când poate susține, cu explicații clare și cu răspunsuri verificabile, întregul acest lanț, fără să lase cetățeanul să completeze singur „golurile” prin presupuneri, pentru că, dacă mă întrebi pe mine, presupunerile sunt combustibilul perfect pentru neîncredere, iar neîncrederea este, de obicei, mai scumpă decât orice procedură bine pusă la punct.

Transparența ca mecanism de control civic

    Când intru cu adevărat în „miezul” transparenței instituționale din perspectiva GDPR, eu ajung inevitabil la ideea că transparența nu este doar o promisiune de deschidere, ci este, mai concret decât ne place să recunoaștem, infrastructura prin care drepturile persoanei vizate devin exercitabile, fiindcă GDPR construiește în Capitolul III un set de drepturi care funcționează ca niște instrumente de verificare și echilibrare a puterii informaționale dintre operator și individ, iar în sectorul public asta se simte cu atât mai puternic cu cât instituția nu doar „prelucrează date”, ci administrează vieți, situații, eligibilități, drepturi sociale și decizii care pot produce efecte foarte reale. (European Parliament and Council of the European Union, 2016, cap. III). 

Consider că această arhitectură a drepturilor este, de fapt, una dintre cele mai inteligente forme de „democratizare procedurală” pe care le introduce GDPR, pentru că obligă instituția să accepte că persoana vizată nu este un simplu destinatar de servicii, ci un actor care poate întreba, verifica și corecta, adică exact tipul de interacțiune care, în mod tradițional, scurtează distanța dintre administrație și cetățean. În centrul acestei logici se află dreptul de acces, unde GDPR spune, în esență, că persoana vizată are dreptul să obțină confirmarea dacă i se prelucrează sau nu datele, să aibă acces la date și să primească informații-cheie despre scopuri, categorii, destinatari, perioade de stocare și garanții pentru transferuri, ceea ce transformă accesul într-un „scaner” juridic al prelucrării, nu într-o simplă curiozitate administrativă. (European Parliament and Council of the European Union, 2016, art. 15).  Din perspectiva mea, dreptul de acces este momentul în care transparența trece de la „vă informăm” la „vă demonstrăm”, iar această trecere schimbă raportul de forțe, pentru că instituția nu mai poate rămâne în zona confortabilă a formulărilor generale, ci trebuie să își asume un răspuns verificabil, adică exact acel tip de claritate care produce încredere, nu doar conformitate. Foarte interesant este că GDPR își explică, chiar în considerente, de ce accesul este atât de important, subliniind că persoana vizată trebuie să își poată exercita dreptul de acces ușor și la intervale rezonabile tocmai pentru a putea verifica legalitatea prelucrării, ceea ce arată că transparența nu este un cadou, ci o condiție pentru controlul legalității în practică. (European Parliament and Council of the European Union, 2016, recitalul 63).  Eu aș completa spunând că recitalul acesta are, în mod discret, o încărcătură civică: el recunoaște că persoana vizată nu poate avea încredere „prin decret”, ci are nevoie de posibilitatea reală de a vedea, de a înțelege și de a verifica, iar această posibilitate este, în administrația publică, o formă modernă de respect procedural. În aplicare, EDPB explică dreptul de acces ca având trei componente, confirmarea prelucrării, accesul la date și accesul la informațiile despre prelucrare, și insistă că dreptul trebuie implementat astfel încât să fie efectiv, nu doar teoretic, tocmai pentru că accesul este poarta prin care persoana vizată poate activa și celelalte drepturi. (European Data Protection Board, 2023). Consider că aici apare o problemă tipic administrativă, dar cu efect juridic: dacă instituția nu are evidențe coerente și un flux intern clar, ea ajunge să „răspundă” într-un mod fragmentat, iar cetățeanul primește fie prea puțin, fie prea mult și neinteligibil, ceea ce în ambele cazuri rupe tocmai ideea de transparență ca înțelegere, nu ca volum. Jurisprudența CJUE adaugă o nuanță care mie mi se pare esențială pentru transparență, în sensul în care Curtea a arătat că dreptul de a obține o „copie” a datelor nu este o formalitate minimalistă, ci presupune o reproducere fidelă și inteligibilă a datelor, iar în anumite situații poate însemna furnizarea unor extrase sau chiar a unor părți de documente ori baze de date, dacă aceasta este necesară pentru ca persoana să își poată exercita efectiv drepturile. (Court of Justice of the European Union, 2023). Din perspectiva mea, acesta este un semnal clar că transparența nu se reduce la un „data dump” care îl lasă pe om singur în fața unui fișier imposibil de interpretat, ci implică o responsabilitate de inteligibilitate, adică o formă de comunicare administrativă matură, care nu confundă accesul cu simpla livrare de informație brută. Dreptul de acces capătă greutate și prin faptul că deschide drumul către corectare și „curățare” a erorilor, iar GDPR spune explicit că persoana vizată poate cere rectificarea datelor inexacte și completarea celor incomplete, respectiv ștergerea datelor atunci când sunt îndeplinite condițiile prevăzute, ceea ce transformă transparența într-un mecanism de întreținere a corectitudinii administrative, nu doar într-un mecanism de informare. (European Parliament and Council of the European Union, 2016, art. 16–17).  Eu cred că aici administrația publică are un câștig foarte concret, chiar dacă nu pare „spectaculos”: o instituție care acceptă rectificarea rapidă și gestionează corect ștergerea acolo unde este posibil își reduce propriile riscuri de decizii greșite, contestații și pierdere de încredere, iar asta înseamnă că drepturile persoanei vizate sunt, simultan, drepturi ale cetățeanului și instrumente de igienă instituțională. În planul comunicării și al interacțiunii cu instituția, ghidurile de transparență ale WP29 insistă că informația trebuie să fie organizată și prezentată astfel încât persoana să poată înțelege cu adevărat ce se întâmplă, inclusiv prin abordări stratificate și prin evitarea ambiguităților, ceea ce leagă direct drepturile din articolele 15–22 de calitatea comunicării, nu doar de existența lor formală. (Article 29 Working Party, 2018). Personal, mi se pare că aceasta este lecția pe care instituțiile o subestimează cel mai des: drepturile nu „trăiesc” în textul Regulamentului, ci în felul în care instituția proiectează formularele, interfețele, răspunsurile și tonul comunicării, pentru că un drept pe care nu îl poți înțelege ușor este, în practică, un drept pe care îl folosești greu sau deloc. În același registru al transparenței ca putere de control, drepturile legate de deciziile automatizate și profilare sunt aproape o „probă de foc” a modernității administrative, fiindcă GDPR instituie o protecție specială față de deciziile bazate exclusiv pe prelucrare automată care produc efecte juridice sau efecte semnificative similare, iar acest lucru obligă instituțiile să fie capabile să explice nu doar că prelucrează date, ci și logica și consecințele unor mecanisme de decizie care altfel ar rămâne opace. (European Parliament and Council of the European Union, 2016, art. 22).  Din punctul meu de vedere, aici transparența devine un test de etică administrativă, pentru că dacă instituția nu poate explica inteligibil cum ajunge la un rezultat care afectează cetățeanul, atunci nu mai vorbim doar despre eficiență digitală, ci despre o formă de autoritate care riscă să fie percepută ca arbitrară. EDPB, preluând și consolidând orientările WP29, tratează deciziile automatizate și profilarea ca domenii în care transparența și garanțiile sunt cruciale, tocmai pentru a preveni situațiile în care oamenii sunt afectați semnificativ de procese pe care nu le pot înțelege sau contesta în mod real. (European Data Protection Board, 2018). Eu aș spune că, în administrația publică, această idee trebuie citită fără menajamente: digitalizarea care nu este explicabilă și contestabilă devine o formă de „birocrație algoritmică”, adică aceeași opacitate veche, doar că mai rapidă și mai greu de discutat la ghișeu. Într-o cheie foarte practică, ICO subliniază că, atunci când se aplică regulile privind deciziile exclusiv automatizate, organizațiile trebuie să ofere informații semnificative despre logica implicată și despre consecințele probabile pentru persoană, ceea ce arată că transparența nu se reduce la a recunoaște existența automatizării, ci presupune să faci mecanismul inteligibil pentru cel afectat. (Information Commissioner’s Office, 2023).  Consider că această cerință, deși vine dintr-un context britanic, exprimă foarte bine spiritul european al transparenței: instituția nu trebuie doar să spună „avem un sistem”, ci să explice ce înseamnă acel sistem pentru tine, ca individ, fiindcă altfel drepturile rămân, din nou, un text frumos fără priză în realitate. Pentru a lega toate aceste drepturi de un cadru mai larg al guvernanței, Bovens descrie accountability-ul ca o relație în care un actor este obligat să își explice și justifice conduita în fața unui „forum” care poate pune întrebări, poate evalua și poate trage concluzii, iar eu văd drepturile persoanei vizate ca transformând individul într-un astfel de forum procedural, cel puțin în sfera datelor personale. (Bovens, 2007). Din perspectiva mea, acesta este poate cel mai important sens al capitolului despre drepturi: transparența instituțională, în GDPR, nu este doar despre a arăta informația, ci despre a crea condiții de răspundere, în care instituția poate fi întrebată, verificată și, la nevoie, corectată, iar asta este, în ultimă instanță, una dintre cele mai concrete forme de control democratic care pot funcționa zilnic, nu doar o dată la patru ani.

Transparența în administrația publică, între comunicare instituțională și conformitate

În administrația publică, transparența are un statut aproape paradoxal, pentru că instituția este, prin definiție, chemată să fie vizibilă și justificabilă în fața comunității, dar, în același timp, este obligată să protejeze datele personale pe care le gestionează în volume mari și în contexte adesea sensibile, iar din această tensiune apare întrebarea care pe mine mă preocupă constant: cum poate o instituție să fie deschisă fără să fie imprudentă, adică să comunice suficient cât să producă înțelegere și încredere, fără să transforme transparența într-o formă de supraexpunere a persoanelor. GDPR formulează chiar în considerente ideea că principiul transparenței cere ca informațiile adresate publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles, folosind un limbaj clar și simplu, iar acolo unde este potrivită chiar și vizualizarea, ceea ce mi se pare o recunoaștere implicită a faptului că, în epoca instituțiilor digitale, opacitatea nu vine doar din „secrete”, ci și din complexitate și limbaj neprietos (European Parliament and Council of the European Union, 2016, recital 58). Consider că pentru sectorul public aceasta este o schimbare de mentalitate mai profundă decât pare, fiindcă instituția este împinsă să înțeleagă că transparența nu înseamnă „am publicat”, ci „am făcut inteligibil”, iar inteligibilitatea, în practică, cere competențe de comunicare, nu doar reflexe juridice. Când duc discuția spre zona clasică a transparenței administrative, eu observ imediat că instituțiile publice trăiesc între două regimuri normative care se ating frecvent: regimul accesului public la documente și regimul protecției datelor, iar GDPR nu încearcă să „anuleze” logica accesului la documente, ci o recunoaște și o obligă la reconciliere. Regulamentul spune că principiul accesului public la documente oficiale poate fi luat în considerare în aplicarea GDPR și că datele personale din documente deținute de o autoritate publică pot fi divulgate dacă divulgarea este prevăzută de dreptul Uniunii sau al statului membru, cu condiția ca aceste reguli să reconcilieze accesul public cu dreptul la protecția datelor, iar această idee este întărită și prin dispoziția privind prelucrarea și accesul public la documente oficiale, unde accentul cade exact pe reconcilierea dintre interesul public al accesului și protecția datelor (European Parliament and Council of the European Union, 2016, recital 154; art. 86).  Din perspectiva mea, aici se află „zona de maturitate” a transparenței instituționale, pentru că instituțiile nu mai pot folosi GDPR ca o scuză universală pentru refuz și nici nu pot folosi transparența ca pretext pentru publicări nefiltrate, ci sunt forțate să construiască o practică de echilibru, în care se vede clar ce este justificat să fie public și ce trebuie protejat, plus de ce. Dincolo de norme, ceea ce mă interesează este felul în care transparența ajunge să fie livrată ca experiență de comunicare, iar aici ghidurile WP29 despre transparență sunt foarte pragmatice, insistând pe faptul că informația trebuie să ajungă la persoană într-o formă care chiar poate fi înțeleasă, inclusiv prin abordări stratificate, pentru a evita situația în care „transparența” devine un volum copleșitor care, paradoxal, produce confuzie în loc de claritate (Article 29 Working Party, 2018).  Eu cred că în administrația publică acest lucru are un impact direct asupra calității serviciului public, fiindcă un avizier digital plin de texte standard nu ajută cu nimic dacă cetățeanul nu poate identifica rapid răspunsuri la întrebări simple, precum de ce i se cer anumite date, cât timp sunt păstrate, cui pot fi transmise și cum își poate exercita drepturile, iar această „simplitate explicativă” este, de fapt, o formă de respect instituțional. În literatura despre politici de transparență, Fung, Graham și Weil atrag atenția că multe regimuri de divulgare ajung să producă informație incompletă, greu de înțeles sau irelevantă pentru cei cărora li se adresează, ceea ce înseamnă că transparența poate eșua nu pentru că lipsește informația, ci pentru că informația este prost proiectată, prost țintită sau ușor de „ocolit” prin formalism (Fung, Graham, & Weil, 2007).  Consider că administrația publică este deosebit de vulnerabilă la această capcană, pentru că are tentația de a scrie pentru audit și control intern, nu pentru înțelegerea cetățeanului, iar în GDPR această slăbiciune devine costisitoare, fiindcă o transparență neutilizabilă nu doar enervează publicul, ci și crește volumul de solicitări, reclamații și neîncredere, adică exact efectele pe care instituția ar fi vrut să le reducă. În același timp, eu îmi amintesc constant că transparența nu este o virtute care trebuie maximizată fără discernământ, iar Heald formulează explicit ideea că poate exista un „nivel optim” de transparență sub maximum, tocmai pentru că apar trade-off-uri legate de costuri, conformitate și riscul de supraexpunere, ceea ce este extrem de relevant când vorbim despre date personale în sectorul public, unde expunerea poate produce efecte disproporționate asupra individului (Heald, 2006).  Din punctul meu de vedere, această perspectivă este un antidot util împotriva extremelor, pentru că mă ajută să susțin o transparență „disciplinată”, în care instituția explică temeiurile, scopurile, fluxurile și responsabilitățile, dar nu transformă fiecare document într-un obiect de publicare fără filtrare, mai ales acolo unde datele personale pot fi re-identificate ușor în comunități mici sau în contexte administrative sensibile. Când încerc să pun cap la cap comunicarea instituțională și conformitatea, îmi este greu să ignor dimensiunea de răspundere publică, iar Bovens definește accountability-ul ca o relație între un actor și un „forum” în care actorul are obligația să explice și să justifice conduita, iar forumul poate pune întrebări, poate evalua și poate genera consecințe, ceea ce, în sectorul public, descrie aproape perfect relația dintre instituție și cetățean atunci când transparența devine funcțională (Bovens, 2007).  Eu aș completa spunând că GDPR operationalizează această relație prin cerințe de informare și prin drepturi exercitabile, astfel încât „forum-ul” nu mai este doar opinia publică în general, ci persoana vizată în mod concret, care poate cere explicații, poate cere acces și poate solicita corecții, iar instituția este obligată să răspundă coerent, nu doar să invoce proceduri. În final, eu leg această discuție de miza încrederii, pentru că transparența instituțională nu este doar o tehnică de conformitate, ci o condiție socială pentru legitimitate, iar OECD arată că încrederea în guvern este influențată de competență și de valori, adică de capacitatea instituției de a livra rezultate și de a arăta că deciziile sunt luate într-un cadru etic și orientat spre interes public (OECD, 2017) . Consider că transparența GDPR, atunci când este făcută bine, devine un semnal dublu: pe de o parte arată competență administrativă, prin evidențe, fluxuri și răspunsuri clare, iar pe de altă parte arată valori, prin faptul că instituția tratează cetățeanul ca subiect de drepturi și nu ca simplu „dosar”, iar tocmai această combinație, repetată consecvent în interacțiunile de rutină, este cea care poate reconstrui încrederea mai eficient decât orice campanie de comunicare cu titluri frumoase.

Cum arată transparența funcțională într-o instituție

    Când vorbesc despre transparență „funcțională”, eu nu mă gândesc la un text frumos pe site, ci la faptul că instituția poate răspunde coerent și rapid la întrebările care contează cu adevărat pentru persoana vizată, adică ce date se prelucrează, de ce, pe ce temei, cât timp se păstrează, cine le vede și ce opțiuni reale are cetățeanul, iar în punctul acesta îmi devine clar că transparența este mai întâi o problemă de organizare internă și abia apoi o problemă de comunicare externă. GDPR cere ca operatorul să furnizeze informațiile și comunicările către persoana vizată într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu, ceea ce înseamnă că instituția nu are voie să se ascundă nici în spatele jargonului, nici în spatele unui volum de text care „acoperă” tot, dar explică prea puțin (European Parliament and Council of the European Union, 2016, art. 12). Din perspectiva mea, articolul acesta e ca un test de sinceritate administrativă: dacă nu pot explica limpede, de regulă înseamnă fie că nu știu suficient de bine ce fac, fie că mi-e teamă să spun clar ce fac, iar ambele variante sunt exact opusul transparenței. Prima piesă grea a implementării, și una pe care o consider aproape inevitabilă, este cartografierea prelucrărilor și menținerea unei evidențe reale, fiindcă fără o imagine internă clară instituția ajunge să comunice „din memorie” sau „din tradiție”, iar transparența devine o improvizație. GDPR obligă operatorul să mențină o evidență a activităților de prelucrare care include elemente esențiale precum scopurile, categoriile de persoane vizate și de date, destinatarii, termenele de stocare și, unde este posibil, o descriere generală a măsurilor de securitate (European Parliament and Council of the European Union, 2016, art. 30). Personal, eu văd Registrul ca pe un fel de „hartă a instituției văzută prin date”, iar dacă harta lipsește, transparența rămâne un discurs, nu o capacitate, pentru că nu poți explica responsabil ceea ce nu ai inventariat responsabil. A doua piesă, care mie mi se pare că face diferența între o instituție modernă și una care doar se conformează, este ideea de „proiectare” a transparenței încă din arhitectura proceselor, nu ca un adaos de final. EDPB, în ghidurile sale despre protecția datelor prin proiectare și implicit, insistă că obligația din art. 25 GDPR cere implementarea efectivă a principiilor și a garanțiilor în însăși conceperea operațiunilor de prelucrare, prin măsuri tehnice și organizaționale adecvate, ceea ce practic înseamnă că transparența nu este un document separat, ci o proprietate a sistemului (European Data Protection Board, 2020). Consider că aici este locul în care instituțiile pot câștiga enorm, pentru că dacă proiectezi formularele, fluxurile interne și interfețele digitale astfel încât să colectezi doar ce trebuie, să explici clar de ce ceri și să păstrezi datele cât trebuie, atunci transparența nu mai depinde de eroismul unui singur om, ci devine un reflex structural al organizației. A treia piesă este felul concret în care instituția „ambalează” informația pentru cetățean, fiindcă eu am observat că instituțiile pot avea intenții bune, dar să le anuleze prin modul în care scriu, adică prin acea combinație clasică de fraze lungi, termeni neexplicați și paragrafe care par a fi redactate mai mult pentru audit decât pentru oameni. WP29, în ghidurile privind transparența, recomandă explicit o abordare care să facă informația ușor de parcurs și de înțeles, inclusiv prin prezentare stratificată, astfel încât persoana să poată prinde rapid esențialul și să aprofundeze ulterior detaliile, fără să fie „înecată” de text (Article 29 Working Party, 2018). Din perspectiva mea, abordarea stratificată este soluția elegantă la două probleme simultane: cerința de completitudine juridică și nevoia de înțelegere umană, iar când funcționează bine, instituția nu mai pare că vorbește singură, ci că vorbește cu cetățeanul. A patra piesă, și probabil cea mai „vizibilă” în interacțiunea directă cu publicul, este mecanismul intern pentru cererile persoanelor vizate, pentru că aici transparența este testată în condiții reale, adică sub presiune, cu termene, cu excepții și cu situații neclare. EDPB, în ghidurile despre dreptul de acces, subliniază că accesul este un element central al sistemului de protecție a datelor și clarifică modalități de implementare, inclusiv faptul că răspunsul trebuie să acopere conținutul dreptului din art. 15 și să fie furnizat în condiții care fac dreptul efectiv, nu pur formal (European Data Protection Board, 2023). Eu consider că o instituție transparentă este una care poate răspunde la cereri fără să pară surprinsă de propriile date, iar asta se obține prin proceduri clare, roluri definite, evidențe curate și o disciplină a termenelor, nu prin „descurcăreală” de la un caz la altul. În fine, eu cred că transparența operațională nu poate fi separată de securitate și de managementul incidentelor, pentru că încrederea publică se construiește greu și se pierde repede, iar o breșă prost gestionată poate distruge într-o săptămână ceea ce o instituție a construit în ani. GDPR leagă protecția datelor de măsuri tehnice și organizaționale adecvate și stabilește obligații de notificare a încălcărilor de securitate în anumite condiții, ceea ce înseamnă că transparența include și capacitatea de a comunica responsabil atunci când lucrurile merg prost, nu doar atunci când merg bine (European Parliament and Council of the European Union, 2016, art. 32–34). Din punctul meu de vedere, maturitatea instituțională se vede exact aici: nu în faptul că „nu se întâmplă nimic”, ci în faptul că, atunci când se întâmplă, instituția știe ce are de făcut, cui raportează, ce comunică și cum limitează impactul fără să ascundă realitatea de cei afectați.

 Când transparența întâlnește confidențialitatea

    Când ajung la ideea de „limită” în transparență, îmi place să pornesc de la observația lui Heald, care tratează transparența ca pe o valoare instrumentală și sugerează că, în practică, poate exista un nivel optim al transparenței care este mai mic decât transparența maximă, tocmai pentru că apar costuri, riscuri și efecte secundare ale supraexpunerii. (Heald, 2006).  Din perspectiva mea, această idee este extraordinar de utilă în administrația publică, fiindcă mă ajută să spun fără vină că „mai mult” nu este automat „mai bine”, iar o instituție care publică tot, oricând și oricum poate ajunge să fie transparentă doar în sensul în care un geam fără perdea este „transparent”, adică îi expune pe cei dinăuntru exact atunci când ar trebui, de fapt, să îi protejeze. Regulamentul însuși recunoaște explicit că principiul accesului public la documente oficiale trebuie reconciliat cu protecția datelor, iar acest lucru apare atât în dispoziția despre prelucrare și acces public la documente oficiale, cât și în considerentul care spune că divulgarea de date personale din documente oficiale poate fi posibilă dacă este prevăzută de dreptul Uniunii sau al statului membru și dacă există o reconciliere între accesul public și dreptul la protecția datelor. (European Parliament and Council of the European Union, 2016, art. 86; recital 154). Personal, eu văd aici o regulă de bun-simț juridic pe care administrația o poate transforma în rutină sănătoasă: transparența instituției trebuie să clarifice acțiunea instituției, nu să transforme persoana în „material publicabil”, fiindcă altfel ne trezim că instituția este deschisă, dar cetățeanul rămâne vulnerabil. În plan teoretic, Nissenbaum explică prin teoria „contextual integrity” că ceea ce numim încălcări ale vieții private nu țin neapărat de faptul că informația circulă, ci de faptul că informația circulă inadecvat față de normele contextului, adică fluxurile de informație devin problematice atunci când sunt deplasate din contextul lor legitim și distribuite într-un mod care rupe așteptările sociale și regulile acelui context. (Nissenbaum, 2004).  Consider că această perspectivă este aproape „perfectă” pentru sectorul public, pentru că îmi arată de ce o instituție poate avea intenția de transparență, dar să producă o nedreptate atunci când mută datele personale din contextul administrativ al soluționării unui dosar în contextul public al vizibilității generale, unde aceleași date capătă un cu totul alt potențial de stigmatizare sau de folosire abuzivă. În plus, GDPR mă obligă să fiu realist cu privire la identifiabilitate, pentru că în considerentul despre date anonime se spune că, atunci când evaluăm dacă o persoană este identificabilă, trebuie să ținem cont de toate mijloacele „în mod rezonabil” susceptibile de a fi folosite pentru identificare, inclusiv prin „singling out”, fie de operator, fie de altcineva, ceea ce înseamnă că anonimizarea nu este o etichetă pusă pe un document, ci o evaluare serioasă a riscului de re-identificare. (European Parliament and Council of the European Union, 2016, recital 26). Din punctul meu de vedere, acesta este motivul pentru care „publicăm, dar anonimizăm” nu trebuie să fie o frază spusă automat, mai ales în comunități mici sau în situații foarte particulare, fiindcă uneori anonimizarea formală nu împiedică deloc recunoașterea, iar transparența ajunge să fie, fără intenție, o expunere previzibilă. În aceeași linie pragmatică, ICO subliniază că eficiența anonimizării trebuie re-evaluată atunci când apar noi seturi de date, noi vulnerabilități sau noi destinatari, pentru că riscul de identificare se poate modifica în timp, mai ales prin combinarea cu alte informații disponibile. (Information Commissioner’s Office, 2025). Personal, consider că acesta este un argument foarte puternic pentru disciplina internă: nu este suficient să „anonimizezi o dată” și să presupui că ai rezolvat problema pentru totdeauna, fiindcă ecosistemul informațional se schimbă, iar transparența publică, odată făcută, este foarte greu de „retras” din realitatea digitală. Când instituția nu poate sau nu trebuie să facă public anumite date, intră în scenă instrumente de reducere a riscurilor, iar EDPB explică în ghidurile despre pseudonimizare că aceasta este o măsură relevantă care poate sprijini protecția datelor prin proiectare și implicit și poate contribui la securitate, dar subliniază totodată că pseudonimizarea trebuie completată cu alte măsuri și că datele pseudonimizate rămân, de regulă, date cu caracter personal. (European Data Protection Board, 2025). Din perspectiva mea, acesta este un punct care merită spus foarte clar, ca să nu ne păcălim singuri: pseudonimizarea ajută mult, dar nu „dezactivează” GDPR și nu transformă transparența într-o zonă fără riscuri, ci este un instrument de echilibru care trebuie folosit împreună cu reguli de acces, logare, control al destinatarilor și o evaluare serioasă a re-identificării. În mod util, Solove propune o taxonomie a problemelor de viață privată care arată cât de diverse pot fi prejudiciile, de la colectare și procesare până la diseminare și invazie, ceea ce ajută enorm pentru că îmi permite să înțeleg că „daunele” nu apar doar din furtul de date, ci și din divulgări excesive sau nepotrivite, chiar și atunci când intenția inițială era una legitimă. (Solove, 2006). Eu aș completa spunând că, în administrația publică, tentația de a confunda transparența cu diseminarea este mare, iar taxonomia lui Solove mă ajută să explic de ce o publicare neatentă poate produce efecte foarte reale asupra persoanei, de la etichetare socială până la pierderea controlului asupra propriei povești, chiar dacă instituția credea că „doar informează”. O altă zonă în care limita transparenței devine delicată este comunicarea incidentelor, iar EDPB, în ghidurile sale despre notificarea încălcărilor de securitate, insistă pe necesitatea detectării, gestionării și raportării într-un timp adecvat și clarifică responsabilitățile și logica obligațiilor din articolele 33 și 34, ceea ce arată că transparența aici nu este un reflex de PR, ci o obligație structurată pe risc și pe protecția persoanelor afectate. (European Data Protection Board, 2023). Personal, mi se pare esențial să nu transformăm nici această transparență într-un spectacol, pentru că ideea nu este să „anunți dramatic” că s-a întâmplat ceva, ci să comunici responsabil, suficient cât să permită protecția persoanei vizate, dar fără să oferi detalii care ar amplifica riscul, iar această diferență dintre informare utilă și expunere inutilă este, în practică, semnul unei instituții mature. În final, eu îmi formulez pentru capitolul acesta o concluzie simplă, dar dificil de aplicat consecvent: transparența instituțională compatibilă cu GDPR nu este transparența maximă, ci transparența potrivită, adică aceea care face acțiunea instituției inteligibilă și verificabilă, dar care gestionează cu luciditate riscul de identificare, de re-identificare, de stigmatizare și de amplificare a prejudiciilor, iar dacă această idee devine cultură organizațională, atunci instituția încetează să oscileze între „nu putem spune nimic din cauza GDPR” și „spunem tot ca să fim transparenți”, și începe să opereze într-o zonă mult mai matură, în care transparența este precisă, contextuală și, mai ales, responsabilă.

Evaluare și bune practici, adică momentul în care transparența încetează să fie o intenție și devine o probă

    Când încerc să evaluez transparența instituțională în cheia GDPR, eu ajung inevitabil la ideea că nu pot vorbi serios despre transparență fără să vorbesc despre responsabilitate demonstrabilă, fiindcă GDPR nu cere doar „să faci”, ci să poți arăta, coerent și verificabil, că ai făcut, iar această trecere de la declarație la demonstrație este, în mod paradoxal, partea cea mai grea pentru instituții, pentru că implică evidențe, proceduri, trasabilitate și consecvență, nu doar texte bine redactate. Potrivit GDPR, operatorul este responsabil și trebuie să poată demonstra respectarea principiilor, iar această idee este completată de obligația de a implementa măsuri tehnice și organizatorice adecvate și de a le revizui atunci când este necesar, ceea ce transformă evaluarea transparenței într-un exercițiu de guvernanță internă, nu într-un simplu exercițiu de comunicare externă (European Parliament and Council of the European Union, 2016, art. 5(2); art. 24). Consider că aici este „șmecheria” bună a GDPR, în sensul elegant, fiindcă te obligă să nu te mai ascunzi nici după bune intenții, nici după tradiția instituțională, ci să îți construiești transparența ca pe o capacitate repetabilă, pe care o poți dovedi cu același calm cu care dovedești că ai o procedură de registratură. Când cobor evaluarea în concret, primul lucru pe care îl verific, cel puțin mental, este dacă instituția chiar respectă principiul transparenței așa cum îl descrie Regulamentul, adică informațiile adresate persoanei vizate și publicului să fie concise, ușor accesibile și ușor de înțeles, în limbaj clar, și, unde e cazul, chiar sprijinite prin elemente vizuale, fiindcă altfel ajungem în situația comică în care „transparența” este atât de lungă și atât de tehnică încât devine, practic, un nou tip de opacitate. GDPR formulează explicit această cerință în considerentele sale, ceea ce înseamnă că evaluarea transparenței nu poate evita întrebări aparent banale, dar decisive, precum dacă un cetățean obișnuit poate înțelege rapid ce date se cer, de ce se cer și ce opțiuni reale are (European Parliament and Council of the European Union, 2016, recital 58).  Din perspectiva mea, acesta este unul dintre acele locuri unde instituțiile își pierd puncte fără să își dea seama, pentru că ele confundă deseori „corect juridic” cu „inteligibil uman”, iar cetățeanul, dacă nu înțelege, nu va spune „felicitări pentru conformitate”, ci va spune, mai simplu, „nu am înțeles nimic, sigur e ceva ascuns”. În mod foarte practic, WP29, în ghidurile sale despre transparență, explică ideea că informarea eficientă nu este despre a arunca toate informațiile într-un singur bloc, ci despre a le structura și livra în așa fel încât persoana să prindă esențialul imediat și să aibă apoi acces la detalii, inclusiv prin abordarea stratificată și prin atenție la accesibilitate, momentul informării și coerența mesajului, iar eu consider că aici se află o bună parte din „metodologia” evaluării: dacă instituția nu poate arăta că informațiile sunt ușor de găsit, ușor de parcurs și consecvente între canale, atunci transparența este, cel mult, accidentală (Article 29 Working Party, 2018). Personal, aș completa spunând că transparența stratificată este un fel de compromis civilizat între jurist și cetățean, pentru că juristul primește completitudinea, iar cetățeanul primește claritatea, și abia când le ai pe ambele poți spune că ai transparență, nu doar documentație. Apoi vine partea care, în administrația publică, face de obicei diferența dintre „avem GDPR” și „funcționăm GDPR”, anume modul în care sunt gestionate cererile persoanelor vizate, pentru că aici transparența nu mai e un text de site, ci o interacțiune cu termen, cu format, cu identificare, cu excepții și cu riscul de a răspunde fie prea puțin, fie prea mult și neinteligibil. EDPB, în ghidurile sale despre dreptul de acces, insistă că accesul este un drept fundamental și clarifică tocmai componentele lui și modul în care ar trebui implementat, ceea ce, pentru evaluare, îmi dă o grilă foarte clară: dacă instituția poate confirma prelucrarea, poate furniza datele într-o formă inteligibilă și poate oferi informațiile cerute de Regulament într-un mod efectiv (European Data Protection Board, 2023). Din perspectiva mea, dacă vrei un indicator simplu, dar brutal de onest, te uiți la experiența reală a unui cetățean care cere acces: dacă instituția se blochează, amână, răspunde vag sau oferă un răspuns care pare mai mult o eschivă decât o explicație, atunci transparența este, practic, nefuncțională. Și fiindcă uneori instituțiile au nevoie și de un „duș rece” organizat, nu doar de principii, mi se pare relevant că EDPB a publicat un raport de acțiune coordonată de aplicare axat pe implementarea dreptului de acces, care arată, pe baza constatărilor autorităților, unde apar dificultățile și ce tipuri de deficiențe sunt recurente, ceea ce este util tocmai pentru evaluare comparativă și pentru prioritizarea îmbunătățirilor, în sensul în care nu te mai bazezi doar pe impresii interne, ci pe tipare observate în practică (European Data Protection Board, 2025). Consider că astfel de rapoarte sunt extrem de valoroase pentru administrația publică, fiindcă scot transparența din zona „ne place să credem că suntem bine” și o duc în zona „iată unde se greșește frecvent, iată ce trebuie întărit procedural”, iar asta înseamnă, de fapt, profesionalizare. În același timp, eu cred că bunele practici nu pot rămâne doar la nivel de răspuns la cereri, pentru că transparența pe termen lung se obține atunci când este proiectată în sistem, iar EDPB, în ghidurile despre protecția datelor prin proiectare și implicit, insistă pe ideea de eficacitate a măsurilor tehnice și organizatorice prin care principiile GDPR, inclusiv transparența, devin realitate operațională, ceea ce mută discuția spre întrebarea dacă instituția își construiește fluxurile astfel încât transparența să fie rezultatul natural al procesului și nu o improvizație de final (European Data Protection Board, 2020). Din perspectiva mea, aceasta este zona în care instituțiile câștigă cel mai mult dacă investesc inteligent: când transparența e „by design”, ea devine mai ieftină, mai consistentă și mai puțin dependentă de cine e de serviciu în ziua respectivă. Dacă vreau să traduc toate aceste exigențe într-o logică de îmbunătățire continuă, fără să reinventez roata, mie mi se pare relevantă abordarea standardelor de management, iar ISO explică faptul că ISO/IEC 27701 este un standard care stabilește cerințe și oferă ghidaj pentru un sistem de management al informațiilor de confidențialitate, ca extensie pentru ISO/IEC 27001 și 27002, ceea ce, în practică, înseamnă o structură de guvernanță care te ajută să planifici, implementezi, verifici și îmbunătățești continuu controalele legate de date personale (International Organization for Standardization, 2019). Personal, consider că pentru instituțiile publice un astfel de cadru este util nu pentru „diplome”, ci pentru disciplină, pentru că transparența are nevoie de rutină și verificare periodică, iar standardele de management sunt, în fond, o metodă de a nu lăsa lucrurile să depindă de entuziasmul temporar al unei echipe. În fine, eu includ în evaluarea transparenței și modul în care instituția comunică atunci când apar probleme, fiindcă transparența reală nu se vede doar în vremuri liniștite, ci mai ales când există incidente, iar EDPB, în ghidurile sale cu exemple privind notificarea încălcărilor de securitate, arată cum ar trebui gândită comunicarea și reacția la breșe, tocmai pentru a proteja persoanele vizate și pentru a evita haosul comunicational care poate amplifica impactul (European Data Protection Board, 2022).  Din perspectiva mea, instituția matură este cea care poate comunica onest și util fără să devină alarmistă și fără să ascundă, iar această capacitate este o piesă importantă din „capitalul de încredere” pe care transparența îl construiește în timp. Dacă ar fi să închid capitolul acesta într-o idee pe care eu o consider esențială, aș spune că evaluarea transparenței instituționale în GDPR nu este o vânătoare de documente, ci o verificare a funcționării reale, în care principiile se văd în evidențe, în timpi de răspuns, în claritatea comunicării și în capacitatea de a demonstra consecvența, iar bunele practici nu sunt cele mai „frumoase” texte publicate, ci acele mecanisme care fac ca transparența să fie previzibilă, repetabilă și rezistentă la stres, adică exact genul de transparență care, încet și sigur, transformă relația instituție–cetățean din suspiciune în cooperare.

Bibliografie

1. Article 29 Working Party. (2018, 11 aprilie). Guidelines on transparency under Regulation 2016/679 (WP260 rev.01). European Data Protection Board. Accesat la 26 decembrie 2025, de la https://www.edpb.europa.eu/our-work-tools/our-documents/article-29-working-party-guidelines-transparency-under-regulation_en
2. Article 29 Working Party. (2018, 22 august). Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (WP251 rev.01). European Commission – Newsroom (Article 29). Accesat la 26 decembrie 2025, de la https://ec.europa.eu/newsroom/article29/items/612053/en
3. Article 29 Working Party. (2018, 20 august). Guidelines on Personal data breach notification under Regulation 2016/679 (WP250 rev.01). European Commission – Newsroom (Article 29). Accesat la 26 decembrie 2025, de la https://ec.europa.eu/newsroom/article29/items/612052/en
4. Bovens, M. (2007). Analysing and assessing accountability: A conceptual framework. European Law Journal, 13(4), 447–468. https://doi.org/10.1111/j.1468-0386.2007.00378.x (Accesat la 26 decembrie 2025, de la https://onlinelibrary.wiley.com/doi/abs/10.1111/j.1468-0386.2007.00378.x)
5. Court of Justice of the European Union. (2023, 4 mai). Judgment of the Court (First Chamber) in Case C-487/21, F.F. v Österreichische Datenschutzbehörde and CRIF GmbH (ECLI:EU:C:2023:369). EUR-Lex. Accesat la 26 decembrie 2025, de la https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A62021CJ0487
6. European Data Protection Board. (2020, 20 octombrie). Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version 2.0). Accesat la 26 decembrie 2025, de la https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en
7. European Data Protection Board. (2023, 17 aprilie). Guidelines 01/2022 on data subject rights – Right of access (Version 2.1). Accesat la 26 decembrie 2025, de la https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en
8. European Data Protection Board. (2023, 4 aprilie). Guidelines 9/2022 on personal data breach notification under GDPR (Version 2.0). Accesat la 26 decembrie 2025, de la https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en
9. European Data Protection Board. (2025, 20 ianuarie). Coordinated Enforcement Action, implementation of the right of access by controllers – Report. Accesat la 26 decembrie 2025, de la https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-implementation-right-access_en
10. European Data Protection Board. (2025, 16 ianuarie). Guidelines 01/2025 on Pseudonymisation (Version 1.0). Accesat la 26 decembrie 2025, de la https://www.edpb.europa.eu/system/files/2025-01/edpb_guidelines_202501_pseudonymisation_en.pdf
11. European Parliament and Council of the European Union. (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). EUR-Lex. Accesat la 26 decembrie 2025, de la https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
12. Fung, A., Graham, M., & Weil, D. (2007). Full disclosure: The perils and promise of transparency. Cambridge University Press. Accesat la 26 decembrie 2025, de la https://www.cambridge.org/core/books/full-disclosure/9B7CB449268A9F314347062EAC6D6248
13. Heald, D. (2006). Transparency as an instrumental value. In C. Hood & D. Heald (Eds.), Transparency: The key to better governance? (Proceedings of the British Academy, Vol. 135). Oxford University Press. Accesat la 26 decembrie 2025, de la https://www.davidheald.com/publications/healdinstrumentalvalue.pdf
14. Information Commissioner’s Office. (2025, 28 martie). Anonymisation: About this guidance. ICO. Accesat la 26 decembrie 2025, de la https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/anonymisation/about-this-guidance/
15. International Organization for Standardization. (2019). ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines. ISO. Accesat la 26 decembrie 2025, de la https://www.iso.org/standard/71670.html
16. Nissenbaum, H. (2004). Privacy as contextual integrity. Washington Law Review, 79(1), 119–158. Accesat la 26 decembrie 2025, de la https://digitalcommons.law.uw.edu/wlr/vol79/iss1/10/
17. OECD. (2017). Trust and public policy: How better governance can help rebuild public trust. OECD Publishing. Accesat la 26 decembrie 2025, de la https://www.oecd.org/content/dam/oecd/en/publications/reports/2017/03/trust-and-public-policy_g1g74ea6/9789264268920-en.pdf
18. Solove, D. J. (2006). A taxonomy of privacy. University of Pennsylvania Law Review, 154(3), 477–560. Accesat la 26 decembrie 2025, de la https://scholarship.law.upenn.edu/penn_law_review/vol154/iss3/1/