L'Agència Andorrana de Protecció de Dades (APDA) ha emès una amonestació contra el Govern d'Andorra per incomplir la Llei 29/01 del 28 d'octubre, qualificada de protecció de dades personals, ja que no va informar la ciutadania que traspassaria dades personals relatives al certificat digital a l'empresa espanyola AC Camefirma, SA.

El passat dia 5 de gener d'enguany, diversos ciutadans van notificar a l'APDA que havien rebut un correu electrònic on se'ls recomanava renovar el certificat digital de l'Entitat de Certificació de l'Administració Pública Andorrana, emès pel Govern. Aquest estava redactat en castellà i anava signat per la societat mercantil espanyola AC Camerfirma SA, i això va ser el  que va fer desconfiar als denunciants. A més, van explicar que es preguntaven d'on, l'empresa espanyola, havia obtingut les adreces electròniques, ja que no es mencionava enlloc la relació entre l'empresa i l'Executiu. Cal destacar que la prestació dels serveis de dades ha d’estar regulada en un contracte escrit que permeti acreditar-ne la concertació i el contingut  i només s’ha de tractar les dades d’acord amb les instruccions del responsable del tractament i no les pot aplicar ni utilitzar amb una finalitat diferent de la que figura al contracte.

Després de la pràctica de diligències d'investigació i de les al·legacions fetes pel Govern, l'APDA va considerar que en les sol·licituds de certificat digital tramitades fins al 31 de desembre de l'any passat s'havia vulnerat el dret a la protecció de dades, ja que no s'informava de l'existència d'un traspàs d'informació a l'estranger. Govern per altra banda, va reconèixer que l'enviament de correus electrònics per part de l'empresa espanyola no "tenia cap mena de justificació", ja que el contracte no contemplava que l'empresa es posés en contacte amb les persones interessades. A més, va informar que la relació contractual entre les dues parts ja no existeix, i no és susceptible de produir noves vulneracions de la normativa en el futur.

Així doncs, l'APDA va obrir un expedient administratiu contra el Govern, ja que es va considerar que es va vulnerar la normativa andorrana de protecció de dades per no haver informat als ciutadans interessats sobre el tractament de les seves dades, i va proposar procediments i mesures correctives. El 26 d'abril, Govern va presentar un escrit de reposició sobre alguna de les recomanacions que van ser aprovades per l'APDA.

L’Agència però,  va amonestar per haver-se provat l'existència d'infraccions relatives a l'exercici del deure d'informació i suggerir l'adopció de mesures disciplinàries que corresponguin d'acord amb el Codi de l'Administració. A més, va recomanar al Govern l’adopció de les mesures necessàries per a corregir els efectes de la infracció, a més de la nova redacció de les clàusules informatives.

Per la seva part, el portaveu de Govern, Guillem Casal, avui en la roda de premsa posterior al Consell de Ministres ha tractat el tema durant les preguntes dels mitjans de comunicació , i ha explicat que «una empresa subcontractada per Govern per fer certificació digital va enviar un correu sense còpia oculta a la totalitat de persones o usuaris que s’havien certificat a aquesta empresa, i per tant, la companyia que deixava de prestar aquest servei. Vam tenir en compte que segons la directiva europea ho havia de notificar, i ho va fer per correu electrònic. Aquest no estava amb còpia oculta», i a més ha remarcat que «era un error humà, i Govern està sensibilitzat amb la protecció de dades. No va anar més enllà, a més al correu no hi havia informació sensible».