Laura Nieto Advocada, Cases&Lacambra

El fenomen digital ha suposat un canvi de paradigma equiparable a la revolució de l’escriptura, atès que no ha implicat només una evolució respecte a la forma de comunicar-nos, sinó també una transformació en la forma de comprendre el nostre entorn i, alhora, la recerca de la seva lògica.

Així, l’era analògica ha deixat pas al món digital, on la digitalització, la innovació i la transformació digital, conceptes semblants però no sinònims, es tracten com parts d’un mateix repte: la revolució digital. Al mateix temps, aquesta revolució no només representa un repte, sinó també una possibilitat de generació de riquesa. A més, aquesta transmutació cap a l’era digital també ha provocat un canvi en l’experiència del client, tot atenent a la promoció de nous models de negoci que al mateix temps suposen nous reptes i la necessitat d’una millora diària. En qualsevol cas, en aquest context les dades es configuren com un element cabdal.

A tall d’exemple, la tecnologia disruptiva i l’evolució de les TIC (i.e. IoT, IA, algoritmes de decisió, blockchain) ha ocasionat la necessitat d’obtenir, custodiar, processar i classificar les dades (i.e. big data); i que els éssers humans esdevinguin com grans productors i recol·lectors de dades perquè cada aspecte de la nostra vida pot quedar reflectit en bits que viatgen a través d’Internet (i.e. e-mails, compra online, clics, likes, creació de contingut digital, etc).

Però, realment som conscients de les dades que generem o l’empremta que deixem? Aquesta empremta o rastre és l’anomenada empremta digital, que ens defineix i que es pot transformar en un coneixement valuós per crear perfils de comportament (p.e. les cookies).

Aleshores, és necessari entendre els potencials riscos inherents a aquestes noves tendències disruptives i com podem mantenir el control i actuar en cas que es vulneri el dret fonamental a la nostra privacitat. En aquest escenari es perfila la regulació en matèria de protecció de dades on el pilar de la salvaguarda de la privacitat es fonamenta en el consentiment de l’usuari.

Al Principat d’Andorra, el marc jurídic respecte a les dades es sustenta en la Llei qualificada de protecció de dades del 2003. Dita norma continua vigent i va ser objecte de revisió i actualització l’any 2010 amb l’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades (APDA).

D’una banda, la revolució digital i l’obertura del Principat als seus països veïns ha ocasionat la necessitat de modernitzar l’actual marc jurídic andorrà –actualment obsolet– valent-se de la normativa europea en matèria de protecció de dades (Reglament (UE) 2016/679 del Parlament Europeu i el Consell, del 27 d’abril de 2016 (RGPD), relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, la Directiva (UE) 2016/680 del Parlament Europeu i el Consell, igualment del 27 d’abril de 2016).

La comunicació internacional de dades i l’aplicació extraterritorial de la norma europea han estat els punts de fricció més significatius degut a la realitat del país i, alhora, el gran dilema per les empreses andorranes.

L’aplicació extraterritorial del RGPD ha suposat des del 2018 la implementació d’algunes obligacions permetent l’homogeneïtzació tant en el tractament de dades com en els processos d’enforcement (amb especial referència als drets dels usuaris reconeguts pel RGPD) respecte la praxi en la Unió Europea.

D’altra banda, i en el que es refereix a la comunicació internacional de dades, tant Andorra como la UE, preveuen mecanismes per garantir que les dades transmeses gaudeixen d’un nivell de protecció adequat al país de destí.

Fins avui, la Comissió Europea ha considerat Andorra com un destinatari que garanteix un nivell de protecció adequat, d’acord amb la seva Decisió 2010/625/UE, de 19 d’octubre de 2010, recolzada per la subscripció del Principat d’Andorra del Conveni 108 per a la protecció de les persones respecte al tractament de les dades personals.

No obstant això, aquesta decisió té un període de caducitat, i és que el RGPD preveu una revisió de l’avaluació amb una periodicitat d’almenys cada quatre anys, comptadors des del moment de l’entrada en vigor RGPD, el 25 de maig del 2018.

Aleshores, la futura revisió del nivell d’adequació esdevindrà especialment interessant per renovar l’actual règim que provoqui una embranzida a l’actual règim i un impacte positiu en l’APDA per mantenir-se al dia.

En aquest punt, la Proposició de Llei Qualificada de Protecció de Dades Personals ha pres com a model i referent el RGPD, tot amb el propòsit d’ampliar, reforçar i consolidar, d’una manera progressiva, el marc legislatiu vigent en matèria de protecció de dades personals.

A nivell material, si bé l’esperit de la norma no ha variat, sí que s’han introduït modificacions substancials pel que fa als drets de les persones interessades i el tractament de dades per part dels responsables i encarregats del tractament.

Respecte als drets del interessats, aquests han estat profundament modificats per aconseguir que estiguin alineats al marc jurídic europeu. Així, els drets de l’interessat del tractament s’han vist augmentats, des dels elementals drets elementals ARCO (Accés, Rectificació, Cancel·lació/Supressió/Oblit i Oposició –ja reconeguts actualment), amb la inclusió de la garantia dels drets digitals i el dret a la limitació del tractament.

Aquestes dades, moltes vegades són recaptades a través de les cookies, instrument quina pràctica s’ha normalitzat i que resulta a dia d’avui la principal via d’obtenció d’informació per a alimentar la maquinària del big data, que, si bé pot suposar un gran avantatge en la personalització de la publicitat, pot esdevenir en la principal amenaça en el cas d’un ús il·lícit per part dels conglomerats de la informació.

En referència al consentiment de les persones interessades, el nou règim perfila aquest consentiment, establint que ha d’esser lliure, específic, informat i inequívoc i haurà de comptar amb l’acceptació de l’interessat.

A més de l’anterior, el tractament de dades personals per part dels responsables/encarregats del tractament ha estat reglat conforme a les directrius europees. El règim previ d’inscripció de fitxers davant de l’APDA per part de les entitats (que consistia en una mera comunicació prèvia de les dades a tractar per les entitats a l’APDA) ha estat substituït per un registre de les activitats de tractament, amb possibilitat d’auditoria posterior per l’autoritat de control (APDA).

La norma també inclou un règim sancionador que preveu multes de fins a 100.000 euros com a la normativa anterior. Tanmateix, es manté lluny dels llindars de 10 i 20 milions d’euros que preveu la normativa europea.

En aquest escenari, la identificació, l’enteniment i l’adreçament dels nous riscos associats amb la transformació digital ajudaran els negocis a revitalitzar el seu valor en el futur. No obstant, aquest entorn disruptiu també haurà de dotar a l’usuari o interessat de la possibilitat de què sigui ell qui governin les seves dades.

Aquest darrer punt, unit amb els reptes que planteja la identitat digital en el nostre país materialitzada amb la Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica que aplica de forma parcial l’eIDAS i que es troba actualment en revisió ja preveu entre les seves modificacions una abraçada a la disruptivitat i al futur. El futur pertany a l’Homo digitalis que recupera així el control de les seves dades (self-sovereign identity).