Tenim deures: llei de protecció de dades
Sense cap mena de dubte, el RGPD-UE 2016/679 -Règim General de Protecció de Dades, normativa europea, ha establert un nou estàndard per a les lleis de protecció de dades personals; i la resta de països han anat prenent nota. Ja fa dies que assessoro alguns andorrans sobre la nova llei en matèria de protecció de dades i són moltes les seves preguntes al respecte, així com dubtes davant la seva imminent adequació. Tanmateix, jo, consultora experta en protecció de dades i DPD, implantant normativa RGPD i Lopdgdd (normativa europea i espanyola) amb més de 10 anys d’experiència i dedicació exclusiva en la matèria, també en tinc…
La LQPD 29/2021, deixa al descobert molts punts que sense cap dubte necessiten d’acotació. Aquests esdevindran en forma d’un reglament de desplegament de la nova llei, que acabarà de concretar les obligacions dels responsables de tractament. L’Agència andorrana de protecció de dades (APDA), com a màxima autoritat de control en la matèria, anirà ampliant la informació i acotant aquests punts per tal d’acompanyar als responsables de tractament i així en tot moment, portar a terme una bona adequació en la normativa; per tal de garantir la protecció de les dades que tracten.
El passat mes de novembre, es va publicar la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD); aquesta entrarà en vigor el proper mes de maig del 2022, derogant la llei anterior i és d’obligat compliment per a tots aquells que tractin dades de caràcter personal: autònoms, empreses, associacions, col·legis, federacions, fundacions, administració públiques, etc.
Aquest nou text normatiu, té per objecte actualitzar-se i no fa més que acollir-se a la normativa europea RGPD UE-2016/679 -Reglament General de Protecció de Dades, en vigor als nostres països veïns des del passat 2018.
Aquesta nova normativa comporta un augment pel que fa a les obligacions i responsabilitats dels responsables de tractament de dades, les quals no tenen res a veure amb l’anterior Llei 15/2003, que fins aleshores regia a Andorra. Així doncs, qualsevol autònom i empresa haurà d’adaptar-se a questa nova Llei 29/2021, independentment de la seva mida.
Aquesta nova llei suposarà un canvi molt importat respecte a la protecció de dades i el tractament que en poden fer les empreses en relació amb les dades dels seus clients, proveïdors i empleats. S’incorporen nous drets pels ciutadants, però també més obligacions per a les empreses. Per exemple, a més a més dels ja coneguts drets ARSO (dret d’accés, rectificació, supressió i oposició), s’introdueixen el dret a la limitació del tractament i dret a la portabilitat de les seves dades.
També apareixen noves categories de dades especials, com les dades genètiques i les biomètriques. El fet de tenir un sistema d’identificació per impremta dactilar o un sistema de control per geolocalització fa necessari incloure aquests com a dades d’especial protecció; i com a tals, requereixen unes actuacions afegides d’especial protecció al respecte.
El canvi fonamental, pel que fa a la nova normativa, és el principi de responsabilitat proactiva; aquest, implica que l’empresa ha de demostrar, en tot moment, que compleix amb la normativa i ha portat a terme totes les mesures necessàries per protegir les dades que tracta, per tal d’evitar qualsevol ús innecessari.
I això és molt important, ja que no és com amb l’antiga llei que donàvem d’alta uns fitxers a l’agència (això en el cas de que ho féssim) i ens n’oblidàvem. Ara, en tot moment i de manera permanent, l’empresa ha d’estar a raó de la normativa per tal de poder demostrar, en qualsevol moment que se li requereixi per part de l’agència (APDA), el seu compliment amb la mateixa.
Això vol dir que ha de portar un seguiment permanent, actualitzat i constant del tractament de dades les quals gestiona, siguin automatitzades com no automatitzades de clients, encarregats de tractament i empleats.
Principals canvis:
1. Consentiment: ja no ens val el consentiment tàcit dels usuaris, interessats o afectats. Ara és necessari tenir el consentiment lliure, explícit , informat i inequívoc, recollit mitjançant una declaració o acció clara i demostrable. És a dir, redactant les clàusules legals informatives. Pel que fa a les dades de menors de 16 anys, hi ha un requisit addicional de consentiment o autorització del tutor o responsabilitat parental. Els majors de 16 anys, poden donar el consentiment per ells mateixos, sempre que sigui adequat per la seva edat i en un llenguatge fàcil. Així doncs, serà necessari actualitzar la redacció d’avisos del tractament de les dades i adequar-lo als nous requisits que marca la normativa, tant a qualsevol mitjà electrònic de comunicació, pàgines web, etc., com a mitjans no automatitzats.
2. RAT-Registre Alta Tractaments: aquest registre és tan sols una clara obligació per part dels responsables de tractament de portar a terme una responsabilitat activa en matèria de protecció de dades. És un element per acreditar la seva adaptació i actuació conforme la normativa en vigor. Aquest registre, ha d’estar sempre a disposició de l’Agència andorrana de Protecció de Dades (màxima autoritat de control) que en qualsevol moment ho pot sol·licitar a les empreses a partir de 50 treballadors.
3. Avaluació d’impacte: no és més que una anàlisi dels riscos que un tractament de dades pot ocasionar als drets i llibertats de les persones. Aquests riscos poden ser qualsevol dany moral, de reputació, robatori de identitat, discriminació. A partir de l’avaluació d’impacte realitzada, s’implantaran els controls i mesures necessàries per tal d’evitar-los. El responsable del tractament de les dades és qui té la responsabilitat d’executar-la; amb el suport del consultor en protecció de dades o el DPD-Delegat de Protecció de Dades.
4. Contracte d’encarregat de tractament de dades i cessió de dades: és d’obligat compliment redactar un contracte entre el responsable del tractament de les dades i l’encarregat del tractament. Aquest no és més que la garantia que les dades que cedim, a raó de l’execució d’uns serveis contractats, seran tractades únicament pe la finalitat per la qual han estat cedides i que es tractaran sempre amb les garanties del compliment de la normativa en vigor. És a dir, tot empresari ha de redactar aquest contracte a aquells proveïdors de serveis els quals, per tal de poder desenvolupar-li el servei contractat, ha de cedir-li dades dels seus clients, proveïdors o empleats. Com per exemple: gestories-assessories, consultories, serveis informàtics, videovigilància, assegurances, empreses de riscos laborals, etc.
5. DPD-Delegat de Protecció de Dades: aquesta és una nova figura que apareix amb el RGPD, normativa europea; i que, com a tal, ha integrat també la normativa andorrana. La seva denominació pot ser per obligació normativa o per voluntat de la pròpia entitat. El DPD-Delegat de Protecció de Dades, és una figura experta en el dret normatiu de protecció de dades. La seva principal funció és vetllar i garantir en tot moment pel compliment en matèria de protecció de dades, supervisant que les mesures implantades tant a nivell jurídic, tècnic i organitzatiu es portin a terme. A més a més, les seves funcions són també les d’informar i assessorar al responsable o a l’encarregat del tractament i als empleats que tinguin accés a dades; de les obligacions que marca la Llei 29/2021. Formar-los i conscienciar-los en el tractament de les dades les quals tenen accés a raó del seu lloc de treball. És també, el punt de contacte en relació amb l’Autoritat de control, amb la qual ha de col.laborar i cooperar en tot moment.
6. Transferències internacionals de dades: és molt important posar especial importància a les transferències internacionals de dades. No es poden efectuar comunicacions de dades a països de destí els quals no ofereixen garanties de protecció i seguretat com a mínim com aquesta Llei 29/2021. S’entén que tenen un nivell de protecció adeqüat els Estats membres de la UE. Moltes empreses guarden dades al Cloud; sense saber fefaentment si aquestes es guarden en països de la UE. El mateix passa amb aplicacions com WhatsApp, Facebook o Instagram; plataformes les quals trasnfereixen dades automàticament a altres plataformes i on la transferència i seguretat de les dades esdevé claramanet un problema.
Així doncs, només ens cal fer els deures com a país i adaptar-nos a aquesta nova normativa Llei 29/2021, del 28 d’Octubre, qualificada de protecció de dades personals; i esdevenir un país amb garant pel que fa a la protecció de les nostres dades.