L’extraterritorialitat del tractament de dades personals
El passat 5 d’octubre del 2022 es va publicar al Butlletí Oficial del Principal d’Andorra el Decret 391/2022, del 28 de setembre del 2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals. D’acord amb l’exposició de motius, aquest text legal constitueix la base del procés d’adaptació de l’ordenament jurídic andorrà als principis vigents en matèria de protecció de dades en l’àmbit internacional i, especialment, al marc de la Unió Europea, amb el Reglament (UE) 2016/679.
La finalitat del Reglament –andorrà–, seguint amb l’exposició de motius, és establir un règim adaptat a les necessitats i peculiaritats del Principat d’Andorra; però sorprèn algunes incongruències detectades en l’àmbit d’aplicació amb un impacte directe en el tractament de dades personals realitzat per responsables o encarregats domiciliats fora d’Andorra.
El Reglament introdueix –per primer cop a l’ordenament jurídic andorrà– el principi d’extraterritorialitat, és a dir, que el Reglament –sense incloure la Llei 29/2021– s’aplica a les entitats –que amb posterioritat denomina «actors exteriors»– que tracten dades personals que facin servir mitjans de tractament –automatitzats o no– ubicats en territori andorrà, tant si aquestes entitats estan establertes al Principat d’Andorra com si no hi estan establertes, i també a les entitats establertes fora del Principat d’Andorra quan les activitats del tractament tinguin per objecte el tractament de dades d’interessats andorrans o que resideixin al Principat d’Andorra o bé quan el tractament consisteixi a fer oferta de béns serveis, inclòs el mer control del comportament d’aquests interessats.
El precedent d’aplicació extraterritorial d’una norma el tenim a l’article 8.2 del Codi Penal que estableix que la llei penal andorrana s’aplica a tota infracció penal intentada o consumada fora del territori del Principat d’Andorra per una persona de nacionalitat andorrana; és a dir, sota el ius puniendi de l’Estat, la manifestació més clara de la sobirania d’un país.
Però, aquest principi d’extraterritorialitat en matèria de protecció de dades «s’inspira» en la norma europea. La introducció de les regles d'extraterritorialitat europees no va fer sinó confirmar una tendència –seguida també per altres regions com Amèrica Llatina–, especialment a resultes de la innovació digital (i defensada pel Tribunal de Justícia de la UE –e.g. Google vs. Costeja–): exigir el compliment de les normes de protecció de dades europees a aquelles entitats que, amb independència del seu domicili, duien a terme activitats empresarials a la UE amb accés a, i tractament de, dades personals de ciutadans de la UE.
El Reglament –andorrà– no defineix aquestes regles d’extraterritorialitat: activitats de tractament relacionades amb interessats andorrans o residents i l’oferta de béns i serveis, incloent el control del comportament. Aquesta ambigüitat que genera certa inseguretat jurídica respecte de l'àmbit d'aplicació de la norma es podria aclarir amb un criteri interpretatiu basat en la norma europea.
Així, els considerants 23 i 24 de la norma europea –en línia amb les Directrius 3/2018 publicades pel Comitè Europeu de Protecció de Dades– defensen el criteri de materialitat, és a dir, si és evident que el responsable o l'encarregat projecta oferir serveis a interessats en un o diversos dels Estats membres, fins i tot, assenyalen que la mera accessibilitat de la pàgina web del responsable o encarregat (o d'un intermediari), d'una adreça de correu electrònic o altres dades de contacte, o l'ús d'una llengua generalment utilitzada en el tercer país on resideixi el responsable, no bastarien per a determinar aquesta intenció de l'organització no europea d'oferir els béns i serveis a la UE. No obstant, és una qüestió que cal analitzar cas per cas, perquè també es puntualitza que existeixen d’altres factors, com l'ús d'una llengua o una moneda utilitzada generalment en un o diversos Estats membres que poden revelar que el responsable del tractament projecta oferir béns o serveis a interessats en la UE.
Però, malgrat es pugui entendre la finalitat del Reglament –andorrà– en aquest punt en particular (i.e. la defensa dels drets dels interessats andorrans o residents al Principat d’Andorra), la Llei 29/2021 conté un àmbit d’aplicació territorial diferent. D’acord amb l’article 2.2, la Llei aplica als tractaments de dades realitzats per responsables o encarregats del tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra, quan facin servir mitjans de tractament ubicats en el territori andorrà, automatitzats o no. Per tant, sense fer referència al principi d’extraterritorialitat del Reglament.
Lo més lògic hagués estat homogeneïtzar l’àmbit d’aplicació d’ambdós textos, evitant, així, incongruències –inseguretat jurídica– o fins i tot una potencial vulneració del principi de legalitat i de jerarquia normativa.
La qüestió és crucial per algunes entitats estrangeres, són subjectes obligats o no? I, en cas afirmatiu, quines obligacions tenen? Perquè tampoc queda clar l’obligació de designar un representant prop de l’Agència Andorrana de Protecció de Dades –en algun article del Reglament es limita només a les entitats estrangeres que facin servir mitjans de tractament ubicats en territori andorrà– o el delegat de protecció de dades. Sembla que donarem ales a l’hermenèutica jurídica.