Equilibri necessari: protecció de dades i negoci
Com la majoria dels ciutadans ja saben, el nostre país compta amb una nova llei en matèria de protecció de dades (LQPD) des de l’any 2021, i amb el seu reglament de desenvolupament des de l’any passat.
Ambdós textos legals constitueixen la base del procés d’adaptació del nostre ordenament jurídic als principis vigents en matèria de protecció de dades en l’àmbit internacional. I, especialment, al marc establert pel Dret de la Unió Europea (UE) i, concretament, pel Reglament General de Protecció de Dades (RGPD).
D’acord amb la LQPD, un dels principis que han de regir la protecció de dades és el de la responsabilitat proactiva que tenen els responsables de tractament de dades, a banda de donar compliment a la resta d’obligacions que es contenen a la llei.
En aquest context, les micro, petites i mitjanes empreses han vist com l’adequació a aquesta nova realitat els suposa –molts cops— un repte.
L’anterior no és un fet aliè al nostre país. De fet, recentment el Regne Unit ha publicat una nova llei de protecció de dades que deroga algunes de les obligacions previstes al RGPD. Precisament per considerar que la normativa de la UE en matèria de protecció de dades és excessivament cautelosa, i que s’extralimita a les necessitats reals de les empreses.
Així, i encara que sembli que el que succeeix al Regne Unit no ens toca de prop, hem de partir de l’assumpció de què el Principat d’Andorra també té la condició de tercer país. Almenys fins que no es configuri un nou encaix amb la UE. Per tant, Andorra encara té marge de maniobra per la recerca d’un equilibri entre la protecció de dades i el negoci.
En aquest context, l’Agència Andorrana de Protecció de Dades (APDA) va pronunciar-se ahir —després d’haver registrat diverses consultes— sobre l’obligació que tenen els metges i els advocats de comptar amb un Delegat de Protecció de Dades (DPD) mitjançant la publicació d’una instrucció.
A la seva instrucció, l’APDA considera necessari fixar un criteri d’interpretació en aquests sectors atenent al fet de què tracten amb dades especialment sensibles.
Per a la fixació d’un criteri, l’APDA recorre a les línies interpretatives de la UE, partint de la definició del concepte jurídic indeterminat “a gran escala” –i que no es conté a la norma andorrana— per acabar de precisar a qui s’adreça l’obligació de disposar d’un DPD.
L’APDA conclou que, com a norma general, els professionals de la salut o advocats que treballin sols i els despatxos professionals de dos o menys socis, quedaran exempts de disposar d’un DPD.
Arribats a aquest punt, convindria que en les successives actualitzacions que s’introdueixin a les normes andorranes en matèria de protecció de dades, es calibri l’impacte que poden tenir les obligacions en les micro, petites i mitjanes empreses del nostre país, amb la deguda atenció a la seva mida, a les seves característiques, i a la naturalesa de les dades que processen.