Sentim a parlar constantment de la protecció de dades de caràcter personal, però, què són exactament aquestes dades?
Les dades personals són aquelles que aporten informació relativa a una persona identificada o que poden permetre la seva identificació. Informacions com el nom, el domicili, la direcció de correu electrònic o la nostra pròpia imatge, entre moltes altres, poden ser considerades dades personals.
Com es veuen aquestes dades protegides per l’ordenament jurídic andorrà?
L’any 2003 es va publicar la primera Llei qualificada de protecció de dades, la qual va establir les bases de l’ordenament jurídic en aquesta matèria. No obstant això, han passat gairebé 20 anys des de llavors i la nova llei actualitza les obligacions dels subjectes obligats, adaptant-les a la normativa internacional i a les innovacions tecnològiques dels darrers anys. La normativa en protecció de dades sempre posarà en primer lloc les persones físiques, atès que les seves dades són el principal actiu a protegir. No obstant això, Andorra ha trobat un punt d’equilibri molt interessant, en garantir els drets d’aquestes persones físiques sense que la normativa pugui afectar en profunditat les activitats econòmiques de les entitats públiques i privades del Principat.
A qui afecta la Llei de protecció de dades? De quina manera?
La llei s’aplica a totes les entitats, públiques o privades, amb domicili a Andorra que facin ús de dades personals, ja sigui de manera automatitzada o no automatitzada. L’abast de la llei és ampli i varia depenent del subjecte obligat i de les dades que s’utilitzin. La nova normativa incorpora el principi de responsabilitat proactiva, pel qual són les empreses les que han de determinar i aplicar les mesures tècniques i organitzatives necessàries per garantir i poder demostrar que estan donant compliment a la llei.
Llavors, les empreses són les que determinen les seves obligacions?
No exactament. La normativa determina una sèrie d’obligacions, tot i que algunes s’apliquen o no depenent de certs requisits. Per exemple, l’obligatorietat o no de disposar d’un delegat de protecció de dades (DPO) no és per a tots els subjectes obligats, sinó per a aquells que compleixin una sèrie de condicionants. Tot i això, és una figura recomanable per a totes les entitats. Atesa aquesta particularitat de la normativa, resulta imprescindible que les empreses i altres subjectes obligats s’avaluïn i determinin quines són les obligacions que han de complir.
Quines són les conseqüències de no complir amb la llei?
La llei disposa d’un règim sancionador més elevat que el de l’anterior normativa. No obstant això, és interessant veure’n el compliment des d’un vessant positiu. En una societat cada cop més conscienciada de la importància i valor de les dades personals, establir una estratègia que doni compliment a les obligacions derivades de la normativa aplicable també aportarà un important valor afegit per a qualsevol organització. Complir la normativa aplicable ens permetrà construir una relació més ferma amb els nostres clients, fidelitzant-los i demostrant-los que valorem les seves dades i tenim en compte els seus drets. Igualment, atesa l’estreta relació entre la protecció de dades i la ciberseguretat, ens aportarà beneficis en aquesta àrea, millorant la seguretat de les dades, evitant possibles pèrdues d’informació i garantint la continuïtat del nostre negoci. Certament, podem dir que amb la nova Llei de protecció de dades hi guanyem tots.