Cristina Prados, CEO de l'empresa CP Compliance i Privacitat Legal fa anys que es dedica a una matèria imprescindible a la societat de la informació en la qual convivim, la protecció de dades. Ofereix serveis d'adaptació d'empreses en la matèria, formació a les empreses en aquest àmbit, el servei de delegat de protecció de dades, entre altres. Avui, ens apropa a aquest món, del qual tots hem sentit parlar, però del qual també hi ha molts dubtes.
Hola Cristina, en primer lloc, i per situar-nos, què és la protecció de dades?
La protecció de dades ve emmarcada a l'article 14 de la Constitució del Principat d'Andorra, que garanteix el dret a la intimitat, a l'honor ia la pròpia imatge. És fruit de l'evolució tecnològica i de la necessitat d'adaptar-nos a possibles contextos i atacs contra aquests drets fonamentals. La normativa té com a objectiu protegir les dades personals de totes les persones físiques, siguin de la nacionalitat que siguin i resideixin on resideixin, preservant així la seva vida privada.
Però, què és exactament una dada personal?
Una dada personal és tota aquella informació que identifiqui o faci identificable una persona física. Aquestes dades poden ser des de números de telèfon, adreces, correus electrònics, fins a matrícules de vehicles, imatges d'una càmera de videovigilància, currículums, dades biomètriques com ara el reconeixement facial o la petjada dactilar, afiliacions religioses o polítiques…
Quins són els principals riscos associats amb la protecció de dades a les empreses avui dia?
Les empreses disposen de molta informació tant de clients, de clients potencials, com dels seus treballadors, de possibles candidats i proveïdors, entre d'altres. No disposar d'uns bons procediments tant de recollida com de tractament, emmagatzematge, cessió, supressió pot comportar sancions, però alhora la pèrdua de confiança dels clients i un dany irreparable a la reputació de l'empresa. Garantir aquests procediments significa disminuir els riscos de violacions de seguretat, fugides de dades, de possibles denúncies a l'autoritat en la matèria per part d'interessats…
En quin punt és la normativa a Andorra?
Andorra va aprovar el 28 d'octubre del 2021 la Llei 29/2021 Qualificada de Protecció de Dades. Tot i que ja disposàvem d'una regulació de l'any 2003, el 2019 el Principat d'Andorra va signar el Conveni 108 del Consell d'Europa amb què es comprometia a complir i adaptar les lleis nacionals als principis i estàndards establerts per aquest conveni i la regulació europea . D'aquesta manera, la normativa nacional va ser actualitzada per complir les obligacions que emanen d'aquest Conveni i del Reglament (UE) 2016/679 del Parlament Europeu, de 27 d'abril de 2016.
Totes les empreses han dadaptar-se a la normativa o és exclusiva en alguns camps?
La llei s'aplica a tots aquells responsables i/o encarregats tant públics com privats que o estiguin domiciliats o constituïts al país, o bé utilitzin mitjans de tractament ubicats al país.
Per a responsables entenem aquella persona física, jurídica o autoritat que determina les finalitats i mitjans de tractament de les dades personals i que vetllen per al seu correcte compliment, com seria per exemple la meva empresa quan recopila dades dels meus clients, i quant als encarregats del tractament, són aquells que tracten dades personals per compte del responsable del tractament, com ara una gestoria comptable que tracta les dades dels meus clients per prestar-me el servei de comptabilitat i girar-los els rebuts.
Cal puntualitzar que sí que hi ha excepcions, i és que no es considerarà necessari aplicar la normativa en aquells casos en què es realitzin tractaments personals o domèstics, dels quals no hi hagi una connexió professional, o en els casos de dades de persones difuntes o per part d'autoritats competents que facin funcions de prevenció, investigació, enjudiciament d'infraccions penals…
Com treballeu des de la vostra empresa de cara a una empresa que vulgueu adaptar els vostres procediments al Compliment Normatiu?
L'adaptació a la normativa és un dels serveis que oferim a CP Compliance i Privacitat Legal, on analitzem tots els tipus de tractament de dades que duen a terme les empreses que acudeixen a nosaltres. Fem una anàlisi dels riscos associats a aquelles dades, preparem els registres necessaris per fer un seguiment del cicle de la dada personal, realitzem, en cas de ser necessària, l'Avaluació d'Impacte, i preparem el que anomenem fase de procediments, perquè al desenvolupament de les funcions pròpies de l'empresa, s'incorporin alguns documents i passos a seguir que assegurin un tractament correcte de les dades tant en la recopilació, la conservació, l'exercici dels drets dels interessats, possibles fuites de seguretat… També oferim el servei de Protecció de Dades, i la formació dels treballadors.
Heu esmentat el servei de Delegat de Protecció de Dades. Què és aquesta figura? És obligatòria?
El delegat de protecció de dades és una figura que en alguns casos és obligatòria i en altres recomanable. El delegat de protecció de dades és un professional amb coneixements especialitzats en dret i en la matèria de protecció de dades. Podeu formar part de la plantilla o bé, com seria el nostre cas, prestar-se com un servei de manera externa. La funció seria assessorar i informar de les obligacions al responsable i encarregat, supervisar les polítiques establertes, formar i conscienciar el personal, gestionar els exercicis dels drets dels interessats, cooperar amb l'autoritat de control, actuant com a punt de contacte…
Has comentat que fas formacions al personal. Quin paper té la formació del personal en aquesta matèria dins una organització?
La formació del personal és imprescindible, perquè en realitat són els que recopilen, tracten, accedeixen a les dades i, els que contacten de manera directa amb els interessats, ja siguin clients, candidats, proveïdors, usuaris de la pàgina web… Que entenguin la importància de la protecció de dades és crucial perquè protegeixin la informació que tenen a l'abast, que prenguin les mesures de seguretat adequades, compleixin amb els protocols establerts, responguin davant de possibles incidències… Per exemple, no serveix de res preparar unes clàusules informatives per a clients , si quan el client arriba a signar un contracte de prestació de serveis, la persona que el redacta i fa signar el contracte, no és conscient que ha d'afegir i fer signar també aquesta clàusula informativa. Un altre exemple seriosa, si hi ha una violació de seguretat, i no tenim un personal format, pot passar per alt i no prendre les mesures necessàries per esmenar-la ni el comunicat pertinent.
Si una empresa no compleix la normativa, pot comportar sancions? Qui gestiona aquestes sancions?
Sí, les sancions les pot imposar l'autoritat de control, que a Andorra és l?Agència de Protecció de Dades. S'obriria una fase instructora on els inspectors de l'Agència procedirien a analitzar el cas, i finalment, la direcció de l'Agència emetria la sanció corresponent. Entre les potestats correctives de l'Agència trobem els advertiments, les amonestacions, les limitacions temporals, definitives o la prohibició del tractament de dades, les multes administratives, entre d'altres. Les sancions econòmiques poden ser entre 500 i 100.000 euros segons la gravetat.
L'Agència està en funcionament actualment?
Sí, l'Agència va ser creada el 2005 i és un organisme independent i amb capacitat d'obrar plena. Les darreres dades que tenim són de l'any 2022, on es van formular un total de 3.864 consultes i es van tramitar 18 expedients administratius.
Hi ha cap novetat a destacar de l'Agència?
Actualment, el més destacable dels darrers dies és l'obertura d'un procés participatiu públic amb el qual es crearà una guia per a la protecció de dades del sector immobiliari. Un sector que està suscitant alguns dubtes pel que fa a la limitació de dades personals que sol·liciten.
