Cristina Prados, CEO de la empresa CP Compliance i Privacitat Legal hace años que se dedica a una materia imprescindible en la sociedad de la información en la cual convivimos, la protección de datos. Ofrece servicios de adaptación de empresas en la materia, formación a las empresas en este ámbito, el servicio de delegado de protección de datos, entre otros. Hoy, nos acerca a este mundo, del que todos hemos escuchdado hablar, pero del que también existen muchas dudas.
Hola Cristina, en primer lugar, y para situarnos, qué es la protección de datos?
La protección de datos viene enmarcada en el artículo 14 de la Constitución del Principado de Andorra, que garantiza el derecho a la intimidad, al honor y a la propia imagen. Es fruto de la evolución tecnológica y la necesidad de adaptarnos a posibles contextos y ataques contra estos derechos fundamentales. La normativa tiene como objetivo proteger los datos personales de todas las personas físicas, sean de la nacionalidad que sean y residan donde residan, preservando así su vida privada.
Pero, ¿qué es exactamente un dato personal?
Un dato personal es toda aquella información que identifique o haga identificable a una persona física. Estos datos pueden ser desde números de teléfono, direcciones, correos electrónicos, hasta matrículas de vehículos, imágenes de una cámara de videovigilancia, currículums, datos biométricos como el reconocimiento facial o la huella dactilar, afiliaciones religiosas o políticas…
¿Cuáles son los principales riesgos asociados con la protección de datos en las empresas hoy en día?
Las empresas disponen de mucha información tanto de clientes, de clientes potenciales, como de sus propios trabajadores, de posibles candidatos y proveedores, entre otros. No disponer de unos buenos procedimientos tanto de recogida, como de tratamiento, almacenamiento, cesión, supresión, puede comportar sanciones, pero a la vez la pérdida de confianza de los clientes y un daño irreparable en la reputación de la empresa. Garantizar estos procedimientos significa disminuir los riesgos de violaciones de seguridad, fugas de datos, de posibles denuncias a la autoridad en la materia por parte de interesados…
¿En qué punto está la normativa en Andorra?
Andorra aprobó el 28 de octubre de 2021 la Ley 29/2021 Calificada de Protección de Datos. Si bien ya disponíamos de una regulación del año 2003, en 2019 el Principado de Andorra firmó el Convenio 108 del Consejo de Europa con el que se comprometía a cumplir y adaptar las leyes nacionales a los principios y estándares establecidos por este convenio y la regulación europea. De esta forma, la normativa nacional fue actualizada para cumplir con las obligaciones que emanan de este Convenio y del Reglamento (UE) 2016/679 del Parlamento Europeo, del 27 de abril de 2016.
¿Todas las empresas tienen que adaptarse a la normativa o es exclusiva en algunos campos?
La ley se aplica a todos aquellos responsables y/o encargados tanto públicos como privados que o estén domiciliados o constituidos en el país, o bien utilicen medios de tratamiento ubicados al país.
Para responsables entendemos aquella persona física, jurídica o autoridad que determina las finalidades y medios de tratamiento de los datos personales y que velan para su correcto cumplimiento, como sería por ejemplo mi empresa cuando recopila datos de mis clientes, y en cuanto a los encargados del tratamiento, son aquellos que tratan datos personales por cuenta del responsable del tratamiento, como sería por ejemplo una gestoría contable que trata los datos de mis clientes para prestarme el servicio de contabilidad y girarles los recibos.
Hay que puntualizar que sí que existen excepciones, y es que no se considerará necesario aplicar la normativa en aquellos casos en que se realicen tratamientos personales o domésticos, de los que no haya una conexión profesional, o en los casos de datos de personas difuntas o por parte de autoridades competentes que realicen funciones de prevención, investigación, enjuiciamiento de infracciones penales…
¿Cómo trabajáis desde tu empresa de cara a una empresa que quiera adaptar sus procedimientos al Cumplimiento Normativo?
La adaptación a la normativa es uno de los servicios que ofrecemos a CP Compliance y Privacidad Legal, en el que analizamos todos los tipos de tratamiento de datos que llevan a cabo las empresas que acuden a nosotros. Hagamos un análisis de los riesgos asociados a aquellos datos, preparamos los registros necesarios para hacer un seguimiento del ciclo del dato personal, realizamos, en caso de ser necesaria, la Evaluación de Impacto, y preparamos el que denominamos fase de procedimientos, porque en el desarrollo de las funciones propias de la empresa, se incorporen algunos documentos y pasos a seguir que aseguren un correcto tratamiento de los datos tanto en la recopilación, la conservación, el ejercicio de los derechos de los interesados, posibles escapes de seguridad… También ofrecemos el servicio de Protección de Datos, y la formación de los trabajadores.
Has mencionado el servicio de Delegado de Protección de Datos. ¿Qué es esta figura? ¿Es obligatoria?
El Delegado de Protección de Datos es una figura que en algunos casos es obligatoria y en otros recomendable. El delegado de protección de datos es un profesional con conocimientos especializados en derecho y en la materia de protección de datos. Puede formar parte de la plantilla o bien, como sería nuestro caso, prestarse como un servicio de manera externa. La función seria asesorar e informar de las obligaciones al responsable y encargado, supervisar las políticas establecidas, formar y concienciar el personal, gestionar los ejercicios de los derechos de los interesados, cooperar con la autoridad de control, actuando como punto de contacto…
Has comentado que realizas formaciones al personal. ¿Qué papel juega la formación del personal en esta materia dentro de una organización?
La formación del personal es imprescindible, porque en realidad son los que recopilan, tratan, acceden a los datos y, los que contactan de manera directa con los interesados, ya sean clientes, candidatos, proveedores, usuarios de la página web… Que entiendan la importancia de la protección de datos es crucial para que protejan la información que tienen al alcance, que tomen las medidas de seguridad adecuadas, cumplan con los protocolos establecidos, respondan ante posibles incidencias… Por ejemplo, no sirve de nada preparar unas cláusulas informativas para clientes, si cuando el cliente llega a firmar un contrato de prestación de servicios, la persona que le redacta y le hace firmar el contrato, no es consciente que tiene que añadir y hacer firmar también esta cláusula informativa. Otro ejemplo seria, si hay una violación de seguridad, y no tenemos un personal formado, puede pasar por alto y no tomar las medidas necesarias para enmendarla ni el pertinente comunicado.
Si una empresa no cumple con la normativa, ¿puede comportar sanciones? ¿Quién gestiona estas sanciones?
Sí, las sanciones las puede imponer la autoridad de control, que en Andorra es la Agencia de Protección de Datos. Se abriría una fase instructora en la cuales los inspectores de la Agencia procederían a analizar el caso, y finalmente, la dirección de la Agencia emitiría la sanción correspondiente. Entre las potestades correctivas de la Agencia encontramos las advertencias, amonestaciones, las limitaciones temporales, definitivas o prohibición del tratamiento de datos, las multas administrativas, entre otros. Las sanciones económicas pueden ser de entre 500 y 100.000 euros según la gravedad de estas.
¿Está en funcionamiento la Agencia actualmente?
Sí, la Agencia fue creada en 2005 y es un organismo independiente y con plena capacidad de obrar. Los últimos datos que tenemos son del año 2022, donde se formularon un total de 3.864 consultas y se tramitaron 18 expedientes administrativos.
¿Hay alguna novedad a destacar de la Agencia?
En la actualidad, lo más destacable de los últimos días es la apertura de un proceso participativo público con el cual se creará una guía para la protección de datos del sector inmobiliario. Un sector que está suscitando algunas dudas en referencia a la limitación de datos personales que solicitan.