Avui se celebra el segon aniversari de l’entrada en vigor de la Llei Qualificada de Protecció de Dades personals (LQPD), una normativa que ha suposat un canvi de paradigma en la privacitat i la protecció de dades igual que ho va fer el Reglament General de Protecció de Dades (RGPD) a Europa el 2018. A la Unió Europea fa cinc anys que l’apliquen i els experts ens expliquen que la privacitat ha passat de ser una àrea de coneixement secundària a consolidar-se com un dels departaments indispensables en els despatxos d’advocats i, fins i tot, incorporant-se en l’ordre del dia dels consells d’administració de les empreses. A Andorra fem dos anys i sabem que un dels objectius és que d’aquí a tres puguem dir el mateix que els estats veïns més propers.
Això haurà de ser així, ja que la LQPD és la punta de l’iceberg de tot el cabal comunitari que suposarà l’Acord d’Associació: normes com el reglament de mercats digitals, reglament de serveis digitals, reglament d’intel·ligència artificial, etc., hauran d’anar incorporant-se en el nostre dia a dia. Això reflecteix la determinació de la Unió Europea per blindar la privacitat dels seus ciutadans, i si algun dia s’aprova l’Acord d’Associació, haurem de compartir aquesta visió sobre la protecció de dades i, el que és més important encara, caldrà fomentar també els principis bàsics de la democràcia, la igualtat i l’estat de dret.
El RGPD també ha estat una revolució en l’enfocament de la protecció de dades, només cal veure els titulars de països veïns: “França imposa una multa a Amazon de 32 milions d’euros per vigilància dels empleats” o “AEPD [agència espanyola] multa una empresa espanyola amb 365.000 euros per fer als seus empleats fitxar amb empremta dactilar”, “L’Agència de Protecció de Dades prohibeix continuar recollint dades d’iris a Worldcoin, que donava criptomonedes a canvi” o “Itàlia denuncia una altra vegada ChatGPT per incomplir normes de privadesa”.
Els dos anys també ens brinden l’oportunitat de reflexionar sobre els èxits i els desafiaments d’aquesta regulació en matèria de privadesa i protecció de dades.
La LQPD ha reforçat les garanties de protecció de dades, ha conferit drets addicionals i més sòlids a les persones, ha augmentat la transparència i fa més responsables tots els encarregats del tractament de les dades personals. Tanmateix, l’ús de les dades personals és cada cop més incessant i cada cop els tractaments van més lligats a tecnologies més innovadores, suposant més riscos per als usuaris. En aquest context, l’APDA intenta professionalitzar-se amb persones que tinguin inquietuds i la capacitat de reciclar-se constantment per estar al dia d’aquests canvis i seguir les recomanacions i directrius que publiquen constantment des del Comitè Europeu de Protecció de Dades, que tot i que interpreten el RGPD ens serveixen per transposar-les a la LQPD.
En aquest context, és important destacar la introducció de la figura del delegat de protecció de dades (DPD) arran de la LQPD que pot ajudar a les empreses en la conscienciació en relació amb l’ús de les dades personals complint totes les garanties de confidencialitat, integritat i disponibilitat per a l’usuari. Però a més a més, el DPD pot contribuir a la detecció precoç de violacions de seguretat, actuar de forma més ràpida, assessorar els responsables, fer polítiques de protecció de dades internes, etc. Tanmateix, a l’APDA veiem que encara no se li està donant la importància suficient a aquesta figura, ja que el nombre de DPD designats és molt baix. Un altre aspecte negatiu que detectem és que es nomena el DPD només per donar compliment a una obligació prevista en la LQPD però després l’entitat no sap ni que aquesta figura existeix o no li requereix que desenvolupi les seves tasques per desconeixement de les seves funcions. També observem grans organitzacions amb una gran quantitat de departaments que nomenen només un DPD per a tot el conjunt, cosa que impedeix que aquest pugui arribar a desenvolupar les seves funcions amb èxit.
En conclusió, els dos anys des de l’entrada en vigor de la LQPD han representat un període de reflexió i acció en la nostra tasca d’impulsar la cultura de la privacitat i la protecció de dades a Andorra. Hem aconseguit avenços significatius en reforçar les garanties de protecció, promoure la transparència i fomentar la responsabilitat en el tractament de les dades personals. No obstant això, els reptes persisteixen, especialment en el context dels recursos limitats de l’APDA. És essencial que es continuï assegurant el compliment de les normatives i promocionant la formació i la sensibilització de les empreses sobre la importància de complir amb les normatives de protecció de dades. Així, podrem continuar avançant cap a un futur on la protecció de les dades personals sigui una prioritat compartida i efectiva per a tots.
La independència de l’APDA és un element clau en aquest camí. Preservar la seva independència significa protegir-la de qualsevol intervenció indeguda de cap poder o administració pública. Això és fonamental per garantir que pugui exercir les seves funcions amb imparcialitat i integritat, assegurant així la confiança de la ciutadania i l’efectivitat en la protecció de les dades personals.
Resma Punjabi
Cap de l'Agència de Protecció de Dades