La tribuna

El delegat de protecció de dades a Andorra

Assessora les empreses sobre les obligacions en matèria de protecció de dades

Creat:

Actualitzat:

La Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, regula l’obligació per part dels òrgans que formen l’Administració pública i de les empreses o organitzacions privades de disposar de la figura del delegat de protecció de dades, un òrgan consultiu clau per a la implementació de les polítiques de protecció de dades que ha generat força debat entre les entitats del país, les quals es pregunten, entre altres qüestions, què és aquest òrgan, si els aplica l’obligació de nomenar-lo, qui pot exercir-ne les funcions, com se n’ha de fer el nomenament i quines conseqüències tenen si no ho fan.

En primer lloc, què és el delegat de protecció de dades? És un òrgan multifuncional que assessora l’entitat, l’empresa o l’organisme públic, i fa de nexe entre aquest i l’Agència Andorrana de Protecció de Dades (APDA). És l’encarregat d’informar i assessorar les empreses o entitats sobre les seves obligacions en matèria de protecció de dades, supervisar-ne les polítiques i l’assignació de responsabilitats segons l’estructura de cadascuna, conscienciar i formar el personal que participa en les operacions de tractament i fer les auditories corresponents, assessorar en la realització d’avaluacions d’impacte i supervisar-ne l’aplicació, cooperar amb l’APDA, actuar com a interlocutor o punt de contacte entre aquesta i l’entitat, i fer les consultes que siguin necessàries a l’APDA amb relació al tractament de dades. En definitiva, un organisme d’una gran rellevància que ajuda les entitats a implementar les seves obligacions en matèria de protecció de dades i fa d’interlocutor amb l’APDA, amb l’objectiu final que es protegeixin els drets dels interessats en el tractament de les seves dades personals.

A qui aplica l’obligació de designar un delegat de protecció de dades? La llei divideix segons siguin òrgans que formen part de l’Administració pública, o empreses o organitzacions privades.

En el primer cas, aplica a totes les administracions, entitats i organismes públics, parapúblics o de dret públic, excepte els tribunals en exercici de les seves funcions judicials. Això inclou tant el Consell General, el Govern i els comuns, com tota la resta d’entitats que formen l’Administració pública, organismes autònoms o entitats parapúbliques (FEDA, Andorra Turisme, Cambra de Comerç, AREB, etcètera).

En el segon cas, aplica a totes les empreses o organitzacions privades que siguin responsables o encarregats del tractament de dades personals i que tractin dades de manera automatitzada, és a dir, a través de mitjans tecnològics que prenen decisions sense necessitat de la intervenció humana (per exemple, la recollida de dades o metadades a través de xarxes o en zones d’accés públic, l’elaboració de perfils de solvència econòmica o de rendiment laboral); que tractin, a gran escala, categories especials de dades (segons, per exemple, si són dades de caràcter identificatiu o no, dades acadèmiques i professionals, econòmiques, detalls de l’ocupació, etcètera); que tractin una quantitat considerable de dades personals al Principat o a escala internacional (per exemple, si són d’àmbit únicament parroquial, andorrà o global); o que puguin afectar un gran nombre d’interessats i comportar un alt risc per als seus drets i llibertats (com poden ser, entre altres, dades personals que revelin l’origen ètnic o racial, opinions polítiques, religió, vida sexual, salut, situació econòmica o rendiment laboral).

Qui pot exercir-ne les funcions? El delegat de protecció de dades pot ser una empresa o un particular, amb relació laboral o de prestació de serveis, que s’haurà de designar tenint en compte les seves qualitats professionals i, especialment, els seus coneixements especialitzats del dret, l’experiència en matèria de protecció de dades i les seves capacitats per complir les obligacions derivades del càrrec. Els organismes públics o grups empresarials poden tenir un sol delegat per a tots els òrgans o filials que formen part de la seva estructura o grup.

En tot cas, el delegat de protecció de dades ha d’exercir les seves funcions amb diligència, tenint en compte els riscos del tractament de les dades personals segons la naturalesa, abast, context i finalitats del tractament. I també es generen obligacions per part de l’empresa o entitat que el contracti, com garantir la participació adequada del delegat en totes les qüestions relacionades amb la protecció de dades personals, donar-li suport, garantir la seva independència i dotar-lo dels recursos suficients per tal de complir les seves funcions, accedir a les dades personals i a les operacions de tractament.

Finalment, quines conseqüències puc tenir en cas d’incompliment? No nomenar un delegat de protecció de dades o no possibilitar la seva participació efectiva en les qüestions relatives a la protecció de dades personals, no donar-li suport o interferir en l’exercici de les seves funcions, pot suposar sancions d’entre 15.001 i 30.000 euros, segons la gravetat de la infracció.

En conclusió, veiem que el delegat de protecció de dades s’ha convertit en una figura clau a Andorra per a la implementació per part de les empreses i organismes públics de les polítiques, mesures i procediments de protecció de les dades personals, que caldrà nomenar amb caràcter d’urgència i respecte al qual s’haurà de col·laborar en el dia a dia, a fi de fomentar que pugui desenvolupar les seves funcions d’assessorament, supervisió i interlocució amb independència, diligència i comptant amb els recursos, econòmics i materials, necessaris per poder-ho fer, i amb l’objectiu final que es protegeixin efectivament els drets de les persones interessades, de tots els usuaris, en matèria de protecció de les seves dades personals.

* Oriol Giró Canturri, Soci director d’Emindset Law

tracking