La nova llei de protecció de dades, per a 'dummies'

Estic convençuda que, des de la publicació de la nova llei de protecció de dades, han augmentat les cerques a internet sobre les novetats que aquesta llei introdueix. El que no tinc tan clar és si les cerques s’han produït fruit de la nostra curiositat o bé perquè sabem que, tard o d’hora, haurem de complir les noves obligacions que d’aquesta norma se’n deriven. En aquest cas, més d’hora que tard, ja que la nova llei entrarà en vigor el mes de maig del 2022.

No obstant l’anterior, es tracta d’una llei bastant tècnica i que no és senzilla d’entendre per persones inexpertes en aquesta matèria. Malgrat això, tots sabem que el desconeixement de la norma no eximeix del seu compliment.

Per aquest motiu, explicaré algunes de les principals novetats, de manera que qualsevol empresari pugui ser coneixedor, i alhora entendre, les obligacions que haurà de complir quan la llei sigui exigible:

–Obligació de nomenar un delegat de protecció de dades, quan es tractin dades de manera automatitzada per a prendre decisions que provoquin efectes jurídics per a les persones, quan es tractin dades a gran escala de categories especials de dades (abans anomenades dades sensibles) o, amb caràcter general, quan es tracti una quantitat considerable de dades personals que puguin comportar un alt risc per als drets i llibertats de les persones interessades.

Tot i que la llei no defineix què es considera un tractament a gran escala, en l’àmbit europeu sí que s’han aportat alguns exemples: el tractament de dades de clients en l’activitat d’una companyia d’assegurances o d’un banc o el tractament de dades de pacients en l’activitat d’un hospital.

Què és un delegat de protecció de dades (DPD)? El DPD, que podrà formar part de la plantilla o exercir les seves funcions en el marc d’un contracte de serveis, serà la persona encarregada d’informar i assessorar l’empresa de les obligacions establertes per la normativa, així com de supervisar-ne el seu compliment. A més, el seu nomenament haurà de ser comunicat a l’Agència Andorrana de Protecció de Dades.

–Obligació de realitzar un registre d’activitats del tractament, que substitueix l’obligació d’inscriure els fitxers de dades personals en el registre de l’Agència Andorrana de Protecció de Dades. Aquesta obligació serà exigible a les empreses de més de 50 treballadors, llevat que el tractament inclogui categories especials de dades personals.

Què és un registre d’activitats de tractament (RAT)? El RAT és un document intern que haurà d’incloure els diferents tractaments que es realitzen des de l’empresa (per exemple: alta de clients, gestió de proveïdors, videovigilància...) i per cadascun dels tractaments que s’identifiquin s’haurà d’especificar la finalitat per la qual es realitza, una descripció de les categories de persones i de les dades que es tracten, els destinataris de les dades, les transferències de dades i, si és possible, els terminis de conservació i una descripció general de les mesures tècniques i organitzatives de seguretat.

–Obligació de fer avaluacions d’impacte, en general, quan hi hagi un alt risc en el tractament de dades i, en particular, quan es realitzi una avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques basada en un tractament automatitzat, es tractin dades a gran escala de categories especials de dades o quan es realitzi una observació sistemàtica a gran escala d’una zona pública.

L’Agència Andorrana de Protecció de Dades haurà de publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades.

Què és una avaluació d’impacte en relació amb la protecció de dades personals (AIPD)? L’AIPD és un informe que, a grans trets, haurà d’incloure una descripció del tractament i de la finalitat per la qual es realitza, haurà d’avaluar la necessitat i la proporcionalitat del tractament i haurà de detallar els riscos identificats, així com especificar les mesures de seguretat previstes per afrontar-los.

–En darrer lloc, cal fer esment de les sancions econòmiques. La nova llei preveu un règim de sancions, únicament per al sector privat, en funció de la gravetat de la infracció (sanció mínima de 500 euros i sanció màxima de 100.000). Per exemple, les referides obligacions, en cas d’incomplir-se, tindran la consideració d’infraccions greus i se sancionaran amb un import comprès entre 15.001 i 30.000 euros.

La nova llei, per tant, ens acosta a un sistema de protecció de dades més segur per a tots nosaltres. És curiós, però, que el sector públic hagi quedat al marge de les sancions econòmiques, com succeeix també a Espanya. És evident que les sancions tenen un caràcter eminentment dissuasiu i, al meu parer, les entitats públiques, atès que són les entitats que més dades personals tracten, s’haurien d’haver vist subjectes al mateix règim sancionador que el sector privat.

*Désirée Vela de la Encarnación, Delegada de protecció de dades i tèc- nica d’assessoria jurídica de Vall Banc