| Article | May 2021 | El Periodic d’Andorra |
El fenomen digital ha su-posat un canvi de para-digma equiparable a la revolució de l’escriptura, atès que no ha implicat només una evolució respecte a la forma de comunicar-nos, sinó també una trans-formació en la forma de comprendre el nostre entorn i, alhora, la recerca de la se-va lògica.
Així, l’era analògica ha deixat pas al món digital, on la digitalització, la innovació i la transformació digital, conceptes sem-blants però no sinònims, es tracten com parts d’un mateix repte: la revolució di-gital. Al mateix temps, aquesta revolució no només representa un repte, sinó tam-bé una possibilitat de generació de rique-sa. A més, aquesta transmutació cap a l’era digital també ha provocat un canvi en l’ex-periència del client, tot atenent a la pro-moció de nous models de negoci que al mateix temps suposen nous reptes i la ne-cessitat d’una millora diària. En qualsevol cas, en aquest context les dades es confi-guren com un element cabdal.
A tall d’exemple, la tecnologia disrupti-va i l’evolució de les TIC (i.e. IoT, IA, algo-ritmes de decisió, blockchain) ha ocasio-nat la necessitat d’obtenir, custodiar, pro-cessar i classificar les dades (i.e. big data); i que els éssers humans esdevinguin com grans productors i recol·lectors de dades perquè cada aspecte de la nostra vida pot quedar reflectit en bits que viatgen a tra-vés d’Internet (i.e. e-mails, compra on-line, clics, likes, creació de contingut di-gital, etc).
Però, realment som conscients de les dades que generem o l’empremta que deixem? Aquesta empremta o rastre és l’anomenada empremta digital, que ens defineix i que es pot transformar en un coneixement valuós per crear perfils de comportament (p.e. les cookies).
Aleshores, és necessari entendre els potencials riscos inherents a aquestes noves tendències disruptives i com po-dem mantenir el control i actuar en cas que es vulneri el dret fonamental a la nos-tra privacitat. En aquest escenari es per-fila la regulació en matèria de protecció de dades on el pilar de la salvaguarda de la privacitat es fonamenta en el consenti-ment de l’usuari.
Al Principat d’Andorra, el marc jurí-dic respecte a les dades es sustenta en la Llei qualificada de protecció de dades del 2003. Dita norma continua vigent i va ser objecte de revisió i actualització l’any 2010 amb l’aprovació del Reglament de l’Agència Andorrana de Protecció de Da-des (APDA).
D’una banda, la revolució digital i l’ober-tura del Principat als seus països veïns ha ocasionat la necessitat de modernitzar l’actual marc jurídic andorrà –actual-ment obsolet– valent-se de la normativa europea en matèria de protecció de da-des (Reglament (UE) 2016/679 del Par-lament Europeu i el Consell, del 27 d’abril de 2016 (RGPD), relatiu a la protecció de les persones físiques pel que fa al tracta-ment de dades personals i a la lliure cir-culació d’aquestes dades, la Directiva (UE) 2016/680 del Parlament Europeu i el Consell, igualment del 27 d’abril de 2016).
La comunicació internacional de da-des i l’aplicació extraterritorial de la nor-ma europea han estat els punts de fricció més significatius degut a la realitat del pa-ís i, alhora, el gran dilema per les empre-ses andorranes.
L’aplicació extraterritorial del RGPD ha suposat des del 2018 la implementació d’algunes obligacions permetent l’homo-geneïtzació tant en el tractament de da-des com en els processos d’enforcement (amb especial referència als drets dels usuaris reconeguts pel RGPD) respecte la praxi en la Unió Europea.
D’altra banda, i en el que es refereix a la comunicació internacional de dades, tant Andorra como la UE, preveuen mecanis-mes per garantir que les dades transme-ses gaudeixen d’un nivell de protecció adequat al país de destí.
Fins avui, la Comissió Europea ha con-siderat Andorra com un destinatari que garanteix un nivell de protecció adequat, d’acord amb la seva Decisió 2010/625/ UE, de 19 d’octubre de 2010, recolzada per la subscripció del Principat d’Andorra del Conveni 108 per a la protecció de les per-sones respecte al tractament de les da-des personals.
No obstant això, aquesta decisió té un període de caducitat, i és que el RGPD preveu una revisió de l’avaluació amb una periodicitat d’almenys cada quatre anys, comptadors des del moment de l’entra-da en vigor RGPD, el 25 de maig del 2018.
Aleshores, la futura revisió del nivell d’adequació esdevindrà especialment in-teressant per renovar l’actual règim que provoqui una embranzida a l’actual règim i un impacte positiu en l’APDA per mante-nirse al dia.
En aquest punt, la Proposició de Llei Qualificada de Protecció de Dades Per-sonals ha pres com a model i referent el RGPD, tot amb el propòsit d’ampliar, re-forçar i consolidar, d’una manera pro-gressiva, el marc legislatiu vigent en ma-tèria de protecció de dades personals.
A nivell material, si bé l’esperit de la nor-ma no ha variat, que s’han introduït modi-ficacions substancials pel que fa als drets de les persones interessades i el tracta-ment de dades per part dels responsables i encarregats del tractament.
Respecte als drets del interessats, aquests han estat profundament modi-ficats per aconseguir que estiguin aline-ats al marc jurídic europeu. Així, els drets de l’interessat del tractament s’han vist augmentats, des dels elementals drets elementals ARCO (Accés, Rectificació, Cancel·lació/Supressió/Oblit i Oposició –ja reconeguts actualment), amb la inclu-sió de la garantia dels drets digitals i el dret a la limitació del tractament.
Aquestes dades, moltes vegades són recaptades a través de les cookies, instru-ment quina pràctica s’ha normalitzat i que resulta a dia d’avui la principal via d’obten-ció d’informació per a alimentar la maqui-nària del big data, que, si bé pot suposar un gran avantatge en la personalització de la publicitat, pot esdevenir en la prin-cipal amenaça en el cas d’un ús il·lícit per part dels conglomerats de la informació.
En referència al consentiment de les persones interessades, el nou règim per-fila aquest consentiment, establint que ha d’esser lliure, específic, informat i inequ-ívoc i haurà de comptar amb l’acceptació de l’interessat.
A més de l’anterior, el tractament de da-des personals per part dels responsables/ encarregats del tractament ha estat re-glat conforme a les directrius europees. El règim previ d’inscripció de fitxers da-vant de l’APDA per part de les entitats (que consistia en una mera comunicació prè-via de les dades a tractar per les entitats a l’APDA) ha estat substituït per un registre de les activitats de tractament, amb pos-sibilitat d’auditoria posterior per l’autori-tat de control (APDA).
La norma també inclou un règim san-cionador que preveu multes de fins a 100.000 euros com a la normativa ante-rior. Tanmateix, es manté lluny dels llin-dars de 10 i 20 milions d’euros que preveu la normativa europea.
En aquest escenari, la identificació, l’enteniment i l’adreçament dels nous ris-cos associats amb la transformació digi-tal ajudaran els negocis a revitalitzar el seu valor en el futur. No obstant, aquest entorn disruptiu també haurà de dotar a l’usuari o interessat de la possibilitat de què sigui ell qui governin les seves dades. Aquest darrer punt, unit amb els rep-tes que planteja la identitat digital en el nostre país materialitzada amb la Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica que aplica de forma parcial l’eIDAS i que es troba actu-alment en revisió ja preveu entre les seves modificacions una abraçada a la disrup-tivitat i al futur. El futur pertany a l’Homo digitalis que recupera així el control de les seves dades (self-sovereign identity).
El Periodic d’Andorra.