El passat 11 de juny la Iniciativa ACTUA, un ens de caràcter públic-privat que aglutina diversos ministeris, agències governamentals i associacions del sector privat, i que té com a missió millorar la competitivitat, la innovació i la sostenibilitat de l’economia al Principat d’Andorra, va organitzar un webinar sobre la protecció de dades personals a Andorra (LQPD i RGPD).

Amb aquest post volem:

  • agrair a ACTUA que ens invitessin a participar,
  • aprofitar per reproduir el youtube de la intervenció de Win2Win, i
  • repassar els aspectes més rellevants de l’aplicació de l’RGPD al país.

Esperem que us agradi, i restem a la vostra disposició per a qualsevol aclariment que calgui sobre el que diem a continuació.

1.- Canvi d’esquema mental

Fins a l’any 2018 les empreses identificàvem la protecció de dades personals amb dues coses que s’havia de fer una vegada en la vida:

  1. Registrat els fitxers de dades personals a l’APDA, i
  2. Posar a la seva web un avís legal, i una política de privadesa i cookies.

Fet això, una empresa típicament no tornava a ocupar-se de protegir les dades personals. Havien de ser les persones perjudicades per l’activitat de les empreses qui denunciessin els problemes d’aquestes.

El vigilant del compliment normatiu era el denunciant, que a més no tenia fàcil demostrar la responsabilitat de l’empresa en el perjudici que patia.

Si la denúncia prosperava, l’empresa pagava la multa, corregia més o menys allò que infringia, i seguia amb la seva activitat.

És fonamentalment per això que la immensa majoria de les empreses no es van preocupar de canviar res, o casi res, per la normativa vigent. Els canvis arribaven per

  • les denúncies, com van dir, o
  • per l’alt risc d’empreses grans de no passar l’auditoria anual, quan estaven obligades a fer-la i aquesta auditava la protecció de dades, i

les mesures per solucinar els problemes se centraven en protegir la infraestructura, en lloc de protegir a les persones les dades de les quals gestionaven.

Fins a maig del 2018, les empreses que vivien de monetitzar dades podien fer gairebé el que volguessin. Podien despreocupar-se de sospesar les conseqüències de les seves activitats perquè els beneficis d’aquestes eren molt superior a les multes que, segons el cas, rebien.


L’RGPD marca un abans i un després en la privacitat i la protecció de les dades personals


L’RGPD arriba al maig del 2018 per a exigir als responsables de les dades personals, i als seus treballadors i proveïdors, un canvi de mentalitat que:

  1. els acosti al que la societat entén per privacitat, i
  2. al que realment els interessats esperen que hauria de ser la “protecció de les seves dades personals”.

1.1.- Compliment proactiu

D’entrada, el compliment ja no consisteix en registrar uns fitxers i publicar uns documents, que en molts casos són lletra morta.

La nova normativa exigeix al responsable que s’involucri activament perquè cap persona resulti perjudicada per causa seva, dels seus treballadors, o dels seus proveïdors. Això és relativament nou:

En endavant el responsable ho és també de tot el que facin els seus treballadors o proveïdors en el seu nom. I l’absència d’instruccions, li condemna.

Addicionalment, atès que la realitat és altament canviant, i els enfocaments estàtics es queden obsolets al cap de pocs mesos d’acabar la seva implantació:

L’obligació de vigilar i actuar per tal d’evitar perjudicis a les persones s’estén a tot el temps del tractament (incloent-hi l’emmagatzematge) de les seves dades.

1.2.- Focus en les persones

L’objectiu de la normativa ha canviat:

  • Ja no és que el responsable protegeixi les dades personals amb les quals treballa,
  • Ara se li demana que s’esforci a
    1. predir tot el que li podria passar a una persona pel fet que el responsable treballi amb les seves dades, i
    2. implantar les mesures legals, tècniques i organitzatives que siguin necessàries per a evitar-ho.

El canvi és fonamental. Penseu per exemple en l’amenaça del foc:

  • Abans del canvi normatiu, el responsable havia de preocupar-se de que el foc no arrasa-si els sistemes.
  • L’RGPD, en canvi, no es vol ocupar dels actius de l’empresa. El que li demana és:
    • que el foc no sigui motiu d’exposició indeguda de les dades personals (confidencialitat).
    • poder restaurar una còpia de seguretat de les dades personals per assegurar que el foc no les va alterar o destruir (integritat i disponibilitat), i
    • que, en la mesura del que és possible, es restauri ràpidament el servei (resiliència).

En resum, quant a la protecció de les dades personals, el que importa ara són les persones, no les empreses.

1.3.- Sancions dissuasòries

Per aconseguir que aquesta normativa es respecti, les Autoritats de Control fan tres coses que li donen la volta a la truita:

  • han establert canals de denúncia, per a que les persones (els autèntics revisors del compliment normatiu) es queixin gratuïtament dels perjudicis que pateixin,
  • li deixa la “carrega de la prova” al responsable, pel que serà aquest qui hagi de demostrar que el denunciant no té raó, i
  • es demana al infractor que, juntament amb la ràpida resolució dels problemes, justifiqui la raó per la qual no va ser capaç de prevenir-los.

Si aquesta justificació no és convincent, l’autoritat de control farà altres tres coses per evitar que algú altre es plantegi si li surt a compte:

  • li imposarà una sanció que, per a la grandària de les empreses andorranes, serà de:
    • fins als 10M€ si la infracció no és molt greu, o de
    • fins als 20M€ si ho és,
  • li imposarà, si escau, una indemnització pels afectats, i
  • publicarà la sentència a l’Internet per tal que els seus clients sàpiguin a qui li confien les seves dades personals.

Si tot això no porta a l’empresa a fer fallida, és segur que li costarà recuperar la seva tresoreria i el seu fons de comerç.

En resum, que ja no surt a compte ni despreocupar-se de les dades personals, ni jugar-se-la a infringir la normativa.

2.- Àmbit d’aplicació

Després de repassar la importància i el “canvi de xip” que l’RGPD exigeix al món empresarial i a l’ens públic caldria preguntar-se fins a quin punt aquests canvis esdevinguts a nivell mundial ens apliquen a Andorra.

La resposta depèn de en quin moment estiguis llegint aquest post:

  • Si ho fas abans que la LQPD s’alineï amb l’RGPD (probablement abans del Q1 del 2021), aplica en els casos de la figura, mentre que
  • Si ho fas després de les esperades esmenes a la LQPD, probablement ja t’està aplicant de ple.

Ens és obligatori aplicar l’RGPD, en general, sempre que:

  1. en les nostres activitats participi d’alguna manera un “establiment” a la UE, i/o
  2. adrecem ofertes de bens o serveis a potencials clients de la UE, i/o
  3. monitorem el seu comportament quan encara son a la UE.


En qualsevol cas, la recomanació de l’APDA i la nostra és començar a comportar-se com si a més de la LQPD ens apliqués també l’RGPD des de ja.

2.1.- “Establiments” a la UE

L’RGPD aplica als responsables d’Andorra quan compten amb un “establiment” a la UE sense el qual els seus serveis no serien el que són.

Posem entre cometes la paraula “establiment”, perquè el seu significat està més a prop del que entenen les agències tributàries que del que normalment s’entén.

Un “establiment”, en termes del RGPD és qualsevol persona física o jurídica que opera des de la UE amb la qual tinguem un acord estable. Per exemple:

  • una agència de màrqueting que reiteradament ens porta les campanyes publicitàries en algun país de la UE, o
  • agents comercials, venedors, o,
  • algun empleat o col·laborador, o, i ara sí,
  • la filial o la sucursal en la tots solem pensar quan se’ns parla de establiments (sense cometes).

2.2.- Activitats relacionades amb l’oferta de bens o serveis a persones que són a la UE

Les nostres activitats relacionades amb clients de la UE als quals ens hem dirigit mentre estaven a la UE, estan subjectes a l’RGPD.

Per exemple, totes les activitats relacionades amb ofertes o informació que doni una web que no sols estigui dirigida als andorrans (multi-idioma, etc.).

2.3.- Activitats relacionades amb el monitoratge de persones que són a la UE

Quan vigilem el que fan les persones que estan a la UE, encara que no resideixin allí.

Per exemple:

  • Si la nostra empresa té una app amb geolocalització,
  • Si deixem una cookie o similar al dispositiu d’un (potencial) client per saber per on navega.
  • etc.

3.- Noves obligacions

Els principals “mantres” de la responsabilitat proactiva podrien ser alguna cosa així com:

(1) Coneix-te a tu mateix i no ocultis el que vols fer amb les dades que recullis,

(2) Preveu la pèrdua, i l’ús, alteració o destrucció no autoritzada de les dades personals de les quals respons (et pot passar a tu), i

(3) Deixa’t assessorar pel que sap més que tu.

En aquest altre post resumim amb més serietat les obligacions dels responsables del tractament. Els següents apartats afegeixen al dit post una agrupació de les principals obligacions del responsable per classe de “mantra”.

3.1.- Coneix-te a tu mateix i no ocultis el que vols fer

Les següents cinc obligacions de l’RGPD tenen, si fa o no fa, la voluntat d’obligar-nos a conèixer-nos, i estar “en sintonia” amb els interessats.

3.2.- Prevenir en lloc de curar.

Aquestes altres cinc persegueixin minimitzar els imprevistos. Hi ha imprevistos inventariables, i imprevistos no-inventariables. Aquí es tracta de reduir la probabilitat i/o l’impacte dels imprevistos inventariables:

  • Desastres naturals com són el foc o les inundacions,
  • Atacs de hackers o malware,
  • Usuaris que volen fer un ús fraudulent dels serveis,
  • Errors que es podrien haver eliminat amb bona disciplina i/o bona gestió
  • Etc.

3.3.- Assessora‘t bé

Per últim, aquestes dues obligacions estan relacionades amb l’obligació de tenir un bon assessorament i una representació digna en matèria de protecció de dades. El quin tinguis t’ha d’aportar valor, si no, perquè ho tens? (no ens estalviarà problemes, ni ens ajudarà a resoldre’ls).

4.- Els beneficis per l’empresa

I no voldríem concloure aquest post sense subratllar que també hi ha coses bones en el Reglament, no només obligacions. Aquesta última figura enumera els beneficis més obvis, d’entre els que ens agradaria ressaltar:

La confiança que el bon compliment de l’RGPD desenvolupa en els nostres clients i usuaris. El futur es caracteritza per la incertesa de tot el que és nou i canviant, i tenir proveïdors de confiança ens farà dormir més tranquils,

El posicionament en concursos públics. Els ens públics estan obligats a complir l’RGPD quan donin servei a persones de la UE (i a donar exemple sempre). I com ja vam dir, el licitador respondrà del que facin els seus proveïdors, pel que aquests que no compleixin l’RGPD no es podran presentar, i

La prevenció de responsabilitat heretada, de la que m’agradaria posar un exemple mitjançant el recent cas de l’adquisició de Starwood per part dels hotels Marriott que expliquem breument després de la figura.

El cas Marriott

Al setembre de 2016, Marriott International va adquirir la cadena d’hotels Starwood per $ 13,6 mil milions. En paraules del CEO de Marriott, la “raó central i estratègica per a la transacció” eren les dades dels clients de Starwood, la despesa mitjana dels quals i lleialtat eren molt superiors als dels seus propis clients gràcies als seus programes de fidelització. Aquests programes “brinden als hotels una gran quantitat d’informació sobre els seus hostes“, que els hotels poden usar per a “crear campanyes de màrqueting enfocades amb làser per a diferents tipus d’hostes“.

La responsabilitat heretada amb l’adquisició

Com ha suggerit una recerca interna, els delinqüents darrere de la violació per la qual la UE ha imposat una multa de més de 100 milions d’Euros a Marriott van obtenir “accés no autoritzat a la base de dades, que contenia informació dels hostes relacionada amb les reserves en les propietats de Starwood des del 2014 fins al 10 de setembre de 2018”. Per a alguns clients, aquesta informació incloïa dades de contacte, adreces postals, noms i fins i tot números de passaport. Marriott International (i no es descarta que pogués haver-hi informació de pagaments).

Aquesta bretxa de seguretat va passar de ser cosa de Starwood, a imputar-se directament a Marriott International, que va sofrir una caiguda del preu de les seves accions superior al 5% tan sols durant la nit en la qual es va publicar l’incident. Però no acaba l’impacte en la multa i la caiguda del preu de l’acció, sinó que com qualsevol violació de dades, aquest incident ha danyat confiança dels clients.

L’efecte de no haver previngut que juntament amb les dades s’adquireix la responsabilitat sobre aquests

Per a tractar de restablir aquesta confiança, Marriott International: ha creat un lloc web sobre l’incident i un centre d’atenció telefònica dedicat; a més d’enviar notificacions per correu electrònic als afectats, i ha contractat un servei especial de per a alertar-los en el cas que les dades personals que els van robar es comparteixin en línia (en alguns països). Tot això requereix molt més diners i recursos dels quals li hauria suposat prevenir l’incident, i sens dubte el criteri de “protecció de dades personals” serà determinant en valorar la seva pròxima adquisició.