Diari digital d'Andorra Bondia
Joan Crespo: “L’important com a país és mantenir la decisió d’adequació de la UE”
Joan Crespo: “L’important com a país és mantenir la decisió d’adequació de la UE”

Joan Crespo: “L’important com a país és mantenir la decisió d’adequació de la UE”


Escrit per: 
M.S. / Foto: Jonathan Gil

El cap de l’agència de protecció de dades, Joan Crespo, estrena quart mandat, i ho fa amb el repte d’afrontar tota la nova normativa europea en la matèria que entrarà en vigor i les repercussions que tindrà al país. Crespo incideix en la necessitat que es reguli la instal·lació de sistemes de videovigilància i avisa que cal canviar i modernitzar la Llei de protecció de dades i que farà una proposta al Consell General.

Arrenca un quart mandat, però com valora la feina feta fins ara tenint en compte que amb l’APDA es va haver de començar de zero? 
Quan es crea una institució independent de les administracions públiques, quan s’aprova una llei recent o quan es parla d’una qüestió tan complexa com és la protecció de dades personals no és senzill, però crec que s’ha fet un camí molt important. Introduir-se dins la societat per arribar a totes les capes i a tots els ciutadans no ha estat fàcil, tot i que sí que a poc a poc s’ha anat assolint el repte, i a poc a poc també els ciutadans, a qui va dirigida la institució, s’adonen més de la importància que té tractar tota la seva informació amb molta més cura i cada vegada reconeixen quins són els seus drets, que la mateixa llei empara. 

Com valora la confiança atorgada pel Consell General per quarta vegada? 
Estem molt agraïts a tots els consellers generals que hem tingut l’ocasió de conèixer i tractar en aquests quatre mandats, que han estat en diverses legislatures, diferents grups parlamentaris i diferents sindicatures. És un honor que se’ns renovi la confiança i vol dir que alguna cosa haurem fet bé, però hem de ser humils. No hauríem fet aquesta feina sense la gent que està a l’agència, sense el suport, tant pressupostari com legislatiu, del Consell General i també de les administracions públiques. Només ens podem sentir agraïts i il·lusionats, ja que en aquests quatre anys que comencem ara els reptes són molt importants. 

Quina ha estat l’evolució de les consultes? S’han estabilitzat amb el pas dels anys?
Més que estabilitzat diria que han anat creixent cada any. Per part de les administracions públiques hi ha una inquietud per fer les coses ben fetes, hi ha un interès que, sobretot, la resolució que vam obtenir de la UE de l’adequació respecte a les transferències internacionals de dades es mantingui i es consolidi. Hem de tenir en compte que la decisió d’adequació està, des del 2017, en una supervisió constant. És a dir que no és una norma ISO, un certificat de qualitat. És una decisió política i administrativa i la Comissió Europea és potser de les primeres vegades que emet una resolució reconeixent un país tercer com és Andorra que la seva legislació està adaptada a la normativa europea. I és de cabdal importància mantenir-la. 

Què implica això?
Vol dir que qualsevol norma, llei, projecte de llei que afecti el tractament de dades personals, com pot ser la Llei d’intercanvi automàtic d’informació fiscal o la futura llei de drets i deures dels pacients i la història clínica, en què també hem intervingut, s’ha d’adaptar a la normativa de protecció de dades. I més tenint en compte les particularitats del país perquè, en el cas de l’àmbit sanitari, molts pacients s’han de tractar fora i per tant hi ha una transferència internacional de dades. També en el cas de l’obertura econòmica, ja que les empreses que vinguin s’hauran d’adaptar a la normativa andorrana però també nosaltres haurem d’adaptar-nos als requisits que exigeix la UE. I així en qualsevol àmbit, ja que la protecció de dades abraça tots els sectors. 

Quines han estat les consultes més freqüents?
Al principi, el primer va ser situar l’agència. Vam fer una gran tasca de formació, tant en les administracions públiques com en les organitzacions privades, amb moltes xerrades i formacions, que continuem fent. Al principi les consultes eren sobre de què es tracta això de la protecció de dades, quines obligacions tenim, què s’ha de fer, què és un fitxer, com s’ha de regularitzar... Ara ja no. Ara ja es tracta, en el cas de redactar un reglament o un projecte de llei, de demanar quin és l’articulat que s’ha de preveure perquè el text s’adapti a la normativa andorrana i evidentment també a l’europea. Que s’ha de fer una transferència de dades internacional? Doncs es demana com s’ha de fer. Com s’ha d’utilitzar el cloud computing, com s’ha de procedir si es té els servidors en un país no europeu. De la part purament formal s’ha passat a una part més de fons, d’entendre i respectar quins són els drets de les persones i aplicar-los realment des de les organitzacions. 

Això en l’àmbit més institucional, però i des del punt de vista més del ciutadà?
A nivell de carrer faig sempre una distinció entre els professionals del dret o els que tenen una certa capacitació universitària i el ciutadà corrent. Aquest darrer, normalment, la pregunta que es fa és què és això de la protecció de dades i quins són els drets que té i en què l’empara la Llei de protecció de dades. Aquest coneixement que té uns drets i que els pot exercir s’està introduint cada vegada més. Entre les preguntes habituals, per exemple en la qüestió de la salut, hi ha com poden accedir a la seva història clínica o, respecte a les entitats financeres, quins són els drets que els emparen o quines dades tenen. És el que anomenem el dret d’accés.  

Però n’hi ha d’altres.
També ha anat sempre amb una línia ascendent la preocupació per la videovigilància, per la instal·lació i la utilització d’aquestes càmeres. Hi ha hagut algunes polèmiques per certes interpretacions que es puguin fer d’aquesta instal·lació. S’ha d’avaluar i analitzar molt bé. Des de l’agència sempre hem mantingut que hi ha un dret fonamental a la protecció de dades que s’ha de protegir, però que també hi ha un dret a la seguretat. Hi ha hagut també un increment molt gran de les consultes pel que fa a les comunitats de propietaris, quina figura té la junta o el president de la comunitat amb l’administració de finques. I també hem tingut alguna reclamació sobre la utilització o la duplicació de perfils a Facebook o alguna xarxa social, tot i que aquí la intervenció de l’agència ha estat més aviat formal perquè han estat qüestions que s’encaminaven més cap a la via penal.

Parlava de la videovigilància, que és una qüestió complexa, com el debat sobre privacitat i seguretat, i en què manca regulació.
Cal distingir dos aspectes. El primer seria l’autorització per a la instal·lació, i l’altre, la utilització de les imatges en tant que dades de caràcter personal. Sí que és cert que hem reclamat des de fa molt temps que es reguli la instal·lació de les càmeres de videovigilància. És cert que en la via pública les competències haurien de ser de les autoritats policials o de seguretat i per això des de l’agència hem demanat sempre que fos el ministeri d’Interior o la policia qui tingués un control dels tipus d’instal·lacions i de la proporcionalitat d’aquestes mesures. Tot i que també cal dir que els serveis del ministeri d’Interior, quan hi ha hagut un problema d’ordre públic, el primer que van a mirar és si algú té algun tipus de videovigilància. Des del Govern s’està promovent una llei de seguretat ciutadana en què sembla que hi haurà, perquè no l’hem vista, un apartat per regular les càmeres de video­vigilància. 

I pel que fa al tractament de les imatges?
Ja el 2015 vam publicar una recomanació en què exposàvem les qüestions que afectaven el tractament de la imatge. I es deia que hi ha d’haver una finalitat concreta, que només podia ser la qüestió de la seguretat, per dissuadir de cometre actes vandàlics i mantenir la seguretat ciutadana, que justificaria la instal·lació de sistemes de videovigilància. Per altra part, és obligatori que les institucions publiquin el corresponent fitxer de dades personals al BOPA i també hi ha una restricció quant a l’accés a aquestes imatges i la visualització, així com al manteniment. També hi ha l’obligació legal d’instal·lar rètols informatius en tots els llocs públics on hi hagi instal·lats aquests sistemes. Aquestes són les obligacions que ara per ara imposa la normativa i que hem tingut en compte en els casos en què se’ns ha demanat informes.

Parlava de reptes importants, suposo que l’adaptació a la nova normativa europea nés un.
El 2016 el Parlament Europeu va aprovar tres normes importants. El reglament europeu de protecció de dades que actualitza la directiva del 1995; la directiva sobre el tractament de dades amb finalitats fiscals i policials, i la directiva sobre els passatgers. A nosaltres ens afecten sobretot els dos primers, i, en especial, el reglament, que ha tingut un període de carència de dos anys i que serà d’obligat compliment el 2018. 

Què pretén i què comportarà aquest reglament?
El reglament té tres objectius: reforçar els drets de les persones, responsabilitzar les empreses que tracten dades i que el ciutadà sàpiga que aquesta regulació va en defensa seva. Les empreses andorranes que vulguin tractar dades de ciutadans europeus s’hauran d’adaptar al reglament. I aquest preveu, per exemple, que el principi de consentiment ja no sigui per defecte sinó que haurà de ser explícit. Es reforça el dret d’informació, també es reforça la protecció dels menors d’edat i també s’inclou en la protecció les dades d’àmbit penal així com les biomèdiques i genètiques. Se suprimeixen algunes obligacions per part de les empreses. Per exemple, abans es feien autoritzacions prèvies i ara ja no. Ara es pretén que qualsevol empresa que pugui tractar dades a nivell global, especialment dades sensibles, hagi de fer un estudi previ dels riscos que per a la privacitat de les persones tenen aquestes bases de dades.  També hem de tenir en compte que moltes de les dades que s’utilitzen serveixen per fer-nos perfils, ja siguin de consum, crediticis, sanitaris, la utilització del big data... La creació de perfils per part d’empreses especialitzades haurà de tenir el consentiment de la persona interessada, i això afectarà companyies d’assegurances, entitats financeres i d’inversió... 

Parlava de la importància de la decisió d’adequació.
El més important per a nosaltres com a país és mantenir la decisió d’adequació. I és que hem de pensar que la transferència internacional de dades d’entrada de països membres a països tercers està prohibida i només hi ha tres condicions que la permeten: que la Comissió Europea hagi pres la decisió d’adequació, que hi hagi uns codis tipus per part d’empreses i organitzacions que s’autoregulin però que estiguin aprovats per l’autoritat de control i, tercer, adoptar els contractes tipus aprovats per la UE.

I per mantenir-la, què caldrà fer ara?
Com que ja tenim decisió d’adequació, i espero que la seguirem tenint, el que hem de fer ara és informar els diferents responsables dels fitxers i dels tractaments en què els afectarà el reglament europeu encara que no es modifiqui la llei andorrana, que crec que s’ha d’adaptar i modernitzar. Serà una proposta que farem al Consell General i serà decisió del legislador si ho creu oportú o no.

I com es farà aquest procés d’informació?
Hem fet un plantejament, a un any i mig, que és l’elaboració de guies d’informació adreçades als diferents responsables del tractament. Una de les primeres serà sobre quines relacions contractuals hi ha d’haver entre la persona que gestiona el fitxer i si hi ha un encarregat del tractament situat a Espanya, França o qualsevol altre país, com s’ha de regular el principi de consentiment, com s’ha d’oferir el dret d’informació o com s’han d’autoavaluar les empreses abans de posar en funcionament un nou tractament de dades. Això representarà una dotzena de guies diferenciades, que s’han de redactar i elaborar adaptant-les a les necessitats del país, i això és una feina important.

Hi ha prou recursos?
No hi ha prou recursos però no ens queixem. Hi ha la situació que hi ha. Evidentment que m’agradaria tenir deu persones més però no les tenim, així que anirem complint petits objectius amb la gent que som. Si podem disposar de més personal qualificat, benvingut sigui. Però si mires les memòries de qualsevol agència europea, totes es queixen del mateix, que són poques persones. Jo em comparo amb les petites, Mònaco té un pressupost de tres milions d’euros i són deu persones, nosaltres el tenim de 400.000 i som quatre.

També hi ha el dia a dia.
Sí, i volem millorar la pàgina web, que és la via de comunicació més important que tenim, i seguir amb l’atenció als ciutadans, que són el més important. Òbviament, volem ser també al costat de les institucions per a qualsevol dubte que es plantegi. A més, si aconseguim que es modifiqui la llei s’haurà de nomenar delegats de protecció de dades a les empreses grans. El reglament preveu que sigui en les de 250 persones, però la resta també en podran nomenar i, en el cas de les administracions públiques, serà obligatori.
El delegat serà l’alma mater del tractament de la informació i la persona que es relacionarà amb l’autoritat de control i comunicarà qualsevol incidència. El reglament preveu que aquest delegat de protecció  tingui una acreditació i per fer-la caldrà uns estàndards de formació i unes certificacions. I aquesta qüestió ens portarà també feina.

Joan Crespo
APDA

Compartir via

Comentaris: 0

Contacta amb nosaltres

Baixada del Molí, 5
AD500 Andorra la Vella
Principat d'Andorra

Telèfon: + 376 80 88 88 · Fax: + 376 82 88 88

Formulari de contacte