Els professionals de la salut i aquells advocats que treballin sols així com aquells despatxos professionals de dos o menys socis quedaran, en termes generals, exempts de l’obligació de designar el delegat de protecció de dades que preveu la Llei qualificada de protecció de dades personals (LQPD).
Si més no així ho estableix l’Agència Andorrana de Protecció de Dades (APDA) en la instrucció feta pública arran de les diverses consultes rebudes sobre la necessitat de metges i advocats de disposar d’aquesta figura de delegat de protecció de dades, un aspecte que no queda massa clar i genera dubtes d’interpretació en la pròpia llei i també en el reglament d’aplicació de la mateixa que, com assegura l’APDA, “tampoc aportà llum sobre la interpretació de l’article 38.2 de la LQPD”.
I és que malgrat que a priori pel tipus d’activitat i de tractament, categories especials de dades i dades relatives a condemnes i infraccions penals de forma habitual, semblaria que els despatxos d’advocats i els professionals sanitaris entrarien automàticament en els tipus definits en la llei que fixen l’obligatorietat de designar un delegat de protecció de dades, el fet que la mateixa normativa estableixi que el tractament de dades “haurà de donar-se a gran escala” genera dubtes, i més quan aquest concepte no es defineix en la Llei qualificada de protecció de dades.
Amb tot, en la instrucció elaborada per l’APDA, s’incideix que en el reglament d’aplicació de la LQPD si apareix el concepte a gran escala, que condiciona al compliment de determinats criteris. D’una banda, al nombre de persones afectades, independentment que sigui en termes absoluts o com a proporció d’una població determinada, així com al volum i varietat de les dades tractades, especificant que en qualsevol cas el tractament de dades de més de 5.000 afectats ja es consideraria a gran escala. Així mateix, el reglament lliga també aquest concepte a la durada o permanència de l’activitat de tractament i a l’extensió geogràfica de l’activitat de tractament.
Davant d’això, des de l’APDA s’apunta que els despatxos d’advocats i els professionals de la salut hauran de valorar si es troben o no en alguna de les circumstàncies anteriorment descrites per poder determinar així si estan o no obligats a designar un delegat de protecció de dades.
Al marge d’aquest reglament, l’Agència Andorrana de Protecció de Dades té en compte també a l’hora de fixar la seva instrucció la normativa europea i els matisos que s’han fet sobre aquesta qüestió tant des del Comitè Europeu de Protecció de Dades (EDPB) com des del mateix Parlament i Consell de la UE a través del reglament relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades.
D’aquesta manera, en el cas del reglament, es deixa ben clar que “el tractament de dades personals no s’ha de considerar a gran escala si ho fa, respecte de dades personals de pacients o clients, un sol metge, un altre professional de la salut o advocat”, mentre que l’EDPB considera que “com a casos que no constitueixen tractament a gran escala cal assenyalar el tractament de dades de pacients per part d’un sol metge i el tractament de dades personals relatives a condemnes i infraccions penals per part d’un advocat”.
Així, i tot i que ni la disposició del reglament ni la interpretació del Comitè Europeu de Protecció de Dades tinguin un equivalent en la legislació andorrana, des de l’APDA sí que es manté que poden “servir de criteri interpretatiu” en el sentit que “difícilment es poden donar les circumstàncies de la gran escala tant en professionals de la salut o advocats individuals”. Per això l’APDA considera que en aquests casos poden quedar exempts de l’obligació de designar el delegat de protecció de dades, sempre, això sí, que no es donin d’altres circumstàncies previstes en l’article 38 de la Llei qualificada de protecció de dades personals com podria ser “l’observació habitual i sistemàtica d’interessats”.
Casos concrets
Pel que fa a d’altres casuístiques que es donen al país, l’Agència Andorrana de Protecció de Dades deixa clar que en el cas de professionals agrupats sota la forma d’una persona jurídica amb personalitat jurídica pròpia no s’aplicarà l’excepció, ja que l’agrupació en societat implica, entre d’altres, que la responsabilitat de les actuacions dels professionals adscrits és de la mateixa societat.
Per contra, en el cas de professionals autònoms que comparteixen despeses comunes però no s’agrupen sota una mateixa persona jurídica si se’ls podrà considerar com a professionals individuals i responsables del tractament, i per tant podran estar exempts de l’obligació de designar el delegat de protecció de dades. Amb tot, remarca l’APDA, l’excepció dependrà que en cap cas els professionals puguin accedir a les dades dels altres, no comparteixin agendes o no puguin prestar el servei en nom d’un altre professional del mateix local.