La Comissió Europea, Andorra, i les transferències internacionals de dades personals
El passat 22 de gener l’Agència Andorrana de Protecció de Dades anunciava que en el primer informe final de revisió de les decisions d’adequació prèvies a l’entrada en vigor al Reglament General de Protecció de Dades, publicat per la Comissió Europea, se celebra l’evolució del marc legal andorrà des de l’aprovació de la Llei Qualificada 29/2021 de protecció de dades personals (LQPD) destacant l’augment del nivell de protecció al país en aquest àmbit.
Aquest procés d’avaluació per part de la UE ratifica l’harmonització del marc normatiu andorrà amb els estàndards europeu de protecció de dades personals, com a base per a la protecció de la privadesa i de la seguretat de la informació personal.
Concretament, pel que fa a les transferències internacionals de dades –enteses com aquelles comunicacions de dades destinades a un receptor domiciliat a l’estranger o que empri mitjans de tractament ubicats fora d’Andorra–, l’informe, que dona el vistiplau a les transferències fetes de l’Argentina, Canadà, Israel o Suïssa, entre altres onze Estats, destaca que Andorra proporciona un nivell adequat de protecció a les dades personals transferides des de la UE, si bé remarca la importància d’arribar a disposar d’un règim regulador específic per garantir l’adequació als estàndards de regulació de què disposen la resta de països europeus.
De fet, d’acord amb la LQPD, el principi general que regeix les transferències internacionals és la prohibició de transferir dades personals quan el país o l’organització internacional de destí de les dades no estableixi, en la seva normativa vigent, un nivell de protecció equivalent, com a mínim, a l’andorrà. La principal finalitat d’aquesta prohibició és garantir que no es menyscabi el nivell de protecció de les persones físiques que estableix la normativa andorrana, encara que les dades es destinin a un país estranger o una organització internacional.
En conseqüència, les dades només es poden comunicar a un tercer país o a una organització internacional quan Andorra hagi adoptat una decisió reconeixent un nivell de protecció adequat, de manera que si no es disposa d’aquesta determinació, el responsable o l’encarregat del tractament de les dades personals només pot transferir-les si existeixen garanties adequades sobre la protecció que rebran a la seva destinació, per exemple, mitjançant normes corporatives vinculants, o codis de conducta, juntament amb compromisos vinculants i exigibles per part del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses les relatives als drets de les persones interessades.
Aquest paradigma europeu per a la transferència internacional de dades afecta no només als estats membres de la Unió Europea sinó que les seves conseqüències s’estenen a nivell global en el context de l’economia digital i globalització en el que vivim. Per tant, Andorra, ha de seguir en aquesta via no només per assegurar la protecció dels particulars i de les seves dades personals sinó per garantir la cooperació internacional entre les autoritats de control.