Després de divuit anys d’ençà que el Consell General va aprovar la primera Llei qualificada de protecció de dades personals, el passat 17 de novembre de 2021 ha estat publicada la nova Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (en endavant LPD), que entrarà en vigor al maig del 2022.

Aquesta Llei té per objecte actualitzar la normativa andorrana relativa al tractament que tant persones o entitats privades com l’Administració pública duen a terme de les dades corresponents a persones físiques, a la llum de la nova regulació europea, especialment al Reglament (UE) 2016/679 del Parlament Europeu i del Consell. La nova Llei introdueix novetats importants respecte a la legislació anterior, motiu pel qual el present article busca concretar les obligacions en matèria de protecció de dades que es deriven per a la professió de l’advocacia.

En aquest sentit, els advocats (o l’organització a la que pertanyen), han d’aplicar un conjunt de mesures tècniques, organitzatives i legals que permetran a l’organització assegurar la confidencialitat, integritat i disponibilitat de la informació.

En primer lloc, convé fer esment al deure específic que estableix la nova LPD de, a l’hora de tractar dades personals dels clients, assegurar recavar el consentiment exprés dels mateixos. A aquests efectes, s’entendrà per consentiment la manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta (art. 4.2 LPD), quedant exclòs el consentiment tàcit.

Altrament, la LPD afegeix pels interessats, al marge dels tradicionals drets ARSO (accés, rectificació, supressió i oposició), altres nous, els quals hauran d’ésser garantits pels advocats en el tractament de dades personals. En primer lloc, el dret de limitació, el qual implica que els afectats podran sol·licitar la limitació en el tractament de les seves dades personals (art. 22 LPD). Per un altre costat, el dret a la portabilitat, que comporta el dret a que transmeti les dades a un altre responsable del tractament o al mateix interessat, a través d’un format estructurat d’ús habitual i lectura mecànica, quan el tractament s’efectuï per mitjans automatitzats (art. 23 LPD). Igualment, es contempla el dret de la persona interessada a no veure’s sotmesa a decisions individuals automatitzades i elaboració de perfils (art. 25 LPD).

Tanmateix, de la nova Llei es deriva l’obligació pels advocats de realitzar un anàlisis dels riscos, és a dir, hauran de valorar les possibles contingències d’aquests tractaments de dades. Consegüentment, pel cas que el risc resulti especialment alt, hauran de realitzar una avaluació de l’impacte a fi de minimitzar les possibilitats d’afectar als drets o llibertats dels interessats, i hauran d’implementar les mesures de seguretat adequades (art. 32 LPD).

Resulta precís considerar també l’exigència de portar el registre d’activitats de tractament, que únicament es donarà quan l’organització compleixi els següents requisits: tingui més de 50 treballadors; el tractament pugui comportar un risc per als drets i les llibertats de les persones interessades; no sigui ocasional; o inclogui categories especials de dades personals (art. 34 LPD).

D’altra banda, quan es cedeixin dades a tercers, s’exigirà un deure de diligència en la selecció de l’encarregat del tractament. Concretament, s’haurà d’escollir un encarregat que ofereixi les garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de forma que el tractament garanteixi la protecció dels drets dels interessats, i aquest només podrà tractar aquestes dades seguint instruccions del responsable, tret que hi estigui obligat per una exigència legal (art. 31 LPD).

Encara més, quan l’advocat formi part d’una organització, els treballadors de la mateixa hauran de signar un acord de confidencialitat per evitar que les dades personals que es tracten puguin arribar a persones no autoritzades. Així mateix, s’haurà d’assegurar que els treballadors compleixin amb les mesures de seguretat establertes.

Pel supòsit que es produís una violació de la seguretat de les dades personals, com és un cyberattack, aquesta haurà de ser notificada a l’Agència Andorrana de Protecció de Dades (APDA) en un termini màxim de 72 hores (art. 36.1 LPD), i si escau, als interessats afectats (art. 37.1 LPD).

En darrer terme, afegir que la nova Llei ha introduït la figura del Delegat de Protecció de Dades (DPD), qui és la persona encarregada d’instruir al responsable del tractament sobre les obligacions legals que ha d’observar en l’àmbit de la protecció de les dades. Pel cas dels despatxos d’advocats, atenent a que, per regla general, tracten dades personals a gran escala, serien considerats com a subjectes obligats a designar un DPD.

A tall de conclusió, els professionals de l’advocacia, en tant que professió que presta un servei a la societat en interès públic per mitjà del consell i la defensa de drets i interessos públics i privats, es determinen com a subjectes obligats per la LPD, quina busca assegurar un nivell adequat de protecció de les dades de caràcter personal de les persones físiques, en tant que dret fonamental garantit per l’article 14 de la Constitució del Principat d’Andorra.