El Paquet Òmnibus Digital de la UE: oportunitat o risc per al model andorrà de protecció de dades?

Principals novetats en protecció de dades i ciberseguretat

Canvis al RGPD

Segons el resum de la proposta de la UE, el Reglament Òmnibus sobre l’Acervo Digital introdueix, entre d’altres, els punts següents:

• Redefinició de “dada personal”
  Es vol incorporar al text del RGPD la doctrina del TJUE sobre la inaplicabilitat del RGPD a determinades dades seudonimitzades. Això obre la porta a una distinció més gran entre dades clarament identificatives i dades gestionades mitjançant identificadors.

• Noves excepcions per a dades especialment protegides
  Es creen excepcions específiques per permetre el tractament de categories especials de dades amb finalitats de:

  • control i supervisió de sistemes d’IA, i

  • verificació biomètrica.

• Integració de part de la Directiva ePrivacy dins el RGPD
  Per primera vegada, el règim de cookies i altres tecnologies de seguiment s’integraria directament en el RGPD, amb la promesa de reduir la “cookie fatigue” i simplificar el marc actual.

• Termini de notificació de violacions de seguretat: de 72 a 96 hores
  Es proposa allargar el termini general de notificació de violacions de seguretat a l’autoritat de control, passant de les 72 hores actuals a 96 hores.

  Single-entry point per a notificacions d’incidents

  Un dels elements estrella del paquet és la creació d’un punt únic de notificació d’incidents de ciberseguretat (“single-entry point”) a escala UE.

  La idea és que les empreses que avui han de notificar el mateix incident sota diversos marcs (NIS2, RGPD, DORA, CER, eIDAS2, etc.) puguin fer una sola notificació a través d’una plataforma comuna gestionada per ENISA, que es redistribuiria a les autoritats competents.

  Això no només és una simplificació administrativa; també implica un redisseny de fluxos entre autoritats de ciberseguretat i autoritats de protecció de dades.

  Canvis al Reglament d’IA

  Pel que fa al Reglament d’IA, el paquet proposa, en síntesi:

  • Terminis més llargs i condicionats per fer exigibles les obligacions sobre sistemes d’IA d’alt risc.

  • Més flexibilitat i exoneracions per a mid-caps.

  • Impuls als sandboxes reguladors i proves en entorns de món real.

  • Possibilitat de tractar dades especialment protegides per detectar i mitigar biaixos discriminadors.

  Des del punt de vista andorrà, això impacta sobretot en projectes d’IA que utilitzin dades de residents a la UE o que vulguin operar al mercat comunitari.

  La mirada crítica de NOYB: “el retrocés més gran en drets digitals en anys”

  L’ONG NOYB (Max Schrems) ha sortit en tromba contra el paquet Òmnibus, amb una sèrie de comunicats i un informe jurídic detallat on etiqueta la reforma com “el major atac als drets digitals dels europeus en anys” i una autèntica “mort per mil talls” del RGPD.

• NOYB denuncia que la nova redacció permetria passar d’una definició objectiva (dada vinculable directament o indirectament a una persona) a una visió subjectiva basada en el que l’empresa diu que pot o vol identificar.

  Conseqüències pràctiques:

  • Sectors que operen amb ID pseudoanònims (publicitat, data brokers, etc.) podrien sostenir que no tracten “dades personals”.

  • Les autoritats i les persones afectades tindrien molt més difícil saber quan s’aplica el RGPD.

  • S’obriria un camp de batalla interpretatiu que pot debilitar greument l’exigibilitat de la norma

• NOYB alerta que el paquet Omnibus obre la porta a:

  • Permetre que grans plataformes (Meta, Google, etc.) utilitzin dades personals acumulades durant anys per entrenar sistemes d’IA, sota conceptes com “interès legítim”, i

  • Traslladar a l’usuari la càrrega d’un opt-out pràcticament impossible (l’usuari ni sap quines empreses estan entrenant models amb les seves dades).

  Segons Schrems, això equival a una carta blanca per a entrenar IA amb dades molt sensibles en contra del principi de minimització i del control efectiu de la persona sobre la seva informació.

  El marc actual andorrà

  La LQPD 29/2021 s’ha dissenyat per apropar-se al RGPD i mantenir el nivell d’adequació reconegut per la UE.

  Pel que fa a les violacions de seguretat de dades personals:

  • L’article 36 de la LQPD estableix el deure de notificar a l’APDA quan una violació de seguretat pugui comportar un risc per als drets i llibertats de les persones.

  • La Guia de notificacions de violacions de seguretat de l’APDA concreta:

    • Qui ha de notificar (el responsable del tractament).

    • Tipus de notificacions (completa, inicial/parcial, modificació).

    • El contingut detallat de la notificació (tipologia de la violació, mesures aplicades, conseqüències, etc.).

  En la pràctica, el marc andorrà està molt alineat amb el model de 72 hores del RGPD, amb un èmfasi clar en la proactivitat i la cooperació amb l’APDA, com s’ha vist en casos de ciberatacs recents.

  Quins canvis del Paquet Òmnibus podrien impactar la LQPD?

  Encara que Andorra no és estat membre de la UE, els canvis en el RGPD i en els reglaments digitals poden incidir de facto en l’estratègia legislativa andorrana. Alguns punts clau:

  1. Termini de notificació (72h vs 96h)

     • Si el RGPD passa a 96 hores, Andorra té tres opcions:

       • Mantenir 72 hores com a estàndard més exigent (posicionant-se com a jurisdicció de “high compliance”).

       • Harmonitzar a 96 hores, per reduir friccions operatives a grups empresarials que operen a la UE i Andorra.

       • Adoptar un model mixt: 72 hores com a objectiu general i 96 hores com a límit màxim en supòsits justificats.

  2. Single-entry point vs marc APDA actual

     • El model UE preveu un portal únic que distribueix notificacions a les autoritats pertinents.

     • A Andorra no existeix aquest multi-nivell, però podria tenir sentit:

       • Dissenyar un punt únic nacional de notificació d’incidents, amb integració entre APDA i les autoritats sectorials de ciberseguretat.

       • Adaptar els formularis i processos de l’APDA per ser compatibles amb futurs esquemes de cooperació amb autoritats europees.

  3. Redefinició de “dada personal” i dades seudonimitzades

     • Si la UE introdueix una definició més “subjectiva” i permissiva, Andorra haurà de decidir:

       • Si segueix fidel al concepte clàssic objectiu (mantenint un nivell alt de garanties), o

       • Si s’alinea amb la UE encara que això suposi afeblir el control sobre determinats tractaments, especialment en publicitat, data brokers i IA.

  4. Integració cookies/ePrivacy en protecció de dades

     • La proposta europea d’integrar una part d’ePrivacy dins el RGPD pot inspirar una revisió andorrana:

       • Per concentrar el règim de cookies i tecnologies de seguiment al voltant de la LQPD i les guies de l’APDA.

       • O bé per mantenir un esquema més dispers però clarament garantista.

  5. IA i tractament de dades especials

     • Si la UE amplia les excepcions per tractar dades especials per controlar biaixos en IA, Andorra haurà de valorar:

       • Com encaixar-ho amb el seu propi règim de dades sensibles.

       • Quin nivell de garanties addicionals (DPIA, supervisió de DPD, etc.) exigeix als projectes d’IA amb dades de salut, dades biomètriques, etc.

     Conclusió

     El Paquet Òmnibus Digital és, alhora, una oportunitat de simplificar i una amenaça potencial de rebaixar garanties.

     Per a Andorra, que ha fet una aposta clara per un model de protecció de dades equiparable al de la UE, la pregunta clau no és només “com s’adapta” a la nova realitat europea, sinó fins a quin punt vol compartir també un eventual retrocés en drets digitals.

     • En matèria de violacions de seguretat, el debat sobre el pas de 72 a 96 hores i sobre el single-entry point pot aprofitar-se per reforçar la maduresa del sistema andorrà, no per relaxar-lo.

     • Davant les crítiques de NOYB i de la societat civil, té sentit que el legislador andorrà es posicioni clarament en favor d’un model de protecció robusta, que jugui l’avantatge competitiu d’un entorn segur i previsible per a projectes digitals i d’IA.