L'APDA, en el seu web https://apda.ad, utilitza galetes pròpies o bé d’empreses col·laboradores amb l’objecte de millorar i optimitzar l’experiència d’usuari. Per tal que siguin recollides n’és necessari el consentiment.
Les galetes o cookies són un tipus de fitxer que es descarrega a l’equip d’un usuari/client del web amb la finalitat de recollir dades que podran ser actualitzades i recuperades per l’entitat responsable de la instal·lació. L'APDA utilitza galetes principalment per a les qüestions següents:
La utilització de les galetes per part de l'APDA es deu al propòsit d’intentar optimitzar la informació i els serveis oferts als usuaris, per millorar l’experiència cada cop que s’utilitzen els serveis web.
A les galetes utilitzades per l'APDA no es recull cap dada del client excepte l'acceptació de la política de cookies, en cas de ser acceptada.
Les galetes utilitzades per l'APDA són les següents:
El 16 de setembre del 2024, l’APDA va sancionar amb una amonestació a una empresa de missatgeria postal del país per dues infraccions de la LQPD: d’una banda, per l’incompliment de l’obligació de l’encarregat del tractament d’informar el responsable del tractament sobre la falta de contracte d’encàrrec de tractament i, de l’altra banda, per la falta d’adopció de mesures tècniques i organitzatives apropiades en el procés de lliurament del correu postal.
El context
L’Agència Andorrana de Protecció de Dades (APDA) va rebre el passat 5 de juny del 2024 la reclamació d’un interessat contra una empresa de missatgeria postal. Aquesta reclamació denunciava l’accés indegut per part de terceres persones a dades personals i vulneració de la confidencialitat de la informació.
L’interessat denunciava que l’empresa de missatgeria postal va lliurar una carta sense sobre tancat a persones diferents del destinatari, entenent, per tant, que aquesta darrera no havia aplicat les mesures tècniques i organitzatives per garantir la confidencialitat del contingut.
Les investigacions
L’àrea d’inspecció va donar curs a la reclamació amb l’obertura d’un expedient i va enviar a la mateixa empresa de missatgeria un requeriment d’informació sol·licitant els aclariments següents: una explicació sobre el procediment seguit per l’empresa per la recollida, custòdia i lliurament del correu postal, una explicació sobre les mesures tècniques i organitzatives aplicades per garantir la seguretat de les dades i el compliment del principi d’integritat i confidencialitat de dades personals. L’àrea d’inspecció també va requerir el contracte d’encàrrec de tractament entre l’empresa de missatgeria postal i el responsable de tractament de dades que li havia encarregat el servei d’enviament de la carta.
Els incompliments
Amb la resposta de l’empresa de missatgeria postal, l’APDA va constatar una vulneració dels articles 31 i 35 de la Llei Qualificada de Protecció de Dades (LQPD) en no demostrar que va informar el responsable de la manca formalització del contracte d’encàrrec de tractament i per la falta d’adopció de mesures tècniques i organitzatives sobre les dades personals.
Formalització d’un contracte d’encàrrec de tractament amb el responsable
Es conclou que l’empresa de missatgeria postal no disposava de cap contracte d’encàrrec de tractament amb l’empresa que va contractar els seus serveis ni va poder demostrar que la va informar sobre la falta de formalització d’aquest.
Adopció de mesures tècniques i organitzatives
Es conclou que l’empresa de missatgeria postal no va implementar les mesures necessàries per garantir la confidencialitat en totes les etapes del tractament vinculades amb el servei de lliurament de cartes, ja que no va utilitzar un sobre tancat ni es va assegurar de lliurar-lo als destinataris, facilitant així un accés indegut a terceres persones al contingut de la carta.
La sanció
En la resolució de l’expedient sancionador, es van tenir en compte els atenuants següents:
Atès que la responsabilitat de formalitzar el contracte d'encàrrec de tractament recau sobre el responsable de tractament, i no sobre l'encarregat, i tenint en compte que en aquest cas, el responsable de tractament era un despatx d'advocats, l’APDA va entendre que l'encarregat va actuar amb la confiança que no hi havia cap incompliment legal de la normativa de protecció de dades personals. Així, va prestar els seus serveis amb la falsa seguretat que s’estava fent en compliment de la LQPD.
La circumstància particular en la que treballava l’empresa de missatgeria postal en què el tractament de dades el duia només el seu responsable.
El tractament de dades no va suposar un greuge major en els drets i les llibertats de les persones afectades, vista la categoria de les dades tractades.
L’empresa de missatgeria postal va mostrar un alt grau de cooperació amb l’Agència i va atendre correctament les peticions de l’APDA
Per tot plegat, des de l’Agència es va sancionar a l’empresa de missatgeria postal amb una amonestació per la vulneració de la normativa i va ordenar-li que, en el termini d’un mes a comptar des de la resolució, les operacions de tractament s’ajustessin a les disposicions de la LQPD.
Així mateix, l’Agència recorda que l’incompliment de mesures correctives poden suposar una sanció d’entre 30.001 i 100.000 euros.
Per aprofundir
Model de contracte d’encàrrec de tractament
Agents claus en la protecció de dades
Normativa de referència
Article 31. Encarregat del tractament de dades personals
Article 35. Seguretat i confidencialitat del tractament
