Publicada la ley de protección de datos en andorra obligaciones
En Andorra, se ha adoptado una nueva ley de protección de datos en octubre de 2018.
Esta ley es se centra en proteger la información personal derogando la Ley 15/2003, de 18 de diciembre, de protección de la información personal y de adaptación de la legislación andorrana al Reglamento (CE) 2016/2019 sobre la protección de las personas físicas.
¿Cómo afectará la nueva ley de protección de datos en Andorra?
En Andorra ya existía una ley que se preocupaba sobre el tratamiento de datos personales, por lo que las obligaciones de esta nueva ley cualificada de protección de datos personales, viene a ratificar la ley anterior, mejorando el redactado y cambiando algún artículo.
Si bien es cierto, que la labor de concienciación pública por parte de la agencia andorrana de protección de datos personales ha mejorado, aún es pronto para poder decir que las empresas del Principado de Andorra, están completamente adaptadas a la ley de octubre cualificada de protección de datos personales.
Es por eso, que en este artículo queremos identificarte las principales obligaciones que tienes como responsable del tratamiento de datos personales y de si por ejemplo necesitas designar a un delegado de protección o no dentro de tu empresa en Andorra.
Publicada la nueva ley 29/2021, de Protección de Datos de personales en Andorra
El 18 de noviembre de 2021 Andorra aprobó la Ley 28/2021 cualificada de protección de datos personales. Esta legislación deroga la ley 15/2003 del 18 de diciembre, que califica de protección de datos, y tiene por objeto adaptar la legislación existente a las nuevas exigencias causadas por los avances tecnológicos o la globalización.
¿Cuándo entrará en vigor?
La ley entró en vigor en mayo del 2022, por lo tanto, dicha ley de tratamiento de datos, ya lleva un amplio recorrido en Andorra.
El objetivo de esta ley es asimilarse a las directivas aprobadas por la unión europea e ir de la mano con ésta.
Es por tanto, muy importante que estés al día de las modificaciones establecidas en el país por la ley 29 2021 cualificada de protección de datos en el territorio andorrano.
¿Cuáles son las modificaciones que experimenta la ley de protección de datos?
La Ley de protección de datos ha sufrido numerosos cambios desde su creación, no obstante la ley en vigor establece una serie de diferencias con la ley anterior.
En este otro artículo, encontrarás los principales cambios y novedades de esta ley.
El Reglamento de protección de datos de la Unión Europea en el Principado de Andorra (RGPD)
El RGPD es un reglamento de la UE introducido en mayo de 2018 que tiene por objeto mejorar la protección de los datos individuales dentro de la Unión Europea.
Establece requisitos especializados para las empresas que se ocupan del tratamiento de la información personal, incluso exigiendo el derecho a no saber acerca de la información y a informar sobre cualquier problema de seguridad.
La repercusión también es significativa, ya que impondrá sanciones de un máximo del 4% por anuncio.
En este artículo encontrarás toda la información sobre el Reglamento aprobado por el Parlamento europeo.
¿Qué obligaciones tengo?
Las principales novedades establecidas por la ley en territorio andorrano se centran en diferentes puntos, como por ejemplo el deber de justificar la base de legitimación del consentimiento del interesado.
Esto significa que para cada tratamiento de datos en Andorra que vayas a realizar, necesitas tener una base de legitimación. Una de las bases de legitimación más recurridas es la del consentimiento del propio interesado.
Ahora bien, el consentimiento no es la mejor base, dado que puede ser retirado por el usuario en cualquier momento y tendrás que adoptar las medidas necesarias para dejar de realizar su tratamiento de datos.
Otra obligación introducida como novedad, se centra en la responsabilidad proactiva. Es decir, en la proactividad por parte de la empresa en llevar a cabo el cumplimiento de todas las medidas necesarias para realizar un tratamiento de manera adecuada y así preservar los derechos y libertades del usuario.
Esta responsabilidad proactiva genera que la empresa tenga que llevar un Registro de Actividades de Tratamiento (RAT) donde se establezcan todas y cada una de las finalidades de tratamiento que se realizarán por las organizaciones tanto en territorio andorrano como en el extranjero.
Junto al RAT aparece la figura del delegado de protección de datos. Figura obligatoria en Andorra para ciertas empresas y sujeta a sanciones importantes.
Esta obligación junto con las anteriores y otras que no hemos citado, generan el cumplimiento de la normativa del Principado.
Si necesitas más datos respecto a la incorporación de medidas o a la actualización de las ya existentes en tu empresa, en ese caso ponte en contacto con nosotros para que podamos ayudarte con la seguridad de los datos personales en Andorra y en España.
El consentimiento entre la persona física y la organización
Es esencial dar el consentimiento como persona que está dando su información, de hecho, esa persona debe conocer cómo va a dar sus datos personales para ese fin, y cómo utilizar esa información.
La edad mínima también es importante a la hora de dar el consentimiento. En principio los mayores de 16 años podrían dar su consentimiento en Andorra. En cualquier caso, es importante contar con el consentimiento también de ambos progenitores.
Códigos de conducta
La nueva ley exige que la APDA promueva la elaboración de códigos de conducta para que las entidades promuevan el cumplimiento de las leyes vigentes.
Actualmente en el Principado de Andorra se está trabajando en este tipo de código de conducta para diferentes sectores.
Registro de actividades
Aquellas empresas definidas en el siguiente cuadro, deberán obligatoriamente contar con un Registro de Actividades de Tratamiento. En caso contrario, estarán comprometiendo la seguridad de los usuarios e incumplimiento la propia ley:
Obligatoriedad de confeccionar una evaluación de impacto
En el caso en el que no se tenga la certeza ni todas las garantías de que el tratamiento que se pretende realizar da cumplimiento a todas las garantías, derechos y libertades de los interesados, la ley establece que se proceda a la elaboración de una evaluación de impacto.
En algunos supuestos, además se deberá presentar dicha evaluación de impacto a la agencia andorrana de protección de datos en Andorra. Esto también se da en otros países vecinos.
Nombramiento de un delegado de protección de datos (DPD)
El cambio más importante en el LQPD es la formación de una nueva figura, el Delegado de Protección de Datos. Es obligatorio para todas las autoridades públicas y los parapúblicos.
La ley de protección de datos depende del tamaño de la empresa y se requiere si los datos sensibles se utilizan en grandes cantidades. A pesar de la ausencia de las obligaciones legales, la empresa puede nombrarlas como desee.
Sus funciones incluyen la información y el asesoramiento de las disposiciones legislativas y la supervisión de su ejecución. Actúa como interlocutor entre la Agencia andorrana de protección de datos y el Responsable del Tratamiento.
Font: APDA
Se elimina la obligatoriedad de inscribir los ficheros de datos personales a l’APDA
La legislación elimina el requisito de mantener la base de datos de información personal de la APDA.
Figura del Delegado de Protección de Datos (DPO)
El DPO se describe como la persona responsable de alertar a la entidad responsable de las obligaciones que tiene en virtud de la ley de protección de datos. Otra función del DPO es garantizar el cumplimiento de las reglamentaciones pertinentes. De hecho, el DPO es un eje importante para la rendición de cuentas proactiva.
Ampliación de los derechos del interesado
Leyes similares permiten que se produzcan cambios a las personas que tienen derecho a su derecho a la intimidad.
La legislación vigente prevé el acceso a la información y los derechos de rectificación, así como la represión. Además de estas disposiciones, la ley 28/2021 también añade: El derecho al olvido, el derecho a proteger los derechos digitales y el derecho a no utilizar ni revelar datos personales.
Los nuevos derechos de las personas físicas
Además del acceso a los derechos de rectificación y represión en la ley a partir de 2003 habrá el derecho a ser ignorado, el derecho a ser limitado en el tratamiento y el derecho a la portabilidad. Todos estos procedimientos buscan un alto nivel de protección de la privacidad en el procesamiento.
La LQPD afirma además que las personas afectadas deben ser notificadas en cuanto a sus derechos.
Sanciones económicas
La Ley de protección de datos prevé sanciones que pueden llegar a los 100.000 euros.
La agencia andorrana de protección de datos es la autoridad encargada de amonestar y sancionar a las empresas privadas y a los entes públicos (a estos últimos solo amonestar).
