Nombramiento de un delegado de protección de datos (DPD)
En este artículo te vamos a responder a cómo saber si mi empresa tiene que tener un delegado de protección de datos en Andorra o no.
Una empresa tanto en Andorra como en España tiene que respetar la normativa relacionada con la protección de datos personales. Cualquier entidad debe cubrir las necesidades mínimas y realizar correctamente el cumplimiento de los derechos de los interesados.
Ahora bien ¿Cuándo tengo que designar ante la Agencia Andorrana de Protección de Datos un Delegado de Protección de datos? ¿Qué función tiene el delegado de protección de datos? ¿Qué delegado de protección de datos puedo contratar en el Principado de Andorra?
Según la empresa en cuestión, la figura del delegado de protección de datos será obligatoria u opcional, dependiendo entre otros factores del volumen de datos que están tratando las entidades (a gran escala o no), incluso también dependerá de las categorías de datos personales que trata la entidad. Veamos en detalle el cargo de delegado de protección de datos personales en Andorra:
Estatus del Delegado de Protección de Datos
La figura del delegado de protección de datos personales no puede ejercerla cualquier persona de la entidad. Tiene que ser capaz de actuar de manera independiente y proteger los derechos de los interesados adecuadamente en el ejercicio de sus funciones.
La condición de Delegado de Protección de Datos personales también establece que el DPD no tiene ninguna responsabilidad por el incumplimiento de la ley por parte de la entidad responsable final.
Tampoco se podrá sancionar si éste es trabajador de la empresa, ya que las tareas de DPD son totalmente diferente a las tareas de ese trabajador.
¿Tengo que designar a un Delegado de protección de datos?
El artículo 38 de la ley 29 2021, del 18 de octubre cualificada de protección de datos personales de Andorra, establece una diferenciación entre entidades públicas o privadas a la hora de realizar la designación de un DPD:
- Entidad pública: todas están obligadas a designar a un DPD.
- Entidades privadas: en este caso se deberá tener en cuenta, que deberá realizarse la designación en función del tipo de tratamiento y las características de los datos personales que traten:
- Cuando el tratamiento requiera una evaluación sistemática y exhaustiva de aspectos personales de las personas físicas basados en un tratamiento automatizado como por ejemplo la elaboración de perfiles, sobre el cual se toman decisiones con efectos jurídicos para las personas. Como por ejemplo una aseguradora que realiza elaboración de perfiles (multiriesgo) para determinar la cuantía de la cuota a pagar.
- Cuando se traten categorías especiales a gran escala.
- Cuando se traten una cantidad considerable de datos personales de ámbito nacional o supranacional que puedan afectar a una gran nombre de interesador y que pueda comportar un alto riesgo para los derechos y las libertades de las personas interesadas y en particular, cuando las operaciones de tratamiento dificulten el ejercicio de sus derechos.
¿Cuándo lo tengo que designar?
En el caso de las entidades privadas en el Principado de Andorra, es importante tener en cuenta que en muchos casos, tendrás que realizar la designación, debido a tratar una cantidad considerable de datos personales.
Ahora bien, ¿Cómo puedo saber si el tratamiento que realizo es a gran escala?
Es sencillo, si según la siguiente tabla, la suma de los factores es 9 o superior, estarás obligado a designar a un delegación de protección de datos personales en el Principado de Andorra y a hacerlo ante la agencia andorrana de protección de datos en un plazo concreto.
¿Qué se consideran datos personales?
Cuando hablamos de datos personales, nos referimos a información alfabética o numérica, información acústica o fotográfica sobre personas identificadas o que permitan identificar a esa persona del resto de personas físicas.
La ley 29 2021 de protección de datos personales, solo protege a los datos personales de las personas físicas y no de las personas jurídicas, por lo tanto no protege los datos personales de las empresas, éstas estarán protegidas por otros derechos como por ejemplo el derecho al secreto profesional, la confidencialidad o bien incluso pactos de no competencia.
¿Qué funciones debe acometer el Delegado de Protección de Datos?
Las funciones del delegado de protección de datos personales, se encuentran reguladas en el apartado 7 del artículo 38 de la LQPD.
Entre las funciones del delegado de protección de datos (tal y como establece la ley y sustenta la agencia andorrana de protección de datos) destacan las siguientes:
- Informar y asesorar de las obligaciones que le marca la ley al responsable y al encargado del tratamiento (es decir, a las empresas).
- Supervisar las políticas del responsable o responsables (empresas) o del encargado del tratamiento en materia de protección de datos personales según la normativa vigente en cada momento.
- Asesorar en sobre la necesidad de una evaluación de impacto y supervisar la aplicación según la normativa en Andorra.
- Cooperar con el APDA y hacer de nexo conector entre esta y las entidades responsables.
Todas estas funciones son las que establece la normativa, si bien, es necesario precisar que el DPD podrá encargarse de más funciones y rendirle cuentas al responsable que haya contratados sus servicios de protección de datos.
¿Quién puede ser Delegado de Protección de Datos?
La Agencia Andorrana de Protección de Datos nos ofrece una breve guía para definir las características de la delegación de protección de datos.
Aquí te dejamos el enlace directo para que puedas consultarla.
Ahora bien, ¿quién puede ser DPD? La normativa de Andorra es clara al respecto de este cumplimiento:
- Las personas físicas externas a la organización del responsable.
- Personas físicas que forman parte de la organización del responsable siempre y cuando se pueda garantizar la independencia de este trabajador respecto a este cargo.
- Las personas jurídicas externas a la organización del responsable, a través de un contrato de prestación de servicios profesionales junto con un contrato de encargado de tratamiento de datos personales entre ambas empresas.
No obstante, es muy importante que se respeten a la hora de la elección de un DPD en Andorra, los requisitos que establece la normativa:
- El DPD se debe designar atendiendo a sus cualidades profesionales y concretamente debe tener conocimientos especializados en derechos, y en la práctica en la materia de protección de datos, así como la capacidad para ejercer sus funciones.
La normativa en Andorra también es claro a la hora de establecer limitaciones o prohibiciones de quién no puede ser DPD en la empresa:
- El DPD no puede tener ningún conflicto de intereses entre la empresa y los derechos de los interesados, esto en la práctica se traduce en que para el cumplimiento adecuado de la normativa, el DPD no podrá ser ningún director de la empresa ni jefe de departamento de ésta, ya que las condiciones de decisión de este estarían viciadas hacia el beneficio de la empresa en todo caso y eso no facilita el cumplimiento de la normativa.
Nueva ley de protección de datos en Andorra
Aquí te dejamos un enlace directo a uno de nuestros artículos sobre las novedades incluidas en la nueva ley de protección de datos en Andorra.
La ley 29 2021, del 28 de octubre, cualificada de protección de datos personales en Andorra
En la legislación andorrana 29/2021 se garantiza la protección contra el uso no autorizado de datos personales mediante la aplicación de la ley. Esta normativa está destinada a proteger la privacidad y la información personal en relación con su recopilación de datos.
Esta ley impone a las empresas la obligación de proteger los datos personales mediante el establecimiento de un sistema transparente y seguro de recogida. Además, el nombramiento de un delegado de protección es un requisito (también en muchos aspectos basado en directivas de la UE en ciertos casos y en el RGPD).
En Andorra existe un órgano que regula la protección de datos personales, algo fundamental que deben considerar las empresas para evitar sanciones
La Agencia Andorrana de protección de datos, es el órgano independiente que tiene la máxima responsabilidad en materia de protección de datos en el Principado de Andorra.
También tiene una labora muy importante, además de verificar el cumplimiento de la normativa por parte de los responsables del tratamiento y es que deberá divulgar información, por lo tanto tiene una labor divulgativa y de publicación de información sobre la materia de protección de datos dpd para concienciar a la población andorrana sobre la importancia de la LQPD (incluso del RGPD).
Agencia Andorrana de Protección de Datos Personales (APDA)
La APDA es independiente de las autoridades gubernamentales andorranas cuya responsabilidad es proteger la privacidad de sus residentes de acuerdo con la Ley cualificada. Los objetivos de la autoridad de privacidad andorrana incluyen:
- Llevar a cabo las inspecciones y las instrucciones de los expedientes.
- Controlar la aplicación de la normativa de protección de datos dpd.
- Promover la sensibilización del público y de los responsables y encargados de tratamientos.
- Recibir notificaciones sobre violaciones de seguridad.
- Facilitar información en relación al ejercicio de los derechos.
- Tratar las consultas, quejas, reclamaciones y denúncias pertinentes.
- etc.
El Reglamento de protección de datos de la unión europea en el principado de andorra
El RGPD es un reglamento de la Unión Europea que entró en vigor el 26 de abril de 2019. Su objetivo era reforzar y aplicar de manera uniforme la protección de la información personal en Europa. Impone normas estrictas a las empresas en relación con el tratamiento de datos personales. Otra sanción impuesta por las violaciones puede incluir hasta el 4% de los ingresos anuales totales de la organización infractora.
Aquí te dejamos un enlace con más información sobre el RGPD.
Nuevos derechos para las personas físicas
La nueva ley incluyó los derechos al olvido y la portabilidad de los datos. La nueva protección ayudará a aumentar la privacidad. Las personas que desean ejercer esos derechos deben aprender a ejercerlos. En los casos en que las partes interesadas deseen los derechos, la empresa está obligada a responder inmediatamente.
Contáctanos
Si tienes cualquier duda sobre si tu actividad está adaptada a la normativa de protección de datos personales en vigor, o si tienes dudas sobre si las acciones de tus redes sociales se realizan protegiendo los datos personales de tus clientes, puedes ponerte en contacto con nosotros.
Podemos ayudarte a realizar el correcto cumplimiento de la LQPD y del RGPD así como asegurarte que cumples todas las obligaciones del tratamiento y que por lo tanto no te enfrentarás a sanciones respecto a estas obligaciones en el territorio andorrano.
Si necesitas ayuda con la política de cookies, el aviso legal, o la política de privacidad de tu página web, podemos adaptarlas para que cumplas con todas las obligaciones pertinentes.