Delegado de Protección de Datos en Andorra
El Reglamento General de Protección de Datos o Reglamento 2016/679, es la normativa que rige el tratamiento de datos personales en la Unión Europea.
Siguiendo dicha normativa, la Agencia Andorrana de Protección de datos Personales (APDA) y el Gobierno de Andorra legislaron para crear la ley 29 2021 cualificada de protección de datos personales.
Esta normativa andorrana (ley 29 2021) ha sometido a muchas empresas del Principado a contar con la figura del delegado de protección de datos dpd.
Ley de Protección de Datos en Andorra: Novedades y cambios clave en la normativa
A pesar que Andorra no es un país que forme parte de la Unión Europea, si que sigue las directivas europeas en cuanto a materia de protección de datos.
El Principado de Andorra busca de esta manera mantener un nivel de protección de los datos personales de todos los interesados.
Por lo tanto, Andorra es considerado un país homologado a nivel de normativa de protección de datos personales por la Unión Europea. Es por eso que la transferencia internacional con el Principado de Andorra se puede realizar sin necesidad de Avaluaciones de Impacto previas.
¿Quién debe cumplir la ley andorrana de protección de datos?
La ley 29 2021 establece que aquellas entidades tanto públicas como privadas que realicen el tratamiento de datos personales de interesados, estarán sujetos a la normativa en cuestión.
¿Qué se consideran datos personales?
Los datos personales son todos aquellos datos que sirvan para identificar a una persona, puede ser una fotografía, un nombre, un número de cass, un número IBAN, etc.
¿Qué funciones debe acometer el Delegado de Protección de Datos (DPD)?
Los delegados de protección de datos son responsables de garantizar la cultura de protección de datos de la organización.
Además, el delegado de protección de datos en Andorra funciona de nexo conector entre la empresa y la Agencia Andorrana de Protección de datos.
El DPD puede ser una persona totalmente externa a la empresa o bien un trabajador de la misma empresa. Ahora bien, si es trabajador, deberá demostrar formación en la materia, no deberá tener ningún conflicto de intereses (por ejemplo, no podrá ser directivo de la compañía ni jefe de area) y deberá tener total independencia.
Obligatoriedad de designar un DPO
Algunas empresas deben nombrar representantes de protección de datos para Andorra (DPD). Las ley de protección de datos de andorra han establecido esta obligación para aquellas entidades en Andorra que realicen el tratamiento de datos personales a gran escala o bien que lo hagan de categorias especiales de datos.
Registro de actividades de Tratamiento (RAT)
En 2003 las empresas debían registrar los archivos de datos ante la Autoridad Andorrana de Protección de Datos. Sin embargo, esto ha cambiado con la nueva normativa, lo que exige el cumplimiento de la nueva ley es que las empresas lleven un registro de las actividades de tratamiento (RAT) que realizan para poder minimizar los riesgos del responsable y así favorecer los derechos de los interesados.
¿Cómo debe favorecer la entidad el cumplimiento de las funciones del DPD?
La Ley de protección de datos establece que el DPD deberá tener el favor del responsable de tratamiento para poder realizar sus funciones.
El Responsable deberá informar y facilitar toda la documentación necesaria que solicite el DPD para el cumplimiento de su cargo.
El consentimiento entre la persona física y la empresa
El consentimiento es una de las bases de legitimación a la hora de realizar el tratamiento de datos personales por parte de los responsables.
Ahora bien, el consentimiento no es la mejor base de legitimación que pudiera obtenerse para tratar datos, ya que en caso de que el interesado revoque su consentimiento, el responsable del tratamiento ya no dispondrá de ninguna otra base legitimadora para seguir realizando dicho tratamiento, por lo que deberá cesar su actividad.
Los nuevos derechos de las personas físicas
La legislación de 2003 se actualizó para ofrecer una protección adicional a las personas para mantener sus datos personales protegidos.
Todas las empresas de tratamiento de datos tienen el deber de garantizar la máxima privacidad y seguridad.
Es importante que las empresas andorranas sean muy claras en la aplicación de este tema, así como en todas las obligaciones para las que procesan información personal.
Obligatoriedad de notificar las violaciones de seguridad
La nueva ley cualificada sobre la protección de datos personales en Andorra establece que el responsable del tratamiento debe informar de la deficiencia de seguridad a la Agencia Andorrana de Protección de Datos en un plazo razonable.
Este período de tiempo es normal, pero los fines de semana y las vacaciones también cuentan. Por lo tanto, el tratamiento debe tener lugar rápidamente.
¿Qué Empresas deben nombrar al Delegado de Protección de Datos?
Por lo general, será necesario que todas las empresas públicas nombren a un delegado de protección de datos en Andorra.
En cuanto a las empresas privadas, dependerá del volumen de datos que tratan y de la categoría de los mismos.
Ponte en contacto con nosotros si tienes dudas sobre si tu empresa por los clientes que tienes o bien por el tipo de dato personal que tratas, debería nombrar a una Delegado deProtección de Datos o no.
Obligatoriedad de confeccionar una evaluación de impacto
En algunos casos en los que no se tiene la certeza de poder realizar el cumplimiento de la normativa en vigor relativa a los tratamientos de datos personales, se deberá proceder a la evaluación de impacto bajo la responsabilidad del responsable.
Es importante que se realice la evaluación de impactos para no incurrir en sanciones ya que ésta es una de las obligaciones más importantes que establece la ley y el organismo andorrano en cuestión.
Ampliación de los derechos del interesado
Esta legislación también modifica los derechos de las personas afectadas por esta cuestión. Anteriormente, la legislación incluía el derecho de acceso a la información y la rectificación, el derecho a la represión y el derecho a la oposición. A pesar de ello, la Ley 29/20211 establece: el derecho a no tener decisiones individuales automáticas o perfiles.
Se elimina la obligatoriedad de inscribir los ficheros de datos personales a l’APDA
Las leyes prohíben la divulgación pública de documentos públicos.
Ahora bien, una de las obligaciones que se establecía en un artículo de la anterior ley respecto a la necesidad de inscribir ficheros de datos personales en la Agencia Andorrana de Protección de Datos, se suprime con la nueva ley.
