¿Cuándo entra en vigor la nueva Ley de Protección de Datos de Andorra?
En el año siguiente a la adopción, la nueva ley de protección de datos 29/2021 está en vigor y establecía seis meses para su aplicación y para su adaptación a todas las empresas tanto del sector público y privado de Andorra.
El 17 de mayo de 2022, entró en vigor la nueva ley de protección de datos personales en Andorra.
La legislación sobre protección de datos de Andorra se aplica a las entidades privadas y públicas que procesan los datos para sus operaciones diarias. Asimismo, los autónomos en el Principado de Andorra, también están sujetos a la ley de protección de datos personales.
Aquí tienes más información sobre la ley 29 2021 de protección de datos personales.
Nueva ley de protección de datos
Un cambio social llevó a una votación legislativa sobre la adaptación de la normativa existente a las normas europeas.
La ley también le permite proporcionar información personal y confidencial para cumplir con los requisitos.
Aquí tienes la ley 29 2021 de protección de datos personales.
En cuanto al reglamento de desarrollo de la ley de protección de datos personales, aquí puedes encontrarlo.
¿Cuáles son las modificaciones que experimenta la ley de protección de datos?
La Ley de protección de datos se ha enmendado varias veces desde 2003.
Uno de los principales cambios importantes en la ley 29 2021, es la introducción de más derechos y libertades de las personas físicas, como por ejemplo el derecho a la portabilidad, el derecho al olvido y a la limitación en el tratamiento.
Por otro lado, también se han incorporado nuevas obligaciones al responsable del tratamiento de datos personales, es decir, a la empresa o autónomo. Entre estas novedades, encontramos por ejemplo la obtención del consentimiento de los interesados como base legitimadora o bien la necesidad que establece la agencia andorrana de protección de datos personales de que el responsable ejerza su responsabilidad proactiva.
Ley de Protección de Datos en Andorra: Novedades y cambios clave en la normativa
En Andorra, como en el resto del mundo, la privacidad ha sido un factor importante y de esta manera, ha seguido la linea de la agencia de datos de protección española y las directrices europeas.
La legislación andorrana en materia de protección de datos se basa en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Aquí puedes encontrar el texto completo.
Andorra es un país no europeo que cuenta con un marco de aprobación para el tratamiento de datos y es tratado como otro Estado miembro de la Unión Europea ya que es un país homologado por la unión europea.
Define los principios fundamentales del tratamiento de datos, incluido el consentimiento para utilizar la información de datos a fin de impedir la divulgación de información sensible.
El consentimiento entre la persona física y la organización
Estos consentimientos se darán sin ambigüedad alguna y se recogerán mediante una declaración afirmativa y aclaratoria del usuario.
Generalmente, el usuario debe saber acerca de sus datos en Andorra, sobre qué finalidades tendrán el uso de sus datos, que por lo general deberán estar establecidas en un registro de actividades (RAT), que es también una de las novedades que incluye la nueva ley.
Obligatoriedad de designar un DPO
Existen diferentes ocasiones en los que una de las obligaciones del responsable de tratamiento es la de designar a un delegado de protección de datos dpd.
El delegado de protección de datos en Andorra, es el encargado de formar al empresario en la materia en cuestión, así como de hacer de puente entre la agencia andorrana de protección de datos y el empresario.
Nombramiento de un delegado de protección de datos (DPD)
El Delegado de Protección de Datos puede trabajar dentro de la propia empresa, por lo tanto ser interno, pero ahora bien, deberá existir una gran independencia entre el cargo del trabajador y la función de delegado.
También se puede subcontratar los servicios a una empresa externa.Esta es la opción que más recomendamos, puesto que el delegado, debe estar formado en materia de datos en Andorra.
Estos deben ser necesarios para muchas de las organizaciones privadas. Refleja el tamaño de la empresa en las empresas privadas y debe ser obligatorio para las empresas procesar grandes cantidades de información sensible. Este organismo desempeña un papel importante para proporcionar información completa sobre las obligaciones estatutarias.
Registro de actividades de tratamiento
Este es uno de los requisitos establecidos por la ley, como una de las obligaciones que debe cumplir el responsable del tratamiento.
La agencia andorrana de protección de datos en Andorra sugiere un listado de entidades privadas que deberán tener además de un delegado designado, un registro de actividades de tratamiento actualizado (RAT).
En muchas ocasiones, después de finalizar el registro de actividades de tratamiento, es necesario proceder a una evaluación de impacto en protección de datos en Andorra.
Los nuevos derechos de las personas físicas
Como bien hemos establecido antes, la ley cualificada de protección de datos en Andorra, establece una seri de derechos de las personas físicas que todos los responsables deben cumplir.
Entre esos derechos y libertades de las personas destacan el derecho al olvido, el derecho a la portabilidad de los datos, el derecho a la limitación del tratamiento de datos y los derechos ARSO (acceso, rectificación, supresión y oposición).
¿Cuáles son los derechos de los interesados en protección de datos en Andorra?
La nueva legislación de Andorra contiene todas las protecciones derivadas del Reglamento europeo: el derecho de acceso, corrección y eliminación de datos.
Además de estos derechos, incluyen la garantía de los derechos digitales y olvidados.
De conformidad con la nueva legislación 29/201 sobre protección de la privacidad, algunas empresas también deben llevar registros de sus actividades de procesamiento. Esto se hace a través de un documento interno y tiene que tener un contenido mínimo, lo que permite a una empresa controlar los datos personales.
Obligatoriedad de notificar las violaciones de seguridad
La ley prevé la notificación de las violaciones de la privacidad y la protección de datos en el plazo de 48 horas a partir de la notificación a la Agencia Andorrana de Protección de Datos.
¿Qué ocurre si sufro una vulneración de seguridad en Andorra?
En la legislación andorrana, las infracciones de seguridad se definen como infracciones de seguridad que causan violaciones de la confidencialidad, la disponibilidad o la integridad.
La notificación de la violación debe producirse dentro de las 48 horas siguientes al incidente, a menos que una violación de la seguridad afecte a los derechos y libertades de la persona que la haya causado.
Evaluación de impacto
Las evaluaciones de impacto son una obligación para las empresas que procesan información sensible e identifican fuentes, naturaleza, especialidad y gravedad. Son realizadas por las empresas y/o autónomos.
Para las empresas que procesan datos de tipos específicos, generan perfiles o realizan una observación sistemática a gran escala de las zonas públicas.
Una evaluación de impacto se debe realizar antes de comenzar los tratamientos de datos de los que se tengan dudas. Una evaluación de impacto servirá para llevar a cabo un estudio para ver el cumplimiento por parte de los responsables de la normativa.
El cumplimiento a la normativa del país deberá ser totalmente adecuado y en caso de no contar con el cumplimiento adecuado, poder hacer modificaciones antes de realizar el tratamiento de datos en cuestión.
La evaluación de impacto, establecida en la normativa cualificada de protección de datos en Andorra es una herramienta para mitigar el riesgo para los derechos de los interesados. Son medidas que la normativa establece, herramientas para el cumplimiento de la ley.
Obligatoriedad de confeccionar una evaluación de impacto
Será necesario realizar una evaluación de impacto en el caso en el que los tratamientos en cuestión supongan un riesgo para los derechos de los inreterados.
Estos riesgos deberán mitigarse con las medidas establecidas en las conclusión de la evaluación de impacto.
Es importante que la persona o personas que sean DPD ayuden al responsable en la medida de lo posible, ya que una de las funciones del DPD será la de ayudar al responsable a reducir los riesgos.
Además deberá comunicar al APDA en caso de ser necesario el resultado de la evaluación de impacto.
Códigos de conducta
Las nuevas normas exigen que las empresas adopten medidas proactivas para proteger los datos. Para lograr este objetivo, el código debe ser más sencillo. Esto significa que con la aprobación de la Ley 29/2021, está dirigida a la creación de los códigos que se utilizan para ciertas profesiones.
Se elimina la obligatoriedad de inscribir los ficheros de datos personales a l’APDA
La nueva ley pretende poner fin a los requisitos de registro de datos personales en un sitio web de APDA. En el artículo 34 se establece que el responsable del tratamiento o el proceso deben registrar la actividad de procesamiento en empresas en las que participen más de cincuenta personas y en organismos gubernamentales.
