Skip to main content

La figura del Delegado de Protección de Datos DPD en Andorra

By July 3, 2024Andorra

Normativa andorrana de protección de datos y diferencia con el RGPD

En este artículo hablaremos sobre la figura del delegado de protección de datos DPD en Andorra.

La normativa andorrana de protección de datos es muy similar al Reglamento General de Protección de Datos (RGPD).

El objetivo de Andorra a través de la elaboración de una normativa de protección de datos personales tan similar al RGPD ha sido la de poder homologar su sistema al de la Unión Europea. De esta manera, Andorra es un tercer país que tiene la homologación por parte de la UE.

Esto significa que en cuestión de transferencias internacionales, Andorra es considerado prácticamente como cualquier otro estado de la UE y por lo tanto se pueden realizar dichas transferencias internacionales sin necesidad de realizar un requerimiento previo a la entidad andorrana de protección de datos personales (APDA).

Ley de Protección de Datos en Andorra: Novedades y cambios clave en la normativa

Aunque Andorra no es miembro de la UE, el país ha seguido las normas europeas de protección de datos. Esto permite a Andorra mantener un alto nivel de seguridad de los datos personales.

La Unión Europea considera que Andorra es un país con normas de protección de datos personales a un nivel homologable. Por lo tanto, es posible una transferencia internacional al extranjero a Andorra sin una evaluación de impacto previa.

Si quieres más información sobre las novedades y los cambios clave en la normativa andorrana, puedes consultar este otro artículo.

A modo resumen, la ley 29 2021 establece como principal cambio la supresión del registro de los datos en la agencia andorrana de protección de datos dpd, mientras que genera mayor importancia a la figura del delegado de protección de datos dpd en Andorra.

protecció de dades al treball

¿Quién debe cumplir la ley andorrana de protección de datos?

La ley 29 2021 es de aplicación para el tratamiento de datos personales total o parcialmente automatizado, así como cualquier tratamiento de datos personales no automatizado contenidos o destinados a ser incluidos en un fichero, y para cualquier uso posterior de estos datos, tanto en el sector público como en el privado.

Por lo tanto, deberá cumplir la ley andorrana de protección de datos personales todas aquellas empresas tanto públicas como privadas, así como cualquier entidad o administración pública que trate datos personales en el Principado de andorra.

No obstante, existen excepciones, como por ejemplo:

  • El tratamiento efectuado en el marco de actividades exclusivamente personales o domésticas, sin ninguna conexión con ninguna actividad profesional o comercial.
  • El tratamiento de datos personales de personas difuntas.
  • El tratamiento de datos personales efectuado por parte de las autoridades competentes con finalidades de prevención, investigación, detención o enjuiciamiento de infracciones penales.

¿Qué se consideran datos personales?

Los datos personales son datos destinados a la identificación de personas que pueden incluir imágenes o nombres, números de caso, códigos de identificación, etc.

Se considerará por tanto datos en Andorra, cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo relativa a una persona física identificada o identificable (persona interesada).

Se entiende por persona física identificable cualquier persona con una identidad que se pueda determinar, directamente o indirectamente, en particular mediante un identificador o uno o diversos elementos específicos, característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

¿Qué funciones debe acometer el Delegado de Protección de Datos (DPD)?

Según la ley 29 2021, así como según la agencia andorrana de protección de datos, son funciones propias de la figura del delegado de proteción de datos dpd en andorra:

  • Informar y asesorar de sus obligaciones al responsable del tratamiento de datos en Andorra.
  • Informar también de la misma manera a los empleados del responsable.
  • Supervisar las políticas del responsable o del encargado del tratamientos de datos personales en materia de tratamientos de datos personales y sobre el cumplimiento de la normativa por las entidades.
  • Asignación de responsabilidades, concienciación y la formación del personal que participa en las operaciones del tratamientos de datos personales y las auditorias correspondientes.
  • Asesoraren la evaluación de impacto y supervisar la aplicación en la empresa.
  • Cooperar con la agencia andorrana de protección de datos y actuar como punto de contacto entre la misma y las entidades o empresas.
  • Realización y resolución de consultas relativas con la aplicación de la ley o de cualquier normativa relacionada con la materia.

Los Delegados de Protección de Datos también son responsables de establecer una conexión entre la agencia andorrana de protección de datos y el Departamento de Protección de Datos de la empresa en cuestión.

Los DPD son personas ajenas a empresas o empleados de una empresa. Sin embargo, si es un trabajador, entonces deberá demostrar su capacidad profesional y sus conocimientos para ejecutar y realizar dicha función. No debe causar ningún conflicto de intereses o de intereses.

Quan haig de designar un DPD

¿Qué Empresas deben nombrar al Delegado de Protección de Datos?

La delegación de protección de datos debe incluirse como cifra en la legislación sobre protección de datos 29/2021 y en la “Guía práctica para conocer los requisitos de una delegación para la protección de datos”. Entendemos que cada institución debe enumerar las cifras del DPD independientemente de cómo se traten.

Obligatoriedad de notificar las violaciones de seguridad

La ley de protección de datos en Andorra establece dos situaciones diferentes:

  • Si se trata de una administración pública o entidades parapúblicas.
  • Si se trata de una empresa privada.

En el primer caso, la ley de protección de datos personales, establece que el delegado de protección, será una figura que estarán obligadas a designar en cualquier caso.

Ahora bien, la figura del delegado de protección de datos, no es 100% obligada por la normativa en todos los casos.

El delegado de protección de datos, se deberá designar cuando según la normativa,:

  1. La entidad privada sea responsable del tratamiento o tratamientos de datos personales o encargados del tratamiento de datos de personas físicas de manera automatizada para tomar decisiones que produzcan efectos jurídicos para las personas físicas;
  2. Traten a gran escala categorías especiales de datos o traten una cantidad considerable de datos p traten una cantidad considerable de datos personales en el ámbito nacional o supranacional que pueda afectar a un gran número de personas interesadas y que puedan comportar un alto riesgos para los derechos y las libertades de las mimas.
  3. Cuando las operaciones de tratamiento dificulten el ejercicio de sus derechos.

Las disposiciones legales recientemente aprobadas para la protección de datos personales en Andorra exigen que el responsable del tratamiento notifique a la Agencia Andorrana de Protección de Datos en un plazo adecuado.

Delegat de protecció de dades a Andorra

Fuente: APDA

Nombramiento de un delegado de protección de datos (DPD)

El delegado de protección de datos, según lo que establece la normativa andorrana, deberá designarse atendiendo a sus cualidades profesionales y especialmente según a los conocimientos especializados en derechos,en la práctica en materia de protección y en la capacidad para realizar el ejercicio de sus funciones según lo establecido en la ley.

El consentimiento

La ley andorrana establece que es necesario para que el tratamiento de la información personal, que se de una de las condiciones que establece la ley.

El cumplimiento de esta obligación es esencial para no incurrir en ninguna responsabilidad o posible sanción, así como para no vulnerar ningún derecho respecto a la persona interesada.

El consentimiento es uno de los requisitos que aparece en la ley en vigor para realizar el cumplimiento de la obligación de manera correcta y no incurrir en sanciones por parte del APDA.

El responsable tiene que poder demostrar ante la APDA que la persona ha consentido, por lo tanto, es importante tener la prueba que lo demuestre para no incurrir en ninguna sanción.

Registro de actividades de Tratamiento (RAT)

Con la ley anterior a la ley actual en vigor, era necesario la declaración de ficheros de datos personales ante el APDA. Ahora bien, con la designación de un delegado de protección y con los contratos necesarios con cualquier encargado del tratamiento, esta necesidad de declarar los ficheros de datos personales ante el APDA ha desaparecido.

Una de las obligaciones, además de la designación de un DPO es la de la elaboración de un RAT, es decir, de un Registro de Actividades de Tratamiento. En este otro artículo tienes más información sobre este tema. Esta publicación te ayudará a comprender la obligación del RAT.

banco en andorra, compliance

¿Cómo debe favorecer la entidad el cumplimiento de las funciones del DPD?

El DPD está comprometido a llevar a cabo sus tareas. Sin embargo, tenemos que seguir el artículo 36 de la ley 29/2021, para designar un delegado en territorio andorrano, que definen las directrices sobre las entidades de esta condición, para que esta profesión pueda llevar a cabo sus actividades de desarrollo con eficacia.

Obligatoriedad de confeccionar una evaluación de impacto

Cuando el tratamiento de la información personal no sea viable, la evaluación de impacto deberá realizarse bajo el control del responsable del tratamiento.

Es importante llevar a cabo una evaluación de impacto para evitar que se impongan sanciones.

Andorra Services

Andorra Services

Su solución integral en Andorra