¿Cómo afectará la nueva ley de protección de datos en Andorra?
En mayo entró en vigor una nueva ley de protección de datos en Andorra: “Ley 29 2021, del 28 de octubre, cualificada de protección de datos”, aplicable para la protección de la información personal con la finalidad de proteger los datos personales.
El documento fue escrito y estructurado para reflejar los requisitos del RGPD europeo para las empresas andorranas que deben adaptarse a esta ley en sus operaciones y procesos.
Entre otras cosas, el establecimiento y mantenimiento de documentación detallada sobre las acciones de procesamiento y la creación de planes de impacto. Esto incluye ampliar y establecer los derechos de las personas, incluyendo la transferibilidad y la limitación del uso de los datos personales.
Ley de Protección de Datos en Andorra: Novedades y cambios clave en la normativa
Anteriormente Andorra ya contaba con una ley de protección de datos, donde establecía ciertas obligaciones como por ejemplo realizar un tratamiento de datos personales adecuado a la normativa, realizar una evaluación de impacto en los casos en los que la protección de datos personales pudiera vulnerarse, etc.
Ahora bien, después de la aprobación de la ley 29 2021, la nueva ley de protección de datos en Andorra pretende equipararse al RGPD en Europa y así pasar a ser uno de los países terceros homologados por la Unión Europea.
Andorra es un país internacional cuya legislación fue aprobada por la Comisión Europea. Por lo tanto, la privacidad y la confidencialidad de los datos se tratan en Andorra, ya que se les trataría si fueran otros miembros de la UE. En él se expone el principio de que un procesador de datos debe dar su consentimiento y minimizar la información y la privacidad.
Actualización de la Ley de Protección de Datos
Cabe señalar que Andorra ya estaba aplicando una resolución de aplicación de la Decisión 2010/625 -UE en octubre de 2010.
Además, el RGPD considera que esta decisión podría revisarse anualmente y coincidir con la fecha en que se adoptó el nuevo Reglamento.
Aunque Andorra no pertenece a la UE, ha suscrito el Convenio No 109 sobre seguridad de los datos, que ha dado lugar a las leyes vigentes.
Además, Andorra quiere introducir una economía digital que sea una prioridad, por lo que quiere regulaciones similares a las adoptadas por aquellos que buscan hacer una inversión.
¿Cuándo entrará en vigor?
La nueva ley de protección de datos entró en vigor en mayo de 2022. Por lo tanto si aún no te has adaptado a esta ley, deberás hacerlo lo antes posible ya que estarás fuera de plazo e incumpliendo la ley 29 2021 de protección de datos personales.
Figura del Delegado de Protección de Datos (DPD)
Una de las principales novedades de la ley de protección de datos es la figura del delegado de protección de datos personales.
El Delegado de Protección de datos en Andorra (DPD) debe inscribirse lo antes posible en la Agencia Andorrana de Protección de Datos dato que así lo exige la normativa en el Principado de Andorra.
El Delegado es la persona o personas encargadas de asesorar a la empresa de tratamiento de datos o al responsable del tratamiento de datos sobre las obligaciones que este último tiene en virtud de la ley en el ámbito de la protección y la seguridad de los datos.
Otra responsabilidad del DPD debe ser mantener el cumplimiento de los reglamentos pertinentes, cooperar con las autoridades de gobierno y proporcionar enlace entre las entidades de gobierno – los responsables y el control.
El DPD desempeña un papel central en el principio de responsabilidad proactiva.
Nombramiento de un delegado de protección de datos (DPD)
En cuanto a la nueva función del delegado de protección de datos, que suele formar parte del personal interno de la empresa, o bien puede ser contratado de forma externa a través de un contrato de servicios, se espera que los delegados de protección de datos formen parte del personal.
La ley debe aplicarse tanto al sector público como al privado. También puede afectar a las empresas privadas basadas en el tamaño de la empresa y debe ser obligatorio para el tratamiento de datos sensibles a gran escala.
Aunque la empresa no hace nada legalmente requerido, puede llamarlos voluntariamente. Su función incluirá la notificación de las obligaciones y la supervisión de su cumplimiento. La normativa establece que siempre será el responsable el obligado de comunicar sus datos a la Agencia de Protección de Datos de Andorra.
Obligatoriedad de designar un DPD
De conformidad con el artículo 38 de la normativa en cuestión se establece la obligación de designar a un DPD.
Esta figura es totalmente para las administraciones públicas y para ciertas empresas privadas.
Si tienes dudas sobre si necesitas designar a un DPD o no, no dudes en contactar con nosotros para que podamos ayudarte.
¿Quién está obligado a cumplir con la nueva ley?
Todas las empresas que procesan datos personales deben adoptar esta nueva legislación y cumplir sus requisitos.
El tratamiento de datos es realizado por empresas andorranas con sede en su territorio o por empresas que operan en otros países.
Obligatoriedad de notificar las violaciones de seguridad
El responsable del tratamiento de datos está obligado a informar a las autoridades andorranas de protección de datos si se produce una infracción tras la identificación de una infracción en una notificación a la Agencia de Protección de Datos.
Es importante tener en cuenta que el plazo para realizar esta notificación por las entidades del Principado de Andorra (la obligación en si) es corto y cuentan tanto dias laborables como no laborables.
El cumplimiento de esta obligación se debe hacer según establece la normativa andorrana en un plazo de 72 horas desde que se produce la brecha de seguridad.
Los nuevos derechos de las personas físicas
El derecho de supresión y el derecho a la portabilidad también se han incluido en la ley promulgada en 2022.
Todas estas medidas tienen por objeto garantizar la máxima seguridad del tratamiento de datos. Tiene como objetivo realizar un tratamiento de datos personales garantizando la máxima seguridad al usuario y a los derechhos de los mismos.
Se busca que el responsable del tratamiento tenga en cuenta su deber de tratamiento y además que estos responsables sean los mismos que aboguen por cuidar los datos de las personas físicas.
Además, se determina que la persona interesada debe conocer las formas en que pueden ejercerse los derechos. Es gratis y se requiere una respuesta del controlador. Debe informar al solicitante dentro del plazo máximo de 1 mes.
Códigos de conducta
También establece que se debe promocionar los códigos de conducta y que las empresas y diferentes sectores (incluso personas físicas tituladas) puedan adherirse a códigos de conducta basados en la legislación andorrana de protección de datos.
De esta manera, se busca homogeneizar los tratamientos dentro del territorio andorrano.
Debe alentar a las entidades a elaborar un código de conducta a fin de contribuir al cumplimiento y la aplicación efectiva de la legislación vigente.
La evaluación de impacto
El LQPD debe determinar posibles amenazas a los derechos de las personas a la vida y las libertades. Se trata de un informe que contiene detalles detallados sobre su tratamiento y su finalidad.
Se debe considerar otro requisito para el tratamiento. El documento debe describir los riesgos identificados junto con las medidas de seguridad previstas para hacer frente a dichos riesgos.
Idealmente, la evaluación surtirá efecto antes de que cualquier operación de procesamiento de datos se base en los resultados. A menos que ya se esté llevando a cabo, debería tener lugar al menos inmediatamente después de que se descubran los peligros.
Registro de actividades
La nueva legislación exige un registro interno detallado para el tratamiento de datos que ha llevado a cabo la RAT.
Si tienes dudas sobre este artículo o sobre las obligaciones contenidas en este artículo ponte en contacto con nosotros sin compromiso.
Ampliación de los derechos del interesado
Del mismo modo, en virtud de esta ley, puede haber modificaciones en sus derechos a la persona de que se trate.
La legislación del pasado otorgaba el derecho de acceso y rectificación correspondiente, el derecho a la amonestación y el derecho a protestar.
La legislación añade el derecho al olvido y el derecho a renunciar a los derechos digitales para restringir el procesamiento, el derecho a la portabilidad y el derecho a la no automatización de las decisiones personales.
Se elimina la obligatoriedad de inscribir los ficheros de datos personales a l’APDA
La legislación suprime la necesidad de registrar datos personales en el registro oficial de APDA. El artículo 34 exige que el transformador lleve registros de la transformación en empresas que tengan al menos 50 empleados.
