Skip to main content

Registro de Actividades de Tratamiento en Andorra

By July 10, 2024Andorra

¿Qué es el tratamiento de datos personales y el Registro de Actividades de Tratamiento en Andorra?

El tratamiento de datos personales se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no. Esto incluye la recolección, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, supresión o destrucción de datos personales.

Algunos de los elementos clave del tratamiento de datos personales son:

  1. Recolección: Obtener datos personales de diversas fuentes, ya sea directamente del titular de los datos o de terceros.
  2. Almacenamiento: Guardar los datos en algún formato, ya sea físico o digital.
  3. Uso: Utilizar los datos para los fines para los cuales fueron recolectados, que pueden incluir análisis, marketing, comunicación, entre otros.
  4. Divulgación: Compartir los datos con terceros, lo cual puede implicar transmisión o publicación de los mismos.
  5. Modificación: Cambiar, actualizar o corregir los datos cuando sea necesario.
  6. Eliminación: Borrar los datos cuando ya no sean necesarios para los fines para los cuales fueron recolectados, o cuando el titular de los datos lo solicite y sea procedente.

El tratamiento de datos personales está regulado por la ley 29 2021 de protección de datos personales en Andorra, y por diversas leyes y normativas en distintos países, que buscan proteger la privacidad y los derechos de los individuos.

Estas normativas, como el Reglamento General de Protección de Datos (GDPR) en Europa, establecen principios y obligaciones para las organizaciones que manejan datos personales, como el consentimiento del titular de los datos, la transparencia en el uso de los datos, la minimización de datos, la exactitud, la integridad y la confidencialidad de los datos.

Sancion-proteccion-de-datos-Google

Publicada la nueva ley 29/2021, de Protección de Datos de personales en Andorra

Después de 18 años, el Principado de Andorra aprobó la nueva ley de protección de datos en Andorra.

Esta nueva ley de protección de datos, la ley 29 2021, deroga la Ley 14/2003, de 18 de diciembre, en materia de protección de datos.

Su objetivo es adaptar el sistema jurídico de Andorra para satisfacer las nuevas demandas creadas por los avances tecnológicos y la globalización, y beneficiarse de la nueva legislación de la UE. Los datos en Andorra, así como la protección de datos personales, pasan a tener un tratamiento especial por las empresas en Andorra gracias a esta nueva ley de protección de datos personales.

De esta manera, el tratamiento de datos en Andorra, pasa a tener la misma protección que cualquier país de la Unión Europea, como exige el Parlamento Europeo.

¿Qué obligaciones tengo en materia de protección de datos como empresa en Andorra?

Cualquier empresa ya sea pública o privada que realize un tratamiento de datos personales en Andorra, deberá hacerlo asumiendo la mayor protección posibles para no vulnerar los derechos de las personas que son titulares de estos mismos derechos gracias a la ley de protección de datos en Andorra.

Ahora bien, además de realizar un tratamiento adecuado y asumir la mayor protección posible, la ley establece una serie de obligaciones a las empresas que traten datos de Andorra:

  • Designar a un Delegado de Protección de Datos personales (DPD): aquí tienes más información al respecto.
  • Tener los textos legales de la página web adaptados a la ley andorrana.
  • Disponer de un Registro de Actividades de tratamiento por todas aquellas entidades públicas y privadas (éstas últimas si cumplen ciertos requisitos).
  • Disponer de políticas de actuación ante violaciones de seguridad, solicitud de derechos de los interesados, etc.

Nombramiento de un delegado de protección de datos (DPD)

Los principales cambios que conlleva la LQPD para las empresas de el Principado de Andorra incluyen el nacimiento de otra figura: el Delegado de Protección de Datos.

La ley es obligatoria tanto para las organizaciones públicas como para las privadas (estas últimas si cumplen ciertos requisitos). En este otro artículo te damos toda la información sobre si necesitas designar a un Delegado de Protección de Datos para tu empresa o no según la ley andorrana.

Es importante tener en cuenta que el Reglamento de aplicación de la ley, establece más información sobre el DPD, por lo que se deberá revisar siempre el reglamento a la hora de la aprobación de un nuevo DPD por las entidades andorranas.

Quan haig de designar un DPDRegistro de actividades

Anteriormente, las empresas estaban obligadas a registrar sus actividades de tratamiento de datos personales en la Agencia Andorrana de Protección de Datos a través de un fichero de datos. Sin embargo, con la entrada en vigor de la nueva legislación, esta obligación ha sido modificada. Ahora, aunque no es obligatorio registrar las actividades en la agencia, es necesario mantener un Registro de Actividades de Tratamiento (RAT) detallado y actualizado internamente.

El artículo 34 de la ley 29 2021 cualificada de protección de datos personales es la normativa aplicable a este apartado.

Contenido mínimo del Registro de Actividades de Tratamiento en Andorra

El RAT debe contener al menos la siguiente información:

  • Nombre y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable y del delegado de protección de datos.
  • Los fines del tratamiento.
  • Descripción de las categorías de interesados y de las categorías de datos personales tratados.
  • Categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Plazos previstos para la supresión de las diferentes categorías de datos.
  • Una descripción general de las medidas técnicas y organizativas de seguridad aplicadas para proteger los datos.

Obligación de mantener el RAT actualizado

Es fundamental que el RAT se mantenga actualizado para reflejar con precisión las actividades de tratamiento de datos que realizan las empresas.

Esto incluye cualquier cambio en los fines del tratamiento, las categorías de datos, los destinatarios de los datos, entre otros. Mantener el RAT actualizado no solo es un requisito legal, sino que también es una buena práctica para gestionar de manera efectiva los datos personales y garantizar el cumplimiento de las normativas de protección de datos.

Evaluación de impacto

La nueva ley exige explícitamente que se realice una evaluación de impacto sobre la protección de datos cuando el tratamiento de la información personal podría causar un daño sensible a los derechos y libertades de las personas afectadas. Esta evaluación es particularmente importante en casos que incluyen:

  • Datos sobre personas de categorías especiales, como datos de salud, datos biométricos, datos genéticos, etc.
  • Creación de perfiles que podrían afectar significativamente a los individuos.
  • Observación sistemática y exhaustiva de lugares públicos a gran escala.

La evaluación de impacto debe identificar y mitigar los riesgos asociados con el tratamiento de estos datos para proteger adecuadamente los derechos de las personas.

Derechos del interesado

Bajo la legislación anterior, los individuos tenían varios derechos respecto a sus datos personales, incluyendo:

  • Derecho a la revocación de documentos.
  • Derecho de acceso a sus datos.
  • Derecho a la rectificación o eliminación de sus datos.
  • Derecho a presentar una denuncia ante un tribunal si sus derechos no eran respetados.

Con la nueva legislación 29/2021, se ha añadido un nuevo derecho para los interesados:

  • Derecho a la portabilidad de los datos: Este derecho permite a los individuos recibir los datos personales que han proporcionado a un responsable del tratamiento en un formato estructurado, de uso común y lectura mecánica, y transmitir esos datos a otro responsable del tratamiento sin impedimentos por parte del responsable al que se los proporcionaron originalmente.

Este nuevo derecho facilita la transferencia de datos personales entre diferentes proveedores de servicios, mejorando así la capacidad de los individuos para controlar y gestionar sus datos personales.

protección de datos andorra

¿Qué ocurre si sufro una vulneración de seguridad en Andorra?

Denuncia de infracciones de seguridad: Las leyes de protección de datos en Andorra establecen que cualquier infracción de seguridad que afecte a los datos personales debe ser denunciada a la Agencia Andorrana de Protección de Datos (APDA). Esta obligación es especialmente relevante cuando las violaciones pueden afectar los derechos o libertades de las personas involucradas. La denuncia debe incluir información detallada sobre la naturaleza de la infracción, los datos afectados, las consecuencias potenciales y las medidas adoptadas para mitigar el impacto.

Violaciones de seguridad

Comunicación a la Agencia Andorrana de Protección de Datos (APDA): Cuando se produce una violación de seguridad, es obligatorio que el responsable del tratamiento de los datos personales informe a la APDA. Esta comunicación debe realizarse de manera inmediata y no debe superar las 72 horas desde que se tiene conocimiento de la violación. La información proporcionada debe ser suficiente para que la APDA pueda evaluar la gravedad del incidente y las posibles medidas correctivas.

Comunicación al Departamento de Seguridad de Datos de Andorra: Además de informar a la APDA, el responsable del tratamiento también debe notificar la violación de seguridad al Departamento de Seguridad de Datos de Andorra en un plazo de 24 horas. Esta notificación debe incluir detalles sobre:

  • La naturaleza de la violación de seguridad.
  • Las categorías y el número aproximado de datos personales y de interesados afectados.
  • Las consecuencias probables de la violación de seguridad.
  • Las medidas adoptadas o propuestas para abordar la violación y mitigar sus posibles efectos adversos.

Procedimiento en caso de Vulneración de Seguridad

  1. Identificación de la violación:
    • Tan pronto como se detecte una violación de seguridad, el responsable del tratamiento debe evaluar la naturaleza y el alcance del incidente.
  2. Notificación a las autoridades:
    • En un plazo máximo de 24 horas, se debe informar al Departamento de Seguridad de Datos de Andorra.
    • En un plazo máximo de 72 horas, se debe notificar a la Agencia Andorrana de Protección de Datos (APDA).
  3. Evaluación del impacto:
    • Evaluar el impacto de la violación en los derechos y libertades de las personas afectadas.
  4. Comunicación a los interesados:
    • Si la violación de seguridad presenta un alto riesgo para los derechos y libertades de las personas, se debe informar directamente a los interesados sin demora indebida.
  5. Medidas correctivas:
    • Implementar medidas correctivas para mitigar el impacto de la violación y prevenir futuros incidentes similares.
  6. Documentación de la violación:
    • Mantener un registro detallado de todas las violaciones de seguridad, incluyendo los hechos relacionados, sus efectos y las medidas adoptadas para remediarlas.

Este procedimiento garantiza que las autoridades pertinentes sean informadas de manera oportuna y que se tomen las medidas necesarias para proteger a los individuos y mitigar cualquier daño potencial derivado de la violación de seguridad.

 

Andorra Services

Andorra Services

Su solución integral en Andorra