Requisitos para cumplir con la LQPD en Andorra: guía de protección de datos
Actualizado en junio de 2026
La protección de datos en Andorra tiene un marco legal propio que toda empresa o profesional que opere en el Principado debe conocer y aplicar. La Llei 29/2021, de 28 d’octubre, qualificada de protecció de dades personals, conocida como LQPD, es la norma que regula el tratamiento de datos personales desde su entrada en vigor en mayo de 2022. No sirve de excusa ser una empresa pequeña ni tener sede fuera del territorio andorrano si se tratan datos aquí. Conocer los requisitos concretos es el primer paso para evitar sanciones y operar con seguridad jurídica.
Qué es la LQPD y a quién se aplica la protección de datos en Andorra
La Llei 29/2021 sustituyó la anterior normativa de 2003 y adaptó el Principado a los estándares del Convenio 108+ del Consejo de Europa y, en gran medida, al RGPD europeo. El resultado práctico es que Andorra está reconocida por la Comisión Europea como país con nivel adecuado de protección, lo que facilita enormemente los flujos de datos con empresas de la Unión Europea.
La ley se aplica a cualquier entidad, pública o privada, que trate datos personales en territorio andorrano. Esto incluye empresas con domicilio social en Andorra, sociedades constituidas conforme a la legislación andorrana y también organizaciones extranjeras que realicen tratamientos dentro del Principado. Un despacho de abogados en Andorra la Vella, una clínica en Escaldes o un ecommerce que tenga servidores o personal en el país quedan bajo su ámbito.
Tampoco importa el tamaño. El artículo 3 de la LQPD no establece excepciones por volumen de facturación ni por número de empleados. Lo que sí permite la norma es aplicar el principio de proporcionalidad: las medidas deben ser adecuadas al nivel de riesgo del tratamiento. Un autónomo que gestiona una agenda de clientes no tiene las mismas obligaciones que una empresa de seguros que maneja historiales médicos.
LQPD y RGPD: similitudes y diferencias prácticas
La LQPD sigue de cerca la estructura del RGPD europeo. Comparte los mismos principios del artículo 5, reconoce derechos idénticos a los interesados y exige responsabilidad proactiva. La diferencia más relevante en la práctica es la autoridad de control: en Andorra es la Agència Andorrana de Protecció de Dades (APDA), no la AEPD española ni ninguna agencia europea.
Una empresa digital establecida en Andorra que ofrezca servicios a ciudadanos de la Unión Europea puede quedar sujeta simultáneamente a la LQPD y al RGPD. En ese caso, debe cumplir ambas normativas. Es una situación cada vez más común entre startups tecnológicas que eligen Andorra por su fiscalidad y luego descubren que la protección de datos tiene su propia complejidad local.
Principios del tratamiento de datos según la LQPD
El artículo 5 de la LQPD establece los principios que rigen cualquier operación de tratamiento. Son de obligado cumplimiento y su vulneración puede derivar directamente en un expediente sancionador ante la APDA. Los principales son:
- Licitud, lealtad y transparencia: los datos solo pueden tratarse si existe una base jurídica válida y el interesado conoce los términos del tratamiento.
- Limitación de la finalidad: los datos recogidos para un fin concreto no pueden reutilizarse para otro incompatible.
- Minimización: solo se deben recoger los datos estrictamente necesarios para la finalidad declarada.
- Exactitud: los datos deben mantenerse actualizados y corregirse cuando sean inexactos.
- Limitación del plazo de conservación: no pueden guardarse indefinidamente; hay que fijar plazos justificados.
- Integridad y confidencialidad: deben aplicarse medidas técnicas y organizativas que protejan los datos frente a accesos no autorizados, pérdidas o destrucción.
La base de legitimación del tratamiento es otro requisito que la LQPD exige justificar por escrito para cada finalidad. El consentimiento es la más conocida, pero tiene una limitación importante: puede retirarse en cualquier momento. Por eso muchas organizaciones prefieren apoyarse en otras bases, como la ejecución de un contrato o el interés legítimo, cuando el tratamiento lo permite.
La edad mínima para que un menor preste consentimiento válido en Andorra se sitúa en los 16 años. Por debajo de esa edad, se requiere la autorización de los progenitores o tutores legales.
Derechos de los interesados: plazos y obligaciones de respuesta
La LQPD reconoce a los ciudadanos los mismos derechos que el RGPD europeo: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos. Estos derechos están regulados en los artículos 15 a 22 de la norma y son directamente exigibles.
El plazo máximo para responder a una solicitud de ejercicio de derechos es de un mes desde la recepción. Si la solicitud es compleja o el volumen de peticiones es elevado, ese plazo puede prorrogarse dos meses más, pero hay que comunicarlo al interesado dentro del primer mes. No responder a tiempo ya constituye una infracción administrativa.
En la práctica, muchos de los clientes que atendemos en Andorra Services descubren que sus formularios de contacto web o sus contratos con empleados no incluyen la información obligatoria sobre estos derechos. Adaptar esos documentos es una de las primeras acciones que recomendamos en cualquier revisión de cumplimiento.
Tabla comparativa: LQPD Andorra vs RGPD europeo
| Aspecto | LQPD Andorra (Llei 29/2021) | RGPD Europa (UE 2016/679) |
|---|---|---|
| Autoridad de control | APDA (Agència Andorrana de Protecció de Dades) | Autoridades nacionales de cada Estado miembro (AEPD en España) |
| Sanción máxima | 100.000 euros | 20.000.000 euros o 4% del volumen global |
| Notificación de brechas | 72 horas a la APDA | 72 horas a la autoridad competente |
| Registro de actividades (RAT) | Obligatorio para entidades con más de 50 empleados y entes públicos | Obligatorio para la mayoría de responsables y encargados |
| DPD obligatorio | Entes públicos, tratamientos a gran escala o datos especiales | Entes públicos, tratamientos a gran escala o datos especiales |
| Edad de consentimiento de menores | 16 años (con autorización parental por debajo) | 16 años (los Estados pueden reducirla a 13) |
| Reconocimiento mutuo con la UE | Sí, Andorra tiene nivel de adecuación reconocido por la Comisión Europea | Transferencias libres entre Estados miembros |
| Base normativa | Llei 29/2021, de 28 d’octubre; Decret 391/2022 | Reglamento UE 2016/679 |
Registro de Actividades de Tratamiento (RAT): quién debe tenerlo
El Registro de Actividades de Tratamiento, conocido como RAT, es el documento interno donde se describen todas las operaciones de tratamiento que realiza una organización. Recoge las finalidades, las categorías de datos, los destinatarios, los plazos de conservación y las medidas de seguridad aplicadas.
La obligación de mantener un RAT actualizado recae sobre las entidades con más de 50 trabajadores y sobre todas las entidades públicas. Organizaciones más pequeñas también deben elaborarlo si realizan tratamientos que puedan suponer un riesgo alto para los derechos de las personas. En cualquier caso, la APDA recomienda tenerlo aunque no sea estrictamente obligatorio: es la primera documentación que pide en una inspección.
El RAT no se inscribe en ningún registro público. La LQPD eliminó esa obligación que existía con la ley anterior. Se mantiene internamente y debe estar disponible si la APDA lo requiere. La agencia publica un modelo oficial en formato editable que puede usarse como punto de partida, aunque conviene adaptarlo a la realidad concreta de cada organización antes de cualquier auditoría.
El delegado de protección de datos en Andorra: cuándo es obligatorio
El delegado de protección de datos (DPD o DPO) es la figura que la LQPD introduce como pieza clave del sistema de cumplimiento. Su función es asesorar al responsable del tratamiento, supervisar la aplicación de la norma y actuar como interlocutor entre la organización y la APDA.
No todas las empresas están obligadas a designar un DPD. El artículo 37 de la LQPD establece tres supuestos en los que la designación es obligatoria:
- Autoridades y organismos públicos, con independencia del tipo de datos que traten.
- Responsables o encargados cuyo tratamiento principal implique una observación habitual y sistemática de personas a gran escala.
- Responsables o encargados que traten a gran escala categorías especiales de datos, como datos de salud, datos biométricos o datos sobre convicciones penales.
La LQPD no define matemáticamente qué es gran escala. Se analiza caso por caso atendiendo al número de interesados afectados, el volumen de datos, la duración del tratamiento y su alcance geográfico. Además, la APDA emitió en abril de 2023 una instrucción vinculante por la que los profesionales sanitarios y los abogados quedan obligados a designar un DPD con independencia de su tamaño.
Una vez designado, el DPD debe inscribirse en la APDA a través del formulario habilitado en su página web. Sus datos de contacto han de hacerse públicos. La designación puede recaer en un empleado de la propia organización o en un proveedor externo de servicios. La LQPD no prohíbe expresamente que el DPD resida fuera de Andorra, pero en la práctica resulta difícil cumplir correctamente las funciones de coordinación con la APDA sin presencia en el Principado.
Funciones del delegado de protección de datos
El DPD asesora al responsable y al encargado del tratamiento sobre sus obligaciones legales. Supervisa que las políticas internas de privacidad se apliquen de forma efectiva. También actúa como punto de contacto con la APDA en inspecciones, reclamaciones o cualquier requerimiento de información.
Cuando se produce una brecha de seguridad, el DPD coordina la respuesta interna junto con el responsable de seguridad informática y la dirección. Es quien debe asegurarse de que la notificación a la APDA se realice dentro del plazo legal y con la documentación requerida.
Otra función práctica que muchos subestiman es la formación del personal. El DPD debe garantizar que empleados y colaboradores conocen sus obligaciones en materia de protección de datos, especialmente en sectores como la hostelería, la salud o los servicios financieros, donde el tratamiento de datos de clientes es intensivo y cotidiano.
Brechas de seguridad y evaluaciones de impacto en protección de datos
Cuando se produce una violación de seguridad que afecta a datos personales, el responsable del tratamiento tiene un plazo máximo de 72 horas para notificarlo a la APDA desde que tiene conocimiento del incidente. Si ese plazo se supera, la notificación debe ir acompañada de una justificación de la demora. Sin esa justificación, la APDA puede abrir un expediente sancionador.
La notificación se realiza por vía electrónica a través del canal habilitado por la APDA. Conviene conservar siempre un acuse de recibo como prueba del cumplimiento del plazo. Si la brecha supone un riesgo alto para los derechos y libertades de las personas afectadas, además hay que comunicarla a los propios interesados sin demora, según establece el artículo 37 de la LQPD.
La evaluación de impacto en protección de datos (EIPD) es otro instrumento que la LQPD exige cuando un tratamiento puede generar un riesgo elevado. Aplica, entre otros casos, a la videovigilancia a gran escala, al tratamiento de datos de salud, a la elaboración de perfiles y a la monitorización sistemática de empleados. La EIPD debe realizarse antes de iniciar el tratamiento, no después.
Sanciones por incumplimiento de la LQPD y papel de la APDA
La Agència Andorrana de Protecció de Dades (APDA) es la autoridad independiente encargada de supervisar el cumplimiento de la LQPD. Puede iniciar inspecciones de oficio, resolver reclamaciones de ciudadanos, emitir directrices y, cuando detecta incumplimientos, imponer sanciones administrativas.
El régimen sancionador de la LQPD clasifica las infracciones en tres niveles según su gravedad:
- Infracciones leves: sanción de entre 500 y 15.000 euros.
- Infracciones graves: sanción de entre 15.001 y 30.000 euros.
- Infracciones muy graves: sanción de entre 30.001 y 100.000 euros.
Estas cifras son muy inferiores a las del RGPD europeo, donde las multas pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio global. Pero en el contexto del Principado son significativas. La APDA ya ha demostrado que actúa: en 2025 sancionó a Andorra Telecom y también a un medio digital andorrano por carecer de política de privacidad. El Govern fue amonestado en 2023.
La responsabilidad proactiva que exige la LQPD implica no solo cumplir la normativa, sino poder demostrar ese cumplimiento en cualquier momento. Una empresa que no puede acreditar que dispone de RAT actualizado, cláusulas de privacidad en sus formularios web o contratos de encargo del tratamiento con sus proveedores está expuesta, aunque en la práctica no haya cometido ninguna filtración de datos.
Preguntas frecuentes
¿La LQPD se aplica a mi empresa si tengo sede en España pero clientes en Andorra?
Depende de dónde se realice el tratamiento de datos. Si tu empresa opera con datos de personas físicas en territorio andorrano, por ejemplo a través de un encargado del tratamiento establecido en Andorra, la LQPD es aplicable. Las organizaciones no domiciliadas en el Principado que traten datos allí deben además contar con un representante establecido en Andorra.
¿Estoy obligado a tener un delegado de protección de datos en Andorra?
No todas las empresas lo necesitan. La obligación surge si eres una autoridad pública, si tu actividad principal implica una observación sistemática de personas a gran escala, o si tratas categorías especiales de datos en grandes volúmenes. En 2023, la APDA amplió la obligación a profesionales sanitarios y abogados mediante instrucción vinculante. Si tienes dudas, lo más seguro es analizar el tipo de tratamiento concreto que realizas.
¿Qué pasa si sufro una brecha de datos en mi empresa andorrana?
Debes notificarlo a la APDA en un plazo máximo de 72 horas desde que tienes conocimiento del incidente. Si ese plazo se supera sin justificación, la agencia puede iniciar un expediente sancionador. Cuando la brecha supone un riesgo alto para los afectados, también hay que comunicárselo a ellos directamente y sin demora.
¿Necesito política de privacidad en mi web andorrana?
Si tu web recoge datos personales, ya sea a través de un formulario de contacto, cookies analíticas o un sistema de suscripción, debes tener aviso legal, política de privacidad y política de cookies adaptados a la LQPD. La APDA ya ha sancionado en 2025 a un medio digital andorrano precisamente por no contar con política de privacidad.
¿Cuánto puede multar la APDA por incumplir la protección de datos?
El régimen sancionador de la LQPD prevé tres niveles: infracciones leves (hasta 15.000 euros), graves (hasta 30.000 euros) y muy graves (hasta 100.000 euros). Además de multas, la APDA puede imponer amonestaciones o, en casos graves, prohibiciones de continuar con el tratamiento.
Cumplir con la protección de datos en Andorra no es un trámite puntual. Es un proceso continuo que implica revisar documentación, mantener el RAT actualizado, formar al personal y actuar con rapidez cuando surge un incidente. La APDA ya ha demostrado que inspecciona y sanciona, y la tendencia es que lo haga cada vez con más frecuencia a medida que la concienciación ciudadana crece en el Principado.
Si tienes una empresa en Andorra, estás pensando en establecerte aquí o simplemente necesitas revisar si tu situación actual cumple con la Llei 29/2021, en Andorra Services podemos acompañarte en todo el proceso. Contacta con nuestro equipo y evaluamos tu caso sin compromiso.
