Publicada la ley de protección de datos personales en Andorra

Nueva ley de protección de datos en Andorra, el pasado 17 de noviembre de 2021 se publicó en el Boletín Oficial del Principat d’Andorra la Ley 29/2021; de 28 de octubre, cualificada de protección de datos personales. Derogando de esta manera la ley 15/2003; de 18 de diciembre, cualificada de protección de datos personales y a su vez, adaptando el ordenamiento jurídico andorrano al Reglamento (UE) 2016/2019 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos persones y a la libre circulación de los mismos.

¿Cuándo entrará en vigor?

La citada normativa entrará en vigor en MAYO del 2022. Es por ello, que de antemano queremos ofrecerle un breve resumen de sus novedades y las nuevas obligaciones que se incorporan, para que, si usted dispone de empresas, entidades, filiales o clientes en ANDORRA pueda confeccionar y verificar todas las obligaciones con anterioridad a la fecha de entrada en vigor.

¿A quién aplica?

La presente Ley es de obligado cumplimiento para todas aquellas entidades; tanto públicas como privadas, que traten datos personales con domicilio en el Principado de Andorra, o constituidas de acuerdo con las leyes del Principado; así como, las entidades no domiciliadas al Principado o no constituidas conforme a sus leyes que realicen tratamiento de datos en territorio andorrano.

Se entiende como datos personales; toda información numérica, alfabética, grafica, fotográfica, acústica o de cualquier otro tipo relativa a una persona física identificada o identificable (persona interesada); se entiende como persona física identificable cualquier persona con una identidad que se pueda determinar, directamente o indirectamente en particular mediante un identificador; o uno o varios elementos específicos, característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

¿Qué novedades presenta la nueva Ley de Protección de datos?

1. Obligatoriedad de designar un DPO

La figura del delegado de protección de datos o DPO se establece en el artículo 38 de la citada ley. Anteriormente no era obligatoria la figura del DPO en las entidades; sin embargo, en la presente actualización se especifica que será de obligado cumplimiento la designación de un DPO y que, además deberá comunicarse a la Agencia Andorrana de Protección de Datos (APDA) para los responsables de tratamiento del ámbito público y privado.

El DPO, en el nuevo marco reforzado de cumplimiento basado en la responsabilidad, es la persona encargada de informar a la entidad responsable o al responsable del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de asegurar o supervisar el cumplimiento normativo al respecto, de cooperar con la autoridad de control y actuar como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Además, el Delegado de Protección de Datos es uno de los ejes principales del principio de responsabilidad activa que contempla en la nueva normativa.

2. Obligatoriedad de notificar las violaciones de seguridad

En el artículo 36 de la ley; se describe que, en caso de violación de la seguridad de los datos personales, el responsable de tratamiento de los mismos deberá notificar la violación a la Agencia Andorrana de Protección de Datos en un plazo de máximo 72 horas desde que se tenga conocimiento de dicha violación.

3. Obligatoriedad de confeccionar una evaluación de impacto

En la anterior ley de protección de datos no se tipificaba el informe de evaluación de impacto como un documento obligatorio. No obstante; en la presente normativa, se cita expresamente que dicho informe se deberá confeccionar cuando se prevean tratamientos de datos personales en categorías especiales, elaboración de perfiles y observaciones sistemáticas a gran escala de una zona pública y; en general, cualquier tratamiento de datos personales que pueda entrañar un alto riesgo para los derechos y libertades de las personas afectadas.

4. Códigos de conducta

La nueva Ley especifica que la APDA deberá promover que las entidades realicen códigos de conducta con el objetivo de contribuir al cumplimiento y a una buena aplicación de la legislación vigente.

5. Ampliación de los derechos del interesado

Asimismo, en la presente Ley podemos observar un cambio en cuanto a los derechos del interesado. En este sentido, en la anterior normativa se disponía por parte del interesado del derecho de acceso, el derecho de rectificación, el derecho de supresión y el derecho de oposición. No obstante lo anterior, la Ley 29/2021 añade: derecho al olvido, garantía de derechos digitales, derecho a la limitación del tratamiento de los dato, derecho a la portabilidad y derecho a no ser objeto de decisiones individuales automatizadas ni de elaboración de perfiles.

6. Se elimina la obligatoriedad de inscribir los ficheros de datos personales a l’APDA.

La citada Ley elimina la obligatoriedad relativa a la inscripción de ficheros de datos personales en el registro público de l’APDA.
En el artículo 34, se obliga a que el responsable o el encargado del tratamiento de los datos personales confeccione un registro de las actividades de tratamiento en las empresas de más de 50 trabajadores y en las administraciones públicas.

7. Sanciones

En el artículo 73 de la nueva Ley, se especifican las siguientes sanciones según la tipología de las infracciones realizadas:

• Esas sanciones administrativas económicas para infracciones consideradas MUY GRAVES  30.001€ a 100.000€
• Sanciones administrativas económicas para infracciones consideradas GRAVES  15.001€ a 30.000€
• Sanciones administrativas económicas para infracciones consideradas LEVES  500€ a 15.000€

Finalmente, destacar el concepto de “RESPONSABILIDAD PROACTIVA” que se define como el deber de cumplimiento y la facultad de demostrar este cumplimiento en relación con los principios legales.

Si quiere saber más o necesita ayuda para implementar correctamente las obligaciones de la Ley de Protección de Datos en Andorra antes de su entrada en vigor, no dude en contactar con nosotros.

¡En Tarinas Law & Economy le ayudaremos y le asesoraremos!