El maig entra en vigor la nova llei de protecció de dades a Andorra: “Llei 29 2021, del 28 d’octubre, qualificada de protecció de dades personals” (LQPD), que substitueix la del 2003. El text i l’estructura s’han basat en el Reglament Europeu de Protecció de Dades (RGPD), que inclou noves obligacions per a les empreses andorranes, que hauran d’adaptar els seus processos. Entre aquestes obligacions, hauran deportar un registre detallat de les accions del tractament de dades, crear un pla d’impacte i designar un delegat de protecció de dades, entre d’altres. També exposa i amplia els drets de les persones físiques, com el de portabilitat i limitació.
En aquest article, t’expliquem, a tall d’informació, les noves obligacions més significatives que recull la llei i la necessitat de més protecció que adquireixen les persones quan donen les seves dades.
Índex:
- Actualització de la Llei de Protecció de Dades
Qui està obligat a complir la nova llei?
Els nous drets de les persones físiques
El consentiment
Registre d’activitats
Nomenament d’un delegat de protecció de dades (DPD)
L’avaluació d’impacte
Sancions econòmiques
Noves competències de l’ADPA
Actualització de la Llei de Protecció de Dades
Cal destacar que Andorra ja compta amb una resolució que assegura un nivell adequat de protecció de dades de caràcter personal tant a escala interna com transfronterera, per la Decisió 2010/625/UE del 19 d’octubre del 2010. No obstant això, l’RGDP considera que aquesta decisió pot ser revisable cada quatre anys i coincideix amb la data d’adopció del nou marc regulador. Tot i que Andorra no forma part de la Unió Europea, va signar el Conveni núm. 108 de Protecció de Dades, que és l’origen de moltes lleis actuals.
A més, per a Andorra és una prioritat obrir-se al mercat digital, i per això vol adoptar una normativa similar a la dels països que volen venir a invertir.
Qui està obligat a complir la nova llei?
Hauran d’aplicar la LQPD totes les persones, empreses, entitats i empreses públiques i privades que fan tractament de dades de caràcter personal. Fa referència, tant al tractament manual com a l’automatitzat de dades ubicades en territori andorrà per part d’empreses amb domicili a Andorra, com les de fora que operen al país.
Els nous drets de les persones físiques
Als drets d’accés, rectificació, supressió i oposició que ja es recollien a la llei del 2003, se sumen el dret a l’oblit, el de la limitació del tractament i el de la portabilitat. Tots aquests tenen com a finalitat garantir la protecció més alta en el tractament de les dades personals.
La LQPD també determina que l’interessat ha d’estar informat sobre com pot exercir els drets i per quins mitjans. L’exercici és gratuït i la resposta per part del responsable del tractament dins l’empresa és obligatòria. Haurà de comunicar-ho a l’interessat si és acceptat, denegat o prorrogat i justificar-ho en un màxim d’un mes.
El consentiment
La norma també estableix com s’ha de fer el consentiment entre la persona física i l’organització. Cal donar-lo de manera lliure, específica, informada i inequívoca, s’ha de recollir en una declaració o acció afirmativa i clara per part de l’interessat. L’empresa ha d’informar la identitat del responsable del tractament, la classe de dades que es tractaran, amb quines finalitats i com. L’usuari també ha d’estar informat en aquell moment sobre la manera de retirar el consentiment.
Si hi ha diferents finalitats, caldrà indicar-ho en el moment del consentiment mitjançant una llista i una casella per a cada fi, i l’usuari podrà marcar expressament què accepta i què no.
La llei es refereix en tot moment a persones més grans de 16 anys. En el cas de menors d’edat, es disposen de requisits addicionals per als tutors.
Registre d’activitats
Ja no és obligatori registrar els fitxers de dades a l’Agència Andorrana de Protecció de Dades (APDA). Quan entri en vigor la nova normativa, s’haurà de portar un registre intern detallat de totes les accions de tractament de dades personals (RAT).
Les empreses que ho hauran de fer són:
- L’administració, parapúbliques, empreses o organitzacions públiques.
- Les que realitzen processament de dades sensibles o relatives a condemnes i infraccions penals, així com les que tracten amb dades amb risc per als drets i les llibertats.
- Les que compten amb més de 50 treballadors.
Nomenament d’un delegat de protecció de dades (DPD)
El principal canvi que comporta la LQPD és el naixement d’una nova figura: el delegat de protecció de dades que podrà formar part de la plantilla o exercir les funcions amb un contracte de serveis.
Serà obligatori en organismes públics i parapúblics. Dins de les entitats privades dependrà de la mesura de les empreses i serà obligatori quan facin tractament de dades sensibles a gran escala. Encara que no hi hagi obligació legal, l’empresa el podrà nomenar de manera voluntària.
Les seves funcions seran les d’informar i assessorar sobre les obligacions establertes per la llei i supervisar-ne el compliment. La designació haurà de ser reportada a l’Agència Andorrana de Protecció de Dades.
Encara que hi hagi aquesta figura, l’empresa continua sent la responsable del compliment de la normativa.
L’avaluació d’impacte
La LQPD exigeix dur a terme un procés per identificar els possibles riscos per als drets i les llibertats de les persones interessades.
L’avaluació d’impacte és un informe amb una descripció detallada del tractament i de la finalitat que es fa. També haurà d’avaluar la necessitat i la proporcionalitat del tractament. Haurà de detallar els riscos identificats i les mesures de seguretat previstes per afrontar-los.
L’ideal és fer-la abans de dur a terme qualsevol situació de processament de dades, i fer servir aquesta avaluació com a guia. Si ja es duen a terme, s’hauria de fer tan aviat com es detecti un perill o una fallada a la cadena. Cal fer un seguiment cada vegada que hi ha algun canvi en el tractament o la llei.
Sancions econòmiques
La Llei de Protecció de Dades estableix un règim sancionador amb multes econòmiques superiors a la normativa del 2003.
Les qualifica de la manera següent:
- Lleus: de 500 € a 15.000 €
- Greus: van de 15.001 € a 30.000 €
- Molt greus: van de 30.001 € a 100.000 €
L’agència de protecció de dades d’Andorra és l’òrgan que pot amonestar i aplicar les sancions econòmiques a les empreses privades. Per contra, quan es tracta de l’administració pública, l’ADPA només pot informar públicament de la falta en el Butlletí Oficial i obrir un expedient, però no hi hauria una sanció econòmica. Aquesta es regeix pel mateix codi de conducta disciplinària.
Noves competències de l’ADPA
L’agència Andorrana de Protecció de Dades adquireix noves competències que es desenvolupen el text del nou marc regulador com a autoritat de control independent. Entre aquestes, hi ha la vigilància del compliment de la llei, l’estudi de propostes de millora i la inspecció i sanció, entre d’altres.
Segurament aquesta llei obligarà les empreses andorranes a fer canvis per adaptar-se al seu compliment. A Advantia Assessors hem posat fil a l’agulla per continuar assegurant als nostres clients particulars i professionals la confidencialitat i la seguretat del tractament de les seves dades.