En mayo entra en vigor la nueva ley de protección de datos en Andorra: “Llei 29 2021, del 28 d’octubre, qualificada de protecció de dades personals” (LQPD), que sustituye la del 2003. El texto y la estructura se han basado en el Reglamento Europeo de Protección de Datos (RGPD) que incluye nuevas obligaciones para las empresas andorranas que tendrán que adaptar sus procesos al cuerpo legal. Entre estas, se encuentran: llevar un registro detallado de las acciones del tratamiento de datos, crear un plan de impacto y designar un delegado de protección de datos, entre otros. También, expone y amplia los derechos de las personas físicas, como el de portabilidad y limitación.
En este artículo, te contamos, a modo de información, las nuevas obligaciones más significativas que recoge la ley y la necesidad de mayor protección que adquieren las personas cuando dan sus datos.
Índice:
- Actualización de la Ley de Protección de Datos
¿Quién está obligado a cumplir con la nueva ley?
Los nuevos derechos de las personas físicas
El consentimiento
Registro de actividades
Nombramiento de un delegado de protección de datos (DPD)
La avaluación de impacto
Sanciones económicas
Nuevas competencias de la ADPA
Actualización de la Ley de Protección de Datos
Cabe destacar que Andorra ya contaba con una resolución que aseguraba un nivel adecuado de protección de datos de carácter personal, tanto en el ámbito interno como transfronterizo, por la Decisión 2010/625/UE, del 19 de octubre de 2010. Sin embargo, el RGDP considera que esta decisión puede ser revisable cada cuatro años, y coincide con la fecha de adopción del nuevo marco regulador. Si bien Andorra no forma parte de la Unión Europea, firmó el Convenio n.º 108 de Protección de Datos, que es el origen de muchas de las leyes actuales.
Además, es una prioridad para Andorra abrirse al mercado digital, y por este motivo quiere adoptar una normativa similar a la de los países que desean venir a invertir.
¿Quién está obligado a cumplir con la nueva ley?
Tendrán que aplicar la LQPD todas las personas, empresas, entidades y empresas públicas y privadas que realizan tratamiento de datos de carácter personal. Hace referencia, tanto al tratamiento manual como automatizado de datos ubicados en territorio andorrano por parte de empresas con domicilio en Andorra, como las de fuera que operan en el país.
Los nuevos derechos de las personas físicas
A los derechos de acceso, rectificación, supresión y oposición que ya se recogían en la ley del 2003, se suman el derecho al olvido, el de la limitación del tratamiento y el de la portabilidad. Todos ellos tienen como fin garantizar la más alta protección del tratamiento de los datos personales.
La LQPD también determina que el interesado tiene que estar informado de cómo puede ejercer los derechos y mediante qué medios. El ejercicio es gratuito y la repuesta por parte del responsable del tratamiento dentro de la empresa es obligatoria. Tendrá que comunicar al interesado en un máximo de un mes si es aceptado, denegado o prorrogado y justificarlo.
El consentimiento
La norma también establece cómo se tiene que llevar a cabo el consentimiento entre la persona física y la organización. Tiene que ser dado de manera libre, específica, informada e inequívoca, y recogido por una declaración o acción afirmativa y clara por parte del interesado. La empresa tiene que informar la identidad del responsable del tratamiento, el tipo de datos que se tratarán, con qué fines y cómo. El usuario también tiene que estar informado en ese momento cómo retirar el consentimiento.
Si existen diferentes finalidades, habrá que indicarlo en el momento del consentimiento a través de una lista y una casilla para cada fin, y el usuario podrá marcar expresamente que es lo que acepta y qué no.
La ley se refiere en todo momento a personas mayores de16 años. En caso de menores de edad, dispone de requisitos adicionales para los tutores.
Registro de actividades
Ya no es obligatorio registrar los ficheros de datos en la Agencia Andorrana de Protección de Datos (APDA). Cuando entre en vigor la nueva normativa, se tendrá que llevar un registro interno detallado de todas las acciones de tratamiento de datos personales (RAT).
Las empresas que tendrán que hacerlo son:
- La administración, parapúblicas, empresas u organizaciones públicas.
- Las que realizan procesamiento de datos sensibles o relativos a condenas e infracciones penales, así como las que tratan con datos con riesgo para los derechos y las libertades.
- Las que cuentan con más de 50 trabajadores.
Nombramiento de un delegado de protección de datos (DPD)
El principal cambio que conlleva la LQPD es el nacimiento de una nueva figura: el delegado de protección de datos, que podrá formar parte de la plantilla o ejercer las funciones por medio de un contrato de servicios.
Será obligatorio en organismos públicos y parapúblicos. Dentro de las entidades privadas, dependerá de la medida de las empresas y será obligatorio cuando realicen tratamiento de datos sensibles a gran escala. Aunque no haya obligación legal, la empresa podrá nombrarlo de manera voluntaria.
Sus funciones serán las de informar y asesorar en las obligaciones establecidas por la ley y supervisar su cumplimiento. Su designación tendrá que ser reportada a la Agencia Andorrana de Protección de Datos.
Aunque exista esta figura, la empresa sigue siendo la responsable del cumplimiento de la normativa.
La avaluación de impacto
La LQPD exige llevar a cabo un proceso para identificar los posibles riesgos para los derechos y libertades de las personas interesadas.
La evaluación de impacto es un informe con una descripción detallada del tratamiento y de la finalidad por la que se realiza. También tendrá que evaluar la necesidad y la proporcionalidad del tratamiento. Tendrá que detallar los riesgos identificados y las medidas de seguridad previstas para afrontarlos.
Lo ideal es efectuarla antes de llevar a cabo cualquier situación de procesamiento de datos y usar esta evaluación como una guía. En el caso de que se esté ya llevando a cabo, se debería hacer tan pronto como se detecte un peligro o un fallo en la cadena. Necesita de seguimiento cada vez que haya algún cambio en el tratamiento o en la ley.
Sanciones económicas
La Ley de Protección de Datos establece un régimen sancionador con multas económicas superiores a la normativa de 2003.
Las califica de la siguiente manera:
- Leves: de 500 € a 15.000 €
- Graves: van de 15.001 € a 30.000 €
- Muy graves: van de 30.001 € a 100.000 €
La agencia de protección de datos de Andorra es el órgano que puede amonestar y aplicar sanciones económicas a las empresas privadas. Por el contrario, cuando se trata de la administración pública, la ADPA solo puede informar públicamente de la falta en el Boletín Oficial y abrir un expediente, pero no habría una sanción económica. Esta se rige por su propio código de conducta disciplinar.
Nuevas competencias de la ADPA
La Agencia Andorrana de Protección de Datos adquiere nuevas competencias como autoridad de control independiente, que se desarrollan en el texto del nuevo marco regulador. Entre ellas, se encuentran la vigilancia del cumplimiento de la ley, el estudio de propuestas de mejora y la inspección y sanción, entre otras.
Seguramente, esta ley obligará a las empresas andorranas a hacer cambios parar adaptarse a su cumplimiento. En Advantia Assessors ya nos hemos puesto manos a la obra para seguir asegurando a nuestros clientes particulares y profesionales acerca de la confidencialidad y la seguridad en el tratamiento de sus datos.