En este mes de mayo ha entrado en vigor la Ley 29/2021, del 28 de octubre, cualificada de protección de datos personales, habiendo transcurrido, a la fecha de hoy, más de seis meses desde su publicación en el Boletín Oficial del Principado de Andorra.

Esta normativa tiene como objetivo armonizar la normativa interna del Principado de Andorra con las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como derogar la anterior Ley 15/2003, de 19 de diciembre, cualificada de Protección de Datos.

Esta normativa que ya resulta de aplicación deberá ser interpretada conforme la guía sobre el uso de cookies, política de privacidad y aviso legal debidamente confeccionada por la Agencia Andorrana de Protección de Datos (APDA).

Las principales novedades de esta nueva normativa son las siguientes:

1-Se introduce el principio de responsabilidad proactiva o accountability que, entre otros, implica la aplicación de las medidas técnicas y organizativas apropiadas por parte del responsable de tratamiento, a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa, todo ello teniendo en consideración el estado de la técnica, el coste de la aplicación, la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. De ahí el consentimiento “expreso” entendido como una manifestación de voluntad libre, específica, informada e inequívoca y la eliminación de la obligatoriedad relativa a la inscripción de ficheros de datos personales en el registro público de la APDA.

2-Se amplía el ámbito de aplicación de la ley ya que la normativa no sólo es aplicación a las empresas domiciliadas en el Principado de Andorra y/o constituidas con arreglo a las leyes del Principado de Andorra, sino también a aquellas entidades públicas y privadas que efectúen tratamientos de datos personales dentro del territorio andorrano.

3-Se tienen en consideración los tratamientos de datos automatizados y los tratamientos no automatizados y se incluye la regulación sobre el ejercicio de derechos de protección de datos personales que se refieran a personas fallecidas y sus condiciones.

4-Se amplía el catálogo de derechos para los interesados (derecho al olvido, garantía de derechos digitales, limitación del tratamiento de los datos, derecho a la portabilidad y derecho a no ser objeto de decisiones individuales automatizadas ni de elaboración de perfiles) y se establece que el tratamiento de datos personales de un menor solo se considerará válido si éste tiene como mínimo 16 años de edad.

5-Se regula el contenido mínimo de los registros de actividades del tratamiento (RAT) y de los contratos a formalizar entre responsables y encargados del tratamiento.

6-Se introduce la obligación de llevar a cabo una evaluación de impacto de protección de datos (EIPD) cuando se detecte un alto riesgo en un determinado tratamiento.

7-Se incorpora la figura del delegado de protección de datos (DPD), que podrá formar parte de la plantilla o ejercer las funciones por medio de un contrato de servicios y podrá ser designado con carácter voluntario u obligatorio por concurrir determinadas situaciones y circunstancias.

8-Se establece la obligatoriedad de notificar determinadas brechas y/o violaciones de seguridad a la APDA en un plazo máximo de 72 horas.

9-Se determinan las funciones y competencias de la autoridad de control del Principado de Andorra (APDA), entre otras, la de promover a las entidades la confección de códigos de conducta.

10-Se dividen y clasifican las infracciones según el tipo de gravedad: las infracciones consideradas muy graves, se sancionan con un importe entre 30.001 euros y 100.000 euros; las infracciones consideradas graves, se sancionan con una cantidad comprendida entre los 15.001 euros y los 30.000 euros; y las infracciones consideradas leves, se sancionan con una cantidad comprendida entre los 500 euros y los 15.000 euros. Las sanciones administrativas económicas podrán ir desde los 500 euros hasta los 100.000 euros; por el contrario, las disposiciones del RGPD prevén multas notoriamente superiores de hasta de 20 000 000 euros o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

A continuación, dos enlaces al respecto:

  • Ley Andorrana de Protección de Datos

https://www.consellgeneral.ad/fitxers/documents/lleis-2021/Llei%2029%202021-%20del%2028%20d2019octubre-%20qualificada%20de%20proteccio%20de%20dades%20personals..pdf/view

  • Guía de Protección de Datos Andorrana

https://www.apda.ad/noticia/nova-publicacio-guia-sobre-l-us-de-cookies-politica-de-privadesa-i-avis-legal

Si necesita más información al respecto, no dude en contactar con nosotros o si lo prefiere puede plantearnos su consulta a través de nuestro formulario  haciendo clic aquí.