Diferències entre la política de protecció de dades andorrana i el RGPD


A l’article d’avui volem parlar-te de les diferències entre la política de protecció de dades a Espanya/Europa i la política andorrana.

I és que, encara que hagi molt poques diferències en relació al RGPD, és important que les empreses que treballen a Andorra, tenen tercers o col·laboradors en aquest país o fan intercanvis comercials amb empreses andorranes, coneguin la seva normativa i s’adaptin al seu compliment. Ja que estarien intercanviant dades personals amb Andorra.

Per aquest motiu, avui t’explicarem el més important de la Llei 29/2021, Qualificada de Protecció de Dades Personals, que estableix un règim de protecció de dades adaptat a les necessitats d’Andorra i que s’ha de complir des del passat 17 de maig de 2022.

Haig de complir la llei andorrana de protecció de dades?

Aquesta normativa de protecció de dades és obligatòria per totes les entitats públiques i privades que tracten dades personals en el territori andorrà.

Això engloba tant a les entitats que tinguin domicili a Andorra, o estiguin constituïdes amb les lleis andorranes, com a aquelles que només realitzen tractament de dades en aquest territori.

Pel que, si la teva empresa té relacions amb Andorra, has de tenir en compte que:

  • Si tens un encarregat de tractament a Andorra, per més que la teva empresa sigui espanyola, has de complir amb la llei andorrana.
  • Els responsables o encarregats no domiciliats a Andorra hauran de comptar amb un representant en aquest país.
  • Totes les empreses espanyoles podran fer transferències transfrontereres amb Andorra sempre i quan compleixin amb la normativa del RGPD.

Quines diferències presenta la llei andorrana de protecció de dades?

  • Obligació de nomenar a un Delegat de Protecció de Dades (DPD) en les entitats públiques i les empreses privades que facin tractaments a gran escala. Aquesta designació ha de comunicar-se a l’Agència Andorrana de Protecció de Dades (APDA).
  • El DPD s’encarregarà d’informar a l’entitat o al responsable del tractament sobre les seves obligacions legals, assegurar el compliment de la normativa, cooperar amb l’Autoritat de Control i ser el contacte entre l’autoritat i l’entitat.
  • És obligatori notificar les violacions de seguretat. D’això s’encarregarà el responsable del tractament i ho notificarà a l’Agència Andorrana de Protecció de Dades en un termini màxim de 72 hores.
  • L’anàlisi de riscos i l’avaluació d’impactes són obligatòries. S’ha de realitzar aquest document quan es facin tractaments de dades personals de categories especials o qualsevol altre document que comporti un alt risc pels drets i llibertats dels afectats.
  • L’APDA ha de promoure que les entitats realitzin codis de conducta per complir amb la normativa.
  • Des de l’anterior modificació es van ampliar els drets dels interessats amb: el dret d’accés, de rectificació, de supressió, d’oposició, dret a l’oblit, drets digitals, dret a la limitació del tractament de les dades, dret a la portabilitat i el dret a no ser objecte de decisions individuals automatitzades ni de elaboració de perfils.
  • No és obligatòria la inscripció de fitxers de dades personals en l’APDA, però s’obliga a que el responsable o encarregat del tractament faci un registre d’activitats de tractament o en aquelles empreses que tenen més de 50 treballadors i en les entitats públiques.
  • Les sancions que pugui imposar l’APDA són molt menors a les sancions del RGPD. Les infraccions molt greus tindran una sanció d’entre 30.001€ i 100.000€, sent aquest el límit, quan la màxima sanció del RGPD són 20 milions d’euros.
  • Les infraccions greus tindran una sanció d’entre 15.001€ a 30.001€.
  • Les infraccions lleus tindran una sanció d’entre 500€ a 15.000€.

Recorda que, si realitzes tractaments de dades personals en el territori andorrà, podem ajudar-te a complir amb la seva normativa i així no infringir cap de les normatives de protecció de dades. També podem ser els teus DPD si necessites incorporar aquesta figura externa a la teva empresa.

L’equip de PymeLegal.