Avui volem explicar-te com és la normativa de protecció de dades andorrana i quines diferències trobem respecte a la normativa europea del RGPD.
Algunes de les empreses amb les quals treballem intercanvien dades personals amb Andorra, i per això és molt important que coneguin la normativa, ja que haurien d’adaptar-se al seu compliment si volen col·laborar i tenir intercanvis comercials amb empreses andorranes.
Per això avui volem parlar-te de la Llei 29/2021, Qualificada de Protecció de Dades Personals (LQPDP), que té com a objectiu establir un règim de protecció de dades adaptat a les necessitats d’Andorra, i que ha de complir-se obligatòriament des del passat 17 de maig de 2022.
Aquesta llei pretén equiparar-se a la normativa europea del RGPD, encara que presenti algunes particularitats pròpies que t’explicarem a continuació.
Qui ha de complir la llei andorrana de protecció de dades?
La normativa andorrana és obligatòria per totes les entitats públiques i privades que tractin dades personals en el territori andorrà.
És a dir, tant les entitats que tinguin domicili a Andorra, o estiguin constituïdes amb les lleis andorranes, com les entitats que no estiguin domiciliades o constituïdes a Andorra, però realitzen tractament de dades en aquest territori, hauran de complir aquesta llei.
Per tant, has de tenir en compte que:
- Si tens un encarregat de tractament a Andorra, encara que la teva empresa sigui espanyola, hauràs de complir aquesta llei.
- Els responsables o encarregats no domiciliats han de comptar amb un representant establert a Andorra.
- Qualsevol empresa espanyola pot dur a terme transferències transfrontereres de dades amb Andorra sempre que compleixi amb la normativa europea del RGPD.
Què es consideren dades personals?
Quan parlem de tractament de dades personals ens referim a tota la informació alfabètica, numèrica, gràfica, fotogràfica o acústica en relació amb una persona física identificada o identificable.
Una persona identificable és aquella que directament o indirectament pot ser identificada a partir d’elements específics o característics de la seva identitat física, genètica, psíquica, econòmica, fisiològica, cultural o social.
Quines són les diferències que presenta aquesta llei?
- L’obligació de nomenar un Delegat de Protecció de Dades (DPD), com cita l’article 38 de la llei, en les entitats públiques i les empreses privades que facin tractaments a gran escala. A més, aquesta designació haurà de comunicar-se a l’Agència Andorrana de Protecció de Dades (APDA).
El DPD serà la persona encarregada d’informar a l’entitat o al responsable del tractament sobre les seves obligacions legals, assegurar el compliment de la normativa, cooperar amb l’Autoritat de Control i ser el contacte entre l’autoritat i l’entitat.
- L’obligació de notificar les violacions de seguretat, com cita l’article 36 de la llei. El responsable del tractament haurà de notificar la violació de seguretat a l’Agència Andorrana de Protecció de Dades en un termini màxim de 72 hores.
- L’anàlisi de riscos i l’avaluació d’impactes seran obligatòries. En aquesta llei es cita que s’haurà de realitzar aquest document quan es facin tractaments de dades personals de categories especials o qualsevol tractament que pugui comportar un alt risc pels drets i llibertats dels afectats.
- L’APDA haurà de promoure que les entitats facin codis de conducta amb l’objectiu de complir i aplicar la legislació vigent.
- S’amplien els drets de l’interessat, ja que en l’anterior normativa només es contemplava el dret d’accés, el dret de rectificació, el dret de supressió i el dret d’oposició. Ara també s’afegeix el dret a l’oblit, els drets digitals, el dret a la limitació del tractament de les dades, el dret a la portabilitat i el dret a no ser objecte de decisions individuals automatitzades ni d’elaboració de perfils.
- Deixa de ser obligatòria la inscripció de fitxers de dades personals en l’APDA. Però l’article 34 obliga a fer que el responsable o l’encarregat del tractament confeccioni un registre d’activitats de tractament en aquelles empreses que tinguin més de 50 treballadors i en les entitats públiques.
- Les sancions s’especifiquen en l’article 73 de la llei i es divideixen en tres tipus. Tot i així, són molt menors que les sancions del RGPD.
– Les infraccions molt greus tindran una sanció d’entre 30.001€ a 100.000€. Aquest seria el límit, mentre que la màxima sanció del RGPD són 20 milions d’euros.
– Les infraccions greus tindran una sanció d’entre 15.001€ a 30.001€.
– Les infraccions lleus tindran una sanció d’entre 500€ a 15.000€.
Si realitzes tractaments de dades personals en territori andorrà, contacta amb el nostre equip i t’ajudarem a complir amb la normativa. A més, també podem ser els teus DPD si necessites incorporar aquesta figura a la teva empresa.
L’equip de PymeLegal.