Normativa andorrana de protección de datos y diferencia con el RGPD


Hoy queremos explicarte cómo es la normativa de protección de datos andorrana y qué diferencias encontramos respecto a la normativa europea del RGPD.

Algunas de las empresas con las que trabajamos intercambian datos personales con Andorra, por lo que es muy importante que conozcan la normativa, ya que deberán adaptarse a su cumplimiento si quieren colaborar y tener intercambios comerciales con empresas andorranas.

Por eso hoy queremos hablarte de la Ley 29/2021, Cualificada de Protección de Datos Personales (LCPDP), que tiene como objetivo establecer un régimen de protección de datos adaptado a las necesidades de Andorra, y que debe cumplirse obligatoriamente desde el pasado 17 de mayo de 2022.

Esta ley pretende equipararse a la normativa europea del RGPD, aunque presenta algunas particularidades propias que te explicaremos a continuación.

¿Quién debe cumplir la ley andorrana de protección de datos?

La normativa andorrana es obligatoria para todas las entidades públicas y privadas que traten datos personales en territorio andorrano.

Es decir, tanto las entidades que tengan domicilio en Andorra, o estén constituidas con las leyes andorranas, como las entidades que no estén domiciliadas o constituidas en Andorra, pero realicen tratamiento de datos en este territorio, deberán cumplir esta ley.

Por lo tanto, debes tener en cuenta que:

  • Si tienes un encargado de tratamiento en Andorra, aunque tu empresa sea española, deberás cumplir esta ley.
  • Los responsables o encargados no domiciliados deben contar con un representante establecido en Andorra.
  • Cualquier empresa española puede realizar transferencias transfronterizas de datos con Andorra siempre que cumpla con la normativa europea del RGPD.

¿Qué se consideran datos personales?

Cuando hablamos de tratamiento de datos personales nos referimos a toda información alfabética, numérica, gráfica, fotográfica o acústica en relación con una persona física identificada o identificable.

Una persona identificable es aquella que directa o indirectamente puede ser identificada a partir de elementos específicos o característicos de su identidad física, genética, psíquica, económica, fisiológica, cultural o social.

¿Cuáles son las diferencias que presenta esta ley?

  • La obligación de nombrar un Delegado de Protección de Datos (DPD), como cita el artículo 38 de la ley, en las entidades públicas y las empresas privadas que hagan tratamientos a gran escala. Además, esta designación deberá comunicarse a la Agencia Andorrana de Protección de Datos (APDA).El DPD será la persona encargada de informar a la entidad o al responsable del tratamiento sobre sus obligaciones legales, asegurar el cumplimiento de la normativa, cooperar con la Autoridad de Control y ser el contacto entre la autoridad y la entidad.
  • La obligación de notificar las violaciones de seguridad, como cita el artículo 36 de la ley. El responsable del tratamiento deberá notificar la violación de seguridad a la Agencia Andorrana de Protección de Datos en un plazo máximo de 72 horas.
  • El análisis de riesgos y la evaluación de impactos serán obligatorias. En esta ley se cita que se deberá realizar este documento cuando se hagan tratamientos de datos personales de categorías especiales o cualquier tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de los afectados.
  • La APDA deberá promover que las entidades realicen códigos de conducta con el objetivo de cumplir y aplicar la legislación vigente.
  • Se amplian los derechos del interesado, ya que en la anterior normativa solo se contemplaba el derecho de acceso, el derecho de rectificación, el derecho de supresión y el derecho de oposición. Ahora también se añade el derecho al olvido, los derechos digitales, el derecho a la limitación del tratamiento de los datos, el derecho a la portabilidad y el derecho a no ser objeto de decisiones individuales automatizadas ni de elaboración de perfiles.
  • Deja de ser obligatoria la inscripción de ficheros de datos personales en el APDA. Pero el art. 34 obliga a que el responsable o el encargado del tratamiento confeccione un registro de actividades de tratamiento en aquellas empresas que tengan más de 50 trabajadores y en las entidades públicas.
  • Las sanciones se especifican en el art. 73 de la ley y se dividen en tres tipos. Aún así, son mucho menores que las sanciones del RGPD.- Las infracciones muy graves tendrán una sanción de entre 30.001€ a 100.000€. Siendo el límite, cuando la máxima sanción del RGPD son 20 millones de euros.
    – Las infracciones graves tendrán una sanción de entre 15.001€ a 30.001€.
    – Las infracciones leves tendrán una sanción de entre 500€ a 15.000€.

Si realizas tratamientos de datos personales en territorio andorrano, contacta con nuestro equipo y te ayudaremos a cumplir con la normativa. Además, también podemos ser tus DPD si necesitas incorporar esta figura en tu empresa.

El equipo de PymeLegal.