
El 28 de octubre de 2021 se aprobó la nueva ley 29/2021, cualificada de protección de datos personales, la cual entra en vigor este mes de mayo.
Conoce todo lo necesario para adaptar tu negocio a la nueva reglamentación.
Su objetivo, es actualizar la normativa relativa al tratamiento que, tanto personas o entidades privadas, como la Administración pública andorrana, realizan de los datos correspondientes a personas físicas, acogiéndose a la nueva regulación europea, contenida en el Reglamento general de protección de datos (el Reglamento (UE) 2016/679) y modernizando el marco jurídico existente basado en la Ley andorrana 15/2003, de 18 de diciembre, calificada de protección de datos personales.
El ordenamiento jurídico andorrano establece que toda persona tiene derecho a la protección de los datos de carácter personal que le afectan, sea cual sea su nacionalidad o su residencia, en el marco del artículo 14 de la Constitución del Principado de ‘Andorra que garantiza el derecho a la intimidad, al honor ya la propia imagen, interpretado a la luz del Convenio europeo para la Salvaguarda de los Derechos Humanos y de las Libertades Fundamentales. La rápida evolución tecnológica y la globalización plantean ahora nuevos retos para la protección de los datos personales de las personas físicas, por ello es necesario adaptarse.
En Emindset Law hemos recapitulado a continuación las adaptaciones necesarias, que tanto las empresas como las entidades públicas tienen que hacer para preservar la privacidad de sus usuarios y adaptarse a la nueva normativa de protección de datos.
1. Designación de un delegado de Protección de datos (DPD)
¿De qué se trata?
Se trata de la persona encargada de supervisar y monitorizar, de forma confidencial e independiente, si se está cumpliendo con la normativa de protección de datos personales en el seno de una organización. Garantizando en todo momento el derecho a la privacidad e intimidad de sus usuarios.
¿Quién tiene la obligación de designar un DPD?
Según el artículo 38 de la ley de protección de datos tienen la obligación de designar un DPD:
- Los organismos públicos o parapúblicos: siempre tienen que designar un DPD, a excepción de los tribunales que actúan en su capacidad judicial.
- Las empresas privadas que tienen una obligación legal, y que sean responsables del tratamiento de datos personales de manera automatizada, i que reúnan los requisitos previstos por la ley, tienen que designar un DPD obligatoriamente
- Las empresas que aún no teniendo una obligación legal quieren designar un DPD de manera voluntaria para ayudar en el complimiento de la protección de datos.
La falta deliberada o negligente de nombrar un DPD cuando exista una obligación legal conlleva una multa que oscila entre 15.000 € y 30.000€.
¿Quién puede ser DPD?
La ley de protección de datos requiere que el momento de designar el DPD es necesario tener en cuenta que él mismo no pueda tener conflicto de intereses y que aporte conocimientos profesionales expertos en derecho de protección de datos.
Según la ley pueden ser DPD:
- Un trabajador de la empresa a cargo del responsable de tratamiento.
- Un DPD externo como. encargado de tratamiento.
¿Qué funciones tiene?
Según lo dispone la ley de protección de datos las funciones del delegado son las siguientes:
- Velar al cumplimiento de la normativa de protección de datos.
- Garantizar la privacidad de los usuarios.
- Supervisa los procesos específicos y las obligaciones del responsable.
- Encargarse de la sensibilización y formación de los empleados para la protección de datos.
- Colaborar con la APDA cuando la misma lo requiera o en complimiento de sus funciones.
2. Registro de las Actividades de tratamiento
A partir de este mes de mayo de 2022 las empresas y comercios de Andorra ya no tendrán la obligación de declarar los formularios a la APDA. No obstante, tendrán que llevar un Registro de las Actividades de tratamiento de datos.
Se trata de unamedida que obliga a las empresas y otras entidades a documentar los flujos de datos personales que circulan dentro de ellas.
Con esta medida el legislador ha querido responsabilizar las entidades y empresas en materia de protección de datos.
¿Qué tiene que contener el registro de las actividades de tratamiento de datos?
Según el artículo 34 de la ley de protección de datos, el Registro de actividades de tratamiento debe contener:
- El nombre y los datos de contacto del responsable.
- Las finalidades del tratamiento.
- Una descripción de las categorías de personas interesadas i de las categorías de datos personales.
- Destinatarios.
- Transferencias internacionales previstas.
- Plazos de conservación para cada tipo de datos
- Mesuras de seguridad, confidencialidad y privacidad.
¿Quién tiene la obligación de hacer el Registro de las Actividades de tratamiento de datos?
- Las entidades del sector público: Administraciones públicas, parapúblicas, empresas o organizaciones públicas
- Las empresas con +50 trabajadores
- Empresas que realizan tratamientos habituales de: Datos sensibles; datos relativos a condenas i infracciones penales y datos con un riesgo por los derechos i las libertades.
3. Obligaciones que se tienen que respetar para estar en acorde con la ley
- Obtener el consentimiento de la persona interesada, como base legitimadora del tratamiento.
- El consentimiento del usuario tiene que ser libre, real, voluntario y inequívoco.
- Se requiere que, para acreditar el consentimiento, las entidades y empresas dispongan de una declaración afirmativa del usuario.
- Deber de información hacia las personas físicas. Lo que conlleva informar el usuario de:
- La duración del almacenamiento de los datos.
- Los destinatarios de estos a la hora de transmitir datos personales.
- Los intereses legítimos perseguidos con la recopilación de datos.
- Finalidades del tratamiento y base legal aplicable.
- Datos de contacto del DPD.
- Identidad del responsable del tratamiento.
- Los derechos del interesado.
- La capacidad de retirar el consentimiento.
- El derecho a presentar una reclamación frente a las autoridades.
- La obligatoriedad o no de facilitar datos en base a un requisito legal o contractual.
- Formación de trabajadores i personal con acceso a datos, en materia de protección de datos. (Como parte esencial de la responsabilidad activa del responsable del tratamiento)
- Realizar evaluaciones de impacto: como procedimiento para identificar y controlar los riesgos que pueden padecer los derechos y las libertades de las personas asociadas a un tratamiento de datos. Asimismo, velar por el respeto de la privacidad de los usuarios.
- Prohibir las transferencias internacionales de datos sin las garantías adecuadas a las personas asociadas a un tratamiento (la norma general dice que se prohíben las transferencias internacionales de datos recogidos en países y organizaciones internacionales que disponen de una normativa vigente que no garantiza un nivel de protección equivalente al que asegura la normativa andorrana de protección de datos).
La ley de protección de datos dispone de un régimen de sanciones por el incumplimiento de los requisitos previstos en los artículos de ley mencionados anteriormente. Los artículos 72 y siguientes de la ley de protección de datos, disponen de la cualificación de las infracciones según su grado de gravedad. A más gravedad, más elevada la multa para sanar la infracción.
- Las infracciones leves conllevan una multa que oscila entre 500€ y 15.000€.
- Las infracciones graves conllevan una multa que oscila entre 15.000€ y 30.000€.
- Las infracciones muy graves conllevan una multa que oscila entre 30.000€ y 100.000€.
Para más información y asesoramiento legal sobre asuntos de privacidad y protección de datos; ¡Consúltanos!
Estaremos encantados de ayudarte.