¿Cuándo está permitido el tratamiento de datos personales en Andorra?
El art. 17 de la Llei 15/2003, del 18 de desembre, qualificada de protección de dades personals y las normas de protección de datos de la UE garantizan la protección de los datos personales en todos los casos en que se recojan: por ejemplo, al comprar por internet, inscribirse en un sorteo, realizar una solicitud online de información a un despacho de abogados, presentar una solicitud de empleo o pedir un préstamo bancario.
Si bien la ley andorrana de protección de datos aplica a las empresas andorranas de forma directa, el Reglamento Europeo de Protección de Datos (RGPD) se aplica a Andorra de forma indirecta, dado que las normas del RGPD, se aplican tanto a empresas y organizaciones (públicas y privadas) con sede en la UE como a las que tienen su sede fuera de ella y ofrecen bienes y servicios en la UE, siempre que dichas empresas soliciten o reutilicen datos personales de ciudadanos de la Unión Europea.
Y da igual el formato en que se recojan los datos (online, en papel o cualquier otro soporte), siempre que se almacene o se trate información que identifique directa o indirectamente ciudadanos de la UE, deben respetar sus derechos en materia de protección de datos.
Descubre como crear una empresa en Andorra.
Pero, ¿Cuándo está permitido el tratamiento de datos?
La ley andorrana de protección de datos describe en su art. 18 las situaciones en que una empresa o una organización está autorizada para recoger o reutilizar datos personales. De la misma forma lo hace el Reglamento Europeo de Protección de Datos, y estas son básicamente las siguientes:
- Celebración de un contrato: por ejemplo, de suministro de bienes o servicios o un contrato de trabajo.
- Cumplimiento de una obligación legal: por ejemplo, cuando el tratamiento de los datos constituye un requisito legal, si la empresa ofrece información sobre el salario mensual de una persona a la Caixa Andorrana de Seguretat Social, para que tenga cobertura de la seguridad social.
- Protección de los intereses vitales de la persona.
- Realización de una tarea pública, en particular todo lo relacionado con las tareas de las administraciones públicas, como escuelas, hospital, comús…
- Satisfacción de intereses legítimo: por ejemplo, si el banco utiliza datos personales de una persona para comprobar si puedes optar a una cuenta de ahorros con un tipo de interés más elevado.
En todas las demás situaciones, la empresa u organización debe solicitar autorización (denominada “consentimiento”) antes de poder recoger o reutilizar los datos personales de una persona.
En el siguiente artículo, te explicamos cómo obtener correcta y legalmente el consentimiento para tratar datos personales conforme al RGPD.