Andorra ha apostado firmemente por la digitalización de su economía, siendo consciente que la digitalización ya no es el futuro, es el presente. Los cambios sufridos por la sociedad a nivel global en los últimos años han significado la creación de un nuevo espacio digital lleno de oportunidades de negocio, con capacidad de renovar sectores e impulsar la economía de las empresas del Principado de Andorra.
No obstante, el país de los Pirineos, siendo consciente que no existe un futuro que no pase por el uso de internet y las nuevas tecnologías a nivel comercial y profesional, se mantiene firme y recuerda la absoluta necesidad de cumplir con su ordenamiento jurídico, poniendo especial énfasis en la protección de los derechos humanos y las libertades fundamentales.
En ese sentido, el marco jurídico relativo a la protección de los datos de carácter personal fue modificado el pasado 17 de noviembre de 2021 con la publicación de la Ley 29/2021 cualificada de protección de datos personales. Esta norma, en vigor a partir del próximo 17 de mayo de 2022, actualiza la anterior Ley del año 2003, adoptando las modificaciones del marco reglamentario europeo de los últimos años.
Por lo anterior, la Protección de Datos se establece como prioridad nacional por el Principado de Andorra, en consecuencia, de los cambios sociales y legislativos existentes a escala global. En una sociedad cada vez más concienciada de la importancia y valor de los suyos datos personales, establecer una estrategia que dé cumplimiento en las obligaciones derivadas de la normativa aplicable también aportará un importante valor añadido por cualquier organización.
La nueva Ley de protección de datos de Andorra incorpora una serie de modificaciones y obligaciones que deben ser cumplidas por las empresas, entidades y organizaciones que se vean sujetas a las mismas.
La Ley 29/2021 cualificada de protección de datos personales fue publicada el pasado 17 de noviembre de 2021, estableciéndose un plazo de 6 meses para su entrada en vigor. Por ello, la Ley entrará en vigor el 17 de mayo de 2022.
¿A quién le aplica la Ley de Protección de Datos de Andorra?
Los sujetos obligados de la Ley de Protección de Datos en Andorra son todas aquellas entidades públicas y privadas que lleven a cabo tratamientos de datos para utilizarlos en su día a día. Igualmente, se encontrarán sometidos a la Ley aquellos responsables y prestadores de servicios domiciliados en Andorra o de acuerdo con sus leyes.
Finalmente, aquellos responsables y prestadores de servicios situados fuera de Andorra pero que utilicen medios de tratamiento situados en el país, también se verán sujetos a la Ley.
¿Aplica el Reglamento General de Protección de Datos (RGPD) en Andorra?
Pese a que Andorra se encuentra fuera de la Unión Europea, el RGPD sí puede aplicarse a empresas o entidades que se sitúen en el Principado de Andorra.
La aplicación territorial del RGPD establece que esa norma se aplica al tratamiento de datos llevado a cabo por una entidad situada fuera de la Unión Europea, siempre y cuando se oferten bienes o servicios a interesados situados en la UE, independientemente de que se precise pago o no.
Igualmente, el RGPD también aplicará a aquellas entidades o empresas situadas fuera de la UE que traten datos para el control del comportamiento de los interesados, en la medida que este tenga lugar en la Unión Europea.
Conviene recordar que el régimen sancionador del RGPD prevé sanciones de hasta 20 millones de euros o el 4% del volumen de negocios anual global del ejercicio financiero anterior, siendo seleccionada la opción más elevada.
La nueva Ley de protección de datos de Andorra ha establecido que algunas entidades y organizaciones están obligadas a designar un Delegado de Protección de Datos y comunicarlo a la Agencia de Protección de Datos de Andorra (APDA).
Las empresas y entidades susceptibles de disponer de un Delegado de Protección de Datos serían todas las empresas públicas, con independencia de los datos que procesen, y aquellas empresas privadas que traten datos de manera automatizada, a gran escala o que traten categorías especiales de datos.
La nueva legislación de Andorra prevé los mismos derechos que se derivan del Reglamento Europeo: acceso, rectificación, supresión, oposición, limitación del tratamiento y a la portabilidad de los datos. Igualmente, añade derechos como el de garantizar los derechos digitales y al olvido.
¿Debo tener un Registro de Actividades del Tratamiento en Andorra?
La Ley 29/2021 cualificada de protección de datos personales ha incorporado la obligación de que algunas empresas y entidades dispongan de un Registro de Actividades del Tratamiento. Dicho registro se materializa mediante un documento interno cuyo contenido mínimo debe permitir llevar a cabo un control de los datos personales tratados por parte de la entidad.
Entre las diferentes organizaciones que deben llevar a cabo el citado Registro, destacan:
La Administración pública (incluyendo empresas parapúblicas o empresas de carácter público.
Empresas con más de 50 trabajadores.
Empresas que realicen tratamientos habituales de: datos sensibles, datos de condenas o infracciones penales o datos con riesgo para los derechos y libertades.
Entendiendo una vulneración de seguridad como un incidente de seguridad que da lugar a una vulneración de la confidencialidad, disponibilidad o integridad de los datos, la legislación de Andorra establece la obligatoriedad de comunicar dicho incidente a la Agencia de Protección de Datos de Andorra (APDA).
Esa comunicación será obligatoria siempre que la vulneración de seguridad afectes a los derechos y libertades de los interesados, debiendo llevarse en un plazo máximo de 72 horas desde el incidente de seguridad.
La Ley 29/2021 cualificada de protección de datos personales ha establecido una serie de casos en los cuales es necesario llevar a cabo una evaluación de impacto en protección de datos, mediane la cual identificar y controlar riesgos para los derechos y libertades de las personas asociadas al tratamiento de los datos:
Cuando se lleven a cabo tratamientos de alto riesgo para los derechos y libertades de las personas.
Cuando se lleven a cabo tratamientos automatizados con efectos jurídico mediante evaluaciones sistemáticas y exhaustivas.
Cuando se traten a gran escala datos categorizados como especiales.
Cuando se lleve a cabo la observación sistemática a gran escala de una zona de acceso público.