Guía básica sobre las Obligaciones de Protección de Datos para las organizaciones andorranas

La protección de los datos personales es una responsabilidad que requiere el compromiso de todas aquellas organizaciones o entidades que traten datos de carácter personal. Las obligaciones establecidas Ley 29/2021, de 28 de octubre, calificada de protección de datos personales establece unos principios que son esenciales para garantizar el derechos y libertades de las personas físicas.

Desde Andorra Tarinas, queremos hacer un recordatorio de obligaciones que las organizaciones, empresas y administraciones públicas deben cumplir para garantizar la seguridad y la privacidad de los datos personales. Este artículo explora algunas de las obligaciones clave que deben seguir las entidades para cumplir con la normativa de protección de datos.

Obligaciones de Protección de Datos

Responsabilidad proactiva

Las entidades deben demostrar una responsabilidad proactiva en la gestión de los datos personales. Esto implica adoptar medidas preventivas para garantizar la protección de los datos, como la realización de evaluaciones de impacto sobre la protección de datos, la implementación de políticas de privacidad y la formación continua del personal. La responsabilidad proactiva incluye también la notificación de violaciones de seguridad a la Agencia Andorrana de Protección de datos.

Información clara y accesible

Una de las principales obligaciones de las entidades es proporcionar información clara y accesible a los interesados ​​de la información sobre el tratamiento de los datos, así como de sus derechos y medios para ejercerlos. Esto incluye el derecho de acceso, rectificación, oposición, supresión, limitación del tratamiento y portabilidad. Las entidades deben asegurarse de que esta información esté disponible de forma comprensible y fácilmente accesible para todos los interesados.

Tratamiento legítimo de los datos

El tratamiento de los datos personales debe ser legítimo, es decir, debe basarse en una de las siguientes bases legítimas:

Consentimiento del interesado: Cuando el interesado ha dado su consentimiento para el tratamiento de sus datos personales para una o más finalidades específicas. Para que un consentimiento sea válido en materia de protección de datos, debe cumplir con las siguientes características:

  • Libre: El consentimiento debe ser dado de forma voluntaria, sin ningún tipo de coacción presión.
  • Específico: Debe ser claramente indicado para qué finalidades se recogen y tratan los datos personales.
  • Informada: El interesado debe recibir toda la información necesaria sobre el tratamiento de sus datos, incluyendo la identidad del responsable del tratamiento, las finalidades del tratamiento, los derechos que le asisten y cómo ejercerlos.
  • Inequívoca: El consentimiento debe ser manifestado de forma clara y explícita, mediante una acción afirmativa que deje constancia de la aceptación del tratamiento de los datos.

Ejecución de un contrato: Cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales a petición del interesado.

Cumplimiento de una obligación legal: Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

Protección de intereses vitales: Cuando el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona física.

Interés público o ejercicio de poderes públicos: Cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Interés legítimo: Cuando el tratamiento es necesario para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre estos intereses no prevalezcan los intereses o derechos y libertades fundamentales del interesado que requieran la protección de los datos personales.

Respuesta obligatoria

Cuando un interesado ejerce sus derechos, el responsable del tratamiento debe responder sin dilación y en un plazo máximo de un mes. En casos de probada dificultad, este plazo podrá prorrogarse hasta dos meses más, siempre que el interesado haya sido informado dentro del plazo establecido. La respuesta a los ejercicios de derechos es obligatoria, y el interesado debe ver su ejercicio de derecho como aceptado, rechazado o prorrogado, pero siempre con una clara justificación por parte del responsable del tratamiento.

Seguridad de los datos

Las entidades deben garantizar la seguridad de los datos personales mediante medidas técnicas y organizativas adecuadas para evitar su pérdida, alteración o acceso no autorizado. Esto incluye la implementación de protocolos de seguridad, la formación del personal en materia de protección de datos y la realización de auditorías periódicas para asegurarse de que las medidas de seguridad son efectivas.

Transferencias internacionales de datos

Cuando los datos personales se transfieran fuera del Espacio Económico Europeo, las entidades deben garantizar que los datos estén protegidos adecuadamente. Esto puede implicar el uso de cláusulas contractuales tipo aprobadas por la Comisión Europea, la adopción de normas corporativas vinculantes o la implementación de mecanismos de certificación. Las entidades deben informar a los interesados ​​sobre las garantías adecuadas con las que se realizan las transferencias internacionales de datos.

¿Tu organización cumple con estos requisitos? ¡¡¡Sino contacta con nosotros!!!

No dude en contactar con Andorra Tarinas, en caso de necesitar ayuda. Nuestro equipo de profesionales le asesorará.