Novedades de la normativa de protección de datos en Andorra

Novedades instauradas por la ley de Protección de Datos

1. La esencia y la razón de la Protección de Datos

La finalidad del régimen que impone la normativa vigente en materia de protección de datos personales es garantizar el respeto de los derechos fundamentales y libertades públicas y, más concretamente, el derecho al honor y a la intimidad de las personas.

La razón por la que estos derechos cada vez necesitan más protección es debido a la imparable evolución tecnológica de la sociedad. Esta constante evolución obliga a los legisladores a proponer cambios para garantizar el respeto a las libertades y derechos individuales garantizados en nuestra constitución.

2. Nueva ley de protección de datos

Debido a las nuevas necesidades de la sociedad, el legislador consideró oportuno adaptar la normativa existente a los estándares europeos. Es por ello que publica la ley 29/2021, de 28 de octubre Calificada de Protección de Datos Personales ( LCPD ). Esta ley entró en vigor en el mes de mayo de 2022 y se basa en el Reglamento Europeo (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas con respecto a los datos personales y a la libre circulación de éstos, y el cual deroga la Directiva 95/46/CE.

Cabe mencionar, también, que la citada ley 29/2021, deroga la ley anterior 15/2003, de 18 de diciembre Calificada de Protección de Datos Personales.

Esta nueva ley de protección de datos se aplica a todas las empresas que traten cualquier tipo de datos y estén establecidas en el Principado. Dependiendo de si las empresas son públicas o privadas, de qué actividad realicen, si obtienen datos sensibles o del número de trabajadores, deberán cumplir con unas medidas u otras.

A continuación, veremos las novedades que ha instaurado la nueva ley.

3. Proactividad

Una de las principales novedades de la nueva ley es la responsabilidad proactiva por parte de las organizaciones que tratan los datos. Los responsables de tratamiento deberán adoptar las medidas adecuadas para asegurar razonablemente las condiciones, derechos y garantías de la propia ley.

Se busca que las empresas sean activas en la protección de los datos que tratan y considera que no basta con actuar una vez se ha cometido la infracción, sino que se debe prevenir la situación para evitar que los daños que se produzcan sean irreparables o imposibles de compensar.

Por lo tanto, se debe poder demostrar una actitud proactiva por parte del responsable del tratamiento en el respeto a la privacidad de los interesados.

4. Delegado de Protección de datos ( DPD )

Con la ley anterior, la 15/2003 no era obligatorio para ninguna empresa disponer de un delegado de protección de datos. Con la normativa actual se pretende que el Delegado de protección de datos, de ahora en adelante «DPD», asuma nuevas competencias en materia de cumplimiento normativo de la normativa de protección de datos.

Esta figura que hasta ahora no era obligatoria, pasa a ser necesaria cuando el tratamiento de los datos lo realice un organismo público con independencia de los datos que procesen (excepto los tribunales en el ejercicio de función judicial); y en el ámbito privado, será obligatorio para aquellas empresas que traten datos de manera automatizada, a gran escala o traten categorías especiales de datos como podrían ser datos médicos, relativos a condenas o infracciones penales. También se tendrá en cuenta el tamaño de la organización o las actividades básicas del tratamiento.

El Delgado de protección de datos debe ser una persona la cual tenga conocimientos y experiencia demostrable en la materia, así como no tenga conflicto de intereses. Es decir, se debe tener en cuenta la estructura organizativa de cada empresa y evitar que debido al puesto que ocupa el DPD, esté condicionado a la vez de determinar fines y medios del tratamiento de datos personal. Puede serlo tanto una persona interna en la organización sin incompatibilidades o una empresa externa.

5. Registro de actividades de tratamiento

Hay ciertas obligaciones que, con la ley anterior, la ley 15/2003, eran de obligado cumplimiento y actualmente pasan a estar derogadas.

De entre ellas encontramos la obligatoriedad de inscribir los ficheros de datos personales. Con la nueva ley inspirada en el reglamento, ya no deben inscribirse en los ficheros de datos personales en la Agencia Andorrana de Protección de Datos. Para sustituir las inscripciones, se obliga a las entidades a realizar un registro de Actividades de Tratamiento.

Deberán realizarlo las empresas del ámbito de la administración pública o parapública, empresas con más de 50 trabajadores y las empresas que realicen tratamientos habituales de datos sensibles, datos relativos a condenas e infracciones penales o datos con un riesgo para los derechos y las libertades.

Si bien no es obligatorio para todas las empresas, si que es recomendable confeccionar un Registro de Actividades de tratamiento siempre que sea posible, ya que es el punto del cual partir para determinar todos los tratamientos que hace una entidad.

6. Actuación ante una violación de seguridad

El otro de las principales diferencias entre la normativa anterior y la nueva ley 29/2021, es cómo se debe actuar ante una violación de seguridad.

Anteriormente no era obligatorio notificar la violación de seguridad a la APDA, pero actualmente sí deben notificarse durante las primeras 72 horas desde la detección.

Para ser proactivos, la mejor manera de actuar ante el incidente de seguridad que da lugar a la violación de la confidencialidad e integridad de los datos es redactando una política para la gestión de las violaciones de seguridad tanto interna de la empresa, como para notificar esta violación a la APDA. Por lo tanto, ante una violación de seguridad, es necesario redactar un informe de los posibles daños.

La información mínima que se debe proporcionar a la Agencia Andorrana de Protección de Datos antes de las 72 horas es: la naturaleza de de violación, el nombre y contacto del DPD, descripción de las posibles consecuencias y descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación.

Una vez notificado, el responsable del tratamiento debe estar preparado para recibir y atender los posibles requerimientos y órdenes de la APDA. Estos requerimientos de información pueden ir dirigidos a que el responsable demuestre el cumplimiento y su responsabilidad proactiva. Para demostrarlo será necesario haber realizado protocolos de actuación y tener la protección de datos bien hecha y al día (por ejemplo tener al día los derechos, los contratos laborales, las medidas de seguridad, etc).

También se debe prever el procedimiento para adoptar las medidas oportunas para facilitar a la persona interesada toda la información relativa al tratamiento de sus datos, entre la que también está la violación de la seguridad de los datos personales de la persona interesada.

7. Sanciones

Se establece un nuevo régimen sancionador donde el importe de las sanciones se ha modificado notablemente tanto en el ámbito de empresas privadas como en empresas públicas.

Las empresas privadas, hasta ahora, sólo podían ser sancionadas con un máximo de 50.000€, mientras que ahora se pasa a regular el importe de la sanción en función de la gravedad de la infracción cometida según sea leve, grave o muy grave:

• Por infracciones leves se prevé una sanción desde 500€ a 15.000€
• Por infracciones graves se prevé una sanción desde 15.001 a 30.000€
• Por infracciones muy graves se prevé una sanción desde 30.001€ a 100.000€

En cuanto a las empresas públicas, el cambio de la nueva ley radica en la ampliación del margen de actuación de la APDA, que podrá hacer públicas las resoluciones que contengan amonestaciones para las administraciones públicas.

8. Evaluación de impacto

La evaluación de impacto es una nueva obligación para aquellas empresas que tratan datos que pueden implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe su origen, la naturaleza, la particularidad y la gravedad de este riesgo. Es decir, para las empresas que traten datos de categorías especiales, elaboran perfiles o hagan observaciones sistemáticas a gran escala de una zona pública.

Consiste en crear un procedimiento para identificar y controlar los posibles riesgos asociados al tratamiento de datos. Para ser proactivos se deben establecer los controles necesarios para garantizar que el tratamiento se hace de acuerdo con los principios que establece la nueva ley (proporcionalidad, adecuación, etc)

La confección de la evaluación de impacto no tiene una fecha específica, pero la nueva ley determina que se debe hacer lo antes posible y habrá que revisar la evaluación hechaa cada vez que se produzcan cambios en el tratamiento o en el contexto.

La ley establece un contenido mínimo que debe tener esta evaluación de impacto y éste debe ser: la descripción de las operaciones de tratamiento, evaluación de la necesidad y de la proporcionalidad del tratamiento, evaluación del riesgo para los derechos y las libertades de las personas y las medidas adoptadas para mitigar los riesgos.

9. Códigos de conducta

Tal y como ya hemos reiterado, la nueva ley obliga a las empresas a ser proactivas, a ocuparse y preocuparse de la protección de datos. Para ello, a menudo es más sencillo si se dispone de un código de conducta elaborado por la organización representativa de la actividad.

Es por ello, que con la entrada en vigor de la ley 29/2021 se promueve que se confeccionen estos códigos de conducta los cuales sirvan de pautas y directrices para determinados sectores profesionales.

10. Nuevos derechos del interesado

La nueva ley amplía los derechos ARSO, los cuales hasta ahora sólo preveían el derecho de Acceso, de Rectificación, Supresión y Oposición; e incluye ahora otros derechos como el derecho al olvido, la garantía del de derechos digitales, el derecho a la limitación del tratamiento y el derecho a la portabilidad.

El derecho al olvido,es aquel que permite a los ciudadanos solicitar el borrado definitivo de sus datos personales cuando se dé de baja de un servicio contratado. Sin embargo, el derecho a la portabilidad es aquel que permite trasladar sus datos de un proveedor de servicios a otro. Finalmente, el derecho de limitación consiste en que el Responsable deberá reservar los datos y sólo utilizarlos en caso de consentimiento, defiende derechos de otra persona o por razones de interés público.

Si necesitas ayuda en la implementación de la nueva ley en tu empresa, ¡ponte en contacto con nosotros! En Andorra Tarinas ofrecemos el servicio íntegro en protección de datos incluyendo, si es necesario, la figura de DPD. Llamanos, ¡te podemos ayudar!