{"id":12730,"date":"2022-07-11T10:26:32","date_gmt":"2022-07-11T08:26:32","guid":{"rendered":"https:\/\/andorratarinas.com\/?p=12730"},"modified":"2025-10-23T12:55:28","modified_gmt":"2025-10-23T10:55:28","slug":"novedades-normativa-proteccion-de-datos-andorra","status":"publish","type":"post","link":"https:\/\/andorratarinas.com\/es\/novedades-normativa-proteccion-de-datos-andorra\/","title":{"rendered":"Novedades de la normativa de protecci\u00f3n de datos en Andorra"},"content":{"rendered":"

Novedades instauradas por la ley de Protecci\u00f3n de Datos<\/h2>\n

La normativa de protecci\u00f3n de datos en Andorra ha experimentado cambios significativos con la entrada en vigor de la Ley 29\/2021, de Protecci\u00f3n de Datos Personales<\/strong>, que adapta la legislaci\u00f3n andorrana a los est\u00e1ndares europeos del Reglamento General de Protecci\u00f3n de Datos (RGPD). Esta actualizaci\u00f3n responde a la creciente necesidad de proteger los derechos fundamentales de las personas, especialmente su intimidad y honor, frente a los desaf\u00edos que plantea la evoluci\u00f3n tecnol\u00f3gica.<\/p>\n

\"Novedades<\/h3>\n

1. La esencia y la raz\u00f3n de la Protecci\u00f3n de Datos<\/h3>\n

La finalidad del r\u00e9gimen que impone la normativa vigente en materia de protecci\u00f3n de datos personales es garantizar el respeto de los derechos fundamentales y libertades p\u00fablicas y, m\u00e1s concretamente, el derecho al honor y a la intimidad de las personas.<\/p>\n

La raz\u00f3n por la que estos derechos cada vez necesitan m\u00e1s protecci\u00f3n es debido a la imparable evoluci\u00f3n tecnol\u00f3gica de la sociedad. Esta constante evoluci\u00f3n obliga a los legisladores a proponer cambios para garantizar el respeto a las libertades y derechos individuales garantizados en nuestra constituci\u00f3n.<\/p>\n

2. Nueva ley de protecci\u00f3n de datos<\/h3>\n

Debido a las nuevas necesidades de la sociedad, el legislador consider\u00f3 oportuno adaptar la normativa existente a los est\u00e1ndares europeos. Es por ello que publica la ley 29\/2021, de 28 de octubre Calificada de Protecci\u00f3n de Datos Personales ( LCPD ). Esta ley entr\u00f3 en vigor en el mes de mayo de 2022 y se basa en el Reglamento Europeo (UE) 2016\/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protecci\u00f3n de las personas f\u00edsicas con respecto a los datos personales y a la libre circulaci\u00f3n de \u00e9stos, y el cual deroga la Directiva 95\/46\/CE.<\/p>\n

Cabe mencionar, tambi\u00e9n, que la citada ley 29\/2021, deroga la ley anterior 15\/2003, de 18 de diciembre Calificada de Protecci\u00f3n de Datos Personales.<\/p>\n

Esta nueva ley de protecci\u00f3n de datos se aplica a todas las empresas que traten cualquier tipo de datos y est\u00e9n establecidas en el Principado. Dependiendo de si las empresas son p\u00fablicas o privadas, de qu\u00e9 actividad realicen, si obtienen datos sensibles o del n\u00famero de trabajadores, deber\u00e1n cumplir con unas medidas u otras.<\/p>\n

A continuaci\u00f3n, veremos las novedades que ha instaurado la nueva ley.<\/p>\n

3. Proactividad<\/h3>\n

Una de las principales novedades de la nueva ley es la responsabilidad proactiva por parte de las organizaciones que tratan los datos. Los responsables de tratamiento deber\u00e1n adoptar las medidas adecuadas para asegurar razonablemente las condiciones, derechos y garant\u00edas de la propia ley.<\/p>\n

Se busca que las empresas sean activas en la protecci\u00f3n de los datos que tratan y considera que no basta con actuar una vez se ha cometido la infracci\u00f3n, sino que se debe prevenir la situaci\u00f3n para evitar que los da\u00f1os que se produzcan sean irreparables o imposibles de compensar.<\/p>\n

Por lo tanto, se debe poder demostrar una actitud proactiva por parte del responsable del tratamiento en el respeto a la privacidad de los interesados.<\/p>\n

4. Delegado de Protecci\u00f3n de datos ( DPD )<\/h3>\n

Con la ley anterior, la 15\/2003 no era obligatorio para ninguna empresa disponer de un delegado de protecci\u00f3n de datos. Con la normativa actual se pretende que el Delegado de protecci\u00f3n de datos, de ahora en adelante \u00abDPD\u00bb, asuma nuevas competencias en materia de cumplimiento normativo de la normativa de protecci\u00f3n de datos.<\/p>\n

Esta figura que hasta ahora no era obligatoria, pasa a ser necesaria cuando el tratamiento de los datos lo realice un organismo p\u00fablico con independencia de los datos que procesen (excepto los tribunales en el ejercicio de funci\u00f3n judicial); y en el \u00e1mbito privado, ser\u00e1 obligatorio para aquellas empresas que traten datos de manera automatizada, a gran escala o traten categor\u00edas especiales de datos como podr\u00edan ser datos m\u00e9dicos, relativos a condenas o infracciones penales. Tambi\u00e9n se tendr\u00e1 en cuenta el tama\u00f1o de la organizaci\u00f3n o las actividades b\u00e1sicas del tratamiento.<\/p>\n

El Delgado de protecci\u00f3n de datos debe ser una persona la cual tenga conocimientos y experiencia demostrable en la materia, as\u00ed como no tenga conflicto de intereses. Es decir, se debe tener en cuenta la estructura organizativa de cada empresa y evitar que debido al puesto que ocupa el DPD, est\u00e9 condicionado a la vez de determinar fines y medios del tratamiento de datos personal. Puede serlo tanto una persona interna en la organizaci\u00f3n sin incompatibilidades o una empresa externa.<\/p>\n

5. Registro de actividades de tratamiento<\/h3>\n

Hay ciertas obligaciones que, con la ley anterior, la ley 15\/2003, eran de obligado cumplimiento y actualmente pasan a estar derogadas.<\/p>\n

De entre ellas encontramos la obligatoriedad de inscribir los ficheros de datos personales. Con la nueva ley inspirada en el reglamento, ya no deben inscribirse en los ficheros de datos personales en la Agencia Andorrana de Protecci\u00f3n de Datos. Para sustituir las inscripciones, se obliga a las entidades a realizar un registro de Actividades de Tratamiento.<\/p>\n

Deber\u00e1n realizarlo las empresas del \u00e1mbito de la administraci\u00f3n p\u00fablica o parap\u00fablica, empresas con m\u00e1s de 50 trabajadores y las empresas que realicen tratamientos habituales de datos sensibles, datos relativos a condenas e infracciones penales o datos con un riesgo para los derechos y las libertades.<\/p>\n

Si bien no es obligatorio para todas las empresas, si que es recomendable confeccionar un Registro de Actividades de tratamiento siempre que sea posible, ya que es el punto del cual partir para determinar todos los tratamientos que hace una entidad.<\/p>\n

6. Actuaci\u00f3n ante una violaci\u00f3n de seguridad<\/h3>\n

El otro de las principales diferencias entre la normativa anterior y la nueva ley 29\/2021, es c\u00f3mo se debe actuar ante una violaci\u00f3n de seguridad.<\/p>\n

Anteriormente no era obligatorio notificar la violaci\u00f3n de seguridad a la APDA, pero actualmente s\u00ed deben notificarse durante las primeras 72 horas desde la detecci\u00f3n.<\/p>\n

Para ser proactivos, la mejor manera de actuar ante el incidente de seguridad que da lugar a la violaci\u00f3n de la confidencialidad e integridad de los datos es redactando una pol\u00edtica para la gesti\u00f3n de las violaciones de seguridad tanto interna de la empresa, como para notificar esta violaci\u00f3n a la APDA. Por lo tanto, ante una violaci\u00f3n de seguridad, es necesario redactar un informe de los posibles da\u00f1os.<\/p>\n

La informaci\u00f3n m\u00ednima que se debe proporcionar a la Agencia Andorrana de Protecci\u00f3n de Datos antes de las 72 horas es: la naturaleza de de violaci\u00f3n, el nombre y contacto del DPD, descripci\u00f3n de las posibles consecuencias y descripci\u00f3n de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violaci\u00f3n.<\/p>\n

Una vez notificado, el responsable del tratamiento debe estar preparado para recibir y atender los posibles requerimientos y \u00f3rdenes de la APDA. Estos requerimientos de informaci\u00f3n pueden ir dirigidos a que el responsable demuestre el cumplimiento y su responsabilidad proactiva. Para demostrarlo ser\u00e1 necesario haber realizado protocolos de actuaci\u00f3n y tener la protecci\u00f3n de datos bien hecha y al d\u00eda (por ejemplo tener al d\u00eda los derechos, los contratos laborales, las medidas de seguridad, etc).<\/p>\n

Tambi\u00e9n se debe prever el procedimiento para adoptar las medidas oportunas para facilitar a la persona interesada toda la informaci\u00f3n relativa al tratamiento de sus datos, entre la que tambi\u00e9n est\u00e1 la violaci\u00f3n de la seguridad de los datos personales de la persona interesada.<\/p>\n

7. Sanciones<\/h3>\n

Se establece un nuevo r\u00e9gimen sancionador donde el importe de las sanciones se ha modificado notablemente tanto en el \u00e1mbito de empresas privadas como en empresas p\u00fablicas.<\/p>\n

Las empresas privadas, hasta ahora, s\u00f3lo pod\u00edan ser sancionadas con un m\u00e1ximo de 50.000\u20ac, mientras que ahora se pasa a regular el importe de la sanci\u00f3n en funci\u00f3n de la gravedad de la infracci\u00f3n cometida seg\u00fan sea leve, grave o muy grave:<\/p>\n