Novetats de la normativa de protecció de dades a Andorra

Novetats instaurades per la llei de Protecció de Dades

1. L’ essència i la raó de la Protecció de Dades

La finalitat del règim que imposa la normativa vigent en matèria de protecció de dades personals és garantir el respecte dels drets fonamentals i llibertats públiques i, més concretament, el dret a l’ honor i a la intimitat de les persones.

La raó per la qual aquests drets cada vegada necessiten més protecció és a causa de la imparable evolució tecnològica de la societat. Aquesta constant evolució obliga als legisladors a proposar canvis per garantir el respecte a les llibertats i drets individuals garantits a la nostra constitució.

2. Nova llei de protecció de dades

A causa de les noves necessitats de la societat, el legislador va considerar oportú adaptar la normativa existent als estàndards europeus. És per això que publica la llei 29/2021, de 28 d’octubre qualificada de protecció de dades personals ( LQPD ). Aquesta llei entrà en vigor el mes de maig del 2022 i es basa en el Reglament Europeu (UE ) 2016/679 del Parlament i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i el qual deroga la Directiva 95/46/CE.

Cal mencionar, també, que la mencionada llei 29/2021, deroga la llei anterior 15/2003, de 18 de desembre qualificada de protecció de dades personals.

Aquesta nova llei de protecció de dades s’aplica a totes les empreses que tractin qualsevol tipus de dades establertes al Principat. Depenent de si les empreses són públiques o privades, de quina activitat realitzin, si obtenen dades sensibles o del nombre de treballadors, hauran de complir amb unes mesures o unes altres.

A continuació veurem les novetats que ha instaurat la nova llei.

3. Proactivitat

Una de les principals novetats de la nova llei és la responsabilitat proactiva per part de les organitzacions que tracten les dades. Els responsables de tractament hauran d’adoptar les mesures adients per assegurar raonablement les condicions, drets i garanties de la mateixa llei.

Es busca que les empreses siguin actives en la protecció de les dades que tracten i considera que no n’hi ha prou en actuar una vegada s’ha comès la infracció, sinó que s’ha de prevenir la situació per evitar que els danys que es produeixin siguin irreparables o impossibles de compensar.

Per tant s’ha de poder demostrar una actitud proactiva per part del responsable del tractament en el respecte a la privacitat dels interessats.

4. Delegat de Protecció de dades ( DPD )

Amb la llei anterior, la 15/2003 no era obligatori per a cap empresa disposar d’un delegat de protecció de dades. Amb la normativa actual es pretén que el Delegat de protecció de dades, d’ara en endavant “DPD”, assumeixi noves competències en matèria de compliment normatiu de la normativa de protecció de dades.

Aquesta figura que fins ara no era obligatòria, passa a ser necessària quan el tractament de les dades el realitzi un organisme públic amb independència de les dades que processin ( excepte els tribunals en l’exercici de funció judicial ) i en l’àmbit privat, serà obligatori per aquelles empreses que tractin dades de manera automatitzada, a gran escala o tractin categories especials de dades com podrien ser dades mèdiques o relatives a condemnes o infraccions penals. També es tindrà en compte la mida de l’organització o les activitats bàsiques del tractament.

El Delgat de protecció de dades ha de ser una persona la qual tingui coneixements i experiència demostrable en la matèria, així com no tingui conflicte d’interessos. És a dir, s’ha de tenir en compte l’estructura organitzativa de cada empresa i evitar que degut al lloc que ocupa el DPD, estigui condicionat alhora de determinar fins i medis del tractament de dades personal. Pot ser-ho tant una persona interna a l’organització sense incompatibilitats o una empresa externa.

5. Registre d’activitats de tractament

Hi ha certes obligacions que amb la llei anterior, la llei 15/2003, eren d’obligat compliment i actualment passen a estar derogades.

D’entre elles trobem la obligatorietat d’inscriure els fitxers de dades personals. Amb la nova llei inspirada en el reglament, ja no s’han d’inscriure als fitxers de dades personals a l’Agencia Andorrana de Protecció de Dades. Per substituir les inscripcions, s’obliga a les entitats a realitzar un registre d’Activitats de Tractament.

L’hauran de realitzar les empreses de l’àmbit de l’administració pública o parapública, empreses amb més de 50 treballadors i les empreses que realitzin tractaments habituals de dades sensibles, dades relatives a condemnes i infraccions penals o dades amb un risc per als drets i les llibertats.

Si bé no és obligatori per totes les empreses, si que és recomanable confeccionar un Registre d’Activitats de tractament sempre que sigui possible, ja que és el punt del qual partir per determinar tots els tractaments que fa una entitat.

6. Actuació davant d’una violació de seguretat

L’altre de les principals diferències entre la normativa anterior i la nova llei 29/2021, és com s’ha d’actuar davant d’una violació de seguretat.

Anteriorment no era obligatori notificar la violació de seguretat a l’APDA, però actualment sí que s’han de notificar durant les primeres 72 hores des de la detecció.

Per tal de ser proactius, la millor manera d’actuar davant el incident de seguretat que dona lloc a la violació de la confidencialitat i integritat de les dades és redactant una política per la gestió de les violacions de seguretat tant interna de l’empresa, com per notificar aquesta violació a l’APDA. Per tant davant d’una violació de seguretat, és necessari redactar un informe dels possibles danys.

La informació mínima que s’ha de proporcionar a l’Agencia Andorrana de Protecció de Dades abans de les 72 hores és: la naturalesa de de violació, el nom i contacte del DPD, descripció de les possibles conseqüències i descripció de les mesures adoptades o proposades pel responsable del tractament per fer front a la violació.

Una vegada notificat, el responsable del tractament ha d’estar preparat per rebre i atendre els possibles requeriments o ordres de l’APDA. Aquests requeriments d’informació poden anar dirigits al fet que el responsable demostri el compliment i la seva responsabilitat proactiva. Per tal de demostrar-ho serà necessari haver realitzat protocols d’actuació i tenir la protecció de dades ben feta i al dia. ( per exemple tenir al dia els drets, els contractes laborals, les mesures de seguretat, etc).

També s’ha de preveure el procediment per adoptar les mesures oportunes per facilitar a la persona interessada tota la informació relativa al tractament de les seves dades, entre la qual també hi ha la violació de la seguretat de les dades personals de la persona interessada.

7. Sancions

S’estableix un nou règim sancionador on l’import de les sancions s’ha modificat notablement tant en l’àmbit d’empreses privades com en empreses públiques.

Les empreses privades, fins ara, només podien ser sancionades amb un màxim de 50.000€, mentre que ara es passa a regular l’import de la sanció en funció de la gravetat de la infracció comesa segons sigui lleu, greu o molt greu :

  • Per infraccions lleus es preveu una sanció des de 500€ a 15.000€
  • Per infraccions greus es preveu una sanció des de 15.001 a 30.000€
  • Per infraccions molt greus es preveu una sanció des de 30.001€ a 100.000

Pel que fa les empreses públiques, el canvi de la nova llei radica en l’ampliació del marge d’actuació de l’APDA, la qual podrà fer públiques les resolucions que continguin amonestacions per a les administracions públiques.

8. Avaluació d’impacte

L’avaluació d’impacte és una nova obligació per aquelles empreses que tracten dades que poden implicar un alt risc pels drets i llibertats de les persones físiques, en la que s’avaluï el seu origen, la naturalesa, la particularitat i la gravetat d’aquest risc. És a dir, per les empreses que tractin dades de categories especials, elaboren perfils o facin observacions sistemàtiques a gran escala d’una zona pública.

Consisteix en crear un procediment per identificar i controlar els possibles riscos associats al tractament de dades. Per ser proactius s’han d’establir els controls necessaris per garantir que el tractament es fa d’acord amb els principis que estableix la nova llei ( proporcionalitat, adequació, etc)

La confecció de l’avaluació d’impacte no té una data específica, però la nova llei determina que s’ha de fer tant aviat com sigui possible i caldrà revisar l’avaluació feta cada vegada que es produeixin canvis en el tractament o en el context.

La llei estableix un contingut mínim que ha de tenir aquesta avaluació d’impacte i aquest ha de ser : la descripció de les operacions de tractament, avaluació de la necessitat i de la proporcionalitat del tractament, avaluació del risc per als drets i les llibertats de les persones i les mesures adoptades per mitigar els riscos.

9. Codis de conducte

Tal i com ja hem reiterat, la nova llei obliga a les empreses a ser proactives, a ocupar-se i preocupar-se de la protecció de dades. Per fer-ho, sovint és més senzill si es disposa d’un codi de conducte elaborat per la organització representativa de l’activitat.

És per això, que amb l’entrada en vigor de la llei 29/2021 es promou que es confeccionin aquests codis de conducte els quals serveixin de pautes i directrius per a determinats sectors professionals.

10. Nous drets de l’interessat

La nova llei amplia els drets ARSO, els quals fins ara només es preveien el dret d’Accés, de Rectificació, Supressió i Oposició) i inclou diferents drets com el dret a l’oblit, la garantia del de drets digitals, el dret a la limitació del tractament i el dret a la portabilitat.

El dret a l’oblit, és aquell que permet als ciutadans sol·licitar l’esborrat definitiu de les seves dades personals quan es doni de baixa d’un servei contractat. Tanmateix, el dret a la portabilitat és aquell que permet traslladar les seves dades d’un proveïdor de serveis a un altre. Finalment, el dret de limitació consisteix en que el Responsable haurà de reservar les dades i només utilitzar-les en cas de consentiment, defensa drets d’una altra persona o per raons d’interès públic.

Si necessites ajuda en la implementació de la nova llei a la teva empresa, posa’t en contacta amb nosaltres! A Andorra Tarinas oferim el servei íntegra en protecció de dades, incloent, si és necessari, la figura de DPD. Truca’ns, et podem ajudar!

No dubti en contactar amb Andorra Tarinas, en cas de necessitar ajuda. El nostre equip de professionals l’assessorarà.