Obligacions de Protecció de Dades per a les organitzacions andorranes

Guia bàsica sobre les Obligacions de Protecció de Dades per a les organitzacions andorranes

La protecció de les dades personals és una responsabilitat que requereix el compromís de totes aquelles organitzacions o entitats que tracten dades de caràcter personal. Les obligacions establertes Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals estableix uns principis que són essencials per garantir el drets i llibertats d eles persones físiques.

Des d’Andorra Tarinas, volem fer un recordatori de d’obligacions que les organitzacions, empreses i administracions públiques han de complir per garantir la seguretat i la privacitat de les dades personals. Aquest article explora algunes de les obligacions clau que han de seguir les entitats per complir amb la normativa de protecció de dades.

Responsabilitat proactiva

Les entitats han de demostrar una responsabilitat proactiva en la gestió de les dades personals. Això implica adoptar mesures preventives per garantir la protecció de les dades, com ara la realització d’avaluacions d’impacte sobre la protecció de dades, la implementació de polítiques de privacitat i la formació contínua del personal. La responsabilitat proactiva també inclou la notificació de violacions de seguretat a l’Agència Andorrana de Protecció de dades.

Informació clara i accessible

Una de les obligacions principals de les entitats és proporcionar informació clara i accessible als interessats de la informació sobre el tractament de les dades, així com dels seus drets i els mitjans per exercir-los. Això inclou el dret d’accés, rectificació, oposició, supressió, limitació del tractament i portabilitat. Les entitats han d’assegurar-se que aquesta informació estigui disponible de manera comprensible i fàcilment accessible per a tots els interessats.

Tractament legítim de les dades

El tractament de les dades personals ha de ser legítim, és a dir, ha de basar-se en una de les següents bases legítimes:

Consentiment de l’interessat: Quan l’interessat ha donat el seu consentiment per al tractament de les seves dades personals per a una o més finalitats específiques. Perquè un consentiment sigui vàlid en matèria de protecció de dades, ha de complir amb les següents característiques:

• Lliure: El consentiment ha de ser donat de manera voluntària, sense cap tipus de coacció o pressió.
• Específic: Ha de ser clarament indicat per a quines finalitats es recullen i es tracten les dades personals.
• Informada: L’interessat ha de rebre tota la informació necessària sobre el tractament de les seves dades, incloent-hi la identitat del responsable del tractament, les finalitats del tractament, els drets que li assisteixen i com exercir-los.
• Inequívoca: El consentiment ha de ser manifestat de manera clara i explícita, mitjançant una acció afirmativa que deixi constància de l’acceptació del tractament de les dades.

Execució d’un contracte: Quan el tractament és necessari per a l’execució d’un contracte en el qual l’interessat és part o per a l’aplicació de mesures precontractuals a petició de l’interessat.

Compliment d’una obligació legal: Quan el tractament és necessari per al compliment d’una obligació legal aplicable al responsable del tractament.

Protecció d’interessos vitals: Quan el tractament és necessari per protegir els interessos vitals de l’interessat o d’una altra persona física.

Interès públic o exercici de poders públics: Quan el tractament és necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.

Interès legítim: Quan el tractament és necessari per a la satisfacció dels interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l’interessat que requereixin la protecció de les dades personals.

Resposta obligatòria

Quan un interessat exerceix els seus drets, el responsable del tractament ha de respondre sense dilació i en un termini màxim d’un mes. En casos de dificultat provada, aquest termini es pot prorrogar fins a dos mesos més, sempre que l’interessat hagi estat informat dins del termini establert. La resposta als exercicis de drets és obligatòria, i l’interessat ha de veure el seu exercici de dret com a acceptat, rebutjat o prorrogat, però sempre amb una justificació clara per part del responsable del tractament.

Seguretat de les dades

Les entitats han de garantir la seguretat de les dades personals mitjançant mesures tècniques i organitzatives adequades per evitar la seva pèrdua, alteració o accés no autoritzat. Això inclou la implementació de protocols de seguretat, la formació del personal en matèria de protecció de dades i la realització d’auditories periòdiques per assegurar-se que les mesures de seguretat són efectives.

Transferències internacionals de dades

Quan les dades personals es transfereixen fora de l’Espai Econòmic Europeu, les entitats han de garantir que les dades estiguin protegides adequadament. Això pot implicar l’ús de clàusules contractuals tipus aprovades per la Comissió Europea, l’adopció de normes corporatives vinculants o la implementació de mecanismes de certificació. Les entitats han d’informar els interessats sobre les garanties adequades amb què es realitzen les transferències internacionals de dades.

La teva organització ja compleix amb aquest requisits? Sinó contacta amb nosaltres!!!