El pasado 17 de noviembre de 2021 se publicó en el Boletín Oficial del Principado de Andorra la ley 29/2021, de 28 de octubre, cualificada de protección de datos de carácter personal. Esta normativa deroga la ley 15/2003, de 18 de diciembre, cualificada de protección de datos, con el fin de adaptar el ordenamiento jurídico andorrano a las nuevas necesidades creadas por la evolución tecnológica y la globalización, así como para acogerse a la normativa europea, especialmente el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos.

Publicada la nueva ley de protección de datos de Andorra (1200px x 400px)

El derecho a la protección de los datos personales está establecido en el artículo 14 de la Constitución del Principado de Andorra la cual garantiza el derecho a la intimidad, al honor y a la propia imagen.

La nueva ley 29/2021 introduce importantes novedades respecto a la legislación anterior y establece nuevas obligaciones para las entidades del Principado, tanto para públicas como privadas, teniendo en cuenta el riesgo que puede conllevar para cada una de las entidades, el tratamiento de datos que realizan.

Novedades de la nueva ley

Consentimiento

Mientras que la anterior ley (15/2003) sólo expresaba que el consentimiento debía ser inequívoco para los interesados, la nueva ley establece nuevas obligaciones más desarrolladas como: que la solicitud de consentimiento se distinga claramente de otras materias; que cuando se concede para una pluralidad de fines, debe ser inequívoco para todos ellos; además, el interesado tiene derecho a retirar su consentimiento en todo momento; no se puede condicionar al afectado para que consienta el tratamiento de los datos personales para finalidades ajenas al desarrollo de la relación contractual, el interesado debe estar debidamente informado y su voluntad debe expresarse libre y claramente.

Nuevos derechos

La ley anterior regulaba únicamente el derecho de acceso, rectificación, supresión y oposición. En cambio, la ley vigente añade nuevos derechos y obliga al responsable del tratamiento a facilitar el ejercicio de los siguientes derechos al interesado:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de supresión.
  • Derecho a la limitación del tratamiento.
  • Derecho de oposición.
  • Derecho a la portabilidad de los datos.
  • Derecho a no tomar decisiones individuales automatizadas o elaborar perfiles.

Introducción de la figura del Delegado de Protección de Datos (DPO)

El DPO, en el nuevo marco reforzado de cumplimiento basado en la responsabilidad, es la persona encargada de informar a la entidad responsable o al responsable del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de asegurar o supervisar el cumplimiento normativo al respecto, de cooperar con la autoridad de control y actuar como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Además, el Delegado de Protección de Datos es uno de los ejes principales del principio de responsabilidad activa que contempla en la nueva normativa.

Derecho del fallecido

Hasta ahora no existía una regulación sobre el tratamiento de los datos personales del fallecido. La nueva ley establece, en su artículo 3, cómo deben tratarse los datos del fallecido y establece que las personas vinculadas al fallecido por motivos familiares o de hecho, así como sus herederos pueden ponerse en contacto con el responsable del tratamiento con el fin de solicitar el acceso a los datos personales del fallecido y, en su caso, su rectificación o supresión.

Responsabilidad proactiva

La normativa anterior solo establecía que era responsabilidad del responsable del tratamiento disponer de medidas técnicas y organizativas suficientes para garantizar la confidencialidad y seguridad de los datos objeto del servicio. La ley 29/2021 determina que debe de haber una responsabilidad proactiva por parte del responsable del tratamiento, definida como el deber de cumplimiento y la facultad de demostrar este cumplimiento en relación con los principios legales.

Infracciones y sanciones

Con la ley 15/2003 no se distinguían los tipos de infracciones. Las sanciones alcanzaban hasta 50.000€ el primer incumplimiento y hasta 100.000€ por incumplimientos posteriores. Actualmente se dividen las infracciones según el tipo de gravedad:

  • Las infracciones consideradas muy graves; se sancionan con un importe entre 30.001 euros y 100.000 euros.
  • Las infracciones consideradas graves; se sancionan con una cantidad comprendida entre los 15.001 euros y los 30.000 euros.
  • Las infracciones consideradas leves; se castigan con una cantidad comprendida entre los 500 euros y los 15.000 euros

Estas son algunas de las novedades más importantes de la nueva ley 29/2021, cualificada de protección de datos. Si quieres saber más o necesitas ayuda para implementarlos en tu empresa, no dudes en ponerte en contacto con nosotros. ¡En Andorra Tarinas estaremos encantados de ayudarte!

No dude en contactar con Andorra Tarinas, en caso de necesitar ayuda. Nuestro equipo de profesionales le asesorará.