La Ley 29/2021 tiene como objetivo adaptar el ordenamiento jurídico andorrano a las demandas tecnológicas actuales ya la normativa europea, concretamente en el Reglamento (UE) 2016/679, que regula la protección de datos personales y su libre circulación dentro de la Unión Europea.
Esta ley es aplicable tanto a las entidades públicas como a las privadas que gestionen datos personales y tengan su sede en el Principado de Andorra. También afecta a las entidades constituidas según la legislación andorrana. Además, se extiende a aquellas entidades que, aunque no estén domiciliadas ni constituidas conforme a las leyes de Andorra, realicen tratamientos de datos dentro del territorio andorrano.
Gestión de datos personales en Andorra
Rol del Delegado de Protección de Datos (DPO)
La ley establece la figura del Delegado de Protección de Datos (DPO), que tiene el rol de guiar a las entidades en el cumplimiento de sus obligaciones legales en materia de protección de datos. El DPO supervisa el cumplimiento de la normativa y actúa como puente entre la entidad responsable y la Agencia Andorrana de Protección de Datos (APDA).
Obligación de notificar incidencias de seguridad
Es obligatorio notificar cualquier violación de seguridad a la APDA en un plazo máximo de 72 horas desde su detección. Esta medida busca garantizar una respuesta rápida y eficaz frente a posibles incidentes de seguridad.
Requisito de evaluaciones de impacto
Debe realizarse una evaluación de impacto cuando el tratamiento de datos pueda suponer un alto riesgo para los derechos y libertades de las personas. Esto incluye la gestión de datos personales sensibles, la creación de perfiles y la observación sistemática a gran escala.
Promoción de códigos de conducta
La APDA promueve la creación de códigos de conducta para asegurar una aplicación correcta de la normativa. Estas directrices ayudan a las entidades a cumplir con los estándares establecidos.
Ampliación de los derechos de los usuarios
La ley amplía los derechos de los interesados, añadiendo el derecho al olvido, la garantía de derechos digitales, la limitación del tratamiento, el derecho a la portabilidad, y el derecho a no ser objeto de decisiones automatizadas ni de perfiles.
Archivos personales en la APDA
Se ha eliminado la obligación de inscripción de archivos personales en el registro público de la APDA. Ahora, las entidades con más de 50 trabajadores, así como las entidades públicas, deben elaborar un registro de actividades de tratamiento de datos.
Régimen sancionador
Las sanciones se clasifican según su gravedad: infracciones muy graves (hasta 100.000 euros), graves (hasta 30.000 euros) y leves (hasta 15.000 euros). Esta diferenciación busca una aplicación más justa y proporcional de las sanciones.
Responsabilidad Proactiva
Un aspecto clave de la ley es la responsabilidad proactiva, que exige no sólo el cumplimiento de la normativa, sino también la demostración de ese cumplimiento de forma activa.
Desde Grup Assessors Associats, queremos ayudarte a adaptarte a estas directrices y garantizar el cumplimiento de la normativa vigente. Si tienes dudas o necesitas más información sobre cómo implementar estos cambios, no dudes en contactar con nosotros. Estaremos encantados de ofrecerte el asesoramiento que necesitas.
Primera consulta gratuIta