Ley de Protección de Datos y Privacidad Personal en Andorra

La Ley 29/2021 de Andorra, de 28 de octubre, es una ley de protección de datos y privacidad personal que se aprobó recientemente en octubre de 2021. Dado que Andorra no forma parte de la Unión Europea, la recopilación y el tratamiento de datos personales en el país no entran dentro de la jurisdicción del Reglamento General de Protección de Datos (RGPD). Por lo tanto, la Ley 29/2021 de Andorra, de 28 de octubre, establece el marco jurídico para la recogida y el tratamiento de datos personales en el país. Además, el objeto de la ley es “actualizar la normativa relativa al tratamiento efectuado tanto por particulares o entidades privadas como por la Administración Pública andorrana sobre los datos correspondientes a personas físicas de acuerdo con la nueva normativa europea contenida en el Reglamento General de Protección.”

¿Cómo se definen los responsables y encargados del tratamiento en la Ley 29/2021, de 28 de octubre, de Andorra?

Según la Ley andorrana 29/2021, de 28 de octubre, un responsable del tratamiento se define como una “persona física o jurídica, autoridad competente, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento de datos personales, y garantice su correcto cumplimiento con las normas de protección de datos que se aplican a los fines del tratamiento”. Por su parte, un encargado del tratamiento se define como una “persona física o jurídica, autoridad competente, servicio público, en su caso, o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento”, mientras que los datos personales se definen como “cualquier conjunto estructurado de datos personales accesible con arreglo a determinados criterios, ya sea centralizado, descentralizado o distribuido funcional o geográficamente, cualquiera que sea su forma o modo de creación, almacenamiento, organización y acceso.”

¿Cuáles son los requisitos de los responsables y encargados del tratamiento de datos en virtud de la Ley 29/2021, de 28 de octubre, de Andorra?

En virtud de la Ley 29/2021, de 28 de octubre, de Andorra, los responsables y encargados del tratamiento de datos en el país tienen las siguientes responsabilidades y obligaciones en lo que respecta a la recogida y el tratamiento de datos personales:

• El tratamiento de los datos debe obedecer a la finalidad legítima perseguida con la consecución, en cada fase del tratamiento, de un justo equilibrio entre los diversos intereses en juego, públicos o privados, que concilie los derechos y libertades afectados.
• Los datos personales deben tratarse de forma lícita, leal y transparente con respecto al interesado.
• Los datos personales deben ser pertinentes, adecuados y limitados a lo necesario para los fines para los que se tratan.
• Los datos personales deben ser exactos y actualizarse cuando sea necesario, y los responsables y encargados del tratamiento deben adoptar medidas razonables para garantizar que cualquier dato personal incorrecto o inexacto se suprima o rectifique sin dilación indebida.
• Los datos personales deben obtenerse directamente de los interesados antes de su tratamiento.
• Los datos personales deben conservarse de forma que “permitan identificar a las personas afectadas durante un periodo no superior al necesario para los fines del tratamiento de datos personales.”
• Los datos personales deben tratarse de forma que “se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, la destrucción o el daño accidentales, mediante la aplicación de medidas técnicas y organizativas apropiadas.”

¿Cuáles son los derechos de los interesados en virtud de la Ley 29/2021, de 28 de octubre, de Andorra?

En virtud de la Ley 29/2021, de 28 de octubre, de Andorra, los interesados tienen los siguientes derechos en materia de protección de datos:

• Derecho a ser informado.
• Derecho de acceso.
• El derecho de oposición o exclusión voluntaria.
• Derecho de rectificación.
• Derecho de cancelación.
• Derecho a la neutralidad de la red.
• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad de los datos.
• Derecho a no ser objeto de decisiones de tratamiento automatizado de datos.
• Derecho a presentar una reclamación.

En cuanto a la aplicación de la ley, la Ley 29/2021 de Andorra, de 28 de octubre, se aplica a través de la Agencia Andorrana de Protección de Datos. En este sentido, la Agencia Andorrana de Protección de Datos puede imponer sanciones pecuniarias y administrativas a los responsables y encargados del tratamiento que incumplan las disposiciones de la ley, así como las siguientes acciones

• Ordenar al responsable del tratamiento de datos personales y, si procede, al representante del responsable del tratamiento, que facilite toda la información necesaria para el cumplimiento de sus funciones.
• Llevar a cabo investigaciones en forma de auditorías de protección de datos; en su caso, con expertos designados ad hoc de forma motivada.
• Obtener acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones por el responsable o el encargado del tratamiento.
• Obtener acceso a todos los locales del responsable y del encargado del tratamiento, incluidos todos los equipos y medios de tratamiento de datos.

Dado que Andorra fue el vigésimo quinto país en ratificar el Convenio 108+ del Consejo de Europa para la protección de los datos de las personas con respecto al tratamiento de datos personales o Convenio 108 para abreviar, la promoción de la protección de datos y la privacidad personal son claramente una prioridad máxima dentro del país. A pesar de que Andorra no entra dentro de la jurisdicción de la ley GDPR de la UE, las disposiciones de la Ley 29/2021 de Andorra, de 28 de octubre, proporcionan a los titulares de datos dentro de Andorra un nivel similar de protección, ya que la ley otorga amplios derechos a los ciudadanos y ordena que se sigan requisitos estrictos en relación con la recopilación y el procesamiento de datos personales.