Togas.biz

El pasado 28 de octubre, el Consejo General de Andorra aprobó la Ley 29/2021, Cualificada de Protección de Datos Personales (“LCPDP”), posteriormente publicada en el Boletín Oficial del Principado de Andorra del 17 de noviembre de 2021.

La citada Ley, que está dividida en siete capítulos y consta de setenta y cuatro artículos, tiene como objetivo armonizar la normativa interna del país con la regulación europea en la materia; esto es, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD). A tal efecto, se deroga la anterior Ley 15/2003, de 19 de diciembre, Cualificada de Protección de Datos.

Destacamos a continuación las cuestiones más relevantes que se han incluido en la LCPDP:

  • El ámbito de aplicación de la LCPDP incluye tanto el tratamiento automatizado como no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. La LCPDP también será de aplicación a los tratamientos de datos realizados por responsables o encargados del tratamiento no domiciliados en el Principado de Andorra o no constituidos en el citado territorio de conformidad con las leyes del Principado cuando, para el tratamiento de los datos, empleen medios que se encuentren ubicados en el citado territorio y, en tal caso, será necesario que los responsables y encargados que se encuentren en tal situación, designen ante la Agencia Andorrana de Protección de Datos un representante que deberá estar establecido en el Principado de Andorra.
  • En relación con el tratamiento de datos de personas fallecidas, entre otras cuestiones, se indica que las personas vinculadas al fallecido (por razones familiares o de hecho) podrán dirigirse al responsable o encargado del tratamiento con el objetivo de solicitar el acceso a sus datos personales y, en su caso, para proceder a su rectificación o supresión. Asimismo, se indica que ello no será posible, cuando la persona fallecida lo haya prohibido expresamente o así lo establezca una normativa.
  • Aunque los principios aplicables al tratamiento de datos personales son los mismos que se incluyen en el RGPD, en relación con el principio de exactitud, la LCPDP indica que no se podrá imputar al responsable del tratamiento la inexactitud de los datos, si éste ha adoptado todas las medidas razonables para que los datos en cuestión sean rectificados o se supriman.
  • La LCPDP, en su artículo en su artículo 6 apartado 3, establece una serie de criterios a los efectos de determinar si el tratamiento de datos para otra finalidad es compatible con la finalidad para la cual los datos personales fueron recogidos inicialmente. Entre otras cuestiones, se deberán tener en cuenta las posibles consecuencias para los interesados en relación con el tratamiento ulterior de datos que se haya previsto, o si existe una relación entre las finalidades para las cuales se recabaron inicialmente los datos y la finalidad ulterior prevista.
  • La LCPDP dedica también un artículo (Artículo 26) a describir las situaciones en las que los derechos de los interesados en materia de protección de datos podrían verse limitados y se citan, entre otros supuestos, la salvaguarda de la seguridad del Estado, la defensa, la seguridad pública o la protección de la independencia judicial y de los procedimientos judiciales.
  • También en términos muy similares al RGPD, en la LCPDP se regula la obligación de llevar a cabo una evaluación de impacto en el caso de que un tratamiento pueda comportar un alto riesgo para los derechos o libertades de las personas físicas, la obligación de llevar a cabo un registro de actividades de tratamiento, así como el contenido que deberá contener el contrato de encargado que suscriban responsables y encargados.
  • La LCPDP establece que el tratamiento de datos personales de un menor solo se considerará válido si éste tiene como mínimo 16 años de edad.
  • Cabe destacar que la LCPDP introduce un artículo relativo a la garantía de los derechos digitales y establece, entre otras cuestiones, que toda persona tiene derecho a acceder a internet y que tal acceso debe garantizarse a toda la población, de forma que dicho acceso sea asequible y de calidad, a los efectos de procurar la superación de la brecha de género tanto en el ámbito personal como laboral, así como la superación de la brecha generacional, mediante acciones de formación dirigidas a personas de mayor edad.
  • En los capítulos sexto y séptimo de la LCPDP se regulan cuestiones relativas a la composición y ámbito de actuación de la Agencia Andorrana de Protección de Datos, sus competencias y funciones, así como las potestades de autorización y consultivas que tiene la Agencia.
  • Por último, cabe notar que en la disposición final tercera se encomienda al Gobierno que, en el plazo de dos años a contar desde la entrada en vigor de la LCPDP, presente un proyecto de ley relativo al tratamiento de datos personales realizado por parte de las autoridades competentes con las finalidades de prevención, investigación y detección o enjuiciamiento y ejecución de infracciones penales, por lo que estaremos atentos a las novedades que se produzcan en esta materia.

Ivette Pardo Asociada