En el artículo de hoy queremos hablarte de las diferencias entre la política de protección de datos en España/Europa y la política andorrana.
Y es que, aunque haya muy pocas diferencias en relación al RGPD, es importante que las empresas que trabajan en Andorra, tienen terceros o colaboradores en este país o hacen intercambios comerciales con empresas andorranas, conozcan su normativa y se adapten a su cumplimiento. Ya que estarían intercambiando datos personales con Andorra.
Por ese motivo, hoy te explicaremos lo más importante de la Ley 29/2021, Cualificada de Protección de Datos Personales (LCPDP), que establece un régimen de protección de datos adaptado a las necesidades de Andorra y que se debe cumplir desde el pasado 17 de mayo de 2022.
¿Debo cumplir la ley andorrana de protección de datos?
Esta normativa de protección de datos es obligatoria para todas las entidades públicas y privadas que traten datos personales en el territorio andorrano.
Esto engloba tanto a las entidades que tengan domicilio en Andorra, o estén constituidas con las leyes andorranas, como a aquellas que solo realizan tratamiento de datos en este territorio.
Por lo que, si tu empresa tiene relaciones con Andorra, debes tener en cuenta que:
- Si tienes un encargado de tratamiento en Andorra, por más que tu empresa sea española, debes cumplir con la ley andorrana.
- Los responsables o encargados no domiciliados en Andorra deberán contar con un representante en este país.
- Todas las empresas españolas podrán hacer transferencias transfronterizas con Andorra siempre y cuando cumplan con la normativa del RGPD.
¿Qué diferencias presenta la ley andorrana de protección de datos?
- Obligación de nombrar a un Delegado de Protección de Datos (DPD) en las entidades públicas y las empresas privadas que hagan tratamientos a gran escala. Esta designación debe comunicarse a la Agencia Andorrana de Protección de Datos (APDA).
- El DPD se encargará de informar a la entidad o al responsable del tratamiento sobre sus obligaciones legales, asegurar el cumplimiento de la normativa, cooperar con la Autoridad de Control y ser el contacto entre la autoridad y la entidad.
- Es obligatorio notificar las violaciones de seguridad. De esto se encargará el responsable del tratamiento y lo notificará a la Agencia Andorrana de Protección de Datos en un plazo máximo de 72 horas.
- El análisis de riesgos y la evaluación de impactos son obligatorias. Se debe realizar este documento cuando se hagan tratamientos de datos personales de categorías especiales o cualquier otro tratamiento que comporte un alto riesgo para los derechos y libertades de los afectados.
- La APDA debe promover que las entidades realicen códigos de conducta para cumplir con la normativa.
- Desde la anterior modificación se ampliaron los derechos de los interesados con: el derecho de acceso, de rectificación, de supresión, de oposición, derecho al olvido, derechos digitales, derecho a la limitación del tratamiento de los datos, derecho a la portabilidad y el derecho a no ser objeto de decisiones individuales automatizadas ni de elaboración de perfiles.
- No es obligatoria la inscripción de ficheros de datos personales en el APDA, pero se obliga a que el responsable o encargado del tratamiento haga un registro de actividades de tratamiento en aquellas empresas que tienen más de 50 trabajadores y en las entidades públicas.
- Las sanciones que puede imponer la APDA son mucho menores a las sanciones del RGPD. Las infracciones muy graves tendrán una sanción de entre 30.001€ y 100.000€, siendo este el límite, cuando la máxima sanción del RGPD son 20 millones de euros.
- Las infracciones graves tendrán una sanción de entre 15.001€ a 30.001€.
- Las infracciones leves tendrán una sanción de entre 500€ a 15.000€.
Recuerda que, si realizas tratamientos de datos personales en el territorio andorrano, podemos ayudarte a cumplir con su normativa y así no infringir ninguna de las normativas de protección de datos. También podemos ser tus DPD si necesitas incorporar esa figura externa en tu empresa.
El equipo de PymeLegal.
