Nueva ley de Protección de Datos en Andorra
El pasado 17 de noviembre de 2021 se publicó en el Boletín Oficial del Principado de Andorra la Ley 29/2021, de 28 de octubre, calificada como la nueva ley de Protección de Datos en Andorra.
En este blog ya estuvimos hablando, en febrero de 2021, de qué implicaciones tenía el RGPD en Andorra, cuestión relevante ya que, a pesar de no ser miembro de la UE, ya vimos su aplicación en algunos casos. Ahora, finalmente, podemos decir que ya existe una nueva Ley de Protección de Datos en Andorra que deroga la vigente hasta ahora, de 2003.
Además de la indudable homologación de la normativa en el RGPD, que trataremos más adelante, esta normativa responde a varias necesidades estratégicas:
a) En primer lugar, aunque Andorra dispone de una decisión de adecuación de la UE (se la considera homologada a los estándares europeos incluso con la normativa de 2003), el art. 45.3 del RGPD prevé que la Comisión Europea puede revisar estas decisiones cada 4 años, y esto «tocaría» en mayo de 2022.
b) El crecimiento de las startups tecnológicas y la indudable apuesta del Gobierno andorrano por el emprendimiento digital, hacen que el país deba disponer de una normativa muy similar, sino exacta, en la de los países potencialmente inversores; aquí hay que contar, obviamente los Estados de la UE, sino también otros estados no miembros, que están haciendo esfuerzos por adecuar su propia normativa o que ya tienen una normativa homologada en el RGPD (Israel, Reino Unido, etc.).
Novedades de la nueva Ley 29/2021 de Protección de datos en Andorra
La nueva normativa andorrana está claramente inspirada en el RGPD y también, en algunas partes, en la Ley española de 2018. Pero hay algún matiz interesante, creemos que a favor del interesado, que las empresas deben tener en cuenta:
En primer lugar, hay que tener en cuenta que la normativa se aplicará tanto a responsables como a encargados del tratamiento establecidos en Andorra, como aquellos que, no estando domiciliados, utilicen medios del tratamiento ubicados en territorio andorrano. En este segundo caso, tendrán que nombrar un representante que deberá ser comunicado a la Agencia Andorrana de Protección de Datos.
Dentro de las similitudes, se introducen conceptos y obligaciones ya conocidas por las empresas ubicadas en Estados miembros de la UE:
- Obligación de nombrar un Delegado de Protección de Datos en las autoridades públicas y, en algunos casos, en empresas privadas (tratamientos a gran escala).
- Decae la obligación de inscribir archivos y se sustituye por el registro de actividades del tratamiento.
- Análisis de riesgos obligatorio y evaluaciones de impacto en función de los riesgos detectados.
- Régimen sancionador, pero atención, con sanciones máximas de 100.000 € (contraste importante con la máxima sanción del régimen del RGPD, de 20 millones €, que también prevé que la sanción se pueda establecer en función de la facturación del infractor, no previsto en Andorra ).
- Derecho de indemnización al afectado.
- Deber de comunicar incidencias en un plazo de 72 horas.
Para concluir, destacamos una diferencia notable en relación a la forma de otorgar el consentimiento y es que, cuando éste se solicite por diferentes finalidades, habrá que darse de forma separada.
Esta mención, clara en el borrador de Ley española de 2018, quedó finalmente difundida con una redacción poco clara; en el caso de Andorra, pues, parece evidente que si una empresa quiere, por ejemplo, tratar los datos para fines comerciales y, además, cederlos a terceros, serán necesarios dos consentimientos separados.
¿Desde cuándo es exigible? La ley andorrana será exigible desde el 17 de mayo de 2022.
Andorra da con esta ley, en conclusión, un paso gigante para equiparar su normativa a los estándares europeos. El Gobierno y el Consell General han entendido perfectamente que la libre circulación de datos es un requisito imprescindible para que la apuesta por la digitalización y las startups tecnológicas que ha realizado, tengan sentido. Esto sumado a una régimen fiscal muy favorable para empresas (10%) y la facilidad para constituir una, a pesar de no ser residente, hacen que sea necesario estar muy atento en Andorra en los años venideros.
Si tienes preguntas sobre este o cualquier otro tema, ¡no dudes en contactar con nosotros!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.