APDA
Ei, sàpigues que en aquest lloc web utilitzem galetes (cookies)!
Aquestes són: 3 cookies tècniques o estrictament necessàries, cap cookie de preferències, cap cookie publicitàries, cap cookie d'estadístiques o de rendiment. A més a més, no utilitzem cookies de tercers.
En pots veure tots els detalls així com el nostre avís legal i política de privacitat.
Els botons "Rebutjar cookies" i "personalitzar" estan desactivats ja que únicament emprem cookies tècniques que no requereixen del vostre consentiment.

L'APDA, en el seu web https://apda.ad, utilitza galetes pròpies o bé d’empreses col·laboradores amb l’objecte de millorar i optimitzar l’experiència d’usuari. Per tal que siguin recollides n’és necessari el consentiment.

Què són les galetes?

Les galetes o cookies són un tipus de fitxer que es descarrega a l’equip d’un usuari/client del web amb la finalitat de recollir dades que podran ser actualitzades i recuperades per l’entitat responsable de la instal·lació. L'APDA utilitza galetes principalment per a les qüestions següents:

  • Assegurar el funcionament correcte del lloc web de l'APDA.
  • Emmagatzemar temporalment la informació relativa a les preferències de l’usuari, com pot ser l’idioma.

La utilització de les galetes per part de l'APDA es deu al propòsit d’intentar optimitzar la informació i els serveis oferts als usuaris, per millorar l’experiència cada cop que s’utilitzen els serveis web.

Quines dades es recullen?

A les galetes utilitzades per l'APDA no es recull cap dada del client excepte l'acceptació de la política de cookies, en cas de ser acceptada.

Tipus de galetes utilitzades, responsables, termini de conservació i destinataris

Les galetes utilitzades per l'APDA són les següents:

Cookie de sessió:

Finalitat: Permet conservar les preferències de navegació durant la visita de l'usuari al lloc web de l'APDA com l'idioma, l'autenticació a la zona privada. no s'hi conserva cap dada de l'usuari, únicament el codi de sessió assignat en entrar a a plana web.
Durada conservació: 120 minuts en no detectar cap activitat.
Destinataris: Cap.
Cookie encriptada: Sí.
Token CSRF:

Finalitat: Permet protegir tant l'usuari com el lloc web contra atacs CSRF.
Durada conservació: Durant el període de navegació al lloc web.
Destinataris: Cap.
Cookie encriptada: Sí.
Cookie d'acceptació de la política de cookies:

Finalitat: Desactivar el bloc de política de cookies en cas que l'usuari l'hagi acceptat per permetre una navegació més fluïda.
Durada conservació: 180 dies màxim.
Destinataris: Cap.
Cookie encriptada: Sí.

Actualitat

LOGO APDA
Actualitat
|
2024-11-20

L’APDA sanciona amb una advertència dues empreses per conservar dades personals sense base legal, incomplint el deure d’informació, així com els principis de protecció de dades, entre altres irregularitats

Entre el mes de juny i agost del 2024, l’APDA va sancionar amb una advertència dues empreses del país per diverses infraccions de la LQPD: les empreses conservaven dades d’exempleats sense base legal, sense informar-los, sense aplicar els principis relatius al tractament de dades (licitud, lleialtat i transparència, limitació de la finalitat, minimització de dades, exactitud, limitació del termini de conservació i integritat i confidencialitat), entre altres incompliments

 

El context

Entre els mesos d’octubre i novembre del 2023, diverses entitats del país van notificar una violació de seguretat davant l’Agència Andorrana de Protecció de Dades (APDA) d’un incident patit al programa de gestió de recursos humans (totes tenien contractat el mateix). Arran d’aquestes notificacions, l’APDA va detectar, en dos de les entitats, diferents infraccions de la normativa andorrana de protecció de dades, especialment pel que fa les dades d’exempleats que ja no hi formaven part, i va decidir obrir un expedient d’ofici a ambdues empreses per tal d’esclarir els fets.
 

Les investigacions

L’APDA va enviar un requeriment d’informació a ambdues empreses, sol·licitant aclariments sobre la base legal, la finalitat, els criteris de conservació i el tipus de dades conservades (especificant si es tractava de dades relatives a avaluacions de rendiment, informació d’assegurances, de familiars o d’altres) dels extreballadors. Així mateix, va demanar el contracte d’encàrrec de tractament signat amb el proveïdor del programa de gestió de recursos humans, així com explicacions sobre la manca de notificació i de comunicació adequada de la violació de seguretat a l’APDA i als afectats, entre d’altres qüestions. 

 

Els incompliments

El servei d’inspecció de l’APDA va detectar els incompliments següents:

Falta de base legal per al tractament de determinades dades dels exempleats: una de les empreses no va poder justificar sota quina base legal estava conservant determinades dades, com el nom dels pares i mares, el nombre de fills i les seves dates de naixement, les certificacions de formació, currículums o algunes dades de contacte dels extreballadors; tampoc va poder demostrar disposar del consentiment d’aquests ni cap altra base legal que justifiqués aquesta conservació. L’altra empresa no va aportar cap evidència per demostrar la base legal d’aquesta conservació.

Principis de protecció de dades: una de les empreses va explicar que conservava les dades per poder donar resposta a sol·licituds d’informació o documentació a reproduir dels exempleats; en aquest context, l’APDA va detectar que per aquesta finalitat s’estaven conservant dades que no eren necessàries incomplint el principi de minimització; tampoc s’estaria complint el principi d’exactitud, donat que cap exempleat podria exercir el seu dret de rectificació en no ser informat d’aquesta finalitat i de la conservació de les seves dades per part de l’empresa; pel que fa el principi de limitació del termini de conservació, tampoc s’estaria complint vist que no s’havia determinat cap període específic d’aquest tractament; finalment, la violació de seguretat de les dades personals demostrava que l’empresa no estava garantint la seguretat adequada de les dades, més tenint en compte que aquestes estaven sent tractades sense cap base legal (incomplint així el principi d’integritat i confidencialitat). L’altra empresa no va aportar cap evidencia per demostrar el compliment d’aquests principis. 

Deure d’informar: una de les empreses no va poder demostrar que informava els seus treballadors sobre la conservació de determinades dades personals després de la finalització del contracte. Així, no va demostrar que aquesta informació estava inclosa al contracte dels treballadors, ni que aquesta es va facilitar en el moment de la finalització del contracte o en el termini establert per la LQPD. 

Contracte d’encàrrec de tractament: ambdues empreses van reconèixer que no existia un contracte d’encàrrec de tractament amb el proveïdor de la plataforma de gestió de recursos humans ni tampoc demostraven la formalització de cap altre acte jurídic equivalent.

Notificació de la violació de la seguretat a l’APDA: ambdues empreses no van complir amb els requisits de notificació de la violació de seguretat a l’APDA, bé no van respectar els terminis indicats a la llei de protecció de dades, o bé no van aportar la informació de manera gradual tal com determina la norma. 

Comunicació de la violació de la seguretat als afectats: una de les empreses va poder demostrar que va comunicar l’incident als afectats amb el contingut mínim exigit per la llei de protecció de dades; tanmateix, l’altra, no va respectar els terminis, ni el contingut ni la forma de la comunicació; cal fer avinent, que aquesta darrera va fer la comunicació només quan li va exigir l’APDA. 
 

La sanció

L’APDA va ordenar a les empreses que les operacions de tractament de les dades de les persones afectades s’ajustessin a les disposicions de la LQPD de manera immediata segons l’article 67.d) de la LQPD i les va sancionar amb una advertència. A més, va recordar que l’incompliment de les mesures correctives indicades a la resolució, així com la reincidència en la comissió de les infraccions, podia donar lloc a una sanció econòmica d’entre 30.001 i 100.000 euros. Finalment, l’APDA va decidir donar a conèixer el contingut rellevant de les resolucions per tal de promoure la sensibilització del públic en matèria de protecció de dades.
 

Per aprofundir

Guia de notificacions de violacions de seguretat de dades personals

Guia per al tractament de dades personals en l’àmbit laboral

Guia de bones pràctiques del deure d'informació

Formulari de notificació de violacions de seguretat
 

Normativa de referència

Article 5. Principis relatius al tractament

Article 6. Licitud del tractament

Article 16. Informació que s’ha de facilitar quan les dades personals s’obtenen de la persona interessada

Article 17. Informació que s’ha de facilitar quan les dades personals no s’obtenen de la persona interessada

Article 31. Encarregat del tractament de dades personals

Article 36. Notificació d’una violació de la seguretat de les dades personals a l’autoritat de control

Article 37. Comunicació d’una violació de la seguretat de les dades personals a la persona interessada

 

Altres notícies

Article d'opinió | Violència contra les dones a internet i les xarxes
Opinió
|
2024-11-25

Article d'opinió | Violència contra les dones a internet i les xarxes

Llegir més
Monogràfic Transformació digital | Dades biomètriques: reptes i oportunitats
Opinió
|
2024-11-21

Monogràfic Transformació digital | Dades biomètriques: reptes i oportunitats

Llegir més
Black Friday: evita estafes i protegeix les teves dades personals!
Actualitat
|
2024-11-18

Black Friday: evita estafes i protegeix les teves dades personals!

Llegir més