Coneix les teves obligacions
En aquesta secció us expliquem les obligacions que han de complir les persones que tracten dades personals (organitzacions, empreses, administracions públiques) i us oferim diversos materials d'ajuda per complir-les.
Sóc un obligat?
Recorda que si tractes dades o informació sobre persones físiques que permetin la seva identificació, les utilitzes amb finalitats determinades i prens decisions relacionades amb les finalitats per a les quals utilitzes aquestes dades personals o els mitjans en què portes a terme l'emmagatzematge i la forma de processar les dades, ets el responsable de tractament d’aquestes dades.
Si emmagatzemes o processes dades o informació sobre persones físiques seguint les instruccions de qui pren decisions sobre les finalitats i els mitjans en què les dades són processades (“el responsable”) ets l'encarregat de tractament d'aquestes dades.
Per contra, si emmagatzemes o processes dades personals únicament en l'exercici de les teves activitats personals o domèstiques, els requisits de la normativa de protecció de dades no són aplicables en l'àmbit de les activitats esmentades.
Per a cada activitat de tractament de dades personals que portes a terme com a responsable o en què participes com a encarregat, has de tenir en compte les obligacions que la normativa andorrana de protecció de dades t'exigeixen per protegir les persones físiques les dades de les quals estàs tractant.
Principis
L’article 5 de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals determina que el tractament de dades ha de ser proporcionat a la finalitat legítima recercada amb l’assoliment, en cada etapa del tractament, d’un equilibri just entre els diversos interessos confrontats, ja siguin públics o privats, que conciliï els drets i llibertats afectats.
Així doncs els principis que hauran de regir a tot tractament de dades són:
Obliga els responsables a disposar de mesures raonables perquè les dades es trobin actualitzades, se suprimeixin o modifiquin sense dilació quan siguin inexactes respecte a les finalitats per a les quals es tracten.
- S’han obtingut pel responsable directament de la persona interessada.
- S’han obtingut pel responsable del tractament a través d’un mediador o intermediari en cas que les normes aplicables al sector d’activitat al què pertany el responsable estableixin la possibilitat d’intervenció d’un intermediari o mediador que reculli en nom propi les dades de les persones interessades per a la seva transmissió al responsable. El mediador o intermediari ha d’assumir les responsabilitats que puguin derivar-se en el cas de comunicació al responsable de dades que no es corresponguin amb les facilitades per la persona interessada.
- Són objecte de tractament per part del responsable per haver-les rebut d’un altre responsable en virtut de l’exercici per la persona interessada del dret a la portabilitat de les dades.
- S’han obtingut d’un registre públic per part del responsable del tractament.
Materialització del principi de minimització. La conservació de es dades s'ha de limitar en el temps a aconseguir les finalitats que persegueix el tractament. Una vegada que aquestes finalitats s'han assolit, les dades han de ser esborrades, bloquejades o, si no, anonimitzades, és a dir, desproveïdes de tot element que permeti identificar els interessats.
Necessària anàlisi de riscos orientada a determinar les mesures tècniques i organitzatives necessàries per garantir la integritat, la disponibilitat i la confidencialitat de les dades personals que tractin.
Consentiment
Consentiment com a base legitimadora del tractament

Què vol dir un consentiment lliure, específic, informat i inequívoc i recollit mitjançant una declaració o una acció afirmativa clara?
-
Lliure: Per considerar que un consentiment s’ha atorgat lliurement, ha de tenir lloc de manera voluntària. L'element "lliure" implica una elecció real per part de l'interessat. Qualsevol element de pressió o influència inadequada que pugui afectar el resultat d'aquesta elecció invalida el consentiment. Així, la llei reconeix l’existència d’un cert desequilibri entre el responsable i l'interessat.
- Per exemple, en una relació empresari-treballador: l'empleat pot preocupar-se que la seva negativa a consentir pugui tenir greus conseqüències en la seva relació laboral, per tant, el consentiment només pot ser una base legal per al tractament en algunes circumstàncies excepcionals.
-
Específic i informat: cal informar l'interessat com a mínim sobre la identitat del responsable del tractament, quin tipus de dades es tractaran, com s'utilitzaran i la finalitat de les operacions de tractament. També s'ha d'informar l'interessat sobre el seu dret a retirar el consentiment en qualsevol moment. La retirada ha de ser tan fàcil com el fet de donar el consentiment. Si escau, el responsable també ha d'informar sobre l'ús de les dades per a la presa de decisions automatitzada, els possibles riscos de les transferències internacionals de dades a causa de l'absència d'una decisió d'adequació o de garanties adequades
- El consentiment es vincularà a una o per a cadascuna de les finalitats especificades (s’hauran d’explicar suficientment). Si el consentiment ha de legitimar el tractament de categories especials de dades personals, la informació de l'interessat hi ha de fer expressa referència.
-
Inequívoc i mitjançant un acte o una declaració afirmativa: El consentiment no pot ser implícit i ha de fer-se sempre mitjançant una clàusula opt-in, una declaracióo una acció activa, de manera que no hi hagi malentès del fet que l'interessat ha consentit el tractament en concret. Aquesta declaració o acció no té requisits formals i també serà vàlida la recollida mitjançant formats electrònics.
- Això podria incloure marcar una casella d'un lloc web a internet, escollir paràmetres tècnics per a la utilització de serveis de la societat de la informació, o qualsevol altra declaració o conducta que indiqui clarament en aquest context que l'interessat accepta la proposta de tractament de les seves dades personals. Per tant, el silenci, les caselles ja marcades o la inacció no poden considerar-se com a eines per a consentir.
- Quan el tractament tingui diverses finalitats, cal donar a l’interessat l’opció d’acceptar-les totes, de només una part o de cap.
Altres bases legitimadores
A part del consentiment, la normativa preveu altres bases legitimadores per al tractament de dades personals:
- El tractament és necessari per a executar un contracte del qual la persona interessada és part, o bé per a aplicar mesures precontractuals a petició seva.
- El tractament és necessari per a complir una obligació legal aplicable al responsable del tractament.*
- El tractament és necessari per a protegir interessos vitals de la persona interessada o d’una altra persona física.
- El tractament és necessari per a complir una missió d’interès públic o en l’exercici de poders públics conferits al responsable del tractament.
- El tractament és necessari per a satisfer interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i les llibertats fonamentals de la persona interessada que requereixin la protecció de dades personals, especialment si la persona interessada és menor d’edat.
Una normativa establirà aquestes bases del tractament perquè el responsable les pugui aplicar. La finalitat del tractament s’ha de determinar en aquesta base jurídica o bé ha de ser necessària per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.
La base jurídica o norma haurà de contenir disposicions específiques sobre protecció i tractaments de dades com ara:
«les condicions generals que regeixen la licitud del tractament efectuat pel responsable; els tipus de dades objecte de tractament; les persones interessades afectades; les entitats a les quals es poden comunicar dades personals i les finalitats d’aquesta comunicació; la limitació de la finalitat; els terminis de conservació de les dades, així com les operacions i els procediments del tractament, incloses les mesures per garantir un tractament lícit i equitatiu, com les relatives a altres situacions específiques de tractament.» ().
La base jurídica ha de complir un objectiu d’interès públic i ha de ser proporcional a la finalitat legítima perseguida.
Registre d’activitat de tractament (RAT):
A partir del maig del 2022 ja no serà necessari declarar els fitxers a l’APDA sinó que aquesta obligació serà responsabilitat de l’entitat que tracti les dades personals, en concret :
- Administració pública, parapúbliques, empreses o organitzacions públiques.
- Empreses amb més de 50 treballadors
-
Empreses que realitzin tractaments habituals de:
- Dades sensibles.
- Dades relatives a condemnes i infraccions penals.
- Dades amb un risc per als drets i les llibertats.

Dins d’aquestes organitzacions, qui haurà de portar el registre serà el responsable, el corresponsable, l’encarregat de tractament, el representant o el Delegat de Protecció de Dades (que haurà de ser informat de qualsevol addició, modificació o exclusió en el contingut dels registres). El responsable o l’encarregat del tractament i, si escau, el seu representant, han de posar el registre a disposició de l’Agència Andorrana de Protecció de Dades quan aquesta autoritat de control ho sol·liciti.
Contingut mínim que s’ha de registrar

Com s’ha de registrar?
Per escrit o electrònicament.
Delegat de Protecció de Dades (DPD)
La Llei 29/2021, de 28 d’octubre, qualificada de protecció de dades personals ha establert el concepte de Delegat de Protecció de Dades (DPD) a Andorra.
El criteri per determinar l’obligació de nomenar un DPD dependrà de la mida de l’organització o de les activitats bàsiques de tractament que són essencials per assolir els objectius de l'empresa.
- Si aquestes activitats bàsiques consisteixen en el tractament de dades personals sensibles a gran escala o en una forma de tractament de dades que tingui un abast particular per als drets de les persones interessades, l'empresa ha de designar un DPD.
Els organismes públics o parapúblics, en canvi, sempre han de designar un DPD, a excepció dels tribunals que actuen en la seva capacitat judicial.
Qui pot ser designat DPD?
- Un treballador de l’organització a càrrec del responsable de tractament.
- Un DPD extern com a encarregat de tractament.
En seleccionar aquesta persona, el responsable ha d'assegurar-se que el DPD no pugui tenir conflicte d'interessos i que aporti coneixements professionals experts en dret de protecció de dades (l’abast d’aquests coneixements depèn de la complexitat del tractament de dades i de la mida de l'empresa).
Quan es nomena un DPD, el responsable ha de fer públiques les seves dades de contacte i comunicar el nomenament i dades de contacte a l’APDA.
- Si una empresa ha designat voluntàriament un DPD, també ha de complir els criteris i les disposicions anteriors.
La falta deliberada o negligent de nomenar un DPD quan hi hagi una obligació legal és una infracció subjecta a sancions.
Funcions generals del DPD

Avaluació d’impacte i consulta prèvia a l’APDA
Una avaluació d’impacte en protecció de dades (AI) és un procediment que busca identificar i controlar el riscos per als drets i les llibertats de les persones, associats a un tractament de dades.
En identificar els riscos, hem de considerar qualsevol impacte que el tractament pugui tenir sobre els drets fonamentals de les persones: impossibilitat d’accedir a serveis, discriminació, robatori de la identitat i altres fraus, danys a la reputació, impossibilitat d’exercir algun dret, etc.
Aquests impactes es poden materialitzar per dues raons principals:
- la primera és que el tractament, tal com està dissenyat, pugui donar lloc a aquests impactes (pel tipus de dades que es tracten, per qui hi té accés, pel potencial efecte del tractament, etc); i
- la segona està relacionada amb la seguretat de les dades, en particular, la pèrdua de la confidencialitat, la integritat o la disponibilitat de les dades.
Un cop determinats els riscos caldrà valorar-los i, després, establir les salvaguardes apropiades a les valoracions fetes.
L’article 32.3 de la LQPD exigeix que el responsable del tractament realitzi una AI, quan el tractament pugui comportar un alt risc per als drets i les llibertats de les persones i estableix 3 casuístiques on serà obligatòria:
- Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
- Tractament a gran escala de les categories especials de dades a què es refereix, o de les dades personals relatives a condemnes i infraccions penals
- Observació sistemàtica a gran escala d'una zona d'accés públic.
Independentment del risc que pugui tenir un tractament, no caldrà fer una AI quan la naturalesa, l’abast, el context i les finalitats del tractament siguin molt semblants a un altre tractament al qual ja s’ha fet una AI.
Quan caldrà fer una AI?
Tan aviat com sigui possible.
En particular, per a nous tractaments cal fer-la abans d’iniciar el tractament (respectant el principi de protecció de dades by design i by default) i cal emprar l’AI com a guia i base per al disseny del tractament. En el cas d’una operació de tractament que ja està en marxa, convé fer una AI tan aviat com es detecti un risc greu per als drets i les llibertats de les persones.
Contingut mínim de l’AI

Qui?
El responsable del tractament és l’actor principal, atès que és qui té la responsabilitat que l’AI s’executi. Això no treu que el responsable del tractament pugui delegar l’AI però, en qualsevol cas, és qui en té la responsabilitat última.
El prestador de serveis, si n’hi ha, ha de donar suport al responsable a l’hora de fer l’AI.
El responsable del tractament ha de buscar el consell del delegat de protecció de dades (DPD). Aquest consell i les decisions que prengui han de quedar documentades a l’AI.
Fases d’una avaluació d’impacte:

Protecció de dades dades des del Disseny i per defecte
"Protecció de dades by design (des del disseny)" i "Protecció de dades by default (per defecte)" són dos termes que s’empren des de fa anys en matèries reguladores de protecció de dades i ja apareixien a la derogada Directiva 95/46/CE de la Unió Europea. Segons el considerant 46 d'aquesta Directiva, les mesures tècniques i organitzativess'han de prendre en el moment de planificar un tractament de dades per tal protegir- ne la seguretat. Es busca l’adopció d’un model basat en l’anticipació del responsable i en la presa de mesures proactives per prevenir i anticipar possibles problemes de privacitat.
Quins criteris caldrà tenir en compte quan dissenyem les nostres estratègies by design i by default?
- La naturalesa, àmbit, context i finalitat del tractament
- Els riscos de diversa probabilitat i gravetat (no només respecte al risc alt)
- Estat de la tècnica
- Cost
- Ex. No es pot configurar una plana web per tal de condicionar la navegació a l’acceptació de cookies.
- Ex. El nostre dispositiu mòbil vindrà amb una configuració de fàbrica garantista amb la nostra privacitat i nosaltres, mitjançant accions afirmatives, anirem reduint aquesta privacitat → Vols permetre que “Mapes” tingui accés a la teva ubicació?
Violacions de seguretat
Una violació de la seguretat de les dades es produeix quan les dades personals que tracta un responsable o encarregat de tractament pateixen un incident de seguretat que dona lloc a la violació de la confidencialitat, disponibilitat o integritat de les dades. Si això passa, i és possible que la violació posi en risc els drets i les llibertats d'una persona, tal com preveu l’article 36 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, el responsable de tractament ha de notificar-ho a l'autoritat de control sense demora i a tot estirar 72 hores després de tenir-ne constància. Si la notificació no es produeix en aquest termini, s’han de justificar els motius de la dilació. Si és un encarregat del tractament, haurà de notificar cada violació de la seguretat de les dades al responsable del tractament.
D’altra banda, tal com es preveu a l’article 15 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, si la violació de la seguretat de les dades suposa un alt risc per a les persones afectades, aquestes també hauran de ser informades tan aviat com raonablement sigui possible (llevat que s'hagin aplicat mesures de protecció tècniques i organitzatives efectives, o altres mesures que garanteixin que ja no existeix la probabilitat que es determini el risc).
Tipus de violacions de seguretat:

Procediment de notificació a l’APDA:
Quan el responsable de tractament notifica una violació de seguretat a l’autoritat de control, l’article 36 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, estableix que com a mínim, ha de:
- Descriure la naturalesa de la violació de la seguretat de les dades personals, incloent-hi, si és possible, les categories i el nombre aproximat de persones interessades afectades, i les categories i el nombre aproximat de registres de dades personals afectats.
- Comunicar el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte on es pot obtenir més informació.
- Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
- Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.
Notificació als interessats:
El responsable del tractament ha de prendre les mesures oportunes per facilitar a la persona interessada tota la informació relativa al tractament de les seves dades, entre la qual també hi ha la violació de la seguretat de les dades personals de la persona interessada en el cas escaient.
Aquesta informació s’ha de facilitar d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobretot si la informació s’adreça específicament a un menor d’edat. La informació s’ha de facilitar per escrit o per altres mitjans, inclosos, si escau, els mitjans electrònics.
Codis de conducta
Els codis de conducta (CC) són un conjunt de pautes i directrius que regulen les obligacions en matèria de protecció de dades de determinats sectors professionals. La principal funció és la d’adequar i facilitar l'aplicació de la normativa de protecció de dades a les característiques dels diferents sectors d'activitat dels seus promotors, que s’hi adheriran de manera voluntària per tal que els resulti d’obligat compliment.
Els principals incentius per tal de desenvolupar CC :

Qui pot elaborar un codi de conducta?
L'ha de constituir una organització representativa d'un sector d'activitat. L'elaboració d'un codi de conducta es basa en un enfocament sectorial que ha de ser iniciat per una associació, una federació o una organització que representi categories de responsables o encarregats de tractament.
Aquesta organització ha de poder demostrar que és ben representativa del sector. Això es pot fer mitjançant índexs com ara el nombre de membres representats, l'experiència de l'organització en el sector rellevant, etc.
Contingut:
L’objecte és especificar l'aplicació de la normativa andorrana de protecció de dades en un sector determinat. Els CC han de presentar-se davant l’APDA perquè n’analitzi la validesa i idoneïtat. Els projectes de CC hauran de presentar-se juntament amb la documentació següent:
Codis transnacionals
Quan el codi afecti operacions de tractament en diversos estats, s'haurà de presentar davant l'autoritat de control competent. Aquesta autoritat es determinarà segons:
- La ubicació de la densitat més gran del sector o de l'activitat de tractament.
- La ubicació de la major densitat d'interessats afectats pel sector o activitat de tractament.
- La ubicació de la seu del titular del codi.
- La ubicació de l'organisme de supervisió.
- Les iniciatives desenvolupades per una autoritat de control en un àmbit específic.
Òrgan supervisor
El CC designarà una entitat que controlarà el compliment i la implementació del CC. Aquest òrgan actuarà paral·lelament a les funcions de control de l’APDA i podrà sancionar també els infractors. Les condicions per esdevenir òrgan supervisor es fixaran en una guia pròpia.
Transferències internacionals de dades
S’entén per transferència internacional de dades qualsevol comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país, o quan el destinatari sigui una organització internacional.
Exemples
- Cessió de dades de treballadors a empresa de prevenció de riscos laborals ubicada fora d’Andorra.
- Contractació d’un servei de cloud ubicat fora d’Andorra.
- Utilització de serveis de newsletters gratuïts d’empreses no andorranes.
- Etc.
La norma general diu que es prohibeixen les transferències internacionals de dades fetes a països i organitzacions internacionals que llur normativa vigent no garanteixi un nivell de protecció equivalent al que assegura la normativa andorrana de protecció de dades.
Quan podrem transferir dades fora d’Andorra, doncs? Quan disposem o establim GARANTIES ADEQUADES.
Transferència amb garanties i amb drets i accions legals exigibles → aquí caldrà que lesdues parts, emissor i receptor de les dades, arribin a pactes obligatoris que regulin la transferència de dades i li confereixin garanties equivalents a les de la normativa de protecció de dades.
Aquest pactes poden fer-se a través de:
- Instruments vinculants entre autoritats o organismes públics.
- Normes corporatives vinculants.
- Clàusules tipus de protecció de dades de la Comissió Europea o de l’APDA.
- Adhesió a codis de conducta vàlids a Andorra o la UE.
- Mecanismes de certificació aprovats conforme a les normes de protecció de dades de la UE.
Excepcions
En determinades situacions específiques es podran transferir dades sense garanties específiques si:
- La persona interessada ha donat explícitament el seu consentiment a la transferència proposada, després d’haver-la informat dels riscos d’aquestes transferències a causa de l’absència d’una decisió d’adequació i de garanties adequades.
-
La transferència és necessària per a executar un contracte:
- Entre la persona interessada i el responsable del tractament.
- Entre el responsable del tractament i una altra persona física o jurídica, en interès de la persona interessada.
- Per a executar mesures precontractuals adoptades a sol·licitud de la persona interessada.
- Raons importants d’interès públic → interpretació molt restrictiva.
- La transferència és necessària per a formular, exercir o defensar reclamacions.
- La transferència és necessària per a protegir els interessos vitals de la persona interessada o d’altres persones, quan està físicament o jurídicament incapacitada per donar-ne el consentiment.
- La transferència s’efectua des d’un registre públic que té per objecte facilitar informació al públic i està obert a la consulta del públic en general, o de qualsevol persona que hi acrediti un interès legítim.