APDA
Ei, sàpigues que en aquest lloc web utilitzem galetes (cookies)!
Aquestes són: 3 cookies tècniques o estrictament necessàries, cap cookie de preferències, cap cookie publicitàries, cap cookie d'estadístiques o de rendiment. A més a més, no utilitzem cookies de tercers.
En pots veure tots els detalls així com el nostre avís legal i política de privacitat.
Els botons "Rebutjar cookies" i "personalitzar" estan desactivats ja que únicament emprem cookies tècniques que no requereixen del vostre consentiment.

Política de cookies

L'APDA, en el seu web https://apda.ad, utilitza galetes pròpies o bé d’empreses col·laboradores amb l’objecte de millorar i optimitzar l’experiència d’usuari. Per tal que siguin recollides n’és necessari el consentiment.

Què són les galetes?

Les galetes o cookies són un tipus de fitxer que es descarrega a l’equip d’un usuari/client del web amb la finalitat de recollir dades que podran ser actualitzades i recuperades per l’entitat responsable de la instal·lació. L'APDA utilitza galetes principalment per a les qüestions següents:

  • Assegurar el funcionament correcte del lloc web de l'APDA.
  • Emmagatzemar temporalment la informació relativa a les preferències de l’usuari, com pot ser l’idioma.

La utilització de les galetes per part de l'APDA es deu al propòsit d’intentar optimitzar la informació i els serveis oferts als usuaris, per millorar l’experiència cada cop que s’utilitzen els serveis web.

Quines dades es recullen?

A les galetes utilitzades per l'APDA no es recull cap dada del client excepte l'acceptació de la política de cookies, en cas de ser acceptada.

Tipus de galetes utilitzades, responsables, termini de conservació i destinataris

Les galetes utilitzades per l'APDA són les següents:

Cookie de sessió:
Finalitat: Permet conservar les preferències de navegació durant la visita de l'usuari al lloc web de l'APDA com l'idioma, l'autenticació a la zona privada. no s'hi conserva cap dada de l'usuari, únicament el codi de sessió assignat en entrar a a plana web.
Durada conservació: 120 minuts en no detectar cap activitat.
Destinataris: Cap.
Cookie encriptada: Sí.
Token CSRF:
Finalitat: Permet protegir tant l'usuari com el lloc web contra atacs CSRF.
Durada conservació: Durant el període de navegació al lloc web.
Destinataris: Cap.
Cookie encriptada: Sí.
Cookie d'acceptació de la política de cookies:
Finalitat: Desactivar el bloc de política de cookies en cas que l'usuari l'hagi acceptat per permetre una navegació més fluïda.
Durada conservació: 180 dies màxim.
Destinataris: Cap.
Cookie encriptada: Sí.
(+376) 808 115
LOGO APDA

Obligacions

Obligacions
Coneix les teves obligacions Principis Consentiment Registre de les activitats de tractament Delegat de Protecció de Dades (DPD) Avaluació d’impacte consulta prèvia a l’APDA Protecció de dades dades des del Disseny i per defecte Violacions de seguretat Codis de conducta Transferències internacionals

Coneix les teves obligacions

En aquesta secció us expliquem les obligacions que han de complir les persones que tracten dades personals (organitzacions, empreses, administracions públiques) i us oferim diversos materials d'ajuda per complir-les.

Sóc un obligat?

Recorda que si tractes dades o informació sobre persones físiques que permetin la seva identificació, les utilitzes amb finalitats determinades i prens decisions relacionades amb les finalitats per a les quals utilitzes aquestes dades personals o els mitjans en què portes a terme l'emmagatzematge i la forma de processar les dades, ets el responsable de tractament d’aquestes dades.

Si emmagatzemes o processes dades o informació sobre persones físiques seguint les instruccions de qui pren decisions sobre les finalitats i els mitjans en què les dades són processades (“el responsable”) ets l'encarregat de tractament d'aquestes dades.

Per contra, si emmagatzemes o processes dades personals únicament en l'exercici de les teves activitats personals o domèstiques, els requisits de la normativa de protecció de dades no són aplicables en l'àmbit de les activitats esmentades.

Per a cada activitat de tractament de dades personals que portes a terme com a responsable o en què participes com a encarregat, has de tenir en compte les obligacions que la normativa andorrana de protecció de dades t'exigeixen per protegir les persones físiques les dades de les quals estàs tractant.

Principis

L’article 5 de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals determina que el tractament de dades ha de ser proporcionat a la finalitat legítima recercada amb l’assoliment, en cada etapa del tractament, d’un equilibri just entre els diversos interessos confrontats, ja siguin públics o privats, que conciliï els drets i llibertats afectats.

Així doncs els principis que hauran de regir a tot tractament de dades són:

Obliga els responsables a mantenir diligència deguda de manera permanent per protegir i garantir els drets i llibertats de les persones físiques les dades de les quals són tractades en base a una anàlisi dels riscos que el tractament representa per a aquests drets i llibertats, de manera que el responsable pugui garantir tant com estar en condicions de demostrar que el tractament s'ajusta a les previsions de la normativa de protecció de dades.
Consisteix que les dades han de ser tractades de manera lícita, lleial i transparent per a l'interessat.
Consistent en l'obligació que les dades siguin tractades amb una o diverses finalitats determinades, explícites i legítimes i, de l'altra, que es prohibeix que les dades recollides amb uns fins determinats, explícits i legítims siguin tractats posteriormentd'una manera incompatible amb aquests fins. Alerta! El tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials, sempre i quan s’apliquin garanties complementàries previstes a la LQPD i en la normativa sectorial que les desenvolupi.
Consisteix en aplicar mesures tècniques i organitzatives per garantir que siguin objecte de tractament les dades que únicament siguin necessàries per a cadascun dels fins específics del tractament reduint, l'extensió del tractament, limitant al necessari el termini de conservació i accessibilitat.

Obliga els responsables a disposar de mesures raonables perquè les dades es trobin actualitzades, se suprimeixin o modifiquin sense dilació quan siguin inexactes respecte a les finalitats per a les quals es tracten.

Alerta! No es pot imputar al responsable del tractament la inexactitud de les dades personals si aquest ha adoptat totes les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les referides dades, quan les dades inexactes:
  • S’han obtingut pel responsable directament de la persona interessada.
  • S’han obtingut pel responsable del tractament a través d’un mediador o intermediari en cas que les normes aplicables al sector d’activitat al què pertany el responsable estableixin la possibilitat d’intervenció d’un intermediari o mediador que reculli en nom propi les dades de les persones interessades per a la seva transmissió al responsable. El mediador o intermediari ha d’assumir les responsabilitats que puguin derivar-se en el cas de comunicació al responsable de dades que no es corresponguin amb les facilitades per la persona interessada.
  • Són objecte de tractament per part del responsable per haver-les rebut d’un altre responsable en virtut de l’exercici per la persona interessada del dret a la portabilitat de les dades.
  • S’han obtingut d’un registre públic per part del responsable del tractament.
Consisteix en aplicar mesures tècniques i organitzatives per garantir que siguin objecte de tractament les dades que únicament siguin necessàries per a cadascun dels fins específics del tractament reduint, l'extensió del tractament, limitant al necessari el termini de conservació i accessibilitat.

Materialització del principi de minimització. La conservació de es dades s'ha de limitar en el temps a aconseguir les finalitats que persegueix el tractament. Una vegada que aquestes finalitats s'han assolit, les dades han de ser esborrades, bloquejades o, si no, anonimitzades, és a dir, desproveïdes de tot element que permeti identificar els interessats.

Alerta! Es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica o històrica o amb finalitats estadístiques, sense perjudici de l’aplicació de les mesures tècniques i organitzatives adequades amb la finalitat de protegir els drets i les llibertats de la persona interessada.

Necessària anàlisi de riscos orientada a determinar les mesures tècniques i organitzatives necessàries per garantir la integritat, la disponibilitat i la confidencialitat de les dades personals que tractin.

Consentiment

Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin.

Consentiment com a base legitimadora del tractament

Consentiment com a base legitimadora del tractament

Què vol dir un consentiment lliure, específic, informat i inequívoc i recollit mitjançant una declaració o una acció afirmativa clara?

  • Lliure: Per considerar que un consentiment s’ha atorgat lliurement, ha de tenir lloc de manera voluntària. L'element "lliure" implica una elecció real per part de l'interessat. Qualsevol element de pressió o influència inadequada que pugui afectar el resultat d'aquesta elecció invalida el consentiment. Així, la llei reconeix l’existència d’un cert desequilibri entre el responsable i l'interessat.
    • Per exemple, en una relació empresari-treballador: l'empleat pot preocupar-se que la seva negativa a consentir pugui tenir greus conseqüències en la seva relació laboral, per tant, el consentiment només pot ser una base legal per al tractament en algunes circumstàncies excepcionals.
  • Específic i informat: cal informar l'interessat com a mínim sobre la identitat del responsable del tractament, quin tipus de dades es tractaran, com s'utilitzaran i la finalitat de les operacions de tractament. També s'ha d'informar l'interessat sobre el seu dret a retirar el consentiment en qualsevol moment. La retirada ha de ser tan fàcil com el fet de donar el consentiment. Si escau, el responsable també ha d'informar sobre l'ús de les dades per a la presa de decisions automatitzada, els possibles riscos de les transferències internacionals de dades a causa de l'absència d'una decisió d'adequació o de garanties adequades
    • El consentiment es vincularà a una o per a cadascuna de les finalitats especificades (s’hauran d’explicar suficientment). Si el consentiment ha de legitimar el tractament de categories especials de dades personals, la informació de l'interessat hi ha de fer expressa referència.
  • Inequívoc i mitjançant un acte o una declaració afirmativa: El consentiment no pot ser implícit i ha de fer-se sempre mitjançant una clàusula opt-in, una declaracióo una acció activa, de manera que no hi hagi malentès del fet que l'interessat ha consentit el tractament en concret. Aquesta declaració o acció no té requisits formals i també serà vàlida la recollida mitjançant formats electrònics.
    • Això podria incloure marcar una casella d'un lloc web a internet, escollir paràmetres tècnics per a la utilització de serveis de la societat de la informació, o qualsevol altra declaració o conducta que indiqui clarament en aquest context que l'interessat accepta la proposta de tractament de les seves dades personals. Per tant, el silenci, les caselles ja marcades o la inacció no poden considerar-se com a eines per a consentir.
    • Quan el tractament tingui diverses finalitats, cal donar a l’interessat l’opció d’acceptar-les totes, de només una part o de cap.
El consentiment del menor I de persones amb discapacitat
El consentiment dels infants, adolescents I persones amb discapacitat és un cas especial. Per als menors de 16 anys I persones amb grau de discapacitat hi ha un requisit addicional de consentiment o autorització del titular de la responsabilitat parental o els seus representants.

Altres bases legitimadores

A part del consentiment, la normativa preveu altres bases legitimadores per al tractament de dades personals:

  • El tractament és necessari per a executar un contracte del qual la persona interessada és part, o bé per a aplicar mesures precontractuals a petició seva.
  • El tractament és necessari per a complir una obligació legal aplicable al responsable del tractament.*
  • El tractament és necessari per a protegir interessos vitals de la persona interessada o d’una altra persona física.
  • El tractament és necessari per a complir una missió d’interès públic o en l’exercici de poders públics conferits al responsable del tractament.
  • El tractament és necessari per a satisfer interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i les llibertats fonamentals de la persona interessada que requereixin la protecció de dades personals, especialment si la persona interessada és menor d’edat.
Alerta!
No s’aplica al tractament que en fan les autoritats públiques en l’exercici de les seves funcions.

Una normativa establirà aquestes bases del tractament perquè el responsable les pugui aplicar. La finalitat del tractament s’ha de determinar en aquesta base jurídica o bé ha de ser necessària per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.

La base jurídica o norma haurà de contenir disposicions específiques sobre protecció i tractaments de dades com ara:

«les condicions generals que regeixen la licitud del tractament efectuat pel responsable; els tipus de dades objecte de tractament; les persones interessades afectades; les entitats a les quals es poden comunicar dades personals i les finalitats d’aquesta comunicació; la limitació de la finalitat; els terminis de conservació de les dades, així com les operacions i els procediments del tractament, incloses les mesures per garantir un tractament lícit i equitatiu, com les relatives a altres situacions específiques de tractament.» ().
article 6, Llei 29/2021, de 28 d’octubre, qualificada de protecció de dades personals

La base jurídica ha de complir un objectiu d’interès públic i ha de ser proporcional a la finalitat legítima perseguida.

Registre d’activitat de tractament (RAT):

A partir del maig del 2022 ja no serà necessari declarar els fitxers a l’APDA sinó que aquesta obligació serà responsabilitat de l’entitat que tracti les dades personals, en concret :

  • Administració pública, parapúbliques, empreses o organitzacions públiques.
  • Empreses amb més de 50 treballadors
  • Empreses que realitzin tractaments habituals de:
    • Dades sensibles.
    • Dades relatives a condemnes i infraccions penals.
    • Dades amb un risc per als drets i les llibertats.
Qui ha de fer el registre de tractament de dades?

Dins d’aquestes organitzacions, qui haurà de portar el registre serà el responsable, el corresponsable, l’encarregat de tractament, el representant o el Delegat de Protecció de Dades (que haurà de ser informat de qualsevol addició, modificació o exclusió en el contingut dels registres). El responsable o l’encarregat del tractament i, si escau, el seu representant, han de posar el registre a disposició de l’Agència Andorrana de Protecció de Dades quan aquesta autoritat de control ho sol·liciti.

Contingut mínim que s’ha de registrar

Contingut mínim que s’ha de registrar en el tractament de dades

Com s’ha de registrar?

Per escrit o electrònicament.

Registre d’Activitats de Tractament (RAT)

Delegat de Protecció de Dades (DPD)

La Llei 29/2021, de 28 d’octubre, qualificada de protecció de dades personals ha establert el concepte de Delegat de Protecció de Dades (DPD) a Andorra.

El criteri per determinar l’obligació de nomenar un DPD dependrà de la mida de l’organització o de les activitats bàsiques de tractament que són essencials per assolir els objectius de l'empresa.

  • Si aquestes activitats bàsiques consisteixen en el tractament de dades personals sensibles a gran escala o en una forma de tractament de dades que tingui un abast particular per als drets de les persones interessades, l'empresa ha de designar un DPD.

Els organismes públics o parapúblics, en canvi, sempre han de designar un DPD, a excepció dels tribunals que actuen en la seva capacitat judicial.

Alerta! Si no hi ha cap obligació legal, les empreses també poden designar un DPD de manera voluntària per ajudar en el compliment de la protecció de dades .

Qui pot ser designat DPD?

  • Un treballador de l’organització a càrrec del responsable de tractament.
  • Un DPD extern com a encarregat de tractament.

En seleccionar aquesta persona, el responsable ha d'assegurar-se que el DPD no pugui tenir conflicte d'interessos i que aporti coneixements professionals experts en dret de protecció de dades (l’abast d’aquests coneixements depèn de la complexitat del tractament de dades i de la mida de l'empresa).

Quan es nomena un DPD, el responsable ha de fer públiques les seves dades de contacte i comunicar el nomenament i dades de contacte a l’APDA.

  • Si una empresa ha designat voluntàriament un DPD, també ha de complir els criteris i les disposicions anteriors.

La falta deliberada o negligent de nomenar un DPD quan hi hagi una obligació legal és una infracció subjecta a sancions.

Funcions generals del DPD

Funcions generals del DPD
Alerta! Malgrat la seva funció de seguiment, la pròpia empresa continua sent responsable del compliment de les lleis de protecció de dades.
Guia sobre la figura del Delegat de Protecció de Dades (DPD)
Dona d’alta, modifica o dona de baixa el DPD
Consulta el DPD

Avaluació d’impacte i consulta prèvia a l’APDA

Una avaluació d’impacte en protecció de dades (AI) és un procediment que busca identificar i controlar el riscos per als drets i les llibertats de les persones, associats a un tractament de dades.

En identificar els riscos, hem de considerar qualsevol impacte que el tractament pugui tenir sobre els drets fonamentals de les persones: impossibilitat d’accedir a serveis, discriminació, robatori de la identitat i altres fraus, danys a la reputació, impossibilitat d’exercir algun dret, etc.

Aquests impactes es poden materialitzar per dues raons principals:

  • la primera és que el tractament, tal com està dissenyat, pugui donar lloc a aquests impactes (pel tipus de dades que es tracten, per qui hi té accés, pel potencial efecte del tractament, etc); i
  • la segona està relacionada amb la seguretat de les dades, en particular, la pèrdua de la confidencialitat, la integritat o la disponibilitat de les dades.

Un cop determinats els riscos caldrà valorar-los i, després, establir les salvaguardes apropiades a les valoracions fetes.

L’article 32.3 de la LQPD exigeix que el responsable del tractament realitzi una AI, quan el tractament pugui comportar un alt risc per als drets i les llibertats de les persones i estableix 3 casuístiques on serà obligatòria:

  • Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
  • Tractament a gran escala de les categories especials de dades a què es refereix, o de les dades personals relatives a condemnes i infraccions penals
  • Observació sistemàtica a gran escala d'una zona d'accés públic.

Independentment del risc que pugui tenir un tractament, no caldrà fer una AI quan la naturalesa, l’abast, el context i les finalitats del tractament siguin molt semblants a un altre tractament al qual ja s’ha fet una AI.

Quan caldrà fer una AI?

Tan aviat com sigui possible.

En particular, per a nous tractaments cal fer-la abans d’iniciar el tractament (respectant el principi de protecció de dades by design i by default) i cal emprar l’AI com a guia i base per al disseny del tractament. En el cas d’una operació de tractament que ja està en marxa, convé fer una AI tan aviat com es detecti un risc greu per als drets i les llibertats de les persones.

Alerta! Una AI no és una tasca puntual, sinó que implica un procés continu de revaluació → caldrà revisar les nostres AI cada vegada que es produeixin canvis en el tractament o en el seu context.

Contingut mínim de l’AI

Contingut mínim de l’AI

Qui?

El responsable del tractament és l’actor principal, atès que és qui té la responsabilitat que l’AI s’executi. Això no treu que el responsable del tractament pugui delegar l’AI però, en qualsevol cas, és qui en té la responsabilitat última.

El prestador de serveis, si n’hi ha, ha de donar suport al responsable a l’hora de fer l’AI.

El responsable del tractament ha de buscar el consell del delegat de protecció de dades (DPD). Aquest consell i les decisions que prengui han de quedar documentades a l’AI.

Fases d’una avaluació d’impacte:

Fases d’una avaluació d’impacte

Protecció de dades dades des del Disseny i per defecte

"Protecció de dades by design (des del disseny)" i "Protecció de dades by default (per defecte)" són dos termes que s’empren des de fa anys en matèries reguladores de protecció de dades i ja apareixien a la derogada Directiva 95/46/CE de la Unió Europea. Segons el considerant 46 d'aquesta Directiva, les mesures tècniques i organitzativess'han de prendre en el moment de planificar un tractament de dades per tal protegir- ne la seguretat. Es busca l’adopció d’un model basat en l’anticipació del responsable i en la presa de mesures proactives per prevenir i anticipar possibles problemes de privacitat.

Quins criteris caldrà tenir en compte quan dissenyem les nostres estratègies by design i by default?

  • La naturalesa, àmbit, context i finalitat del tractament
  • Els riscos de diversa probabilitat i gravetat (no només respecte al risc alt)
  • Estat de la tècnica
  • Cost
Protecció de dades mitjançant un disseny tecnològic → el respecte a la privacitat és una part essencial del producte, del servei o del tractament que s’està desenvolupant. Cal que els interessats i la seva intimitat siguin sempre la referència i la prioritat i que durant la vida útil de l’aparell, del software o en el tractament de dades, aquest respecte es mantingui constant. No es pot condicionar l’ús d’aquesta tecnologia a una concessió o una rebaixa de garanties en privacitat.
  • Ex. No es pot configurar una plana web per tal de condicionar la navegació a l’acceptació de cookies.
Moltes entitats intenten que posem en risc la nostra privacitat perquè ens diuen que així aconseguim noves funcionalitats, millors experiències, etc (Ex. «Si es garantís totalment la privacitat de l'usuari no seria tan barat o tan útil el servei»). El Privacy by Design demostra que un producte, tractament o servei pot estar plenament operatiu amb totes les funcionalitats actives, sense deixar de banda la privacitat dels usuaris.
Protecció de dades en la configuració inicial o en els paràmetres de fàbrica → Qualsevol producte, servei o tractament de dades no requereix cap actuació activa per part de l’usuari o l’interessat per de protegir-ne la privacitat.
  • Ex. El nostre dispositiu mòbil vindrà amb una configuració de fàbrica garantista amb la nostra privacitat i nosaltres, mitjançant accions afirmatives, anirem reduint aquesta privacitat → Vols permetre que “Mapes” tingui accés a la teva ubicació?

Violacions de seguretat

Una violació de la seguretat de les dades es produeix quan les dades personals que tracta un responsable o encarregat de tractament pateixen un incident de seguretat que dona lloc a la violació de la confidencialitat, disponibilitat o integritat de les dades. Si això passa, i és possible que la violació posi en risc els drets i les llibertats d'una persona, tal com preveu l’article 36 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, el responsable de tractament ha de notificar-ho a l'autoritat de control sense demora i a tot estirar 72 hores després de tenir-ne constància. Si la notificació no es produeix en aquest termini, s’han de justificar els motius de la dilació. Si és un encarregat del tractament, haurà de notificar cada violació de la seguretat de les dades al responsable del tractament.

D’altra banda, tal com es preveu a l’article 15 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, si la violació de la seguretat de les dades suposa un alt risc per a les persones afectades, aquestes també hauran de ser informades tan aviat com raonablement sigui possible (llevat que s'hagin aplicat mesures de protecció tècniques i organitzatives efectives, o altres mesures que garanteixin que ja no existeix la probabilitat que es determini el risc).

Tipus de violacions de seguretat:

Tipus de violacions de seguretat

Procediment de notificació a l’APDA:

Quan el responsable de tractament notifica una violació de seguretat a l’autoritat de control, l’article 36 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, estableix que com a mínim, ha de:

  • Descriure la naturalesa de la violació de la seguretat de les dades personals, incloent-hi, si és possible, les categories i el nombre aproximat de persones interessades afectades, i les categories i el nombre aproximat de registres de dades personals afectats.
  • Comunicar el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte on es pot obtenir més informació.
  • Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
  • Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.

Notificació als interessats:

El responsable del tractament ha de prendre les mesures oportunes per facilitar a la persona interessada tota la informació relativa al tractament de les seves dades, entre la qual també hi ha la violació de la seguretat de les dades personals de la persona interessada en el cas escaient.

Aquesta informació s’ha de facilitar d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobretot si la informació s’adreça específicament a un menor d’edat. La informació s’ha de facilitar per escrit o per altres mitjans, inclosos, si escau, els mitjans electrònics.

Formulari de notificació davant de l'APDA de violació de seguretat

Codis de conducta

Els codis de conducta (CC) són un conjunt de pautes i directrius que regulen les obligacions en matèria de protecció de dades de determinats sectors professionals. La principal funció és la d’adequar i facilitar l'aplicació de la normativa de protecció de dades a les característiques dels diferents sectors d'activitat dels seus promotors, que s’hi adheriran de manera voluntària per tal que els resulti d’obligat compliment.

Els principals incentius per tal de desenvolupar CC :

Els principals incentius per tal de desenvolupar CC

Qui pot elaborar un codi de conducta?

L'ha de constituir una organització representativa d'un sector d'activitat. L'elaboració d'un codi de conducta es basa en un enfocament sectorial que ha de ser iniciat per una associació, una federació o una organització que representi categories de responsables o encarregats de tractament.

Aquesta organització ha de poder demostrar que és ben representativa del sector. Això es pot fer mitjançant índexs com ara el nombre de membres representats, l'experiència de l'organització en el sector rellevant, etc.

Contingut:

L’objecte és especificar l'aplicació de la normativa andorrana de protecció de dades en un sector determinat. Els CC han de presentar-se davant l’APDA perquè n’analitzi la validesa i idoneïtat. Els projectes de CC hauran de presentar-se juntament amb la documentació següent:

Descripció detallada de l’objectiu, àmbit d’aplicació material (operacions de tractament, persones afectades, categories de responsables i encarregats) i territorial (definint també l’autoritat de control competent) i de com facilitarà l’aplicació efectiva de la normativa de protecció de dades.
La representativitat del titular del codi s'ha de demostrar i es pot valorar pel que fa al nombre d'organitzacions que representa respecte al sector, el nombre potencial d'adherents al codi i la seva experiència en el sector i els tipus d'operacions de tractament afectades
Els obligats per un CC han de ser consultats sobre el propi projecte i han d’emetre la seva opinió. L’absència d’aquesta consulta ha de justificar-se.
El titular del codi ha d'indicar com s'organitzarà la relació entre els membres, el titular i l'òrgan supervisor al llarg de la vida del CC. Així, la governança es pot reflectir en la indicació de les condicions d'adhesió al codi de conducta, el mecanisme de sortida del codi, el procés d'actualització dels requisits del codi, els criteris de selecció de l'òrgan de control, etc.
La designació d'un òrgan de supervisió dels codis de conducta relatius al tractament realitzat per autoritats i organismes públics no és obligatòria. No obstant això, les directrius recomanen el desplegament d'un mecanisme de control per a la correcta aplicació del codi de conducta.

Codis transnacionals

Quan el codi afecti operacions de tractament en diversos estats, s'haurà de presentar davant l'autoritat de control competent. Aquesta autoritat es determinarà segons:

  • La ubicació de la densitat més gran del sector o de l'activitat de tractament.
  • La ubicació de la major densitat d'interessats afectats pel sector o activitat de tractament.
  • La ubicació de la seu del titular del codi.
  • La ubicació de l'organisme de supervisió.
  • Les iniciatives desenvolupades per una autoritat de control en un àmbit específic.

Òrgan supervisor

El CC designarà una entitat que controlarà el compliment i la implementació del CC. Aquest òrgan actuarà paral·lelament a les funcions de control de l’APDA i podrà sancionar també els infractors. Les condicions per esdevenir òrgan supervisor es fixaran en una guia pròpia.

Transferències internacionals de dades

S’entén per transferència internacional de dades qualsevol comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país, o quan el destinatari sigui una organització internacional.

Exemples

  • Cessió de dades de treballadors a empresa de prevenció de riscos laborals ubicada fora d’Andorra.
  • Contractació d’un servei de cloud ubicat fora d’Andorra.
  • Utilització de serveis de newsletters gratuïts d’empreses no andorranes.
  • Etc.

La norma general diu que es prohibeixen les transferències internacionals de dades fetes a països i organitzacions internacionals que llur normativa vigent no garanteixi un nivell de protecció equivalent al que assegura la normativa andorrana de protecció de dades.

Quan podrem transferir dades fora d’Andorra, doncs? Quan disposem o establim GARANTIES ADEQUADES.

Transferència a paîsos de la UE
Transferència a països que la UE ha considerat adequats amb una Decisió d’Adequació
Transferència a països amb submissió efectiva al Conveni 108+

Transferència amb garanties i amb drets i accions legals exigibles → aquí caldrà que lesdues parts, emissor i receptor de les dades, arribin a pactes obligatoris que regulin la transferència de dades i li confereixin garanties equivalents a les de la normativa de protecció de dades.

Aquest pactes poden fer-se a través de:

  • Instruments vinculants entre autoritats o organismes públics.
  • Normes corporatives vinculants.
  • Clàusules tipus de protecció de dades de la Comissió Europea o de l’APDA.
  • Adhesió a codis de conducta vàlids a Andorra o la UE.
  • Mecanismes de certificació aprovats conforme a les normes de protecció de dades de la UE.
Alerta! L’APDA és l’encarregada d’avaluar l’existència o no d’aquestes garanties. Per tant, qualsevol responsable que vulgui procedir a la transferència internacional de dades mitjançant un d’aquests instruments, podrà presentar, ABANS DE LA TRANSFERÈNCIA, tota la documentació explicativa d’aquestes garanties addicionals per tal que l’autoritat de control n'avaluí la pertinença. Davant un informe negatiu de l’Agència, la transferència es considerarà il·legítima.

Excepcions

En determinades situacions específiques es podran transferir dades sense garanties específiques si:

  • La persona interessada ha donat explícitament el seu consentiment a la transferència proposada, després d’haver-la informat dels riscos d’aquestes transferències a causa de l’absència d’una decisió d’adequació i de garanties adequades.
  • La transferència és necessària per a executar un contracte:
    • Entre la persona interessada i el responsable del tractament.
    • Entre el responsable del tractament i una altra persona física o jurídica, en interès de la persona interessada.
    • Per a executar mesures precontractuals adoptades a sol·licitud de la persona interessada.
  • Raons importants d’interès públic → interpretació molt restrictiva.
  • La transferència és necessària per a formular, exercir o defensar reclamacions.
  • La transferència és necessària per a protegir els interessos vitals de la persona interessada o d’altres persones, quan està físicament o jurídicament incapacitada per donar-ne el consentiment.
  • La transferència s’efectua des d’un registre públic que té per objecte facilitar informació al públic i està obert a la consulta del públic en general, o de qualsevol persona que hi acrediti un interès legítim.