APDA
Ei, sàpigues que en aquest lloc web utilitzem galetes (cookies)!
Aquestes són: 3 cookies tècniques o estrictament necessàries, cap cookie de preferències, cap cookie publicitàries, cap cookie d'estadístiques o de rendiment. A més a més, no utilitzem cookies de tercers.
En pots veure tots els detalls així com el nostre avís legal i política de privacitat.
Els botons "Rebutjar cookies" i "personalitzar" estan desactivats ja que únicament emprem cookies tècniques que no requereixen del vostre consentiment.

Política de cookies

L'APDA, en el seu web https://apda.ad, utilitza galetes pròpies o bé d’empreses col·laboradores amb l’objecte de millorar i optimitzar l’experiència d’usuari. Per tal que siguin recollides n’és necessari el consentiment.

Què són les galetes?

Les galetes o cookies són un tipus de fitxer que es descarrega a l’equip d’un usuari/client del web amb la finalitat de recollir dades que podran ser actualitzades i recuperades per l’entitat responsable de la instal·lació. L'APDA utilitza galetes principalment per a les qüestions següents:

  • Assegurar el funcionament correcte del lloc web de l'APDA.
  • Emmagatzemar temporalment la informació relativa a les preferències de l’usuari, com pot ser l’idioma.

La utilització de les galetes per part de l'APDA es deu al propòsit d’intentar optimitzar la informació i els serveis oferts als usuaris, per millorar l’experiència cada cop que s’utilitzen els serveis web.

Quines dades es recullen?

A les galetes utilitzades per l'APDA no es recull cap dada del client excepte l'acceptació de la política de cookies, en cas de ser acceptada.

Tipus de galetes utilitzades, responsables, termini de conservació i destinataris

Les galetes utilitzades per l'APDA són les següents:

Cookie de sessió:
Finalitat: Permet conservar les preferències de navegació durant la visita de l'usuari al lloc web de l'APDA com l'idioma, l'autenticació a la zona privada. no s'hi conserva cap dada de l'usuari, únicament el codi de sessió assignat en entrar a a plana web.
Durada conservació: 120 minuts en no detectar cap activitat.
Destinataris: Cap.
Cookie encriptada: Sí.
Token CSRF:
Finalitat: Permet protegir tant l'usuari com el lloc web contra atacs CSRF.
Durada conservació: Durant el període de navegació al lloc web.
Destinataris: Cap.
Cookie encriptada: Sí.
Cookie d'acceptació de la política de cookies:
Finalitat: Desactivar el bloc de política de cookies en cas que l'usuari l'hagi acceptat per permetre una navegació més fluïda.
Durada conservació: 180 dies màxim.
Destinataris: Cap.
Cookie encriptada: Sí.
(+376) 808 115
LOGO APDA

Drets i obligacions

Drets
Inici Dret d'accés Dret de rectificació Dret de supressió Dret a l'oblit Dret d'oposició Dret a la portabilitat Dret a la limitació del tractament
Obligacions
Coneix les teves obligacions Principis Consentiment Registre de les activitats de tractament Delegat de Protecció de Dades (DPD) Avaluació d’impacte consulta prèvia a l’APDA Protecció de dades dades des del Disseny i per defecte Violacions de seguretat Codis de conducta Transferències internacionals

La normativa de protecció de dades permet que els interessats puguin exercir davant del responsable del tractament els seus drets d'accés, rectificació, oposició, supressió (dret a l'oblit), limitació del tractament i portabilitat.

Aquests drets es caracteritzen pel punts següents:

  • L’exercici és gratuït
  • El responsable està obligat a informar l’interessat sobre els mitjans per exercitar aquests drets.
  • Si el responsable no cursa la sol·licitud, informarà en el termini d’un mes de les raons de la seva no actuació i la possibilitat de reclamar davant de l’Autoritat de Control.
  • Els drets es poden exercir directament o per mitjà del representant legal.
  • La resposta a l’exercici dels drets haurà de fer-se sense dilació i en el termini màxim d’1 mes (en casos de provada dificultat, el termini es podrà prorrogar fins a 2 mesos més, sempre que l’interessat hagi estat informat en el termini establert).
Alerta!
La resposta als exercicis de drets és OBLIGATÒRIA: l’interessat ha de veure el seu exercici de dret com a acceptat, rebutjat o prorrogat però sempre haurà de justificar-se la resposta rebuda per part del responsable de tractament.
Drets ARSO (Accés, Rectificació, Supressió i Oposició) i nous drets que introdueix la LQPD

Dret d'accés

El dret d'accés és el dret que tenen les persones per a adreçar-se al responsable del tractament per conèixer si està tractant o no les seves dades de caràcter personal i, en el cas que s'estigui fent aquest tractament, obtenir-ne la informació següent:

  • Les finalitats del tractament.
  • Les categories de dades personals de què es tracta.
  • Els destinataris o les categories de destinataris als quals es van comunicar o seran comunicades les dades personals, en particular en cas de transferència internacional.
  • El termini previst de conservació de les dades personals, o si no és possible, els criteris utilitzats per determinar aquest termini.
  • L'existència del dret de l'interessat a sol·licitar al responsable: la rectificació o supressió de les dades personals, la limitació del tractament de les dades personals o oposar-se a aquest tractament, així com el dret a la portabilitat de les dades.
  • El dret a presentar una reclamació davant de l’Agència Andorrana de Protecció de dades.
  • Quan les dades personals no s'hagin obtingut directament de l’interessat, qualsevol informació disponible sobre el seu origen.
  • L’existència de decisions automatitzades, inclosa l’elaboració de perfils; s’ha de facilitar a l’interessat, com a mínim en aquests casos, informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d’aquest tractament per a la pròpia persona.
  • En cas de transferència internacional de les dades, el dret a ser informat de les garanties adequades amb què es realitzen.
  • Una còpia de les dades personals objecte de tractament.

Dret de rectificació

L'exercici del dret de rectificació suposa que l’interessat pot obtenir la rectificació de les seves dades personals que siguin inexactes sense dilació indeguda del responsable del tractament.

Tenint en compte les finalitats del tractament, la persona interessada té dret que es completin les dades personals incompletes, fins i tot mitjançant una declaració addicional. La persona interessada ha d’indicar en la seva sol·licitud a quines dades es refereix i quina correcció s’hi ha de fer. I ha d’adjuntar a la sol·licitud, quan sigui necessari, la documentació justificativa de la inexactitud o del caràcter incomplet de les dades objecte de tractament.

El responsable del tractament ha de comunicar qualsevol rectificació a cadascun dels destinataris als quals s’han comunicat les dades personals, tret que sigui impossible o requereixi un esforç desproporcionat. Si la persona interessada ho sol·licita, el responsable l’ha d’informar sobre aquests destinataris.

Dret de supressió

El dret de supressió es pot exercir davant la persona responsable, sol·licitant la supressió de les dades de caràcter personal quan concorri alguna de les circumstàncies següents:

  • Si les dades personals ja no són necessàries en relació amb les finalitats per a les quals van ser recollides, o són tractades d’una altra manera.
  • Si la persona interessada retira el consentiment en què es basa el tractament, i no es basa en cap altre fonament jurídic.
  • Si la persona interessada s’oposa al tractament i no hi prevalen altres motius legítims per al tractament, o quan la persona interessada s’oposa al tractament en les circumstàncies següents:
    • El tractament de la persona responsable es fonamentava en l'interès legítim o en el compliment d'una missió d'interès públic, i no han prevalgut altres motius per legitimar el tractament de les dades.
    • Que les dades personals siguin objecte de màrqueting directe, incloent-hi l'elaboració de perfils relacionats amb l'esmentat màrqueting.
  • Si les dades personals s’han tractat il·lícitament.
  • Si les dades personals s’han de suprimir per complir una obligació legal.
  • Si les dades personals s’han obtingut en relació amb l’oferta directa de serveis de la societat de la informació.

Dret a l'oblit

A més, la LQPD en regular el dret de supressió el vincula amb el dret a l'oblit, de manera que la persona responsable del tractament en suprimeixin tot enllaç, o les còpies o rèpliques d'aquestes dades.

Això no obstant, aquest dret no és il·limitat, de manera que pot ser factible no procedir a la supressió quan el tractament sigui necessari per a l'exercici de la llibertat d'expressió i informació; per al compliment d'una obligació legal; per al compliment d'una missió realitzada en interès públic o en l’exercici de poders públics conferits a la persona responsable; per raons d’interès públic; en l’àmbit de la salut pública; amb finalitats d’arxiu d’interès públic, finalitats de recerca científica, històrica o finalitats estadístiques; o per a la formulació, exercici o defensa de reclamacions.

Dret d'oposició

Per motius relacionats amb la seva situació particular i quan el responsable no ha obtingut les dades directament de la persona interessada, es pot exercir el dret d’oposició al fet que les dades personals que l’afecten siguin objecte d’un tractament, inclosa l’elaboració de perfils. En cas d’oposició, el responsable deixarà de tractar les dades llevat que acrediti motius imperiosos que prevalguin sobre els interessos, els drets i les llibertats de l'interessat, o per a la formulació, l'exercici o la defensa de reclamacions.

Quan el tractament de dades personals té per objecte el màrqueting directe, la persona interessada té dret a oposar-se en tot moment al tractament de les dades personals que l’afecten, inclosa l’elaboració de perfils relacionada amb el màrqueting esmentat; i, en aquest cas, les dades personals s’han de deixar de tractar per a aquestes finalitats.

Si les dades personals es tracten amb finalitats de recerca científica o històrica o amb finalitats estadístiques, per motius relacionats amb la seva situació particular, la persona interessada té dret a oposar-se al tractament de dades personals que l’afecten, tret que el tractament sigui necessari per complir una missió realitzada per raons d’interès públic.

Dret a la portabilitat

La finalitat del dret a la portabilitat és reforçar encara més el control de les dades personals, de manera que quan el tractament s'efectuï per mitjans automatitzats, els interessats rebin les dades personals en un format estructurat, d'ús comú i de lectura mecànica, i es puguin transmetre a un altre responsable del tractament, sempre que el tractament es legitimi sobre la base del consentiment o en el marc de l'execució d'un contracte.

Això no obstant, aquest dret, per la seva naturalesa, no es pot aplicar quan el tractament sigui necessari per al compliment d'una missió d'interès públic o en l'exercici de poders públics conferits al responsable.

Dret a la limitació del tractament

El dret a la limitació del tractament consisteix a obtenir la limitació del tractament de les dades que realitza el responsable, si bé l’exercici presenta dues vessants:

Es pot sol·licitar la suspensió del tractament de les dades:

  • Quan s’impugni l'exactitud de les dades personals, durant un termini que permeti al responsable verificar-les.
  • Quan s’hagi exercit el dret d’oposició al tractament de les dades personals que el responsable realitza en base a l'interès legítim o a la missió d'interès públic, mentre es verifica si aquests motius prevalen sobre els de l’interessat.

Sol·licitar al responsable la conservació de les teves:

  • Quan el tractament sigui il·lícit i s’hagi exercit el dret a la supressió de les dades i se’n sol·liciti la limitació de l’ús. Quan el responsable ja no nec
  • Quan el responsable ja no necessiti les dades personals per a les finalitats del tractament, però l'interessat les necessiti

Coneix les teves obligacions

En aquesta secció us expliquem les obligacions que han de complir les persones que tracten dades personals (organitzacions, empreses, administracions públiques) i us oferim diversos materials d'ajuda per complir-les.

Sóc un obligat?

Recorda que si tractes dades o informació sobre persones físiques que permetin la seva identificació, les utilitzes amb finalitats determinades i prens decisions relacionades amb les finalitats per a les quals utilitzes aquestes dades personals o els mitjans en què portes a terme l'emmagatzematge i la forma de processar les dades, ets el responsable de tractament d’aquestes dades.

Si emmagatzemes o processes dades o informació sobre persones físiques seguint les instruccions de qui pren decisions sobre les finalitats i els mitjans en què les dades són processades (“el responsable”) ets l'encarregat de tractament d'aquestes dades.

Per contra, si emmagatzemes o processes dades personals únicament en l'exercici de les teves activitats personals o domèstiques, els requisits de la normativa de protecció de dades no són aplicables en l'àmbit de les activitats esmentades.

Per a cada activitat de tractament de dades personals que portes a terme com a responsable o en què participes com a encarregat, has de tenir en compte les obligacions que la normativa andorrana de protecció de dades t'exigeixen per protegir les persones físiques les dades de les quals estàs tractant.

Principis

L’article 5 de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals determina que el tractament de dades ha de ser proporcionat a la finalitat legítima recercada amb l’assoliment, en cada etapa del tractament, d’un equilibri just entre els diversos interessos confrontats, ja siguin públics o privats, que conciliï els drets i llibertats afectats.

Així doncs els principis que hauran de regir a tot tractament de dades són:

Obliga els responsables a mantenir diligència deguda de manera permanent per protegir i garantir els drets i llibertats de les persones físiques les dades de les quals són tractades en base a una anàlisi dels riscos que el tractament representa per a aquests drets i llibertats, de manera que el responsable pugui garantir tant com estar en condicions de demostrar que el tractament s'ajusta a les previsions de la normativa de protecció de dades.
Consisteix que les dades han de ser tractades de manera lícita, lleial i transparent per a l'interessat.
Consistent en l'obligació que les dades siguin tractades amb una o diverses finalitats determinades, explícites i legítimes i, de l'altra, que es prohibeix que les dades recollides amb uns fins determinats, explícits i legítims siguin tractats posteriormentd'una manera incompatible amb aquests fins. Alerta! El tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials, sempre i quan s’apliquin garanties complementàries previstes a la LQPD i en la normativa sectorial que les desenvolupi.
Consisteix en aplicar mesures tècniques i organitzatives per garantir que siguin objecte de tractament les dades que únicament siguin necessàries per a cadascun dels fins específics del tractament reduint, l'extensió del tractament, limitant al necessari el termini de conservació i accessibilitat.

Obliga els responsables a disposar de mesures raonables perquè les dades es trobin actualitzades, se suprimeixin o modifiquin sense dilació quan siguin inexactes respecte a les finalitats per a les quals es tracten.

Alerta! No es pot imputar al responsable del tractament la inexactitud de les dades personals si aquest ha adoptat totes les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les referides dades, quan les dades inexactes:
  • S’han obtingut pel responsable directament de la persona interessada.
  • S’han obtingut pel responsable del tractament a través d’un mediador o intermediari en cas que les normes aplicables al sector d’activitat al què pertany el responsable estableixin la possibilitat d’intervenció d’un intermediari o mediador que reculli en nom propi les dades de les persones interessades per a la seva transmissió al responsable. El mediador o intermediari ha d’assumir les responsabilitats que puguin derivar-se en el cas de comunicació al responsable de dades que no es corresponguin amb les facilitades per la persona interessada.
  • Són objecte de tractament per part del responsable per haver-les rebut d’un altre responsable en virtut de l’exercici per la persona interessada del dret a la portabilitat de les dades.
  • S’han obtingut d’un registre públic per part del responsable del tractament.
Consisteix en aplicar mesures tècniques i organitzatives per garantir que siguin objecte de tractament les dades que únicament siguin necessàries per a cadascun dels fins específics del tractament reduint, l'extensió del tractament, limitant al necessari el termini de conservació i accessibilitat.

Materialització del principi de minimització. La conservació de es dades s'ha de limitar en el temps a aconseguir les finalitats que persegueix el tractament. Una vegada que aquestes finalitats s'han assolit, les dades han de ser esborrades, bloquejades o, si no, anonimitzades, és a dir, desproveïdes de tot element que permeti identificar els interessats.

Alerta! Es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica o històrica o amb finalitats estadístiques, sense perjudici de l’aplicació de les mesures tècniques i organitzatives adequades amb la finalitat de protegir els drets i les llibertats de la persona interessada.

Necessària anàlisi de riscos orientada a determinar les mesures tècniques i organitzatives necessàries per garantir la integritat, la disponibilitat i la confidencialitat de les dades personals que tractin.

Consentiment

Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin.

Consentiment com a base legitimadora del tractament

Consentiment com a base legitimadora del tractament

Què vol dir un consentiment lliure, específic, informat i inequívoc i recollit mitjançant una declaració o una acció afirmativa clara?

  • Lliure: Per considerar que un consentiment s’ha atorgat lliurement, ha de tenir lloc de manera voluntària. L'element "lliure" implica una elecció real per part de l'interessat. Qualsevol element de pressió o influència inadequada que pugui afectar el resultat d'aquesta elecció invalida el consentiment. Així, la llei reconeix l’existència d’un cert desequilibri entre el responsable i l'interessat.
    • Per exemple, en una relació empresari-treballador: l'empleat pot preocupar-se que la seva negativa a consentir pugui tenir greus conseqüències en la seva relació laboral, per tant, el consentiment només pot ser una base legal per al tractament en algunes circumstàncies excepcionals.
  • Específic i informat: cal informar l'interessat com a mínim sobre la identitat del responsable del tractament, quin tipus de dades es tractaran, com s'utilitzaran i la finalitat de les operacions de tractament. També s'ha d'informar l'interessat sobre el seu dret a retirar el consentiment en qualsevol moment. La retirada ha de ser tan fàcil com el fet de donar el consentiment. Si escau, el responsable també ha d'informar sobre l'ús de les dades per a la presa de decisions automatitzada, els possibles riscos de les transferències internacionals de dades a causa de l'absència d'una decisió d'adequació o de garanties adequades
    • El consentiment es vincularà a una o per a cadascuna de les finalitats especificades (s’hauran d’explicar suficientment). Si el consentiment ha de legitimar el tractament de categories especials de dades personals, la informació de l'interessat hi ha de fer expressa referència.
  • Inequívoc i mitjançant un acte o una declaració afirmativa: El consentiment no pot ser implícit i ha de fer-se sempre mitjançant una clàusula opt-in, una declaracióo una acció activa, de manera que no hi hagi malentès del fet que l'interessat ha consentit el tractament en concret. Aquesta declaració o acció no té requisits formals i també serà vàlida la recollida mitjançant formats electrònics.
    • Això podria incloure marcar una casella d'un lloc web a internet, escollir paràmetres tècnics per a la utilització de serveis de la societat de la informació, o qualsevol altra declaració o conducta que indiqui clarament en aquest context que l'interessat accepta la proposta de tractament de les seves dades personals. Per tant, el silenci, les caselles ja marcades o la inacció no poden considerar-se com a eines per a consentir.
    • Quan el tractament tingui diverses finalitats, cal donar a l’interessat l’opció d’acceptar-les totes, de només una part o de cap.
El consentiment del menor I de persones amb discapacitat
El consentiment dels infants, adolescents I persones amb discapacitat és un cas especial. Per als menors de 16 anys I persones amb grau de discapacitat hi ha un requisit addicional de consentiment o autorització del titular de la responsabilitat parental o els seus representants.

Altres bases legitimadores

A part del consentiment, la normativa preveu altres bases legitimadores per al tractament de dades personals:

  • El tractament és necessari per a executar un contracte del qual la persona interessada és part, o bé per a aplicar mesures precontractuals a petició seva.
  • El tractament és necessari per a complir una obligació legal aplicable al responsable del tractament.*
  • El tractament és necessari per a protegir interessos vitals de la persona interessada o d’una altra persona física.
  • El tractament és necessari per a complir una missió d’interès públic o en l’exercici de poders públics conferits al responsable del tractament.
  • El tractament és necessari per a satisfer interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i les llibertats fonamentals de la persona interessada que requereixin la protecció de dades personals, especialment si la persona interessada és menor d’edat.
Alerta!
No s’aplica al tractament que en fan les autoritats públiques en l’exercici de les seves funcions.

Una normativa establirà aquestes bases del tractament perquè el responsable les pugui aplicar. La finalitat del tractament s’ha de determinar en aquesta base jurídica o bé ha de ser necessària per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.

La base jurídica o norma haurà de contenir disposicions específiques sobre protecció i tractaments de dades com ara:

«les condicions generals que regeixen la licitud del tractament efectuat pel responsable; els tipus de dades objecte de tractament; les persones interessades afectades; les entitats a les quals es poden comunicar dades personals i les finalitats d’aquesta comunicació; la limitació de la finalitat; els terminis de conservació de les dades, així com les operacions i els procediments del tractament, incloses les mesures per garantir un tractament lícit i equitatiu, com les relatives a altres situacions específiques de tractament.» ().
article 6, Llei 29/2021, de 28 d’octubre, qualificada de protecció de dades personals

La base jurídica ha de complir un objectiu d’interès públic i ha de ser proporcional a la finalitat legítima perseguida.

Registre d’activitat de tractament (RAT):

A partir del maig del 2022 ja no serà necessari declarar els fitxers a l’APDA sinó que aquesta obligació serà responsabilitat de l’entitat que tracti les dades personals, en concret :

  • Administració pública, parapúbliques, empreses o organitzacions públiques.
  • Empreses amb més de 50 treballadors
  • Empreses que realitzin tractaments habituals de:
    • Dades sensibles.
    • Dades relatives a condemnes i infraccions penals.
    • Dades amb un risc per als drets i les llibertats.
Qui ha de fer el registre de tractament de dades?

Dins d’aquestes organitzacions, qui haurà de portar el registre serà el responsable, el corresponsable, l’encarregat de tractament, el representant o el Delegat de Protecció de Dades (que haurà de ser informat de qualsevol addició, modificació o exclusió en el contingut dels registres). El responsable o l’encarregat del tractament i, si escau, el seu representant, han de posar el registre a disposició de l’Agència Andorrana de Protecció de Dades quan aquesta autoritat de control ho sol·liciti.

Contingut mínim que s’ha de registrar

Contingut mínim que s’ha de registrar en el tractament de dades

Com s’ha de registrar?

Per escrit o electrònicament.

Registre d’Activitats de Tractament (RAT)

Delegat de Protecció de Dades (DPD)

La Llei 29/2021, de 28 d’octubre, qualificada de protecció de dades personals ha establert el concepte de Delegat de Protecció de Dades (DPD) a Andorra.

El criteri per determinar l’obligació de nomenar un DPD dependrà de la mida de l’organització o de les activitats bàsiques de tractament que són essencials per assolir els objectius de l'empresa.

  • Si aquestes activitats bàsiques consisteixen en el tractament de dades personals sensibles a gran escala o en una forma de tractament de dades que tingui un abast particular per als drets de les persones interessades, l'empresa ha de designar un DPD.

Els organismes públics o parapúblics, en canvi, sempre han de designar un DPD, a excepció dels tribunals que actuen en la seva capacitat judicial.

Alerta! Si no hi ha cap obligació legal, les empreses també poden designar un DPD de manera voluntària per ajudar en el compliment de la protecció de dades .

Qui pot ser designat DPD?

  • Un treballador de l’organització a càrrec del responsable de tractament.
  • Un DPD extern com a encarregat de tractament.

En seleccionar aquesta persona, el responsable ha d'assegurar-se que el DPD no pugui tenir conflicte d'interessos i que aporti coneixements professionals experts en dret de protecció de dades (l’abast d’aquests coneixements depèn de la complexitat del tractament de dades i de la mida de l'empresa).

Quan es nomena un DPD, el responsable ha de fer públiques les seves dades de contacte i comunicar el nomenament i dades de contacte a l’APDA.

  • Si una empresa ha designat voluntàriament un DPD, també ha de complir els criteris i les disposicions anteriors.

La falta deliberada o negligent de nomenar un DPD quan hi hagi una obligació legal és una infracció subjecta a sancions.

Funcions generals del DPD

Funcions generals del DPD
Alerta! Malgrat la seva funció de seguiment, la pròpia empresa continua sent responsable del compliment de les lleis de protecció de dades.
Guia sobre la figura del Delegat de Protecció de Dades (DPD)
Dona d’alta, modifica o dona de baixa el DPD
Consulta el DPD

Avaluació d’impacte i consulta prèvia a l’APDA

Una avaluació d’impacte en protecció de dades (AI) és un procediment que busca identificar i controlar el riscos per als drets i les llibertats de les persones, associats a un tractament de dades.

En identificar els riscos, hem de considerar qualsevol impacte que el tractament pugui tenir sobre els drets fonamentals de les persones: impossibilitat d’accedir a serveis, discriminació, robatori de la identitat i altres fraus, danys a la reputació, impossibilitat d’exercir algun dret, etc.

Aquests impactes es poden materialitzar per dues raons principals:

  • la primera és que el tractament, tal com està dissenyat, pugui donar lloc a aquests impactes (pel tipus de dades que es tracten, per qui hi té accés, pel potencial efecte del tractament, etc); i
  • la segona està relacionada amb la seguretat de les dades, en particular, la pèrdua de la confidencialitat, la integritat o la disponibilitat de les dades.

Un cop determinats els riscos caldrà valorar-los i, després, establir les salvaguardes apropiades a les valoracions fetes.

L’article 32.3 de la LQPD exigeix que el responsable del tractament realitzi una AI, quan el tractament pugui comportar un alt risc per als drets i les llibertats de les persones i estableix 3 casuístiques on serà obligatòria:

  • Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
  • Tractament a gran escala de les categories especials de dades a què es refereix, o de les dades personals relatives a condemnes i infraccions penals
  • Observació sistemàtica a gran escala d'una zona d'accés públic.

Independentment del risc que pugui tenir un tractament, no caldrà fer una AI quan la naturalesa, l’abast, el context i les finalitats del tractament siguin molt semblants a un altre tractament al qual ja s’ha fet una AI.

Quan caldrà fer una AI?

Tan aviat com sigui possible.

En particular, per a nous tractaments cal fer-la abans d’iniciar el tractament (respectant el principi de protecció de dades by design i by default) i cal emprar l’AI com a guia i base per al disseny del tractament. En el cas d’una operació de tractament que ja està en marxa, convé fer una AI tan aviat com es detecti un risc greu per als drets i les llibertats de les persones.

Alerta! Una AI no és una tasca puntual, sinó que implica un procés continu de revaluació → caldrà revisar les nostres AI cada vegada que es produeixin canvis en el tractament o en el seu context.

Contingut mínim de l’AI

Contingut mínim de l’AI

Qui?

El responsable del tractament és l’actor principal, atès que és qui té la responsabilitat que l’AI s’executi. Això no treu que el responsable del tractament pugui delegar l’AI però, en qualsevol cas, és qui en té la responsabilitat última.

El prestador de serveis, si n’hi ha, ha de donar suport al responsable a l’hora de fer l’AI.

El responsable del tractament ha de buscar el consell del delegat de protecció de dades (DPD). Aquest consell i les decisions que prengui han de quedar documentades a l’AI.

Fases d’una avaluació d’impacte:

Fases d’una avaluació d’impacte

Protecció de dades dades des del Disseny i per defecte

"Protecció de dades by design (des del disseny)" i "Protecció de dades by default (per defecte)" són dos termes que s’empren des de fa anys en matèries reguladores de protecció de dades i ja apareixien a la derogada Directiva 95/46/CE de la Unió Europea. Segons el considerant 46 d'aquesta Directiva, les mesures tècniques i organitzativess'han de prendre en el moment de planificar un tractament de dades per tal protegir- ne la seguretat. Es busca l’adopció d’un model basat en l’anticipació del responsable i en la presa de mesures proactives per prevenir i anticipar possibles problemes de privacitat.

Quins criteris caldrà tenir en compte quan dissenyem les nostres estratègies by design i by default?

  • La naturalesa, àmbit, context i finalitat del tractament
  • Els riscos de diversa probabilitat i gravetat (no només respecte al risc alt)
  • Estat de la tècnica
  • Cost
Protecció de dades mitjançant un disseny tecnològic → el respecte a la privacitat és una part essencial del producte, del servei o del tractament que s’està desenvolupant. Cal que els interessats i la seva intimitat siguin sempre la referència i la prioritat i que durant la vida útil de l’aparell, del software o en el tractament de dades, aquest respecte es mantingui constant. No es pot condicionar l’ús d’aquesta tecnologia a una concessió o una rebaixa de garanties en privacitat.
  • Ex. No es pot configurar una plana web per tal de condicionar la navegació a l’acceptació de cookies.
Moltes entitats intenten que posem en risc la nostra privacitat perquè ens diuen que així aconseguim noves funcionalitats, millors experiències, etc (Ex. «Si es garantís totalment la privacitat de l'usuari no seria tan barat o tan útil el servei»). El Privacy by Design demostra que un producte, tractament o servei pot estar plenament operatiu amb totes les funcionalitats actives, sense deixar de banda la privacitat dels usuaris.
Protecció de dades en la configuració inicial o en els paràmetres de fàbrica → Qualsevol producte, servei o tractament de dades no requereix cap actuació activa per part de l’usuari o l’interessat per de protegir-ne la privacitat.
  • Ex. El nostre dispositiu mòbil vindrà amb una configuració de fàbrica garantista amb la nostra privacitat i nosaltres, mitjançant accions afirmatives, anirem reduint aquesta privacitat → Vols permetre que “Mapes” tingui accés a la teva ubicació?

Violacions de seguretat

Una violació de la seguretat de les dades es produeix quan les dades personals que tracta un responsable o encarregat de tractament pateixen un incident de seguretat que dona lloc a la violació de la confidencialitat, disponibilitat o integritat de les dades. Si això passa, i és possible que la violació posi en risc els drets i les llibertats d'una persona, tal com preveu l’article 36 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, el responsable de tractament ha de notificar-ho a l'autoritat de control sense demora i a tot estirar 72 hores després de tenir-ne constància. Si la notificació no es produeix en aquest termini, s’han de justificar els motius de la dilació. Si és un encarregat del tractament, haurà de notificar cada violació de la seguretat de les dades al responsable del tractament.

D’altra banda, tal com es preveu a l’article 15 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, si la violació de la seguretat de les dades suposa un alt risc per a les persones afectades, aquestes també hauran de ser informades tan aviat com raonablement sigui possible (llevat que s'hagin aplicat mesures de protecció tècniques i organitzatives efectives, o altres mesures que garanteixin que ja no existeix la probabilitat que es determini el risc).

Tipus de violacions de seguretat:

Tipus de violacions de seguretat

Procediment de notificació a l’APDA:

Quan el responsable de tractament notifica una violació de seguretat a l’autoritat de control, l’article 36 de la llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, estableix que com a mínim, ha de:

  • Descriure la naturalesa de la violació de la seguretat de les dades personals, incloent-hi, si és possible, les categories i el nombre aproximat de persones interessades afectades, i les categories i el nombre aproximat de registres de dades personals afectats.
  • Comunicar el nom i les dades de contacte del delegat de protecció de dades o d’un altre punt de contacte on es pot obtenir més informació.
  • Descriure les possibles conseqüències de la violació de la seguretat de les dades personals.
  • Descriure les mesures adoptades o proposades pel responsable del tractament per fer front a la violació de la seguretat de les dades personals, incloses, si escau, les mesures adoptades per mitigar-ne els possibles efectes negatius.

Notificació als interessats:

El responsable del tractament ha de prendre les mesures oportunes per facilitar a la persona interessada tota la informació relativa al tractament de les seves dades, entre la qual també hi ha la violació de la seguretat de les dades personals de la persona interessada en el cas escaient.

Aquesta informació s’ha de facilitar d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobretot si la informació s’adreça específicament a un menor d’edat. La informació s’ha de facilitar per escrit o per altres mitjans, inclosos, si escau, els mitjans electrònics.

Formulari de notificació davant de l'APDA de violació de seguretat

Codis de conducta

Els codis de conducta (CC) són un conjunt de pautes i directrius que regulen les obligacions en matèria de protecció de dades de determinats sectors professionals. La principal funció és la d’adequar i facilitar l'aplicació de la normativa de protecció de dades a les característiques dels diferents sectors d'activitat dels seus promotors, que s’hi adheriran de manera voluntària per tal que els resulti d’obligat compliment.

Els principals incentius per tal de desenvolupar CC :

Els principals incentius per tal de desenvolupar CC

Qui pot elaborar un codi de conducta?

L'ha de constituir una organització representativa d'un sector d'activitat. L'elaboració d'un codi de conducta es basa en un enfocament sectorial que ha de ser iniciat per una associació, una federació o una organització que representi categories de responsables o encarregats de tractament.

Aquesta organització ha de poder demostrar que és ben representativa del sector. Això es pot fer mitjançant índexs com ara el nombre de membres representats, l'experiència de l'organització en el sector rellevant, etc.

Contingut:

L’objecte és especificar l'aplicació de la normativa andorrana de protecció de dades en un sector determinat. Els CC han de presentar-se davant l’APDA perquè n’analitzi la validesa i idoneïtat. Els projectes de CC hauran de presentar-se juntament amb la documentació següent:

Descripció detallada de l’objectiu, àmbit d’aplicació material (operacions de tractament, persones afectades, categories de responsables i encarregats) i territorial (definint també l’autoritat de control competent) i de com facilitarà l’aplicació efectiva de la normativa de protecció de dades.
La representativitat del titular del codi s'ha de demostrar i es pot valorar pel que fa al nombre d'organitzacions que representa respecte al sector, el nombre potencial d'adherents al codi i la seva experiència en el sector i els tipus d'operacions de tractament afectades
Els obligats per un CC han de ser consultats sobre el propi projecte i han d’emetre la seva opinió. L’absència d’aquesta consulta ha de justificar-se.
El titular del codi ha d'indicar com s'organitzarà la relació entre els membres, el titular i l'òrgan supervisor al llarg de la vida del CC. Així, la governança es pot reflectir en la indicació de les condicions d'adhesió al codi de conducta, el mecanisme de sortida del codi, el procés d'actualització dels requisits del codi, els criteris de selecció de l'òrgan de control, etc.
La designació d'un òrgan de supervisió dels codis de conducta relatius al tractament realitzat per autoritats i organismes públics no és obligatòria. No obstant això, les directrius recomanen el desplegament d'un mecanisme de control per a la correcta aplicació del codi de conducta.

Codis transnacionals

Quan el codi afecti operacions de tractament en diversos estats, s'haurà de presentar davant l'autoritat de control competent. Aquesta autoritat es determinarà segons:

  • La ubicació de la densitat més gran del sector o de l'activitat de tractament.
  • La ubicació de la major densitat d'interessats afectats pel sector o activitat de tractament.
  • La ubicació de la seu del titular del codi.
  • La ubicació de l'organisme de supervisió.
  • Les iniciatives desenvolupades per una autoritat de control en un àmbit específic.

Òrgan supervisor

El CC designarà una entitat que controlarà el compliment i la implementació del CC. Aquest òrgan actuarà paral·lelament a les funcions de control de l’APDA i podrà sancionar també els infractors. Les condicions per esdevenir òrgan supervisor es fixaran en una guia pròpia.

Transferències internacionals de dades

S’entén per transferència internacional de dades qualsevol comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país, o quan el destinatari sigui una organització internacional.

Exemples

  • Cessió de dades de treballadors a empresa de prevenció de riscos laborals ubicada fora d’Andorra.
  • Contractació d’un servei de cloud ubicat fora d’Andorra.
  • Utilització de serveis de newsletters gratuïts d’empreses no andorranes.
  • Etc.

La norma general diu que es prohibeixen les transferències internacionals de dades fetes a països i organitzacions internacionals que llur normativa vigent no garanteixi un nivell de protecció equivalent al que assegura la normativa andorrana de protecció de dades.

Quan podrem transferir dades fora d’Andorra, doncs? Quan disposem o establim GARANTIES ADEQUADES.

Transferència a paîsos de la UE
Transferència a països que la UE ha considerat adequats amb una Decisió d’Adequació
Transferència a països amb submissió efectiva al Conveni 108+

Transferència amb garanties i amb drets i accions legals exigibles → aquí caldrà que lesdues parts, emissor i receptor de les dades, arribin a pactes obligatoris que regulin la transferència de dades i li confereixin garanties equivalents a les de la normativa de protecció de dades.

Aquest pactes poden fer-se a través de:

  • Instruments vinculants entre autoritats o organismes públics.
  • Normes corporatives vinculants.
  • Clàusules tipus de protecció de dades de la Comissió Europea o de l’APDA.
  • Adhesió a codis de conducta vàlids a Andorra o la UE.
  • Mecanismes de certificació aprovats conforme a les normes de protecció de dades de la UE.
Alerta! L’APDA és l’encarregada d’avaluar l’existència o no d’aquestes garanties. Per tant, qualsevol responsable que vulgui procedir a la transferència internacional de dades mitjançant un d’aquests instruments, podrà presentar, ABANS DE LA TRANSFERÈNCIA, tota la documentació explicativa d’aquestes garanties addicionals per tal que l’autoritat de control n'avaluí la pertinença. Davant un informe negatiu de l’Agència, la transferència es considerarà il·legítima.

Països adequats

  • Argentina. Decisió 2003/490/CE de la Comissió, de 30 de juny de 2003.
  • Canadà. Decisió 2002/2/CE de la Comissió, de 20 de desembre de 2001.
  • Guernsey. Decisió 2003/821/CE de la Comissió, de 21 de novembre de 2003.
  • Illa de Man. Decisió 2004/411/CE de la Comissió, de 28 d’abril de 2004.
  • Illes Fèroe. Decisió 2010/146/UE de la Comissió, de 5 de març de 2010.
  • Israel. Decisió 2011/61/UE de la Comissió, de 31 de gener de 2011.
  • Japó. Decisió 2019/419/UE de 23 de gener de 2019.
  • Jersey. Decisió 2008/393/CE de la Comissió, de 8 de maig de 2008.
  • Nova Zelanda. Decisió 2013/65/UE de la Comissió, de 19 de desembre de 2012.
  • Regne Unit. Decisió de 28 de juny de 2021.
  • República de Corea. Decisió de 17 de desembre de 2021.
  • Suïssa. Decisió 2000/518/CE de la Comissió, de 26 de juliol de 2000.
  • Uruguai. Decisió 2012/484/UE de la Comissió, de 21 d’agost de 2012.
  • Estats Units. El passat 10 de juliol del 2023, la Comissió Europea va adoptar la decisió d’adequació relativa al nou acord Marc de Privadesa de Dades UE-EUA que facilita les transferències internacionals de dades personals entre la Unió Europea i els Estats Units. El Marc de Privadesa de Dades UE-EUA és un mecanisme d’autocertificació en el qual les empreses nord-americanes adherides es comprometen a complir amb els principis emesos pel Departament de Comerços dels Estats Units pel tractament de les dades personals que reben de la UE. El Marc de Privadesa de Dades UE-EUA, preveu uns mecanismes específics per als ciutadans de la UE, però aquests no seran d’aplicació pels ciutadans andorrans.

Excepcions

En determinades situacions específiques es podran transferir dades sense garanties específiques si:

  • La persona interessada ha donat explícitament el seu consentiment a la transferència proposada, després d’haver-la informat dels riscos d’aquestes transferències a causa de l’absència d’una decisió d’adequació i de garanties adequades.
  • La transferència és necessària per a executar un contracte:
    • Entre la persona interessada i el responsable del tractament.
    • Entre el responsable del tractament i una altra persona física o jurídica, en interès de la persona interessada.
    • Per a executar mesures precontractuals adoptades a sol·licitud de la persona interessada.
  • Raons importants d’interès públic → interpretació molt restrictiva.
  • La transferència és necessària per a formular, exercir o defensar reclamacions.
  • La transferència és necessària per a protegir els interessos vitals de la persona interessada o d’altres persones, quan està físicament o jurídicament incapacitada per donar-ne el consentiment.
  • La transferència s’efectua des d’un registre públic que té per objecte facilitar informació al públic i està obert a la consulta del públic en general, o de qualsevol persona que hi acrediti un interès legítim.