Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals
Índex
[Mostra/Amaga]Atès que el Consell General en la seva sessió del dia 28 d’octubre del 2021 ha aprovat la següent:
Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals
Han transcorregut gairebé divuit anys d’ençà que el Consell General va aprovar la primera Llei qualificada de protecció de dades personals.
El 28 de gener de 2019 el Principat d’Andorra ha estat el vint-i-cinquè país en signar el Conveni 108+ del Consell d’Europa per a la protecció de dades de les persones en relació al tractament de dades de caràcter personal.
El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, del 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades), ha fixat un nou marc europeu per a la protecció de les dades personals de les persones físiques; i la Directiva (UE) 2016/680 del Parlament Europeu i el Consell, igualment del 27 d’abril de 2016, ha posat unes noves bases relatives a la protecció de les dades personals de les persones físiques respecte al seu tractament per part de les autoritats competents amb finalitats de prevenció, d’investigació o de persecució d’infraccions penals, o d’execució de sancions penals, i a la lliure circulació d’aquestes dades.
Així mateix, la Decisió 2010/625/UE del 19 d’octubre de 2010 va resoldre que el Principat d’Andorra assegurava un nivell adequat de protecció de les dades de caràcter personal, tant en el flux intern com en relació als fluxos transfronterers.
L’ordenament jurídic andorrà estableix que tota persona té dret a la protecció de les dades de caràcter personal que l’afecten, sigui quina sigui la seva nacionalitat o la seva residència, en el marc de l’article 14 de la Constitució del Principat d’Andorra que garanteix el dret a la intimitat, a l’honor i a la pròpia imatge, interpretat a la llum del Conveni europeu per a la Salvaguarda dels Drets Humans i de les Llibertats Fonamentals. La ràpida evolució tecnològica i la globalització plantegen ara nous reptes per a la protecció de les dades personals de les persones físiques.
Aquesta Llei té per objecte actualitzar la normativa relativa al tractament que, tant persones o entitats privades com l’Administració pública andorrana, duen a terme de les dades corresponents a persones físiques acollint-se a la nova regulació europea, continguda al Reglament general de protecció de dades i modernitzant el marc jurídic existent basat en la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals.
S’ha cercat la salvaguarda de les oportunitats d’obertura del Principat d’Andorra derivades de la seva posició geopolítica estratègica dins d’Europa, en conciliació amb totes les garanties de protecció de les dades personals de les persones físiques, sense establir obligacions excessives que puguin impedir o dificultar greument les activitats econòmiques, administratives o de gestió de les entitats públiques i privades andorranes.
Aquesta Llei consta de set capítols i setanta-quatre articles, una disposició addicional, una disposició transitòria, dues disposicions derogatòries i quatre disposicions finals.
Capítol primer. Objecte, àmbit d’aplicació de la Llei i definicions
Article 1. Objecte
1. Aquesta Llei té per objecte la protecció de les dades personals de totes les persones físiques, sigui quina sigui la seva nacionalitat o la seva residència, pel que fa al tractament i a la utilització de les dades, preservant la vida privada.
LesLleis.com
2. La present Llei protegeix els drets i llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.
Article 2. Àmbit d’aplicació
1. Aquesta Llei és aplicable al tractament totalment o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals continguts o destinats a ser inclosos en un fitxer, i a qualsevol ús posterior d’aquestes dades, tant en el sector públic com privat.
S’aplica a tot tractament de dades personals realitzat per responsables o encarregats del tractament, públics o privats, amb domicili al Principat d’Andorra, o constituïts d’acord amb les lleis del Principat d’Andorra.
2. També és aplicable als tractaments de dades realitzats per responsables o encarregats del tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra, quan facin servir mitjans de tractament ubicats en el territori andorrà, automatitzats o no. Aquests responsables o encarregats del tractament han de designar prop de l’Agència Andorrana de Protecció de Dades un representant establert al Principat d’Andorra.
3. A l’efecte d’aplicació d’aquest article, s’entén per domicili o establiment, amb independència de la seva forma jurídica, qualsevol ubicació estable que permeti l’exercici efectiu i real d’una activitat.
4. S’exclouen de l’àmbit d’aplicació d’aquesta Llei:
a) El tractament de dades efectuat en el marc d’activitats exclusivament personals o domèstiques, sense cap connexió amb una activitat professional o comercial.
b) El tractament de dades de persones difuntes, sense perjudici del que estableix l’article 3.
c) El tractament de dades efectuat per part de les autoritats competents amb finalitats de prevenció, investigació, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals, incloent la protecció contra les amenaces per a la seguretat pública i la prevenció d’aquestes, sense perjudici del que estableix l’apartat 4 de l’article 5.
b) El tractament de dades de persones difuntes, sense perjudici del que estableix l’article 3.
c) El tractament de dades efectuat per part de les autoritats competents amb finalitats de prevenció, investigació, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals, incloent la protecció contra les amenaces per a la seguretat pública i la prevenció d’aquestes, sense perjudici del que estableix l’apartat 4 de l’article 5.
Article 3. Dades de les persones difuntes
1. Les persones vinculades al difunt per raons familiars o de fet, així com els seus hereus es poden dirigir al responsable o encarregat del tractament amb l’objecte de sol·licitar l’accés a les dades personals d’aquell i, si s’escau, la seva rectificació o supressió.
Com a excepció, les persones a què es refereix el paràgraf anterior no poden accedir a les dades del causant, ni sol·licitar-ne la rectificació o la supressió, quan la persona difunta ho hagi prohibit expressament o així ho estableixi una llei. Aquesta prohibició no afecta el dret dels hereus a accedir a les dades de caràcter patrimonial del causant.
2. Les persones o institucions a les quals el difunt hagi designat expressament a aquest efecte poden sol·licitar també, d’acord amb les instruccions rebudes, l’accés a les dades personals del difunt i, si s’escau, la seva rectificació o supressió. Per via reglamentària s’han d’establir els requisits i les condicions per acreditar la validesa i la vigència d’aquests manaments i instruccions i, si s’escau, el seu registre.
3. En cas de defunció de persones menors d’edat, aquestes facultats les poden exercir també els seus representants legals o, en el marc de les seves competències, el Ministeri Fiscal, que pot actuar d’ofici o a instància de qualsevol persona física o jurídica interessada.
En cas de defunció de persones amb discapacitat, aquestes facultats també les poden exercir, a més de les persones que assenyala el paràgraf anterior, els qui hagin estat designats per a l’exercici de funcions de suport, si aquestes facultats s’entenen compreses en les mesures de suport prestades pel designat.
4. Les informacions relatives a les persones difuntes, incloses aquelles que figuren als certificats de causes de defunció, poden ser objecte de tractament amb finalitats de recerca, d’estudi o d’avaluació en el camp de la salut, llevat si la persona interessada va expressar per escrit i durant la seva vida la seva oposició a aquest tractament.
Article 4. Definicions
A l’efecte d’aquesta Llei s’entén per:
1. Dades personals o de caràcter personal: tota informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a una persona física identificada o identificable (“persona interessada”); s’entén per persona física identificable qualsevol persona amb una identitat que es pugui determinar, directament o indirectament, en particular mitjançant un identificador, o un o diversos elements específics, característics de la seva identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social.
2. Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin.
3. Tractament de dades personals (“tractament”): qualsevol operació o conjunt d’operacions efectuades mitjançant procediments, automatitzats o no, sobre dades de caràcter personal, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, la difusió, la posada a disposició, o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, bloqueig, supressió o destrucció de dades, o l’aplicació d’operacions lògiques i/o aritmètiques a aquestes dades.
4. Limitació del tractament: el marcatge de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur.
5. Elaboració de perfils: qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d’una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d’aquesta persona.
6. Fitxer de dades personals (“fitxer”): qualsevol conjunt estructurat de dades personals accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica, qualsevol que sigui la seva forma o modalitat de creació, emmagatzematge, organització i accés.
7. Anonimització: procés que consisteix en eliminar tots els elements identificatius d’un conjunt de dades personals perquè ja no sigui possible identificar la persona interessada.
8. Seudonimització: el tractament de dades personals de manera que no es puguin atribuir a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable.
9. Responsable del tractament o responsable: la persona física o jurídica, autoritat competent, pública si escau, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament de dades personals, i vetlla per al seu correcte compliment de conformitat a les normes en matèria de protecció de dades que són d’aplicació a les finalitats del tractament.
10. Encarregat del tractament o encarregat: la persona física o jurídica, autoritat competent, pública si escau, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament.
11. Persona interessada: la persona física identificada o identificable a la qual corresponen les dades de caràcter personal objecte de tractament.
12. Tercer: persona física o jurídica, autoritat pública, servei o organisme, diferent de la persona interessada, del responsable del tractament, de l’encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l’autoritat directa del responsable o de l’encarregat del tractament de dades personals.
13. Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona, de manera accidental o il·lícita, en tot cas no autoritzada, la pèrdua, l’alteració, o la divulgació de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.
14. Interès públic: concepte definit i determinat entès com a avantatge general, important i primordial, que justifica la finalitat de la intervenció de l’Estat i en fonamenta la legitimitat, sempre dins del marc de l’objectivitat i dels principis constitucionals de legalitat, de jerarquia, de publicitat de les normes jurídiques, de no retroactivitat de les disposicions restrictives de drets individuals o que comportarien un efecte o establirien una sanció desfavorables, de seguretat jurídica, de responsabilitat dels poders públics i d’interdicció de tota arbitrarietat.
15. Interès vital: interès essencial per a la vida de la persona interessada.
16. Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física, que proporcionen una informació única sobre la seva fisiologia o l’estat de salut, obtingudes de l’anàlisi d’una mostra biològica d’aquesta persona.
17. Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única d’aquesta persona, com imatges facials, dades dactiloscòpiques o patrons d’iris.
18. Dades relatives a la salut: dades personals relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària.
19. Representant: persona física o jurídica que, havent estat designada per escrit pel responsable o per l’encarregat del tractament, representa el responsable o l’encarregat del tractament pel que fa a les seves respectives obligacions en el tractament de dades personals.
20. Empresa: persona física o jurídica dedicada a una activitat econòmica, independentment de la seva forma jurídica, incloses les societats o les associacions que exerceixen regularment una activitat econòmica.
21. Grup empresarial: grup constituït per una empresa que exerceix el control i les seves empreses controlades.
22. Normes corporatives vinculants: les polítiques de protecció de dades personals assumides per un responsable o un encarregat del tractament, adoptades de conformitat amb la normativa de protecció de dades personals de la Unió Europea, per a transferències o per a un conjunt de transferències de dades personals a un responsable o un encarregat en un o més tercers països, dins d’un grup empresarial o d’una unió d’empreses dedicades a una activitat econòmica conjunta.
23. Autoritat de control: organisme públic establert per l’Estat amb personalitat jurídica pròpia, independent de les administracions públiques, amb competències de registre, control, inspecció, resolució i sanció, així com de proposició d’adopció de normes, en matèria de protecció de dades personals.
24. Destinatari: persona física o jurídica, autoritat pública, servei o qualsevol altre organisme al qual es comuniquen dades personals, sigui o no una tercera persona. Això no obstant, les autoritats públiques que poden rebre dades personals en el marc d’una investigació concreta, no s’han de considerar com a destinataris, de conformitat amb la normativa aplicable. El tractament d’aquestes dades efectuat per les autoritats públiques referides ha de ser conforme a les normes en matèria de protecció de dades aplicables a les finalitats del tractament.
25. Servei de la societat d’informació: tot servei prestat normalment a canvi d’una remuneració, a distància, per via electrònica i a petició individual d’un destinatari de serveis. Als efectes d’aquesta definició, s’entén per: (i) a distància: un servei prestat sense que les parts estiguin presents simultàniament; (ii) per via electrònica: un servei enviat des de la font i rebut mitjançant equipaments electrònics de tractament (inclosa la compressió digital) i d’emmagatzematge de dades i que es transmet, canalitza i rep enterament per fils, radi, mitjans òptics o qualsevol altre mitjà electromagnètic; i (iii) a petició individual d’un destinatari de serveis: un servei prestat mitjançant transmissió de dades a petició individual.
26. Organització internacional: una organització internacional i els seus ens subordinats de dret internacional públic, o qualsevol altre organisme creat mitjançant un acord entre dos o més països o en virtut d’aquest acord.
27. Transferència internacional de dades: comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país o quan el destinatari sigui una organització internacional.
Capítol segon. Principis aplicables al tractament de dades personals
Article 5. Principis relatius al tractament
1. El tractament de dades ha de ser proporcionat a la finalitat legítima recercada amb l’assoliment, en cada etapa del tractament, d’un equilibri just entre els diversos interessos confrontats, ja siguin públics o privats, que conciliï els drets i llibertats afectats.
2. Les dades personals han de ser:
a) Tractades de manera lícita, lleial i transparent en relació amb la persona interessada (“licitud, lleialtat i transparència”).
b) Recollides amb finalitats determinades, explícites i legítimes i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats; el tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials, sempre i quan s’apliquin garanties complementàries previstes en aquesta Llei i en la normativa sectorial que les desenvolupa (“limitació de la finalitat”).
c) Adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals es tracten (“minimització de dades”).
d) Exactes, i, si és necessari, actualitzades; amb l’adopció de les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les dades personals inexactes respecte a les finalitats per a les quals es tracten (“exactitud”). No es pot imputar al responsable del tractament la inexactitud de les dades personals si aquest ha adoptat totes les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les referides dades, quan les dades inexactes:
e) Conservades de manera que permetin identificar les persones interessades durant un període no superior al necessari per a les finalitats del tractament de dades personals; tanmateix, es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica o històrica o amb finalitats estadístiques, sense perjudici de l’aplicació de les mesures tècniques i organitzatives adequades amb la finalitat de protegir els drets i les llibertats de la persona interessada (“limitació del termini de conservació”).
f) Tractades de manera que se’n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques i organitzatives adequades (“integritat i confidencialitat”).
b) Recollides amb finalitats determinades, explícites i legítimes i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats; el tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials, sempre i quan s’apliquin garanties complementàries previstes en aquesta Llei i en la normativa sectorial que les desenvolupa (“limitació de la finalitat”).
c) Adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals es tracten (“minimització de dades”).
d) Exactes, i, si és necessari, actualitzades; amb l’adopció de les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les dades personals inexactes respecte a les finalitats per a les quals es tracten (“exactitud”). No es pot imputar al responsable del tractament la inexactitud de les dades personals si aquest ha adoptat totes les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les referides dades, quan les dades inexactes:
i) S’han obtingut pel responsable del tractament directament de la persona interessada.
ii) S’han obtingut pel responsable del tractament a través d’un mediador o intermediari en cas que les normes aplicables al sector d’activitat al què pertany el responsable estableixin la possibilitat d’intervenció d’un intermediari o mediador que reculli en nom propi les dades de les persones interessades per a la seva transmissió al responsable. El mediador o intermediari ha d’assumir les responsabilitats que puguin derivar-se en el cas de comunicació al responsable de dades que no es corresponguin amb les facilitades per la persona interessada.
iii) Són objecte de tractament per part del responsable per haver-les rebut d’un altre responsable en virtut de l’exercici per la persona interessada del dret a la portabilitat de les dades.
iv) S’han obtingut d’un registre públic per part del responsable del tractament.
ii) S’han obtingut pel responsable del tractament a través d’un mediador o intermediari en cas que les normes aplicables al sector d’activitat al què pertany el responsable estableixin la possibilitat d’intervenció d’un intermediari o mediador que reculli en nom propi les dades de les persones interessades per a la seva transmissió al responsable. El mediador o intermediari ha d’assumir les responsabilitats que puguin derivar-se en el cas de comunicació al responsable de dades que no es corresponguin amb les facilitades per la persona interessada.
iii) Són objecte de tractament per part del responsable per haver-les rebut d’un altre responsable en virtut de l’exercici per la persona interessada del dret a la portabilitat de les dades.
iv) S’han obtingut d’un registre públic per part del responsable del tractament.
e) Conservades de manera que permetin identificar les persones interessades durant un període no superior al necessari per a les finalitats del tractament de dades personals; tanmateix, es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica o històrica o amb finalitats estadístiques, sense perjudici de l’aplicació de les mesures tècniques i organitzatives adequades amb la finalitat de protegir els drets i les llibertats de la persona interessada (“limitació del termini de conservació”).
f) Tractades de manera que se’n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques i organitzatives adequades (“integritat i confidencialitat”).
3. Correspon al responsable del tractament complir i poder demostrar que es compleixen els principis de tractament (“responsabilitat proactiva”).
4. El tractament de dades personals amb finalitats de prevenció, d’investigació, de detecció o d’enjudiciament d’infraccions penals, o d’execució de sancions penals, incloent la protecció contra les amenaces per a la seguretat pública i la prevenció d’aquestes només es pot portar a terme si el responsable del tractament està autoritzat per la Llei a tractar aquestes dades.
Registreu-vos a LesLleis.com per
accedir al contingut complert d'aquesta pàgina.