La llei de protecció de dades estableix el conjunt de normes que regulen com les empreses han de recollir, utilitzar i custodiar la informació personal de clients, empleats o proveïdors.
En el cas d’Andorra, la norma principal és la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, que adapta el marc jurídic andorrà a les noves necessitats tecnològiques i al context europeu de protecció de dades.
Tot i que el Reglament General de Protecció de Dades (RGPD) és la referència principal dins l’àmbit de la Unió Europea, a Andorra les empreses s’han de regir principalment per la Llei 29/2021 i per les obligacions que aquesta estableix quan tracten dades personals en el desenvolupament de la seva activitat.
Què és la llei de protecció de dades i per què afecta les empreses
La normativa de protecció de dades regula el tractament de la informació personal per part d’empreses, institucions i professionals. L’objectiu és assegurar que les dades de les persones es gestionen de manera responsable i que no s’utilitzen sense base legal o sense el coneixement dels interessats.
En l’àmbit andorrà, aquesta regulació es concreta principalment en la Llei 29/2021, que afecta tant les entitats públiques com les privades que tracten dades personals al Principat d’Andorra, així com determinats tractaments efectuats en territori andorrà encara que l’entitat no hi estigui domiciliada.
Això significa que qualsevol empresa que reculli o utilitzi informació personal en la seva activitat habitual està subjecta a la normativa. Aquest tractament de dades pot incloure activitats tan habituals com gestionar una base de dades de clients, enviar comunicacions comercials o administrar les dades dels treballadors.
Entre les organitzacions que han de complir la normativa hi trobem:
- Treballadors autònoms i professionals independents.
- Petites i mitjanes empreses.
- Grans societats mercantils.
- Associacions i entitats sense ànim de lucre.
- Administracions i organismes públics.
En tots aquests casos, la gestió de dades personals forma part del funcionament diari de l’activitat empresarial, fet que obliga a aplicar les mesures legals corresponents.
Quines empreses han de complir la normativa de protecció de dades
La normativa s’aplica a qualsevol entitat que tracti dades personals, independentment de la seva dimensió o sector d’activitat.
Això vol dir que tant una petita empresa amb una base de dades de clients com una gran corporació amb milers de registres han de complir els mateixos principis legals en matèria de protecció de dades. L’abast de les mesures pot variar segons el risc i el volum de tractament, però la responsabilitat existeix en tots els casos.
Les empreses gestionen dades personals en múltiples situacions:
- Registre de clients en formularis web.
- Gestió de nòmines i informació laboral dels empleats.
- Comunicacions comercials o newsletters.
- Contractes amb proveïdors o col·laboradors.
- Sistemes de videovigilància en instal·lacions.
Aquestes activitats impliquen el tractament de dades personals dins de l’empresa, per la qual cosa han de respectar els requisits legals establerts per la normativa.
Obligacions de protecció de dades per a les empreses
Entre les obligacions principals que estableix la normativa hi trobem:
- Identificar les dades personals que es tracten i la seva finalitat.
- Obtenir el consentiment explícit quan sigui necessari.
- Informar els interessats sobre l’ús de les seves dades.
- Garantir la seguretat de la informació.
- Permetre l’exercici dels drets dels interessats.
Més enllà d’aquestes obligacions generals, la normativa andorrana reforça el principi de responsabilitat proactiva, és a dir, no només cal complir la llei, sinó també poder demostrar aquest compliment. En aquest context, el registre d’activitats de tractament esdevé una eina clau per identificar, ordenar i acreditar com es gestionen les dades personals dins de l’organització.
A més, la normativa preveu l’obligació de mantenir un registre d’activitats de tractament en determinats supòsits, especialment per a entitats públiques i per a organitzacions que, per la seva estructura o dimensió, han de documentar de manera més exhaustiva els tractaments de dades personals.
Aquest registre és una peça clau per demostrar que l’organització coneix i controla els processos interns relacionats amb la informació personal.
El delegat de protecció de dades i el seu paper en les empreses
La Llei 29/2021 reforça la figura del delegat de protecció de dades (DPO) com a peça clau del compliment normatiu. La seva funció no es limita a assessorar l’empresa, sinó també a supervisar el compliment de la normativa, cooperar amb l’autoritat de control i actuar com a punt de contacte en matèria de protecció de dades.
El delegat de protecció de dades pot formar part de l’empresa o prestar el servei de manera externa mitjançant un contracte de serveis especialitzat.
Entre les funcions principals del delegat de protecció de dades hi destaquen:
- Informar l’empresa sobre les obligacions legals en protecció de dades.
- Supervisar el compliment de la normativa interna.
- Assessorar sobre avaluacions d’impacte en protecció de dades.
- Col·laborar amb les autoritats de control.
- Gestionar consultes o reclamacions relacionades amb la privacitat.
La designació d’aquesta figura és obligatòria en alguns sectors o quan el tractament de dades es realitza a gran escala o implica categories sensibles d’informació personal.
Mesures de seguretat i registre d’activitats de tractament
Un dels pilars de la normativa és la implementació de mesures de seguretat per protegir les dades personals. Les empreses han d’adoptar controls tècnics i organitzatius que evitin accessos no autoritzats, pèrdues d’informació o alteracions de les dades.
Aquestes mesures poden incloure des de polítiques internes fins a eines tecnològiques específiques. Entre les pràctiques habituals de seguretat hi trobem:
- Control d’accés a sistemes i bases de dades.
- Sistemes de xifratge o pseudonimització.
- Còpies de seguretat periòdiques.
- Sistemes antivirus i protecció contra ciberatacs.
- Auditoria de protecció de dades periòdiques.
A més, la normativa estableix l’obligació de notificar les bretxes de seguretat que puguin afectar les dades personals. Quan es produeix una violació de seguretat que pot afectar els drets de les persones, l’empresa ha de comunicar-ho a l’autoritat de control en un termini aproximat de 72 hores.
Aquest requisit reforça la transparència i obliga les empreses a actuar amb rapidesa davant qualsevol incident que comprometi la seguretat de la informació.
La Llei 29/2021 també preveu l’avaluació d’impacte en els tractaments que puguin comportar un alt risc per als drets i les llibertats de les persones.
Sancions per incomplir la normativa de protecció de dades
El compliment de la normativa no és només una qüestió administrativa. L’incompliment de les obligacions en matèria de protecció de dades pot comportar sancions econòmiques importants per a les empreses.
A Andorra, la Llei 29/2021 estableix un règim sancionador graduat segons la gravetat de la infracció. Les infraccions lleus poden comportar sancions d’entre 500 i 15.000 euros; les greus, d’entre 15.001 i 30.000 euros; i les molt greus, d’entre 30.001 i 100.000 euros.
Aquestes sancions poden derivar-se de situacions com:
- Tractar dades sense base legal.
- No informar adequadament els interessats.
- No aplicar mesures de seguretat adequades.
- No respondre a les sol·licituds dels usuaris.
- No comunicar una bretxa de seguretat.
A més de l’impacte econòmic, l’incompliment també pot afectar la reputació de l’empresa i la confiança dels clients.
Assegura el compliment de la llei de protecció de dades amb assessorament professional
Garantir el compliment de la llei de protecció de dades és una tasca que requereix coneixement jurídic, control dels processos interns i actualització constant davant els canvis normatius.
A OCPS Tarinas oferim assessorament especialitzat per ajudar les empreses a aplicar correctament la normativa de protecció de dades a Andorra i assegurar que el tractament de la informació personal es realitza conforme als requisits legals.
El nostre equip analitza la situació de cada organització, identifica els riscos en el tractament de dades i implementa les mesures necessàries perquè l’empresa compleixi la normativa amb garanties jurídiques.
Protegeix la teva empresa davant possibles sancions i assegura el compliment de la llei de protecció de dades amb el suport d’experts en normativa i seguretat jurídica. Contacta amb el nostre equip.
Preguntes freqüents sobre la llei de protecció de dades
A Andorra, la norma principal en aquesta matèria és la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals. Aquesta llei regula com les empreses i altres entitats poden recollir, utilitzar i conservar dades personals, i estableix les obligacions que han de complir per garantir la privacitat i la seguretat de la informació.
Totes les empreses que tracten dades personals han de complir la normativa, independentment de la seva mida o sector. Això inclou autònoms, pimes, grans empreses i també entitats sense ànim de lucre. Si una organització gestiona dades de clients, treballadors o proveïdors, està subjecta a aquesta normativa.
El registre d’activitats de tractament és un document intern on l’empresa descriu els processos relacionats amb l’ús de dades personals. Inclou informació sobre la finalitat del tractament, les categories de dades i els destinataris. Aquest document permet demostrar el compliment de la normativa davant les autoritats de control.
En el marc de la Llei 29/2021, aquest registre permet demostrar que l’organització coneix i controla els tractaments de dades personals que duu a terme.
El delegat de protecció de dades és obligatori en determinades organitzacions o quan el tractament de dades és a gran escala. També pot ser necessari quan es gestionen categories especials de dades personals. Aquesta figura supervisa el compliment de la normativa i assessora l’empresa en matèria de privacitat.
Les empreses han d’implantar mesures tècniques i organitzatives per protegir les dades personals. Aquestes poden incloure controls d’accés, còpies de seguretat, sistemes de xifratge i protocols interns de seguretat. El nivell de protecció dependrà del tipus de dades i dels riscos associats al tractament.
A Andorra, la Llei 29/2021 preveu sancions graduades segons la gravetat de la infracció. Les infraccions lleus poden ser sancionades amb imports d’entre 500 i 15.000 euros; les greus, d’entre 15.001 i 30.000 euros; i les molt greus, d’entre 30.001 i 100.000 euros.
A més de l’impacte econòmic, l’incompliment també pot provocar dany reputacional i pèrdua de confiança per part dels clients.
Per complir la normativa, una empresa ha d’identificar els tractaments de dades que realitza i documentar-los correctament. També ha d’informar els interessats sobre l’ús de les seves dades i garantir la seva seguretat. Comptar amb assessorament especialitzat facilita aplicar correctament totes les obligacions legals.
La norma principal és la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals. Aquesta llei és la que regeix principalment el tractament de dades personals al Principat d’Andorra i adapta el marc andorrà al context tecnològic actual i a les exigències europees en matèria de privacitat.
