LegalizeDecret 368/2022, del 14-9-2022, d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades
Decret 368/2022, del 14-9-2022, d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades.
Exposició de motius
La Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals del Principat d’Andorra constitueix la base del procés d’adaptació del nostre ordenament jurídic als principis vigents en matèria de protecció de dades en l’àmbit internacional i, especialment, al marc legal de la Unió Europea –per exemple, el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, del 27 d’abril del 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades).
D’acord amb l’article 46 de la Llei 29/2021, l’Agència Andorrana de Protecció de Dades (APDA) és un organisme públic amb personalitat jurídica pròpia, independent de les administracions públiques i amb plena capacitat d’obrar. És una institució de dret públic que ajusta la seva activitat a l’ordenament jurídic públic i es configura com una autoritat independent que actua amb objectivitat i plena independència de les administracions públiques andorranes en l’exercici de les seves funcions.
El Decret de l’1 de juliol del 2004 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades fou l’instrument jurídic que regulà per primera vegada l’activitat de l’APDA i n’establí les principals característiques com a autoritat andorrana independent de control i supervisió dels tractaments de dades personals efectuats a Andorra. El Decret del 9 de juny del 2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades, que és objecte de modificació, va millorar l’anterior i va desenvolupar altres capítols de la Llei 15/2003.
Amb l’aprovació de la Llei 29/2021, del 28 d’octubre del 2021, qualificada de protecció de dades personals i amb el Decret 367/2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, és el parer del Govern que el marc regulador dels tractaments de dades efectuats a Andorra ja ofereix els instruments jurídics necessaris per regular de manera efectiva i eficient qualsevol operació de tractament que tingui lloc en el marc de la normativa del Principat.
Tot i que la disposició addicional de la Llei 29/2021 encomana al Govern l’aprovació de les modificacions escaients al Reglament de l’Agència Andorrana de Protecció de Dades publicat l’any 2010, vist que és parer del Govern que el marc regulador del tractament de dades ja ofereix els instruments jurídics necessaris per regular de manera efectiva i eficient qualsevol operació de tractament que tingui lloc en el marc de la normativa del Principat, i tenint en compte que el Reglament de l’Agència Andorrana de Protecció de Dades fins ara vigent també regulava aquests darrers aspectes, cosa que fa que ara quedin sense sentit aquestes disposicions i que només s’hagi de fer referència a l’APDA i la seva activitat, es requereix una reforma profunda del Reglament.
Aquesta reforma es considera, doncs, prou important per justificar la derogació del Decret de l’1-7-2004 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades i aprovar un nou reglament. Aquesta nova redacció pretén regular, únicament, l’Agència Andorrana de Protecció de Dades, com a organisme públic amb personalitat jurídica pròpia, independent i amb plena capacitat d’obrar.
A proposta del ministre de Presidència, Economia i Empresa, en la sessió del 14 de setembre del 2022, el Govern aprova aquest Decret.
Article únic
A l’empara del que disposa la disposició addicional de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, s’aprova el Reglament de l’Agència Andorrana de Protecció de Dades.
Reglament de l’Agència Andorrana de Protecció de Dades
Capítol primer. Disposicions generals
Article 1. Objecte
Aquest Reglament té per objecte desplegar la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD), en particular els capítols sisè i setè, tenint en compte els compromisos adquirits per l’Estat andorrà d’aplicar el Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de gener del 1981, i el Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001.
Article 2. Àmbit d’aplicació
Aquest Reglament s’aplica a l’Agència Andorrana de Protecció de Dades (APDA).
Article 3. Naturalesa jurídica
L’Agència Andorrana de Protecció de Dades, creada l’any 2003, és una institució de dret públic que ajusta la seva activitat a l’ordenament jurídic públic.
L’Agència Andorrana de Protecció de Dades es configura com una autoritat independent que actua amb objectivitat i plena independència de les administracions públiques andorranes en l’exercici de les seves funcions.
L’Agència Andorrana de Protecció de Dades té personalitat jurídica pròpia i plena capacitat d’obrar.
Capítol segon. L’Agència Andorrana de Protecció de Dades
Article 4. Competències
Correspon a l’Agència Andorrana de Protecció de Dades exercir com a autoritat de control dels tractaments de dades personals i de qualsevol ús posterior d’aquestes dades, d’acord amb l’ordenament jurídic, i fomentar i vigilar el compliment de la legislació andorrana sobre protecció de dades.
A aquest efecte té les competències de control, assessorament, informació, cooperació, investigació i inspecció, resolució i sanció que li atribueix la Llei de protecció de dades vigent i la resta de la normativa.
L’Agència Andorrana de Protecció de Dades no és competent per controlar les operacions de tractament efectuades pels tribunals en l’exercici de la seva funció judicial.
Article 5. Competències específiques en matèria d’inspecció i investigació
Dins el marc de les competències d’inspecció i investigació que té atribuïdes legalment, l’Agència Andorrana de Protecció de Dades pot:
Ordenar al responsable i a l’encarregat del tractament de dades personals, i, si escau, al representant del responsable o de l’encarregat del tractament, que facilitin qualsevol informació necessària per complir les seves funcions.
Dur a terme investigacions en forma d’auditories de protecció de dades; si escau, comptant amb experts nomenats ad hoc de manera motivada per l’APDA.
Notificar al responsable o a l’encarregat del tractament les presumptes infraccions de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
Obtenir del responsable o de l’encarregat del tractament l’accés a totes les dades personals i a tota la informació necessària per exercir les seves funcions.
Obtenir l’accés a tots els locals del responsable i de l’encarregat del tractament, inclosos qualssevol equips i mitjans de tractament de dades, així com a les auditories del programari aplicat al tractament de dades.
Obtenir tota la informació necessària que provi el compliment de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals i dels reglaments que la despleguen.
Tant els responsables com els encarregats del tractament o els representants, com també els delegats de protecció de dades, estan obligats a subministrar als inspectors de l’Agència Andorrana de Protecció de Dades tota la informació que els sol·licitin i els han de facilitar l’accés a les dependències i als recursos informàtics, o d’un altre tipus, destinats al tractament de les dades quan els inspectors els ho sol·licitin en l’exercici d’aquesta facultat de control.
Per reunir les proves necessàries, els inspectors de l’Agència, si escau assistits d’experts externs d’acord amb l’apartat b de l’article anterior, es poden traslladar a l’indret on hi ha els fitxers, constatar el material i elaborar, si cal, un reportatge fotogràfic o per altres mitjans.
En el marc de les inspeccions l’Agència pot requerir la documentació o la informació que consideri rellevant d’acord amb l’ordenament jurídic. A aquest efecte pot:
Sol·licitar la presentació o la tramesa de documents i el lliurament de còpies.
Examinar els suports d’informació que continguin dades personals.
Examinar els equips físics i lògics.
Examinar els sistemes de transmissió i d’accés a les dades.
Dur a terme auditories dels sistemes informàtics per verificar que s’ajusten a les exigències de la Llei de protecció de dades personals.
Instruir i resoldre els expedients informatius o sancionadors.
Article 6. Funcions
L’Agència Andorrana de Protecció de Dades té les funcions generals següents, sense perjudici de les que li atribueixi la legislació vigent:
Controlar i garantir l’aplicació de la Llei i els reglaments vigents sobre protecció de dades personals i proposar millores en aquesta normativa.
Promoure la sensibilització del públic i la comprensió dels riscos dictant les instruccions i les recomanacions necessàries per adequar els tractaments de dades personals als principis de la legislació vigent en matèria de protecció de dades personals; són objecte d’una atenció especial les activitats adreçades específicament als menors d’edat.
Emetre informes, amb caràcter consultiu, en el cas de ser sol·licitats, sobre projectes de llei, projectes de disposicions normatives que elabora el Govern en virtut de delegació legislativa, projectes de reglaments o disposicions de caràcter general que afecten la protecció de dades de caràcter personal.
Emetre, per iniciativa pròpia o a petició de les persones o els organismes interessats, dictàmens destinats al Consell General, al Govern o a altres institucions i organismes, així com al públic, sobre qualsevol assumpte relacionat amb la protecció de les dades personals.
Emetre opinions entorn d’altres lleis o normes que afecten la privacitat de les persones físiques i els tractaments i la seguretat de les dades de caràcter personal.
Respondre per escrit, en el termini màxim de quinze dies hàbils, les consultes que hi formulen les administracions públiques, les entitats públiques i privades i la ciutadania sobre l’aplicació de la legislació de protecció de dades de caràcter personal, i cooperar amb altres autoritats de control. Aquestes consultes han de ser adreçades per escrit o per via telemàtica i han de contenir com a mínim la informació següent:
- La identificació de l’Administració pública, l’entitat pública o privada o la persona sol·licitant.
- La consulta plantejada.
Atendre les peticions que li formulen les persones interessades.
Proporcionar informació sobre els drets de les persones en matèria de protecció de dades personals; en particular, mitjançant les campanyes de difusió, i, a aquest efecte, establir les previsions pressupostàries corresponents.
Publicar la llista de països i d’organitzacions internacionals que disposen d’una protecció adequada en matèria de dades personals.
Atendre les consultes relatives a les comunicacions internacionals de dades personals a països o organitzacions internacionals que no ofereixen un nivell de protecció adequat.
Assessorar els responsables i els encarregats del tractament de dades personals i instar-los a adoptar les mesures necessàries per adequar el tractament de dades personals a la legislació vigent.
Tractar les reclamacions rebudes; investigar, en la mesura oportuna, el motiu de la reclamació i informar la persona reclamant sobre el curs i el resultat de la investigació en un termini raonable, en particular en cas de ser necessàries noves investigacions. L’Agència facilita la presentació de les reclamacions mitjançant un formulari de presentació de reclamacions, també per mitjans electrònics, sense excloure altres mitjans de reclamació.
Incoar, instruir i resoldre expedients.
Instar judicialment, si escau, el cessament dels tractaments, com a mesura cautelar o mesura definitiva. Elaborar i publicar una memòria anual relativa a la seva activitat, que és accessible de forma gratuïta. Aquesta memòria ha de contenir com a mínim una descripció de l’activitat anual de l’Agència amb els resultats de l’actuació i les tasques efectuades tant pel cap de l’Agència com pels inspectors.
Article 7. Composició
L’Agència Andorrana de Protecció de Dades està integrada per:
El cap de l’Agència.
Els inspectors, que depenen del cap de l’Agència.
El cap de l’Agència i els inspectors de Protecció de Dades són designats pel Consell General, per majoria qualificada de dos terceres parts en primera votació; si en una primera votació no s’assoleix la majoria requerida, queden elegits els candidats que, en una segona votació, obtinguin el vot favorable de la majoria absoluta.
Tots els membres de l’Agència Andorrana de Protecció de Dades han de posseir la titulació, l’experiència i les aptituds, en particular en l’àmbit de la protecció de dades personals, necessàries per al compliment de les seves funcions i l’exercici de les competències que tenen atribuïdes.
Els inspectors i el cap de l’Agència Andorrana de Protecció de Dades s’han d’abstenir de dur a terme qualsevol acció que sigui incompatible amb les seves funcions i no poden participar, mentre duri el seu mandat, en cap activitat professional que hi sigui incompatible, tant si és remunerada com si no ho és.
El càrrec d’inspector o cap de l’Agència Andorrana de Protecció de Dades és incompatible:
Amb el de membre del Consell General.
Amb l’exercici de qualsevol altre càrrec públic adscrit a alguna de les institucions de l’Administració pública, sigui per elecció, sigui per nomenament, funcionarial o contractual.
Amb qualsevol funció en partits polítics, sindicats i associacions, patronals i col·legis professionals, tant nacionals com estrangers.
Amb qualsevol càrrec directiu o executiu en partits polítics, sindicats i associacions, patronals i col·legis professionals, tant nacionals com estrangers.
Amb qualsevol activitat que pugui posar en perill la independència i la imparcialitat en el compliment de les obligacions, segons criteri del Consell General.
Amb l’exercici de la seva professió o qualsevol altra activitat remunerada.
Els inspectors i el cap de l’Agència Andorrana de Protecció de Dades perden la seva condició per les causes següents:
Per defunció.
La consulta d'aquest document no substitueix la lectura del Butlletí Oficial del Principat d'Andorra (BOPA) corresponent. No assumim cap responsabilitat per eventuals inexactituds derivades de la transcripció de l'original a aquest format.