LegalizeLlei 15/2003, del 18 de desembre, qualificada de protecció de dades personals
Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals Atès que el Consell General en la seva sessió del dia 18 de desembre del 2003 ha aprovat la següent:
llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals Exposició de motius Aquesta Llei té per objectiu regular el tractament que tant persones o entitats privades com l'Administració pública andorrana duen a terme sobre les dades corresponents a persones físiques.
Aquesta regulació persegueix tres objectius fonamentals: primer, aportar un grau de protecció suficient i raonable al dret que tota persona té a la seva intimitat, dret fonamental reconegut per la Constitució al seu article 14; segon, que aquesta protecció no impliqui l'establiment d'obligacions excessives que puguin impedir o dificultar greument les activitats econòmiques, administratives o de gestió de les entitats públiques i privades andorranes; tercer, aproximar la legislació andorrana a les normatives del nostre entorn en aquesta matèria.
Amb la regulació que conté aquesta Llei s'ha cercat l'equilibri entre aquests tres principis.
La regulació del tractament de dades personals no és desconeguda en el nostre país. Així, el Reglament sobre el banc de dades del sector públic, aprovat l'any 1976, ja establia tota una sèrie de previsions per al tractament de dades personals, tot i que limitava el camp d'acció a la utilització de les dades dels administrats en el sector públic.
Tenint en compte aquest precedent, la regulació establerta en aquesta Llei conté una previsió específica relativa al tractament de dades per part de l'Administració andorrana i inclou altres qüestions que s'han considerat fonamentals en la regulació del tractament de dades personals.
Així, el capítol primer de la Llei regula l'àmbit territorial i material, amb identificació de les matèries que, per la seva especificitat, s'han d'excloure del seu àmbit d'aplicació; el capítol segon defineix els principis fonamentals aplicables a qualsevol tractament de dades personals; el capítol tercer, els requisits específics aplicables al tractament de dades personals per part d'entitats privades; el capítol quart, els requisits específics per al tractament de dades personals per part d'entitats públiques; el capítol cinquè, les infraccions i sancions que es deriven de l'incompliment de la Llei; el capítol sisè, els requisits aplicables a les comunicacions internacionals de dades personals; el
capítol setè, l'autoritat pública encarregada de vetllar pel compliment de la Llei;
i, finalment, s'estableixen les disposicions de caràcter transitori, addicionals i finals que faciliten el compliment de la Llei.
Capítol primer. Objectiu, àmbit de la Llei i exclusions
Article 1
Objectiu Aquesta Llei té per objectiu protegir i garantir, pel que fa al tractament i a la utilització de dades personals, els drets fonamentals de les persones, i especialment els relatius a la intimitat.
Article 2
Àmbit d'aplicació Aquesta Llei és aplicable a les dades de caràcter personal que siguin susceptibles de tractament i a qualsevol ús posterior d'aquestes dades.
Article 3
Definicions A l'efecte d'aquesta Llei s'entén per:
Dades personals: tota informació relativa o vinculada a persones físiques identificades o identificables.
Tractament de dades personals: tota operació aplicada o realitzada sobre dades personals, sigui o no sigui de forma automatitzada.
Fitxer de dades personals: conjunt estructurat i organitzat de dades personals, qualsevol que sigui la seva forma o modalitat de creació, emmagatzematge, organització i accés.
Responsable del tractament: persona física o jurídica, de naturalesa pública o privada, que decideix sobre el tractament de dades personals i els mitjans que es destinaran a tal tractament, i que vetlla perquè les finalitats que es pretén assolir amb el tractament es corresponguin amb les concretades en la norma o en la decisió de creació del fitxer.
Prestador de serveis de dades personals: persona física o jurídica, de naturalesa pública o privada, que tracta les dades per compte del responsable del tractament, o que accedeix a les dades personals per a la prestació d'un servei a favor i sota el control del responsable del tractament, sempre que no utilitzi les dades a què tingui accés per a finalitats pròpies, o que no les faci servir més enllà de les instruccions rebudes o per a finalitats diferents del servei que ha de prestar a favor del responsable.
Persona interessada: persona física a la qual corresponen les dades de caràcter personal objecte de tractament.
Registres públics: tots els fitxers de dades personals el responsable del tractament dels quals sigui una entitat pública, als quals les persones interessades estan obligades a facilitar les seves dades a efectes d'inscripció o a altres efectes.
Registres públics accessibles: registres públics als quals qualsevol ciutadà o entitat, tant pública com privada, hi pot tenir accés.
Comunicació de dades: qualsevol cessió de dades de caràcter personal que el responsable del tractament dugui a terme en favor d'un tercer destinatari de les dades, sempre que les dades siguin utilitzades pel destinatari per a les finalitats que els són pròpies, incloent-hi qualsevol accés que el destinatari pugui tenir a les dades sota el control del responsable del tractament.
Destinatari: tercera persona, física o jurídica, de naturalesa pública o privada, que tingui accés a una comunicació de dades.
Dades sensibles: dades referents a opinions polítiques, creences religioses, pertanyença a organitzacions polítiques o sindicals, salut, vida sexual o origen ètnic de les persones interessades.
Fitxers de naturalesa privada: fitxers de dades personals el responsable del tractament dels quals és una persona física o una persona jurídica de naturalesa privada o una societat pública sotmesa al dret privat.
Fitxers de naturalesa pública: fitxers de dades personals el responsable del tractament dels quals és l'Administració pública.
Comunicació internacional de dades: tota comunicació de dades, o tot accés a les dades per part d'un prestador de serveis de dades personals, quan els destinataris de la comunicació o els prestadors de serveis estiguin domiciliats a l'estranger, o emprin mitjans de tractament de dades personals ubicats a l'estranger per a la comunicació de les dades o per a la prestació del servei.
Normes de creació de fitxers de naturalesa pública: decrets aprovats i publicats per l'Administració general o, en el cas dels comuns, les disposicions que siguin aplicables d'acord amb la Llei qualificada de delimitació de competències dels comuns, destinats a regular la creació, la modificació o la supressió de fitxers de naturalesa pública, d'acord amb els requisits establerts en els articles 30 i 31 d'aquesta Llei.
Article 4
Àmbit territorial Aquesta Llei s'aplica a la creació de fitxers i al tractament de dades personals per responsables de tractament domiciliats al Principat d'Andorra, o constituïts conforme a les lleis del Principat d'Andorra.
Igualment, aquesta Llei és aplicable als tractaments de dades realitzats per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d'Andorra, quan facin servir mitjans de tractament ubicats en el territori del Principat.
Article 5
Exclusió de matèries Queden fora de l'àmbit d'aplicació d'aquesta Llei el tractament de dades personals relatives a les matèries següents:
Seguretat de l'Estat Investigació i prevenció d'infraccions penals
Article 6
Fitxers particulars Queden fora de l'àmbit d'aquesta Llei els tractaments de dades personals quan el responsable del tractament sigui una persona física, i destini les dades a finalitats exclusivament particulars, com ara les agendes personals o els directoris personals d'adreces i dades de contacte de persones interessades relacionats amb la persona física responsable del tractament.
Article 7
Dades de persones físiques vinculades a la seva activitat empresarial, professional o comercial Queden fora de l'àmbit de la Llei les dades de persones físiques vinculades a la seva activitat empresarial, professional o comercial, en les circumstàncies següents:
Dades de personal de persones jurídiques o d'establiments comercials o professionals, quan la informació vinculada a la persona física es refereixi únicament a la seva pertinença a l'empresa o a l'establiment, o a la seva qualitat professional en el si de l'empresa o l'establiment.
Dades de persones físiques pertanyents a col·lectius professionals, sempre que les dades es refereixin únicament a l'activitat professional de la persona i a la seva pertinença a un col·lectiu professional determinat.
Dades de professionals autònoms o d'establiments professionals o comercials, quan les dades es refereixin únicament a la seva activitat professional o comercial.
Article 8
Aplicació supletòria de la Llei Aquesta Llei s'aplica, amb caràcter subsidiari, a allò que no estigui regulat en la normativa aplicable a registres públics i en la normativa aplicable al secret bancari. En cas de contradicció entre aquesta Llei de dades personals i les normatives específiques esmentades, prevalen aquestes últimes, que en cap cas s'han d'entendre derogades per aquesta Llei qualificada de protecció de dades personals.
Article 9
Secret professional Aquesta Llei s'aplica amb caràcter addicional a les normes reguladores del secret professional, per a les activitats i professions sotmeses a aquesta obligació, normes reguladores que en cap cas s'han d'entendre derogades per aquesta Llei.
Capítol segon. Principis aplicables al tractament de dades personals
Secció primera. Principi general
Article 10
Adequació a la llei Únicament són lícits els tractaments de dades de caràcter personal que es realitzin conforme el que disposa aquesta Llei.
Secció segona. Qualitat de les dades
Article 11
Requisits generals de tot tractament Els tractaments de dades personals només els poden dur a terme els responsables del tractament, si reuneixen els requisits següents:
Que el tractament sigui realitzat per a les finalitats previstes, en la norma o en la decisió de creació dels fitxers de dades personals.
Que les dades objecte de tractament es corresponguin amb les dades personals reals de les persones interessades, i que, a aquests efectes, es prenguin mesures per actualitzar-les o suprimir-les.
Que les dades siguin conservades durant els terminis màxims que, d'acord amb la normativa vigent, siguin aplicables i, en qualsevol cas, durant el termini màxim que sigui necessari per a la finalitat prevista per al seu tractament.
D'acord amb la legislació específica, i atesos els valors històrics o científics, s'ha d'establir per reglament el procediment pel qual es decideixi el manteniment íntegre de determinades dades.
Article 12
Confidencialitat i seguretat Els responsables de tractament han d'establir les mesures tècniques i d'organització necessàries per garantir la confidencialitat i la seguretat de les dades personals que siguin objecte de tractament.
Si la totalitat o una part del tractament s'encarrega a prestadors de serveis de dades personals, correspon al responsable del tractament la responsabilitat que els prestadors tinguin establertes mesures tècniques i d'organització suficients per garantir la confidencialitat i la seguretat de les dades objecte del servei. A aquest efecte, els responsables del tractament han d'exigir als prestadors de serveis de dades personals l'establiment de les mesures tècniques i d'organització que el responsable de tractament consideri mínimes, sempre que aquestes mesures mínimes es corresponguin amb les que el mateix responsable tingui establertes per a tractaments de dades pròpies i de naturalesa anàloga als que siguin objecte del servei.
Secció tercera. Dret d'informació
Article 13
Obtenció de dades de la persona interessada En el moment de la recollida de les dades, la persona interessada té dret a ser informada, per part del responsable del tractament, de les circumstàncies següents:
Identitat del responsable del tractament.
Finalitat del tractament de les dades sol·licitades.
Destinataris o tipus de destinataris de les dades.
Drets d'accés, rectificació i supressió de les seves dades i com pot exercir- los.
Del seu dret a no atorgar el consentiment per al tractament de les dades, i de les conseqüències de no atorgar-lo.
Article 14
Excepcions al dret d'informació Els responsables del tractament no estan obligats a facilitar la informació indicada en l'article anterior quan s'hagi inclòs en les normes de creació de fitxers de naturalesa pública previstes en l'article 30.
Article 15
Dret d'oposició Qualsevol persona interessada té dret a oposar-se que les seves dades siguin objecte de tractament per part d'un responsable de tractament, quan aquest no hagi obtingut les dades directament de la mateixa persona interessada.
A aquests efectes, quan un destinatari de dades de caràcter personal sigui objecte d'una comunicació de dades, i dintre d'un període màxim de quinze dies a comptar del moment en què rebi les dades, ha d'informar les persones interessades de les quals hagi rebut les dades de les circumstàncies següents:
Identitat del nou responsable del tractament.
Identitat de la persona física o jurídica de la qual el responsable ha rebut les dades.
Finalitat del tractament de les dades obtingudes.
Destinataris o tipus de destinataris de les dades.
Drets d'accés, rectificació i supressió de les seves dades i com pot exercir- los.
Dintre d'un termini màxim d'un mes des del moment en què les persones interessades hagin estat informades de les circumstàncies anteriors, aquestes persones poden exercir el seu dret d'oposició, sol·licitant al nou responsable del tractament la supressió de les seves dades. Si al final d'aquest termini no han exercit el seu dret d'oposició, s'entén que consenten al tractament per part del nou responsable.
Article 16
Excepcions al dret d'oposició L'article 15 no és aplicable quan la comunicació de dades tingui lloc en alguna de les circumstàncies següents:
Quan la comunicació de dades es faci entre entitats de naturalesa pública, i aquesta comunicació s'estableixi en les normes de creació de fitxers de naturalesa pública previstes en l'article 30.
Quan la comunicació de dades sigui necessària per al compliment de les finalitats i funcions dels registres públics.
Quan la comunicació de dades es faci en compliment d'una norma vigent, o per al compliment d'una norma vigent.
Quan la comunicació de les dades sigui necessària per al compliment d'obligacions contractuals establertes entre la persona interessada i el responsable del tractament, o sigui necessària per al compliment, desenvolupament i control d'altres relacions jurídiques que puguin existir entre la persona interessada i el responsable del tractament.
Quan la comunicació sigui necessària per preservar l'interès vital de la persona interessada.
Quan la comunicació sigui requerida per una ordre judicial.
Secció quarta. Legitimació per al tractament
Article 17
Consentiment El tractament de dades personals només el poden dur a terme els responsables del tractament amb el consentiment inequívoc de les persones interessades.
Article 18
Excepcions al consentiment El consentiment de les persones interessades per al tractament de les dades no és necessari si s'esdevé alguna de les circumstàncies següents:
Quan el tractament de dades correspongui a entitats de naturalesa pública, sempre que el tractament es faci dintre dels límits establerts en l'apartat a) de l'article 11.
La consulta d'aquest document no substitueix la lectura del Butlletí Oficial del Principat d'Andorra (BOPA) corresponent. No assumim cap responsabilitat per eventuals inexactituds derivades de la transcripció de l'original a aquest format.