Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (Text refós sense caràcter oficial)

Atès que el Consell General en la seva sessió del dia 28 d’octubre del 2021 ha aprovat la següent:

Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals

Han transcorregut gairebé divuit anys d’ençà que el Consell General va aprovar la primera Llei qualificada de protecció de dades personals.

El 28 de gener de 2019 el Principat d’Andorra ha estat el vint-i-cinquè país en signar el Conveni 108+ del Consell d’Europa per a la protecció de dades de les persones en relació al tractament de dades de caràcter personal.

El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, del 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades), ha fixat un nou marc europeu per a la protecció de les dades personals de les persones físiques; i la Directiva (UE) 2016/680 del Parlament Europeu i el Consell, igualment del 27 d’abril de 2016, ha posat unes noves bases relatives a la protecció de les dades personals de les persones físiques respecte al seu tractament per part de les autoritats competents amb finalitats de prevenció, d’investigació o de persecució d’infraccions penals, o d’execució de sancions penals, i a la lliure circulació d’aquestes dades.

Així mateix, la Decisió 2010/625/UE del 19 d’octubre de 2010 va resoldre que el Principat d’Andorra assegurava un nivell adequat de protecció de les dades de caràcter personal, tant en el flux intern com en relació als fluxos transfronterers.

L’ordenament jurídic andorrà estableix que tota persona té dret a la protecció de les dades de caràcter personal que l’afecten, sigui quina sigui la seva nacionalitat o la seva residència, en el marc de l’article 14 de la Constitució del Principat d’Andorra que garanteix el dret a la intimitat, a l’honor i a la pròpia imatge, interpretat a la llum del Conveni europeu per a la Salvaguarda dels Drets Humans i de les Llibertats Fonamentals. La ràpida evolució tecnològica i la globalització plantegen ara nous reptes per a la protecció de les dades personals de les persones físiques.

Aquesta Llei té per objecte actualitzar la normativa relativa al tractament que, tant persones o entitats privades com l’Administració pública andorrana, duen a terme de les dades corresponents a persones físiques acollint-se a la nova regulació europea, continguda al Reglament general de protecció de dades i modernitzant el marc jurídic existent basat en la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals.

S’ha cercat la salvaguarda de les oportunitats d’obertura del Principat d’Andorra derivades de la seva posició geopolítica estratègica dins d’Europa, en conciliació amb totes les garanties de protecció de les dades personals de les persones físiques, sense establir obligacions excessives que puguin impedir o dificultar greument les activitats econòmiques, administratives o de gestió de les entitats públiques i privades andorranes.

Aquesta Llei consta de set capítols i setanta-quatre articles, una disposició addicional, una disposició transitòria, dues disposicions derogatòries i quatre disposicions finals.

Capítol primer. Objecte, àmbit d’aplicació de la Llei i definicions

Article 1. Objecte

1. Aquesta Llei té per objecte la protecció de les dades personals de totes les persones físiques, sigui quina sigui la seva nacionalitat o la seva residència, pel que fa al tractament i a la utilització de les dades, preservant la vida privada.

2. La present Llei protegeix els drets i llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.

Article 2. Àmbit d’aplicació

1. Aquesta Llei és aplicable al tractament totalment o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals continguts o destinats a ser inclosos en un fitxer, i a qualsevol ús posterior d’aquestes dades, tant en el sector públic com privat.

S’aplica a tot tractament de dades personals realitzat per responsables o encarregats del tractament, públics o privats, amb domicili al Principat d’Andorra, o constituïts d’acord amb les lleis del Principat d’Andorra.

2. També és aplicable als tractaments de dades realitzats per responsables o encarregats del tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra, quan facin servir mitjans de tractament ubicats en el territori andorrà, automatitzats o no. Aquests responsables o encarregats del tractament han de designar prop de l’Agència Andorrana de Protecció de Dades un representant establert al Principat d’Andorra.

3. A l’efecte d’aplicació d’aquest article, s’entén per domicili o establiment, amb independència de la seva forma jurídica, qualsevol ubicació estable que permeti l’exercici efectiu i real d’una activitat.

4. S’exclouen de l’àmbit d’aplicació d’aquesta Llei:

Article 3. Dades de les persones difuntes

1. Les persones vinculades al difunt per raons familiars o de fet, així com els seus hereus es poden dirigir al responsable o encarregat del tractament amb l’objecte de sol·licitar l’accés a les dades personals d’aquell i, si s’escau, la seva rectificació o supressió.

Com a excepció, les persones a què es refereix el paràgraf anterior no poden accedir a les dades del causant, ni sol·licitar-ne la rectificació o la supressió, quan la persona difunta ho hagi prohibit expressament o així ho estableixi una llei. Aquesta prohibició no afecta el dret dels hereus a accedir a les dades de caràcter patrimonial del causant.

2. Les persones o institucions a les quals el difunt hagi designat expressament a aquest efecte poden sol·licitar també, d’acord amb les instruccions rebudes, l’accés a les dades personals del difunt i, si s’escau, la seva rectificació o supressió. Per via reglamentària s’han d’establir els requisits i les condicions per acreditar la validesa i la vigència d’aquests manaments i instruccions i, si s’escau, el seu registre.

3. En cas de defunció de persones menors d’edat, aquestes facultats les poden exercir també els seus representants legals o, en el marc de les seves competències, el Ministeri Fiscal, que pot actuar d’ofici o a instància de qualsevol persona física o jurídica interessada.

En cas de defunció de persones amb discapacitat, aquestes facultats també les poden exercir, a més de les persones que assenyala el paràgraf anterior, els qui hagin estat designats per a l’exercici de funcions de suport, si aquestes facultats s’entenen compreses en les mesures de suport prestades pel designat.

4. Les informacions relatives a les persones difuntes, incloses aquelles que figuren als certificats de causes de defunció, poden ser objecte de tractament amb finalitats de recerca, d’estudi o d’avaluació en el camp de la salut, llevat si la persona interessada va expressar per escrit i durant la seva vida la seva oposició a aquest tractament.

Article 4. Definicions

A l’efecte d’aquesta Llei s’entén per:

1. Dades personals o de caràcter personal: tota informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a una persona física identificada o identificable (“persona interessada”); s’entén per persona física identificable qualsevol persona amb una identitat que es pugui determinar, directament o indirectament, en particular mitjançant un identificador, o un o diversos elements específics, característics de la seva identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social.

2. Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin.

3. Tractament de dades personals (“tractament”): qualsevol operació o conjunt d’operacions efectuades mitjançant procediments, automatitzats o no, sobre dades de caràcter personal, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, la difusió, la posada a disposició, o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, bloqueig, supressió o destrucció de dades, o l’aplicació d’operacions lògiques i/o aritmètiques a aquestes dades.

4. Limitació del tractament: el marcatge de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur.

5. Elaboració de perfils: qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d’una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació o els moviments d’aquesta persona.

6. Fitxer de dades personals (“fitxer”): qualsevol conjunt estructurat de dades personals accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica, qualsevol que sigui la seva forma o modalitat de creació, emmagatzematge, organització i accés.

7. Anonimització: procés que consisteix en eliminar tots els elements identificatius d’un conjunt de dades personals perquè ja no sigui possible identificar la persona interessada.

8. Seudonimització: el tractament de dades personals de manera que no es puguin atribuir a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable.

9. Responsable del tractament o responsable: la persona física o jurídica, autoritat competent, pública si escau, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament de dades personals, i vetlla per al seu correcte compliment de conformitat a les normes en matèria de protecció de dades que són d’aplicació a les finalitats del tractament.

10. Encarregat del tractament o encarregat: la persona física o jurídica, autoritat competent, pública si escau, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament.

11. Persona interessada: la persona física identificada o identificable a la qual corresponen les dades de caràcter personal objecte de tractament.

12. Tercer: persona física o jurídica, autoritat pública, servei o organisme, diferent de la persona interessada, del responsable del tractament, de l’encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l’autoritat directa del responsable o de l’encarregat del tractament de dades personals.

13. Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona, de manera accidental o il·lícita, en tot cas no autoritzada, la pèrdua, l’alteració, o la divulgació de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

14. Interès públic: concepte definit i determinat entès com a avantatge general, important i primordial, que justifica la finalitat de la intervenció de l’Estat i en fonamenta la legitimitat, sempre dins del marc de l’objectivitat i dels principis constitucionals de legalitat, de jerarquia, de publicitat de les normes jurídiques, de no retroactivitat de les disposicions restrictives de drets individuals o que comportarien un efecte o establirien una sanció desfavorables, de seguretat jurídica, de responsabilitat dels poders públics i d’interdicció de tota arbitrarietat.

15. Interès vital: interès essencial per a la vida de la persona interessada.

16. Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d’una persona física, que proporcionen una informació única sobre la seva fisiologia o l’estat de salut, obtingudes de l’anàlisi d’una mostra biològica d’aquesta persona.

17. Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única d’aquesta persona, com imatges facials, dades dactiloscòpiques o patrons d’iris.

18. Dades relatives a la salut: dades personals relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària.

19. Representant: persona física o jurídica que, havent estat designada per escrit pel responsable o per l’encarregat del tractament, representa el responsable o l’encarregat del tractament pel que fa a les seves respectives obligacions en el tractament de dades personals.

20. Empresa: persona física o jurídica dedicada a una activitat econòmica, independentment de la seva forma jurídica, incloses les societats o les associacions que exerceixen regularment una activitat econòmica.

21. Grup empresarial: grup constituït per una empresa que exerceix el control i les seves empreses controlades.

22. Normes corporatives vinculants: les polítiques de protecció de dades personals assumides per un responsable o un encarregat del tractament, adoptades de conformitat amb la normativa de protecció de dades personals de la Unió Europea, per a transferències o per a un conjunt de transferències de dades personals a un responsable o un encarregat en un o més tercers països, dins d’un grup empresarial o d’una unió d’empreses dedicades a una activitat econòmica conjunta.

23. Autoritat de control: organisme públic establert per l’Estat amb personalitat jurídica pròpia, independent de les administracions públiques, amb competències de registre, control, inspecció, resolució i sanció, així com de proposició d’adopció de normes, en matèria de protecció de dades personals.

24. Destinatari: persona física o jurídica, autoritat pública, servei o qualsevol altre organisme al qual es comuniquen dades personals, sigui o no una tercera persona. Això no obstant, les autoritats públiques que poden rebre dades personals en el marc d’una investigació concreta, no s’han de considerar com a destinataris, de conformitat amb la normativa aplicable. El tractament d’aquestes dades efectuat per les autoritats públiques referides ha de ser conforme a les normes en matèria de protecció de dades aplicables a les finalitats del tractament.

25. Servei de la societat d’informació: tot servei prestat normalment a canvi d’una remuneració, a distància, per via electrònica i a petició individual d’un destinatari de serveis. Als efectes d’aquesta definició, s’entén per: (i) a distància: un servei prestat sense que les parts estiguin presents simultàniament; (ii) per via electrònica: un servei enviat des de la font i rebut mitjançant equipaments electrònics de tractament (inclosa la compressió digital) i d’emmagatzematge de dades i que es transmet, canalitza i rep enterament per fils, radi, mitjans òptics o qualsevol altre mitjà electromagnètic; i (iii) a petició individual d’un destinatari de serveis: un servei prestat mitjançant transmissió de dades a petició individual.

26. Organització internacional: una organització internacional i els seus ens subordinats de dret internacional públic, o qualsevol altre organisme creat mitjançant un acord entre dos o més països o en virtut d’aquest acord.

27. Transferència internacional de dades: comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país o quan el destinatari sigui una organització internacional.

Capítol segon. Principis aplicables al tractament de dades personals

Article 5. Principis relatius al tractament

1. El tractament de dades ha de ser proporcionat a la finalitat legítima recercada amb l’assoliment, en cada etapa del tractament, d’un equilibri just entre els diversos interessos confrontats, ja siguin públics o privats, que conciliï els drets i llibertats afectats.

2. Les dades personals han de ser:



3. Correspon al responsable del tractament complir i poder demostrar que es compleixen els principis de tractament (“responsabilitat proactiva”).

4. El tractament de dades personals amb finalitats de prevenció, d’investigació, de detecció o d’enjudiciament d’infraccions penals, o d’execució de sancions penals, incloent la protecció contra les amenaces per a la seguretat pública i la prevenció d’aquestes només es pot portar a terme si el responsable del tractament està autoritzat per la Llei a tractar aquestes dades.

Article 6. Licitud del tractament

1. El tractament només és lícit si es compleix, almenys, una de les condicions següents:



2. La base del tractament esmentat a les lletres c) i e) de l’apartat anterior ha de ser establerta per la normativa que resulti d’aplicació al responsable del tractament. La finalitat del tractament s’ha de determinar en aquesta base jurídica o bé, pel que fa al tractament a què es refereix la lletra e) de l’apartat 1, ha de ser necessària per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.

La base jurídica pot contenir disposicions específiques per adaptar l’aplicació de les normes d’aquesta Llei, entre les quals: les condicions generals que regeixen la licitud del tractament efectuat pel responsable; els tipus de dades objecte de tractament; les persones interessades afectades; les entitats a les quals es poden comunicar dades personals i les finalitats d’aquesta comunicació; la limitació de la finalitat; els terminis de conservació de les dades, així com les operacions i els procediments del tractament, incloses les mesures per garantir un tractament lícit i equitatiu, com les relatives a altres situacions específiques de tractament. La base jurídica ha de complir un objectiu d’interès públic i ha de ser proporcional a la finalitat legítima perseguida.

3. Per tal de determinar si el tractament amb una altra finalitat és compatible amb la finalitat per a la qual es van recollir inicialment les dades personals, quan el tractament no es basa en el consentiment de la persona interessada ni en una norma que constitueixi una mesura necessària i proporcional en una societat democràtica per salvaguardar els objectius indicats a l’apartat 1 de l’article 26, el responsable del tractament ha de tenir en compte, entre altres qüestions:

Article 7. Condicions per al consentiment

1. Si el tractament es basa en el consentiment de la persona interessada, el responsable ha de poder demostrar que aquesta hi ha consentit.

2. Si el consentiment de la persona interessada es fa en el context d’una declaració escrita que també es refereix a altres assumptes, la sol·licitud de consentiment s’ha de presentar de manera que es distingeixi clarament dels altres assumptes, de forma intel·ligible, de fàcil accés, i utilitzant un llenguatge clar i senzill. No és vinculant cap part de la declaració que infringeixi aquesta Llei.

3. Quan es pretengui fonamentar el tractament de les dades per a una pluralitat de finalitats en el consentiment de la persona interessada, s’ha de fer constar de manera específica o inequívoca que aquest consentiment s’atorga per a totes les finalitats. Es presumeix que el consentiment no s’ha donat lliurement quan no es permet autoritzar per separat les diferents operacions de tractament de dades personals.

4. La persona interessada té dret a retirar el seu consentiment en qualsevol moment. La retirada del consentiment no afecta la licitud del tractament basada en el consentiment previ a la retirada. Abans que doni el consentiment, se n’ha d’informar la persona interessada. Ha de ser tan fàcil donar el consentiment com retirar-lo.

5. En avaluar si el consentiment s’ha donat lliurement, cal tenir en compte si l’execució d’un contracte, inclosa la prestació d’un servei, està supeditada al consentiment del tractament de dades personals que no siguin necessàries per a executar aquest contracte. No es pot supeditar l’execució del contracte al fet que l’afectat consenti el tractament de les dades personals per a finalitats que no tinguin relació amb el manteniment, el desenvolupament o el control de la relació contractual.

6. Quan el consentiment és necessari per a tractar les dades personals, la persona interessada ha de poder expressar la seva voluntat de forma lliure, clara i després d’haver estat degudament informada.

Article 8. Condicions aplicables al consentiment del menor d’edat en relació als serveis de la societat de la informació

1. En tots els àmbits, i especialment en el de l’oferta directa de serveis de la societat de la informació, el tractament de les dades personals d’un menor d’edat únicament es considera lícit si té com a mínim 16 anys; per als menors de 16 anys, el tractament només es considera lícit si el consentiment l’ha donat o l’ha autoritzat el representant legal del menor d’edat i únicament en la mesura en què s’ha donat o autoritzat. En aquests casos, el responsable del tractament ha de verificar que el consentiment el va donar o autoritzar el representant legal del menor d’edat, tenint en compte la tecnologia disponible.

2. L’apartat anterior no afecta les disposicions generals del dret contractual, com les normes relatives a la validesa, la formació o els efectes dels contractes en relació amb un menor d’edat.

Article 9. Tractament de categories especials de dades personals

1. Es prohibeix el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques destinades a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o l’orientació sexual d’una persona física.

2. L’apartat 1 no és d’aplicació quan concorri una de les circumstàncies següents:



3. La normativa sectorial aplicable pot establir requisits o introduir condicions addicionals, inclús limitacions, relatius a la seguretat i confidencialitat en el tractament de categories especials de dades personals.

Article 10. Tractament de dades personals relatives a condemnes i a infraccions penals

El tractament de dades personals relatives a condemnes i a infraccions penals, o mesures de seguretat connexes, ha de cenyir-se estrictament a les dades que siguin necessàries i només es pot dur a terme quan ho autoritza la Llei o sota la supervisió de les autoritats públiques, amb salvaguardes adequades acompanyades de mesures de caràcter tècnic i organitzatiu.

Únicament es pot portar un registre complet de les dades referides a condemnes i infraccions penals sota el control de les autoritats públiques competents en la matèria.

Article 11. Tractament de dades personals amb finalitats d’arxiu en interès públic, finalitats de recerca científica o històrica o finalitats estadístiques

1. El tractament amb finalitats d’arxiu en interès públic, finalitats de recerca científica o històrica o finalitats estadístiques està subjecte a les garanties adequades per als drets i les llibertats de les persones interessades regulades per aquesta Llei. Aquestes garanties han d’assegurar que es disposa de mesures tècniques i organitzatives, en particular per garantir el respecte del principi de minimització de les dades personals. Aquestes mesures poden incloure la seudonimització, si així es poden aconseguir aquestes finalitats; a menys que no es puguin assolir mitjançant un tractament posterior que no permeti o ja no permeti la identificació de les persones interessades.

2. Quan es tracten dades personals amb finalitats de recerca científica o històrica o amb finalitats estadístiques, els organismes competents per a l’exercici de la funció estadística pública poden denegar les sol·licituds d’exercici presentades per les persones interessades en relació amb els drets establerts als articles 18, 19, 22 i 24, subjectes a les condicions i garanties esmentades a l’apartat 1 anterior, sempre que sigui probable que aquests drets impossibilitin o obstaculitzin greument l’assoliment de les finalitats científiques, i que aquestes excepcions siguin necessàries per assolir aquestes finalitats i que les dades es trobin emparades per les garanties del secret estadístic previstes en la normativa aplicable en la matèria.

3. Quan es tracten dades personals amb finalitats d’arxiu en interès públic els organismes competents en la matèria poden denegar les sol·licituds d’exercici presentades per les persones interessades en relació amb els drets establerts als articles 18, 19, 22, 23 i 24 subjectes a les condicions i garanties esmentades a l’apartat 1, sempre que sigui probable que aquests drets impossibilitin o obstaculitzin greument l’assoliment de les finalitats científiques, i que aquestes excepcions siguin necessàries per assolir aquestes finalitats.

4. Si el tractament esmentat als apartats 2 i 3 serveix al mateix temps per a una altra finalitat, les excepcions que s’hi estableixen només s’apliquen al tractament per a les finalitats que preveuen aquests apartats.

Article 12. Tractament i llibertat d’expressió i d’informació

1. En la mesura en què sigui necessari per conciliar el dret a la protecció de dades personals amb la llibertat d’expressió i d’informació, les disposicions de la lletra d) de l’apartat 2 de l’article 5 i dels articles 9, 10, 15 a 19 i 22 i del capítol cinquè no són d’aplicació als tractaments efectuats per alguna de les finalitats següents:



2. Les disposicions de l’apartat anterior s’entenen sense perjudici de l’aplicació de la Llei qualificada de protecció civil als drets a la intimitat, a l’honor i a la pròpia imatge.

Article 13. Tractament que no requereix identificació

1. Si les finalitats per a les quals un responsable tracta dades personals no requereixen o ja no requereixen que el responsable identifiqui una persona interessada, aquest responsable no està obligat a mantenir, obtenir o tractar informació addicional per tal d’identificar l’interessat amb l’única finalitat de complir amb aquesta Llei.

2. En els casos a què es refereix l’apartat 1, quan el responsable és capaç de demostrar que no pot identificar la persona interessada, si és possible l’ha d’informar en conseqüència. En aquests casos no s’apliquen els articles 18 a 23, tret que la persona interessada, a l’efecte d’exercir els seus drets en virtut d’aquests articles, faciliti informació addicional que en permeti la identificació.

Article 14. Tractament de dades de contacte d’empresaris individuals i de professionals

Llevat prova en contrari, es presumeix emparat en les disposicions de la lletra f) de l’apartat 1 de l’article 6, el tractament de les següents dades personals:

Capítol tercer. Drets de la persona interessada

Article 15. Transparència de la informació, comunicació i modalitats d’exercici dels drets

1. El responsable del tractament ha de prendre les mesures oportunes per facilitar a la persona interessada tota la informació que indiquen els articles 16 i 17, així com qualsevol comunicació relativa al tractament, en correspondència als drets d’accés, rectificació, supressió, a la limitació del tractament, i d’oposició i a la portabilitat de les dades, i també relativa a les decisions individuals automatitzades, inclosa l’elaboració de perfils, i a la violació de la seguretat de les dades personals de la persona interessada en el cas escaient. Ha de fer-ho d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, sobretot si la informació s’adreça específicament a un menor d’edat. La informació s’ha de facilitar per escrit o per altres mitjans, inclosos, si escau, els mitjans electrònics. Si la persona interessada ho sol·licita demostrant la seva identitat, la informació es pot facilitar verbalment per altres mitjans.

El responsable del tractament està obligat a informar la persona interessada sobre els mitjans a la seva disposició, fàcilment accessibles, per a exercir els drets que li corresponen. En els casos referits a l’apartat 2 de l’article 13, el responsable no es pot negar a actuar a petició de la persona interessada amb la finalitat d’exercir els seus drets en virtut dels articles 18 a 25, llevat que pugui demostrar que no està en condicions d’identificar a la persona interessada.

2. El responsable del tractament ha de facilitar a la persona interessada l’exercici dels seus drets d’accés, rectificació, supressió, a la limitació del tractament, i d’oposició i a la portabilitat de les dades, i també relatius a les decisions individuals automatitzades, inclosa l’elaboració de perfils, excepte que no pugui identificar la persona interessada o que les finalitats per a les quals es tracten les dades no requereixin que la persona sigui identificada. Els drets s’exerceixen directament per la persona interessada o per mitjà d’un representant. Els representants legals poden exercir, en nom dels menors de 16 anys, els drets d’accés, rectificació, cancel·lació, oposició o qualssevol altres que els puguin correspondre en el context d’aquesta Llei.

3. Quan se’l sol·licita en relació a l’exercici dels drets d’accés, rectificació, supressió, a la limitació del tractament, i d’oposició i a la portabilitat de les dades, el responsable del tractament ha de facilitar a la persona interessada la informació relativa a les seves actuacions sense dilació indeguda.

En el cas de l’exercici dels drets referits anteriorment, el termini màxim de resposta és d’un mes, a comptar de l’endemà de la data de recepció de la sol·licitud per part del responsable del tractament.

Aquest termini es pot prorrogar dos mesos més, en cas necessari, tenint en compte la complexitat i el nombre de sol·licituds. El responsable ha d’informar la persona interessada de qualsevol d’aquestes pròrrogues en el termini d’un mes a partir de la recepció de la sol·licitud, indicant els motius de la dilació. Quan la persona interessada presenti la sol·licitud per mitjans electrònics, sempre que sigui possible la informació s’ha de facilitar per aquests mateixos mitjans, tret que la persona interessada sol·liciti que es faci d’una altra manera.

Els terminis anteriors es compten de data a data, de tal manera que si en el mes del venciment no hi ha un dia equivalent al de l’inici del còmput, el termini finalitza el dia primer del mes següent i si el darrer dia del termini és festiu, el termini finalitza el primer dia no festiu següent.

4. Tant si li correspon donar lloc a l’exercici dels drets com denegar-lo, el responsable del tractament ha de contestar a la persona interessada en el termini previst a l’apartat 3 anterior. Si correspon una denegació, ha de contestar motivadament, informant de les raons de la seva no actuació o del refús. La persona interessada sempre pot presentar una reclamació davant l’autoritat de control, prèviament a l’exercici d’accions judicials.

5. Quan la persona interessada presenta la sol·licitud per mitjans electrònics, la informació s’ha de facilitar per aquests mateixos mitjans sempre que sigui possible. La informació que s’ha de facilitar a les persones interessades s’ha de transmetre de manera fàcilment visible, intel·ligible i clarament llegible.

6. La informació facilitada a l’empara dels articles 16 i 17, així com qualsevol comunicació relativa al tractament, en correspondència als drets de la persona interessada, ha de ser gratuïta. Si les sol·licituds són manifestament infundades o excessives, especialment a causa del seu caràcter repetitiu, el responsable del tractament pot cobrar un cànon raonable, d’acord amb els costos administratius que s’han afrontat per facilitar la informació o la comunicació, o per dur a terme l’actuació sol·licitada, o negar-se motivadament a actuar respecte de la sol·licitud. Es pot considerar repetitiu l’exercici del dret d’accés si es practica més d’una vegada durant el termini de sis mesos, tret que existeixi una causa legítima per a exercir-lo.

El responsable del tractament ha de demostrar el caràcter manifestament infundat o excessiu de la sol·licitud.

7. Sense perjudici dels tractaments que no requereixen identificació, quan el responsable del tractament tingui dubtes raonables sobre la identitat de la persona física que presenta la sol·licitud d’exercici dels drets, podrà sol·licitar la informació addicional necessària per a confirmar la identitat d’aquesta persona interessada.

8. La informació que s’ha de facilitar a les persones interessades en virtut dels articles 16 i 17 es pot transmetre en combinació amb icones normalitzades, que permetin proporcionar de manera fàcilment visible, intel·ligible i clarament llegible una visió adequada de conjunt del tractament previst. Les icones que es presenten en format electrònic s’han de poder llegir mecànicament.

9. L’encarregat del tractament pot tramitar, pel compte del responsable, les sol·licituds d’exercici dels seus drets que formulin les persones interessades si així ho estableix el contracte o l’acte jurídic que els vincula.

10. La prova del compliment del deure de respondre a la sol·licitud d’exercici dels drets que formula la persona interessada recau sobre el responsable del tractament.

11. Quan les normes aplicables a determinats tractaments estableixen un règim especial que afecta l’exercici dels drets de la persona interessada, cal atenir-se al que disposen aquestes normes.

Article 16. Informació que s’ha de facilitar quan les dades personals s’obtenen de la persona interessada

1. Quan les dades personals que fan referència a la persona interessada s’obtenen d’aquesta, en el moment de recollir-les el responsable del tractament li ha de facilitar la informació següent:



2. A més de la informació esmentada a l’apartat 1, en el moment d’obtenir les dades personals el responsable del tractament ha de facilitar a la persona interessada la informació següent, necessària per garantir un tractament de dades lleial i transparent:



3. Si el responsable del tractament preveu el tractament posterior de les dades personals per a una finalitat que no sigui aquella per a la què es van recollir inicialment, el responsable del tractament ha de proporcionar a la persona interessada informació sobre aquesta nova finalitat i qualsevol informació addicional pertinent, d’acord amb l’apartat 2.

4. Les disposicions dels apartats anteriors no s’apliquen si, i en la mesura en què, la persona interessada ja disposa d’aquesta informació.

Article 17. Informació que s’ha de facilitar quan les dades personals no s’obtenen de la persona interessada

1. Quan les dades personals no s’han obtingut de la persona interessada, el responsable del tractament li ha de facilitar la informació següent:



2. A més de la informació esmentada a l’apartat 1, el responsable del tractament ha de facilitar a la persona interessada la informació següent, necessària per a garantir un tractament lleial i transparent de les seves dades:



3. El responsable del tractament ha de facilitar a la persona interessada la informació esmentada als apartats 1 i 2:



4. Si el responsable del tractament preveu tractar posteriorment les dades personals per a una finalitat diferent de la que va motivar la recollida, abans del tractament posterior ha de proporcionar a la persona interessada informació sobre aquesta altra finalitat i qualsevol informació addicional pertinent, d’acord amb l’apartat 2.

5. Les disposicions dels apartats 1 a 4 no s’apliquen quan:



6. Si el responsable del tractament preveu el tractament posterior de les dades personals per a una finalitat que no sigui aquella per a la què es van recollir inicialment, el responsable del tractament ha de proporcionar a la persona interessada informació sobre aquesta nova finalitat i qualsevol informació addicional pertinent, d’acord amb l’apartat 2.

7. Les administracions públiques poden comunicar-se dades personals informant a la persona interessada sense ser necessari el seu consentiment, sempre que l’Administració pública requeridora justifiqui que les dades sol·licitades són necessàries i proporcionals per a l’exercici de les seves competències en el si de la tramesa d’un procediment administratiu; o estan relacionades amb finalitats científiques, històriques o estadístiques. En el cas que l’Administració pública requeridora no acrediti el que s’ha exposat anteriorment, l’Administració pública requerida ha de refusar-ne la comunicació.

Article 18. Dret d’accés de la persona interessada

1. La persona interessada té dret a obtenir del responsable del tractament, en el termini fixat per l’apartat 3 de l’article 15, confirmació de si s’estan tractant dades personals que l’afecten, i si és així, té dret a accedir a aquestes dades i a la informació i les accions següents:



2. En cas de transferència internacional de dades, la persona interessada té dret a ser informada de les garanties adequades relatives a la transferència.

3. El responsable del tractament ha de facilitar una còpia de les dades personals objecte de tractament. Per qualsevol altra còpia que sol·liciti la persona interessada, el responsable té dret a percebre un cànon raonable basat en els costos administratius. Quan la persona interessada presenti la sol·licitud per mitjans electrònics, i tret que aquest sol·liciti que es faci d’una altra manera, la informació s’ha de facilitar en un format electrònic d’ús comú.

4. El dret d’obtenir còpia esmentat a l’apartat 3 no pot afectar negativament els drets i les llibertats de tercers.

Article 19. Dret de rectificació

1. La persona interessada té dret a obtenir del responsable del tractament la rectificació de les dades personals inexactes que l’afecten, sense dilació indeguda. La correcció efectiva de les dades s’ha de comunicar a la persona interessada en el termini fixat per l’apartat 3 de l’article 15.

2. Tenint en compte les finalitats del tractament, la persona interessada té dret a que es completin les dades personals incompletes, fins i tot mitjançant una declaració addicional.

3. La persona interessada ha d’indicar en la seva sol·licitud a quines dades es refereix i quina correcció s’hi ha de fer. I ha d’adjuntar a la sol·licitud, quan sigui necessari, la documentació justificativa de la inexactitud o del caràcter incomplet de les dades objecte de tractament.

4. El responsable del tractament ha de comunicar a cadascun dels destinataris als quals s’han comunicat les dades personals qualsevol rectificació d’aquestes, tret que sigui impossible o requereixi un esforç desproporcionat. Si la persona interessada ho sol·licita, el responsable l’ha d’informar sobre aquests destinataris.

Article 20. Dret de supressió (“dret a l’oblit”)

1. La persona interessada té dret a obtenir del responsable del tractament, sense dilació indeguda, en el termini fixat per l’apartat 3 de l’article 15, la supressió de les dades personals que l’afecten. El responsable les ha de suprimir quan concorre alguna de les circumstàncies següents:



2. Si l’accés a les dades personals s’efectua per mitjà d’un cercador, el responsable del tractament ha de desreferenciar les dades en el termini fixat per l’apartat 3 de l’article 15.

3. Si el responsable del tractament que ha fet públiques les dades personals, i està obligat a suprimir-les en virtut del que disposa l’apartat 1, tenint en compte la tecnologia disponible i el cost d’aplicar-la, el responsable del tractament ha d’adoptar mesures raonables, incloses mesures tècniques, per informar els responsables que estan tractant aquestes dades que la persona interessada demana suprimir qualsevol enllaç a les seves dades personals, o qualsevol còpia o rèplica existents. Si la persona interessada ho sol·licita, el responsable l’ha d’informar sobre qui ha estat el destinatari de les seves dades.

4. Els apartats 1, 2 i 3 no s’apliquen quan el tractament és necessari:



5. El responsable del tractament ha de comunicar a cadascun dels destinataris als quals s’han comunicat les dades personals qualsevol supressió d’aquestes, tret que sigui impossible o requereixi un esforç desproporcionat. Si la persona interessada ho sol·licita, el responsable l’ha d’informar sobre aquests destinataris.

Article 21. Garantia dels drets digitals

1. És plenament aplicable a Internet la protecció de les dades personals de totes les persones físiques, sigui quina sigui la seva nacionalitat o la seva residència, pel que fa al tractament i a la utilització de les dades, preservant la vida privada i salvaguardant els drets fonamentals de les persones, bàsicament els relatius a la intimitat i en especial si l’usuari és un menor d’edat.

2. Tot usuari té dret a la neutralitat d’Internet.

3. Tota persona té dret a accedir a Internet independentment de la seva condició personal, social, econòmica o geogràfica. S’ha de garantir per a tota la població un accés universal, assequible, de qualitat i no discriminatori, atenent en particular a:



4. Els usuaris tenen dret a la seguretat de les comunicacions que transmetin i rebin a través d’Internet.

5. Els proveïdors de serveis d’Internet han de proporcionar una oferta transparent de serveis sense cap discriminació per motius tècnics o econòmics i d’informar els usuaris dels seus drets.

Article 22. Dret a la limitació del tractament

1. La persona interessada té dret a obtenir del responsable del tractament la limitació del tractament de les dades, en el termini fixat per l’apartat 3 de l’article 15, si es compleix alguna de les condicions següents:



2. Quan el tractament de dades personals s’ha limitat d’acord amb l’apartat 1, amb l’excepció de la seva conservació, aquestes dades només es poden tractar amb el consentiment de la persona interessada, o per formular, exercir, o defensar reclamacions, o per protegir els drets d’una altra persona física o jurídica, o per raons d’interès públic important.

3. El fet que el tractament de les dades personals estigui limitat ha de constar clarament en els sistemes d’informació del responsable.

4.Qualsevol persona interessada que ha obtingut la limitació del tractament d’acord amb l’apartat 1, ha de ser informada pel responsable abans que s’aixequi aquesta limitació.

5. El responsable del tractament ha de comunicar a cadascun dels destinataris als quals s’han comunicat les dades personals qualsevol limitació del tractament, tret que sigui impossible o requereixi un esforç desproporcionat. Si la persona interessada ho sol·licita, el responsable l’ha d’informar sobre aquests destinataris.

Article 23. Dret a la portabilitat de les dades

1. Amb la finalitat de reforçar encara més el control sobre les seves pròpies dades, quan el tractament s’efectua per mitjans automatitzats, la persona interessada té dret a la portabilitat de les seves dades. Aquest dret consisteix en sol·licitar, rebre i obtenir per part de la persona interessada, en un format estructurat, d’ús comú i de lectura mecànica, les dades personals que l’afecten i que ha facilitat a un responsable del tractament, incloses les dades que l’afecten derivades de la mateixa activitat del responsable del tractament, en el termini fixat per l’apartat 3 de l’article 15. Té dret a transmetre-les a un altre responsable, sense que ho impedeixi el responsable al qual les havia facilitades, quan:



2. En exercir el seu dret a la portabilitat de les dades d’acord amb l’apartat 1 d’aquest article, la persona interessada té dret que les dades personals es transmetin directament de responsable a responsable, quan sigui tècnicament possible.

3. L’exercici del dret a la portabilitat de les dades s’entén sense perjudici del dret de supressió. Aquest dret no s’aplica al tractament necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.

4. L’exercici d’aquest dret no ha de perjudicar els drets i llibertats de persones diferents de la interessada.

Article 24. Dret d’oposició

1. Per motius relacionats amb la seva situació particular i quan el responsable no ha obtingut les dades directament de la persona interessada, aquesta té dret a oposar-se a que les dades personals que l’afecten siguin objecte d’un tractament, inclosa l’elaboració de perfils. En cas d’oposició, en el termini fixat per l’apartat 3 de l’article 15 el responsable del tractament ha de deixar de tractar aquestes dades personals, o acreditar motius legítims imperiosos per al tractament que prevalguin sobre els interessos i els drets i les llibertats de la persona interessada, o per a la formulació, l’exercici o la defensa de reclamacions.

2. Quan el tractament de dades personals té per objecte el màrqueting directe, la persona interessada té dret a oposar-se en tot moment al tractament de les dades personals que l’afecten, inclosa l’elaboració de perfils relacionada amb el màrqueting esmentat; i, en aquest cas, les dades personals s’han de deixar de tractar per a aquestes finalitats en el termini fixat per l’apartat 3 de l’article 15.

3. El dret d’oposició s’ha d’esmentar explícitament i s’ha de presentar amb claredat i al marge de qualsevol altra informació, com a màxim en el moment de la primera comunicació amb la persona interessada.

4. Si les dades personals es tracten amb finalitats de recerca científica o històrica o amb finalitats estadístiques, per motius relacionats amb la seva situació particular, la persona interessada té dret a oposar-se al tractament de dades personals que l’afecten, a menys que el tractament sigui necessari per complir una missió realitzada per raons d’interès públic.

Article 25. Decisions individuals automatitzades i elaboració de perfils

1. Qualsevol persona interessada té dret a no veure’s sotmesa a una decisió que produeixi efectes jurídics que l’afectin, que es basi únicament en un tractament automatitzat de dades destinat a avaluar determinats aspectes de la seva personalitat, inclosa l’elaboració de perfils.

2. L’apartat 1 no és d’aplicació quan aquesta decisió:



3. Les decisions a què es refereix l’apartat 2, lletres a) i c) no s’han de basar en les categories especials de dades personals contemplades per l’article 9, tret que resultin d’aplicació les disposicions de les lletres a) o g) de l’apartat 2 de l’article 9 i que s’hagin pres mesures adequades per protegir els drets i les llibertats i els interessos legítims de la persona interessada.

4. En els casos a què es refereix l’apartat 2, lletres a) i c), el responsable del tractament ha d’adoptar les mesures adequades per protegir els drets i les llibertats i els interessos legítims de la persona interessada; com a mínim, el dret a obtenir intervenció humana del responsable, a expressar el seu punt de vista i a impugnar la decisió.

5. Una persona menor d’edat no pot ser sotmesa a una decisió que es basi únicament en un tractament automatitzat de dades destinat a avaluar determinats aspectes de la seva personalitat, inclosa l’elaboració de perfils, que produeixi efectes jurídics que l’afectin.

Article 26. Limitacions als drets de la persona interessada

1. Únicament per Llei es pot limitar l’abast de les obligacions i dels drets regulats als articles 15 a 25 i 37, així com els establerts a l’article 5 en la mesura en què les seves disposicions es corresponguin amb els drets i les obligacions previstos als articles 15 a 25, sempre que es respectin en l’essencial els drets i les llibertats fonamentals i sigui una mesura necessària i proporcionada al funcionament d’una societat democràtica, amb la finalitat de salvaguardar:



2. Qualsevol norma que es dicti en l’àmbit determinat per l’apartat 1 ha de contenir, com a mínim, disposicions específiques relatives a:

Capítol quart. Responsable i encarregat del tractament de dades personals. Avaluació d’impacte i delegat de protecció de dades

Article 27. Deures i obligacions del responsable del tractament

1. Tenint en compte la naturalesa, l’àmbit, el context i les finalitats del tractament, així com els riscos de probabilitat i de gravetat diversa per als drets i les llibertats de les persones físiques, el responsable del tractament ha de garantir l’aplicació de les mesures tècniques i organitzatives adequades i ha de poder demostrar que el tractament és conforme a aquesta Llei i a les seves normes de desplegament. Aquestes mesures s’han de revisar i actualitzar quan sigui necessari.

2. Quan siguin proporcionades en relació amb les activitats de tractament, entre les mesures esmentades a l’apartat 1 s’hi ha d’incloure l’aplicació, per part del responsable del tractament, de les polítiques de protecció de dades oportunes.

3. El responsable del tractament pot determinar les mesures tècniques i organitzatives en un codi de conducta en matèria de protecció de dades personals, segons previstos a l’article 40. Un cop adoptat el codi de conducta pel responsable del tractament, o la seva modificació o ampliació, el codi es diposita prop de l’Agència Andorrana de Protecció de Dades.

4. L’adhesió a codis de conducta o a un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, pot ser utilitzada per demostrar el compliment de les obligacions per part del responsable del tractament.

5. Quan dos o més responsables determinen conjuntament la finalitat i els mitjans del tractament, se’ls considera corresponsables del tractament.

Els corresponsables han de determinar de manera transparent i de mutu acord les seves responsabilitats respectives pel que fa a l’exercici dels drets de la persona interessada i de les seves obligacions de subministrament d’informació, llevat, i en la mesura en què, les seves responsabilitats respectives estiguin sotmeses a la normativa específica que els hi resulti d’aplicació. Aquest acord pot designar un punt de contacte per les persones interessades, i ha de reflectir degudament les funcions i les relacions dels corresponsables en relació amb les persones interessades. Els aspectes essencials de l’acord s’han de posar a disposició de les persones interessades. Independentment de les condicions contingudes a l’acord entre els corresponsables, les persones interessades poden exercir els seus drets davant i, en contra de cadascun dels responsables.

Article 28. Protecció de dades des del disseny i per defecte

1. Tenint en compte l’estat de la tècnica, el cost d’aplicació i la naturalesa, l’àmbit, el context i les finalitats del tractament, així com els riscos de probabilitat i de gravetat diversa per als drets i les llibertats de les persones físiques, tant en el moment de determinar els mitjans de tractament com en el moment de procedir al tractament, el responsable ha d’implantar les mesures tècniques i organitzatives adequades per aplicar de manera efectiva els principis de protecció de dades i integrar les garanties necessàries en el tractament.

2. El responsable del tractament ha d’aplicar les mesures tècniques i organitzatives adequades per a garantir que, per defecte, únicament es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament, tant pel que fa a la quantitat de dades personals recollides, a l’abast del tractament, com al termini de conservació i a l’accessibilitat.

Aquestes mesures han de garantir en particular que, per defecte, les dades personals no siguin accessibles a un nombre indeterminat de persones físiques sense la intervenció de la persona interessada.

Article 29. Representant dels responsables o encarregats del tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra

1. Quan responsables o encarregats del tractament no domiciliats al Principat, o no constituïts conforme a les lleis del Principat d’Andorra, fan servir mitjans de tractament ubicats en el territori andorrà, automatitzats o no, han de designar prop de l’Agència Andorrana de Protecció de Dades un representant establert al Principat d’Andorra.

2. L’obligació que estableix l’apartat 1 d’aquest article no s’aplica:



3. El responsable o l’encarregat del tractament ha d’encomanar al representant que atengui les consultes sobre tots els assumptes relatius al tractament.

4. La designació d’un representant del responsable o de l’encarregat del tractament s’ha d’entendre sense perjudici de les accions que es poden emprendre contra aquest responsable o encarregat del tractament i de l’exercici per part del representant de l’acció de repetició prop de qui escaigui.

Article 30. Bloqueig de les dades personals

1. El responsable del tractament està obligat a bloquejar les dades personals quan en dugui a terme la rectificació o la supressió.

2. El bloqueig de les dades personals consisteix en la identificació i la reserva d’aquestes, amb l’adopció de mesures tècniques i organitzatives, per impedir-ne el tractament, inclosa la visualització, excepte per a la posada a disposició de les dades als òrgans jurisdiccionals, al Ministeri Fiscal o a les Administracions públiques competents, en particular a l’autoritat de control, per a l’exigència de possibles responsabilitats derivades del tractament i només pel termini de prescripció d’aquestes. Transcorregut aquest termini s’han de destruir les dades.

3. Les dades bloquejades no es poden tractar per a cap finalitat diferent de la que assenyala l’apartat anterior.

4. Quan, per al compliment d’aquesta obligació, la configuració del sistema d’informació no permeti el bloqueig o es requereixi una adaptació que impliqui un esforç desproporcionat, s’ha de fer una còpia segura de la informació de manera que consti una evidència digital, o d’una altra naturalesa, que permeti acreditar l’autenticitat d’aquella, la data del bloqueig i la no manipulació de les dades durant el bloqueig.

5. L’Agència Andorrana de Protecció de Dades pot fixar excepcions a l’obligació de bloqueig que estableix aquest article, en els supòsits en què, atesa la naturalesa de les dades o el fet que es refereixin a un nombre particularment elevat d’afectats, la seva mera conservació, fins i tot bloquejades, pugui generar un risc elevat per als drets dels afectats, així com en els casos en què la conservació de les dades bloquejades pugui implicar un cost desproporcionat per al responsable del tractament.

Article 31. Encarregat del tractament de dades personals

1. L’encarregat del tractament i qualsevol persona que actua sota l’autoritat del responsable o de l’encarregat i té accés a dades personals, només pot tractar aquestes dades seguint instruccions del responsable, tret que hi estigui obligat per una exigència legal.

2. El responsable del tractament té el deure d’escollir un encarregat que ofereixi garanties suficients per aplicar les mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme als requisits d’aquesta Llei i garanteixi la protecció dels drets de la persona interessada.

3. L’encarregat del tractament no pot recórrer a un altre encarregat sense l’autorització prèvia, per escrit, específica o general, del responsable. L’encarregat ha d’informar el responsable de qualsevol canvi previst en la incorporació o la substitució d’altres encarregats i, d’aquesta manera, donar al responsable l’oportunitat d’oposar-se a aquests canvis.

4. El tractament efectuat per l’encarregat del tractament de dades personals es regeix per un contracte escrit que vincula l’encarregat al responsable, i estableix, en el termes definits reglamentàriament, l’objecte, la durada, la naturalesa i la finalitat del tractament, així com el tipus de dades personals, categories de persones interessades i les obligacions i els drets del responsable. El contracte ha d’estipular, en particular, que l’encarregat ha de:



Si l’encarregat considera que una instrucció infringeix aquesta Llei i les seves normes de desenvolupament, n’ha d’informar immediatament el responsable.

5. Quan un encarregat del tractament recorre a un altre encarregat per dur a terme determinades activitats de tractament per compte del responsable, s’han d’imposar a aquest altre encarregat, mitjançant un contracte escrit, les mateixes obligacions de protecció de dades que les estipulades en el contracte entre el responsable i l’encarregat, especialment la prestació de garanties suficients d’aplicació de mesures tècniques i organitzatives adequades de manera que el tractament sigui conforme amb les disposicions d’aquesta Llei. Si aquest altre encarregat incompleix les obligacions de protecció de dades, l’encarregat inicial continua sent plenament responsable del compliment de les obligacions de l’altre encarregat davant del responsable.

6. L’adhesió de l’encarregat del tractament a codis de conducta o un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, es pot utilitzar com a element per demostrar que hi ha les garanties suficients a què es refereixen els apartats 2 i 5.

7. Sense perjudici que el responsable i l’encarregat del tractament subscriguin un contracte individual, el contracte referit als apartats 4 i 5 es pot basar, totalment o parcialment, en les clàusules contractuals tipus a què es refereix l’apartat 8 o a les clàusules contractuals tipus aprovades per la Comissió Europea, fins i tot si formen part d’una certificació concedida al responsable o a l’encarregat de conformitat amb la normativa de protecció de dades personals de la Unió Europea.

8. L’Agència Andorrana de Protecció de Dades pot adoptar clàusules contractuals tipus per a les qüestions a què es refereixen els apartats 4 i 5.

9. El contracte a què es refereixen els apartats 4 i 5 ha de constar per escrit, inclòs en format electrònic.

10. Sense perjudici del règim sancionador previst en aquesta Llei, si un encarregat del tractament infringeix aquesta Llei en determinar els fins i els mitjans del tractament, se l’ha de considerar responsable del tractament pel que fa a dit tractament.

11. En l’àmbit del sector públic, poden atribuir-se les competències pròpies d’un encarregat del tractament a un determinat òrgan de l’Administració pública de la què es tracti o als seus organismes vinculats o dependents mitjançant l’adopció d’una norma reguladora de les referides competències, que ha d’incorporar el contingut previst a l’apartat 4.

Article 32. Avaluació d’impacte en relació a la protecció de dades personals

1. Quan sigui probable que un tipus de tractament, especialment si utilitza noves tecnologies, i tenint en compte la seva naturalesa, abast, context o finalitats, pot comportar un alt risc per als drets i les llibertats de les persones físiques, abans del tractament, el responsable, ja sigui públic o privat, ha d’avaluar l’impacte de les operacions de tractament en la protecció de dades personals. Una única avaluació pot abordar una sèrie d’operacions de tractament similars que comportin alts riscos similars.

2. El responsable del tractament ha de demanar l’assessorament del delegat de protecció de dades, si l’ha designat, en el moment de realitzar l’avaluació d’impacte relativa a la protecció de dades.

3. L’avaluació d’impacte relativa a la protecció de les dades a què es refereix l’apartat 1 s’ha de requerir, en particular, en cas de:



4. L’Agència Andorrana de Protecció de Dades ha d’establir i publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades, de conformitat amb l’apartat 1.

5. L’Agència Andorrana de Protecció de Dades també pot establir i publicar la llista dels tipus de tractament que no requereixen avaluacions d’impacte relatives a la protecció de dades.

6. L’avaluació ha d’incloure, com a mínim:



7. El compliment dels codis de conducta pels responsables o encarregats corresponents, s’ha de tenir degudament en compte en avaluar les repercussions de les operacions de tractament efectuades per aquests responsables o encarregats, en particular a l’efecte de l’avaluació d’impacte relativa a la protecció de dades.

8. Si escau, el responsable ha de recollir l’opinió de les persones interessades o dels seus representants en relació amb el tractament previst, sense perjudici de la protecció d’interessos públics o comercials o de la seguretat de les operacions de tractament.

9. Si cal, el responsable ha d’examinar si el tractament es fa d’acord amb l’avaluació d’impacte relativa a la protecció de dades, com a mínim quan hi hagi un canvi del risc que representen les operacions de tractament.

10. Reglamentàriament es fixen la resta de condicions en què s’efectua l’avaluació, així com l’escala de riscos.

Article 33. Consulta prèvia

1. El responsable ha de consultar a l’Agència Andorrana de Protecció de Dades abans de procedir al tractament si una avaluació d’impacte relativa a la protecció de les dades personals, en virtut del que disposa l’article 32, mostra que el tractament comporta un alt risc, si el responsable no pren mesures per mitigar-lo.

2. Quan l’Agència Andorrana de Protecció de Dades consideri que el tractament a què es refereix l’apartat 1 pot infringir aquesta Llei, especialment quan el responsable no ha identificat o mitigat suficientment el risc, en un termini de vuit setmanes des de la sol·licitud de la consulta, ha d’assessorar el responsable per escrit, i si escau l’encarregat, i pot utilitzar qualsevol dels poders que li atribueix aquesta Llei. Aquest termini es pot prorrogar sis setmanes, segons la complexitat del tractament previst. L’Agència Andorrana de Protecció de Dades ha d’informar el responsable, i si escau l’encarregat, d’aquesta pròrroga, en el termini d’un mes a partir de la recepció de la sol·licitud de consulta, i indicar-li els motius de la dilació. Aquests terminis es poden suspendre fins que l’Agència Andorrana de Protecció de Dades obtingui la informació sol·licitada per a les finalitats de la consulta.

3. Quan consulti a l’Agència Andorrana de Protecció de Dades de conformitat amb l’apartat 1, el responsable del tractament li ha de facilitar la informació següent:

Article 34. Registre de les activitats de tractament

1. Els òrgans que constitueixen l’Administració pública, inclosos els organismes autònoms o entitats parapúbliques, així com tota empresa o organització pública, que siguin responsables o encarregats del tractament de dades personals, han de portar un registre de les activitats de tractament efectuades sota la seva responsabilitat.

2. Tota empresa o organització privada que siguin responsables del tractament de dades personals o encarregat del tractament, ha de portar, si escau, un registre de les activitats de tractament efectuades sota la seva responsabilitat.

3. Cada responsable, i si escau el seu representant, han de portar un registre de les activitats de tractament efectuades sota la seva responsabilitat. Aquest registre ha de contenir tota la informació següent:



4. Cada encarregat del tractament i, si escau, el seu representant, que porten el registre, hi han d’indicar totes les categories d’activitats de tractament efectuades per compte d’un responsable. El registre ha de contenir:



5. Els registres han de constar per escrit, inclòs el format electrònic.

6. Quan el responsable o l’encarregat del tractament hagin designat un delegat de protecció de dades, li han de comunicar qualsevol addició, modificació o exclusió en el contingut dels registres.

7. El responsable o l’encarregat del tractament i, si escau, el seu representant, han de posar el registre a disposició de l’Agència Andorrana de Protecció de Dades quan aquesta autoritat de control ho sol·liciti.

8. Les obligacions que estableixen els apartats 2 a 4 no s’apliquen a cap empresa ni organització que tingui menys de 50 treballadors, tret que el tractament pugui comportar un risc per als drets i les llibertats de les persones interessades, no sigui ocasional o inclogui les categories especials de dades personals esmentades a l’article 9, o les dades personals relatives a condemnes i infraccions penals a què es refereix l’article 10.

Article 35. Seguretat i confidencialitat del tractament

1. Tenint en compte l’estat de la tècnica, el cost d’aplicació i la naturalesa, l’abast, el context i les finalitats del tractament, així com els riscos de probabilitat i de gravetat diversa per als drets i les llibertats de les persones físiques, el responsable i l’encarregat del tractament han d’aplicar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, que si escau inclogui, entre altres:



Reglamentàriament es poden establir mesures addicionals.

2. En avaluar l’adequació del nivell de seguretat, cal tenir particularment en compte els riscos que presenta el tractament de dades, en especial com a conseqüència de la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

3. L’adhesió a codis de conducta o a un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, pot servir d’element per demostrar que es compleixen els requisits que estableix l’apartat 1 d’aquest article.

4. El responsable i l’encarregat del tractament han de prendre mesures per garantir que qualsevol persona que actua sota la seva autoritat i que té accés a dades personals només pot tractar aquestes dades seguint les instruccions del responsable, tret que estigui obligada en virtut d’una exigència legal a fer-ho altrament.

5. A més dels deures de secret professional de conformitat amb la normativa aplicable, els responsables del tractament de dades i encarregats del tractament, així com totes les persones que intervinguin en qualsevol de les seves fases estan subjectes al deure de confidencialitat, que es manté encara que hagi finalitzat la relació de l’obligat amb el responsable del tractament o l’encarregat del tractament.

Article 36. Notificació d’una violació de la seguretat de les dades personals a l’autoritat de control

1. En cas de violació de la seguretat de les dades personals, el responsable del tractament l’ha de notificar a l’Agència Andorrana de Protecció de Dades, sense dilació indeguda i, si és possible, en un termini màxim de setanta-dues hores després que n’hagi tingut constància; tret que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques. Si la notificació no es produeix en el termini de setanta-dues hores, s’han de justificar els motius de la dilació.

2. L’encarregat del tractament ha de notificar al responsable del tractament, sense dilació, les violacions de la seguretat de les dades personals de les quals té coneixement.

3. La notificació que preveu l’apartat 1, com a mínim, ha de:



4. Si tota la informació no es pot facilitar simultàniament, en la mesura que no es pugui, s’ha de facilitar de manera gradual sense dilació indeguda.

5. El responsable del tractament ha de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets que hi estan relacionats, els seus efectes i les mesures correctores que s’han adoptat, per tal de permetre a l’autoritat de control verificar el compliment de la notificació.

Article 37. Comunicació d’una violació de la seguretat de les dades personals a la persona interessada

1. Quan la violació de la seguretat de les dades personals pot comportar un alt risc per als drets i les llibertats de les persones físiques, el responsable del tractament l’ha de comunicar a la persona interessada sense dilació indeguda.

2. La comunicació a la persona interessada, referida a l’apartat precedent, ha de descriure, amb un llenguatge clar i senzill, la naturalesa de la violació de la seguretat de les dades personals i ha de contenir, com a mínim, la informació i les mesures previstes a les lletres b), c) i d) de l’apartat 3 de l’article 36.

3. La comunicació a la persona interessada, referida a l’apartat 1, no és necessària si es compleix alguna de les condicions següents:



4. Quan el responsable encara no ha comunicat a la persona interessada la violació de la seguretat de les dades personals, l’autoritat de control, una vegada considerada la probabilitat que aquesta violació comporti un alt risc, pot exigir al responsable que ho faci o bé pot decidir que es compleix alguna de les condicions esmentades a l’apartat precedent.

Article 38. El delegat de protecció de dades (DPD)

1. Els òrgans que constitueixen l’Administració pública, inclosos els organismes autònoms o les entitats parapúbliques, han de designar un delegat de protecció de dades. Resten expressament exclosos d’aquesta obligació els tribunals que actuen en exercici de la seva funció judicial.

2. Tota empresa o organització privada, que siguin responsables del tractament de dades personals o encarregats del tractament de dades de persones físiques de manera automatitzada per a prendre decisions que produeixin efectes jurídics per a les persones físiques, tractin a gran escala categories especials de dades o tractin una quantitat considerable de dades personals d’àmbit nacional o supranacional que puguin afectar un gran nombre d’interessats i que puguin comportar un alt risc per als drets i llibertats de les persones interessades, en particular quan les operacions de tractament dificulten l’exercici dels seus drets, han de designar un delegat de protecció de dades.

3. Quan el responsable o l’encarregat del tractament és un organisme públic, pot designar un únic delegat de protecció de dades per a varis d’aquests organismes en funció de la seva estructura organitzativa i del seu volum. Un grup empresarial també pot nomenar un únic delegat de protecció de dades, sempre que sigui fàcilment accessible des de cada establiment.

4. El responsable o l’encarregat del tractament ha de comunicar les dades de contacte del delegat de protecció de dades a l’Agència Andorrana de Protecció de Dades en el termini de deu dies hàbils següents a la data del seu nomenament; s’han de comunicar així mateix els cessaments dels delegats de protecció de dades en qualsevol supòsit.

L’Agència Andorrana de Protecció de Dades manté una llista actualitzada dels delegats de protecció de dades.

5. El delegat de protecció de dades s’ha de designar atenent a les seves qualitats professionals i, especialment, als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions esmentades en aquest article.

6. El delegat de protecció de dades pot formar part de la plantilla del responsable o de l’encarregat del tractament o exercir les seves funcions en el marc d’un contracte de serveis.

7. Són funcions generals dels delegats de protecció de dades informar i assessorar de les seves obligacions el responsable o l’encarregat del tractament i els empleats que s’ocupen del tractament; supervisar les polítiques del responsable o de l’encarregat del tractament en matèria de protecció de dades personals, inclosa l’assignació de responsabilitats, la conscienciació i la formació del personal que participa en les operacions de tractament i les auditories corresponents; assessorar en l’avaluació d’impacte i supervisar-ne l’aplicació; cooperar amb l’autoritat de control; i actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia a què es refereix l’article 33, i fer consultes, si escau, sobre qualsevol altre assumpte.

8. El delegat de protecció de dades ha d’exercir les seves funcions prestant la deguda atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l’abast, el context i les finalitats del tractament.

Article 39. Posició del delegat de protecció de dades

1. El responsable i l’encarregat del tractament han de garantir que el delegat de protecció de dades participa de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals.

2. El responsable i l’encarregat del tractament han de donar suport al delegat de protecció de dades, en l’acompliment de les funcions esmentades a l’apartat 7 de l’article 38. Han de facilitar els recursos necessaris per complir aquestes tasques i per accedir a les dades personals i a les operacions de tractament, així com per mantenir el seu coneixement expert.

3. El responsable i l’encarregat del tractament han de garantir que el delegat de protecció de dades no rebi instruccions sobre l’exercici d’aquestes tasques. El responsable o l’encarregat no el pot destituir ni sancionar per exercir les seves funcions. El delegat de protecció de dades ha de rendir comptes directament al nivell jeràrquic més alt del responsable o de l’encarregat.

4. Les persones interessades es poden posar en contacte amb el delegat de protecció de dades en relació amb totes les qüestions relacionades amb el tractament de les seves dades personals i per exercir els seus drets, a l’empara d’aquesta Llei.

5. El delegat de protecció de dades està obligat a mantenir el secret o la confidencialitat en tot el que es refereix a l’acompliment de les seves funcions.

6. El delegat de protecció de dades pot exercir altres tasques i funcions. El responsable o l’encarregat del tractament ha de garantir que aquestes tasques i funcions no donen lloc a conflicte d’interessos.

Article 40. Codis de conducta

1. L’Agència Andorrana de Protecció de Dades ha de promoure l’elaboració de codis de conducta destinats a contribuir a la correcta aplicació d’aquesta Llei, tenint en compte les característiques específiques dels diferents sectors de tractament i les necessitats específiques de les microempreses i les petites i mitjanes empreses.

2. Les associacions i altres organismes que representen categories de responsables o d’encarregats del tractament poden elaborar codis de conducta, modificar-los o ampliar-los, per tal d’especificar l’aplicació d’aquesta Llei pel que fa, per exemple, a:



3. El codi de conducta a què es refereix l’apartat 2 ha de contenir mecanismes que permetin a l’organisme previst a l’apartat 1 de l’article 41, efectuar el control obligatori del compliment de les seves disposicions pels responsables o els encarregats de tractament que es comprometin a aplicar-lo sense perjudici de les funcions i els poders de l’Agència Andorrana de Protecció de Dades.

4. Les associacions i altres organismes esmentats a l’apartat 2 que prevegin elaborar un codi de conducta, o modificar o ampliar un codi d’existent, han de presentar el projecte de codi o la modificació o ampliació a l’Agència Andorrana de Protecció de Dades, d’acord amb el procediment que s’estableixi reglamentàriament. L’Agència Andorrana de Protecció de Dades ha de dictaminar si el projecte de codi o la modificació o ampliació és conforme a aquesta Llei i, ha d’aprovar aquest projecte de codi o la modificació o ampliació si considera que les garanties que ofereix són suficients.

5.Tanmateix, els responsables o encarregats del tractament poden adherir-se a codis de conducta aprovats de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tinguin validesa general dins de la Unió.

Article 41. Supervisió de codis de conducta aprovats

1. Sense perjudici de les funcions i els poders de l’Agència Andorrana de Protecció de Dades, la supervisió del compliment del codi de conducta la pot fer un organisme que tingui el nivell adequat de perícia en relació amb l’objecte del codi i que estigui acreditat amb aquesta finalitat per l’autoritat de control.

2. L’organisme a què es refereix l’apartat 1 pot estar acreditat per supervisar el compliment d’un codi de conducta, si, cumulativament:



3. Reglamentàriament s’han d’establir els requisits d’acreditació dels organismes previstos a l’apartat 1.

4. Sense perjudici de les funcions i els poders de l’Agència Andorrana de Protecció de Dades i del règim sancionador previst en aquesta Llei, en cas d’infracció del codi per un responsable o encarregat del tractament, un organisme acreditat a tenor de l’apartat 1, ha de prendre, amb subjecció a garanties adequades, les mesures oportunes, inclosa la suspensió o l’exclusió de l’infractor. Ha d’informar l’Agència Andorrana de Protecció de Dades d’aquestes mesures i de les raons de les mateixes.

5. L’Agència Andorrana de Protecció de Dades ha de revocar l’acreditació de l’organisme, si els requisits d’acreditació no es compleixen o han deixat de complir-se o si l’actuació de l’organisme infringeix aquesta Llei.

6. Aquest article no s’aplica al tractament efectuat per autoritats i organismes públics.

Capítol cinquè. Transferències de dades personals a tercers països o a organitzacions internacionals

Article 42. Principis generals de les transferències

1. No es poden efectuar comunicacions internacionals de dades quan el país o l’organització internacional de destinació de les dades no estableixi, en la seva normativa vigent, un nivell de protecció per a dades de caràcter personal equivalent, com a mínim, al que estableix aquesta Llei.

2. En les transferències de dades personals cap a un tercer país o una organització internacional s’ha de garantir que no es menyscabi el nivell de protecció de les persones físiques que estableix aquesta Llei.

Article 43. Transferències basades en una decisió d’adequació de la UE o en el Conveni 108+ del Consell d’Europa per a la protecció de dades o a membres de la UE

1. El nivell de protecció adequat ve determinat per la publicació al Diari Oficial de la Unió Europea, i al seu lloc web, de la llista de tercers països, territoris i sectors específics en un tercer país i d’organitzacions internacionals respecte dels quals la Unió Europea ha decidit que es garanteix, o que ja no es garanteix, un nivell de protecció adequat; o per la submissió efectiva a les disposicions del Conveni 108+ del Consell d’Europa per a la protecció de dades de les persones en relació al tractament de dades de caràcter personal.

2. Es pot fer una transferència de dades personals a un tercer país o a una organització internacional quan un territori o un o diversos sectors específics d’aquest tercer país o de l’organització internacional de què es tracti garanteixen un nivell de protecció adequat.

S’entén que tenen un nivell de protecció adequat els Estats membres de la Unió Europea.

Article 44. Transferències mitjançant garanties adequades

1. Si no es compta amb la determinació d’un nivell de protecció adequat per la publicació al Diari Oficial de la Unió Europea, o per la submissió efectiva a les disposicions del Conveni 108+ del Consell d’Europa, el responsable o l’encarregat del tractament de dades personals només pot trametre-les a un tercer país o a una organització internacional si existeixen garanties adequades i si les persones interessades compten amb drets exigibles i accions legals efectives.

2. Les garanties adequades i els drets exigibles i accions legals efectives de les persones interessades s’han d’avaluar per l’APDA tenint en compte, en particular, l’estat de dret, el respecte dels drets humans i les llibertats fonamentals; la legislació pertinent, tant general com sectorial, inclosa la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal; l’accés de les autoritats públiques a les dades personals, així com l’aplicació d’aquesta legislació; les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloses les normes sobre transferències posteriors de dades personals a un altre tercer país o organització internacional que es compleixen en aquest país o organització internacional; la jurisprudència, així com el reconeixement de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius a les persones interessades de les quals es transfereixen les dades personals. També es consideraran els compromisos internacionals assumits pel tercer país o per la organització internacional de què es tracti, o altres obligacions derivades d’acords o instruments jurídicament vinculants, en especial en relació amb la protecció de les dades personals.

3. En particular, l’acreditació de que existeixen les garanties adequades referides als apartats anteriors, es pot efectuar mitjançant l’adopció de:



4. Tanmateix, l’acreditació de que existeixen les garanties adequades referides als apartats 1 i 2, es pot efectuar mitjançant:

Article 45. Excepcions per a situacions específiques

1. Si no existeix decisió d’adequació ni garanties adequades, només es pot fer una transferència o un conjunt de transferències de dades personals a un tercer país o a una organització internacional si es compleix alguna de les condicions següents:



2. Fora de l’àmbit de les activitats desenvolupades per les autoritats públiques en l’exercici dels seus poders públics, si no existeix decisió d’adequació, ni tampoc existeixen garanties adequades, i no es pot aplicar a la transferència o a un conjunt de transferències de dades personals cap de les excepcions específiques recollides a l’apartat 1, la transferència només es pot dur a terme si no és repetitiva, afecta un nombre limitat de persones interessades, i és necessària per a les finalitats d’interessos legítims imperiosos perseguits pel responsable del tractament, sobre els quals no prevalen els interessos o els drets i les llibertats de la persona interessada, i el responsable del tractament ha avaluat totes les circumstàncies concurrents en la transferència de dades i, basant-se en aquesta avaluació, ha ofert garanties adequades respecte de la protecció de dades personals. En aquest cas, el responsable del tractament ha d’informar l’autoritat de control de la transferència. També n’ha d’informar la persona interessada notificant-li els interessos legítims imperiosos perseguits i facilitant-li, a més, la informació contemplada als articles 16 i 17.

3. El responsable o l’encarregat del tractament de dades personals han de documentar en el registre de les activitats del tractament l’avaluació i les garanties apropiades referides a l’apartat 2.

4. Les excepcions per a situacions específiques s’han d’interpretar de manera estricta i restrictiva, per tal d’evitar que llur aplicació provoqui qualsevol vulneració dels drets de la persona, en particular del dret a la intimitat.

Capítol sisè. L’autoritat de control independent andorrana

Article 46. Naturalesa jurídica i estructura orgànica de l’Agència Andorrana de Protecció de Dades

1. L’Agència Andorrana de Protecció de Dades (APDA), va ser creada l’any 2003 com organisme públic amb personalitat jurídica pròpia, independent de les administracions públiques i amb plena capacitat d’obrar. És una institució de dret públic que ajusta la seva activitat a l’ordenament jurídic públic.

2. L’Agència Andorrana de Protecció de Dades es configura com una autoritat independent que actua amb objectivitat i plena independència de les administracions públiques andorranes en l’exercici de les seves funcions.

3. L’Agència Andorrana de Protecció de Dades està integrada per:

Article 47 

Article 48. Àmbit d’actuació

1. L’Agència Andorrana de Protecció de Dades exerceix la seva autoritat de control sobre els tractaments de dades personals i sobre qualsevol ús posterior d’aquestes dades, que es duguin a terme al Principat d’Andorra per part dels òrgans que constitueixen l’Administració pública, inclosos els organismes autònoms o entitats parapúbliques; i les persones i les entitats privades que, d’acord amb el que estableix aquesta Llei, són responsables del tractament i tenen el seu domicili al Principat d’Andorra o s’han constituït d’acord amb les lleis del Principat d’Andorra.

2. Pel que fa als encarregats del tractament que tenen el seu domicili al Principat d’Andorra o s’han constituït d’acord amb les lleis del Principat d’Andorra, i amb independència del domicili o la nacionalitat dels responsables del tractament pels quals presten els seus serveis, l’Agència és competent per verificar el compliment d’aquesta Llei.

3. L’Agència Andorrana de Protecció de Dades exerceix així mateix la seva autoritat de control sobre els tractaments de dades que porten a terme els responsables del tractament que no estan domiciliats al Principat d’Andorra o no s’han constituït d’acord amb les lleis del Principat d’Andorra però que utilitzen mitjans de tractament de dades personals ubicats a Andorra.

4. També és competència de l’Agència la col·laboració amb altres autoritats i entitats de control en matèria de dades personals d’altres països.

5. L’Agència Andorrana de Protecció de Dades prendrà mesures per a crear mecanismes de cooperació internacional que facilitin l’aplicació eficaç de la legislació relativa a la protecció de dades personals, a prestar-se mútuament assistència en l’aplicació de la legislació relativa a la protecció de dades personals i promoure l’intercanvi i la documentació legislativa i les pràctiques en matèria de protecció de dades.

Article 49. Competències de l’Agència Andorrana de Protecció de Dades

1. L’Agència Andorrana de Protecció de Dades té dins del seu àmbit d’actuació competències de vigilància del compliment d’aquesta Llei, de proposta de millores en la normativa de protecció de dades personals, de redacció eventual d’informes facultatius i consultius previs als tractaments, d’informació, de consulta, de registre, de control, d’inspecció, d’investigació, de decisió, de resolució i de sanció, i també de cooperació amb altres autoritats de control, de conformitat amb les obligacions que en relació amb aquest darrer aspecte estableixen els convenis internacionals subscrits pel Principat d’Andorra.

2. L’Agència Andorrana de Protecció de Dades no és competent per controlar les operacions de tractament efectuades pels tribunals en l’exercici de la seva funció judicial.

3. L’Agència Andorrana de Protecció de Dades pot proposar les millores que consideri convenients en la normativa de protecció de dades personals; i elabora una memòria anual relativa a la seva activitat i als resultats que se’n deriven. La memòria anual és pública.

Article 50. Funcions de l’Agència Andorrana de Protecció de Dades

1. Sense perjudici de les altres funcions i potestats que li atribueix aquesta llei i la seva normativa de desenvolupament, són funcions de l’Agència Andorrana de Protecció de Dades:



2. L’Agència Andorrana de Protecció de Dades ha de facilitar la presentació de les reclamacions previstes a la lletra k) de l’apartat anterior mitjançant mesures com un formulari de presentació de reclamacions que també pugui emplenar-se per mitjans electrònics, sense excloure altres mitjans de comunicació.

3. L’acompliment de les funcions de l’Agència Andorrana de Protecció de Dades ha de ser gratuït per a la persona interessada i, si escau, per al delegat de protecció de dades.

4. Quan les sol·licituds són manifestament infundades o excessives, especialment a causa del seu caràcter repetitiu, es pot cobrar un preu públic raonable basat en els costos administratius o bé negar-se a actuar respecte de la sol·licitud. La càrrega de demostrar el caràcter manifestament infundat o excessiu de la sol·licitud correspon a l’autoritat de control.

Article 50 bis. La persona Cap de l’Agència Andorrana de Protecció de Dades

1. La persona Cap de l’Agència dirigeix l’Agència Andorrana de Protecció de Dades i n’exerceix la representació legal i institucional. Acompleix les seves funcions amb plena independència, neutralitat i objectivitat, sense subjecció a cap mandat imperatiu ni instrucció.

2. La persona Cap de l’Agència té la consideració d’autoritat pública en el desenvolupament de la seva activitat.

3. La persona Cap de l’Agència de Protecció de Dades és designada pel Consell General, per majoria qualificada de dues terceres parts en primera votació. Si en una primera votació no s’assoleix la majoria requerida anteriorment, queda elegida la persona candidata que, en una segona votació, obtingui el vot favorable de la majoria absoluta.

4. La persona Cap de l’Agència és nomenada per un període renovable de quatre anys.

El nomenament de la persona Cap de l’Agència es publica al Butlletí Oficial del Principat d’Andorra.

Un cop nomenada la persona Cap de l’Agència de Protecció de Dades, ha de prestar jurament o promesa d’acatament davant del síndic general, en la forma prevista pel Reglament del Consell General.

5. Tres mesos abans de produir-se l’expiració del mandat, o un cop aquest hagi expirat si s’ha produït el cessament o el desistiment, el Consell General ordenarà la publicació al Butlletí del Consell General així com al Butlletí Oficial del Principat d’Andorra, d’un avís de convocatòria pública de les persones candidates.

La Comissió legislativa competent en la matèria, constituïda en comitè de validació, avalua les capacitats, competències, idoneïtat i mèrits de les persones candidates, amb audiència d’aquelles que compleixin els requisits mínims. El procediment d’elecció es regirà pel Reglament del Consell General.

6. La persona Cap de l’Agència Andorrana de Protecció de Dades ha de posseir una titulació mínima equivalent al nivell 6 del Marc Andorrà de Qualificacions (MAQ), així com, la competència, l’experiència i les aptituds, en particular en l’àmbit de la protecció de dades personals, necessàries per al compliment de les seves funcions i l’exercici dels seus poders.

7. La persona Cap de l’Agència Andorrana de Protecció de Dades s’ha d’abstenir de qualsevol acció que sigui incompatible amb les seves funcions i no pot participar, mentre duri el seu mandat, en cap activitat professional que sigui incompatible, remunerada o no.

8. El càrrec de Cap de l’Agència Andorrana de Protecció de Dades és incompatible:



9. La persona Cap de l’Agència Andorrana de Protecció de Dades perd la seva condició per les causes següents:



La pèrdua de la seva condició, en els supòsits previstos a les lletres f), g) i h) requerirà l’acord del Ple del Consell General, en sessió pública, per majoria qualificada de dues terceres parts, i prèvia audiència privada davant la Comissió legislativa competent en matèria de protecció de dades.

10. La persona Cap de l’Agència Andorrana de Protecció de Dades està subjecte al deure de secret professional, tant durant el seu mandat com després del mateix, en relació amb les informacions confidencials de les quals té coneixement en el compliment de les seves funcions o en l’exercici dels seus poders. Durant el seu mandat, aquest deure de secret professional s’aplica especialment a la informació rebuda de persones físiques en relació amb infraccions a aquesta Llei.

Article 50 ter. Les funcions de la persona Cap de l’Agència

Correspon a la persona Cap de l’Agència:

Article 51. Règim del personal

1. L’Agència Andorrana de Protecció de Dades, en l’exercici de la seva potestat d’autoorganització, i respectant el límit de despesa de personal consignat en les assignacions anuals del pressupost de què es dota l’Agència, aprova la relació de llocs de treball i n’informa el Consell General.

2. El personal al servei de l’Agència Andorrana de Protecció de Dades és funcionari o personal laboral. En tot cas, les funcions que impliquin l’exercici de l’autoritat o la participació directa o indirecta de potestats públiques són reservades al personal funcionari.

3. Tot el personal de l’Agència Andorrana de Protecció de Dades està subjecte al deure de secret professional en relació amb les informacions confidencials de les quals tenen coneixement en l’exercici de les seves funcions fins i tot després d’haver cessat d’exercir-les. El deure de secret professional durant l’exercici de les funcions s’aplica especialment a la informació rebuda de persones físiques en relació amb infraccions a aquesta Llei.

Article 51 bis. El personal inspector

1. El personal inspector de l’Agència Andorrana de Protecció de Dades és personal funcionari adscrit al servei de l’Agència, i assisteix i col·labora amb la persona Cap de l’Agència en l’exercici de les funcions pròpies de l’Agència.

2. El personal inspector està sotmès al règim establert a les disposicions de la Llei de la Funció pública en tot allò relatiu a drets, obligacions, mobilitat així com la tipificació de faltes i sancions del règim disciplinari.

3. Els requisits i l’organització del conjunt de proves per a la selecció del personal inspector, així com l’avaluació dels resultats d’aquestes, és competència d’un Comitè Tècnic de Selecció que es regeix pels principis d’objectivitat, imparcialitat i professionalitat, i està integrat, per la persona Cap de l’Agència, dos membres de la Comissió legislativa competent en matèria de protecció de dades del Consell General designats per la pròpia Comissió, i dos experts externs designats pels membres de la Comissió.

Presideix el Comitè tècnic de selecció el conseller general designat per la Comissió.

Els costos derivats de la contractació d’experts per part del Comitè tècnic de selecció, així com la resta de costos que es puguin derivar de les activitats del dit Comitè tècnic de selecció són a càrrec de l’Agència.

4. En les bases de la convocatòria del procés de selecció del personal inspector, sigui en modalitat de procés de selecció externa o promoció interna, s’ha d’incloure la formació acadèmica, les competències professionals, així com l’experiència, en l’àmbit de la protecció de dades personals, necessàries per al compliment i l’exercici de les seves funcions.

5. El procediment d’incoació, instrucció i resolució d’expedients disciplinaris es regeix per la Llei de la Funció pública. La persona Cap de l’Agència serà l’encarregada d’incoar i instruir els expedients disciplinaris. La resolució dels expedients disciplinaris són competència d’un Comitè Tècnic d’Avaluació que es regeix pels principis d’objectivitat, imparcialitat i professionalitat, i està integrat per dos membres de la Comissió legislativa competent en matèria de protecció de dades del Consell General, designats per la pròpia Comissió, i dos experts externs designats pels membres de la Comissió.

6. El personal inspector té la consideració d’agent de l’autoritat pública en l’exercici de les seves funcions i estan obligats a mantenir el secret sobre la informació que coneguin en l’exercici d’aquestes fins i tot després d’haver cessat del càrrec.

7. Correspon específicament al personal inspector de l’Agència:



8. La condició de personal inspector és incompatible amb qualsevol activitat que pugui posar en perill la independència i imparcialitat en el compliment de les obligacions.

Article 51 ter. El personal laboral

1. El personal laboral assisteix i col·labora amb la persona Cap de l’Agència en l’exercici de les funcions pròpies de l’Agència.

2. El règim aplicable al personal laboral és el que estableix la normativa vigent en matèria laboral, inclòs pel que fa al règim disciplinari. La potestat disciplinària és exercida per la persona Cap de l’Agència, d’acord amb les garanties, formalitats i graduació de faltes i sancions que preveu la dita normativa.

3. Els llocs reservats al personal laboral adscrit a l’Agència es proveeixen mitjançant una convocatòria pública i d’acord amb els principis d’igualtat, mèrit i capacitat.

4. Són funcions pròpies del personal laboral aquelles que la persona Cap de l’Agència encomani.

5. La condició de personal laboral és incompatible amb qualsevol activitat que pugui posar en perill la independència i imparcialitat en el compliment de les obligacions.

Article 52. Règim econòmic

1. L’Agència Andorrana de Protecció de Dades compta amb les assignacions anuals que s’estableixen als pressupostos del Consell General.

2. Correspon al Tribunal de Comptes la fiscalització externa de la gestió econòmica, financera i comptable de l’Agència.

3. La intervenció del Consell General, d’acord amb les seves normes reguladores, fiscalitza tots els actes, documents i expedients amb incidència sobre les finances de l’Agència, la qual ha d’ajustar la seva comptabilitat al règim de comptabilitat pública preveient un règim intern de signatura mancomunada en la gestió de fons.

4. La fiscalització només té en compte la legalitat dels precedents financers i no l’elecció de les prioritats en l’execució del mandat.

Article 53. Pressupost

L’Agència Andorrana de Protecció de Dades elabora anualment un projecte de pressupost, que sigui suficient, tant a nivell de recursos econòmics com humans, per desenvolupar de manera eficaç i eficient les seves competències. Aquest pressupost es presenta al Consell General, en el marc de les seves competències, per a la seva aprovació.

Article 54. Règim patrimonial i de contractació

1. L’adquisició, l’arrendament i la contractació de béns i serveis per part de l’Agència està sotmesa a la legislació vigent en matèria de contractació pública. Té l’obligació de respectar els principis d’objectivitat, concurrència, transparència i publicitat, en tot procediment de contractació de personal.

2. L’Agència Andorrana de Protecció de Dades té un patrimoni propi constituït pels béns i pels drets que adquireix.

3. L’òrgan de contractació de béns i serveis és la persona Cap de l’Agència, com a òrgan unipersonal.

Article 55

Article 56

Article 57

Article 58. Règim Retributiu

El règim retributiu de la persona Cap de l’Agència, del personal funcionari, així com del personal laboral s’ajusten a les previsions del pressupost de l’Agència aprovat pel Consell General. En tot cas, el règim retributiu de la persona Cap de l’Agència ha de ser aprovat per la Sindicatura, escoltada la Junta de Presidents.

Article 59. Abstenció i recusació

Els motius d’abstenció i de recusació de la persona Cap de l’Agència i del personal funcionari així com de la resta de personal de l’Agència són els que es recullen al Codi de l’Administració.

Capítol setè. Potestats de l’autoritat de control independent andorrana

Article 60. Potestats d’autorització i consultives de l’Agència Andorrana de Protecció de Dades

L’Agència Andorrana de Protecció de Dades disposa de les potestats d’autorització i consultives indicades a continuació:

Article 61. Dret a presentar una reclamació davant l’autoritat de control

1. Qualsevol persona interessada que consideri que el tractament de dades personals que l’afecta infringeix aquesta Llei té dret a presentar una reclamació davant l’Agència Andorrana de Protecció de Dades, per mitjans electrònics o de forma presencial, i aquesta autoritat de control avalua l’admissibilitat a tràmit de la reclamació.

2. Si admet a tràmit la reclamació, l’Agència Andorrana de Protecció de Dades comença una fase d’actuacions prèvies d’investigació a fi d’aconseguir una determinació millor dels fets i de les circumstàncies que justifiquen la tramitació del procediment; i informa la persona reclamant sobre el curs i el resultat de la seva reclamació.

3. Si l’Agència rebutja la reclamació, ha de fer-ho motivadament, i la resolució de refús o el silenci negatiu, segons els terminis regulats al Codi de l’Administració, són susceptibles de ser recorreguts davant els tribunals andorrans.

4. La persona interessada pot actuar personalment o representada per apoderat.

5. Tanmateix, la persona interessada té dret a donar mandat a una entitat, una organització o una associació sense ànim de lucre, constituïda de conformitat amb la normativa andorrana, que tingui objectius estatutaris d’interès públic i que actuï en l’àmbit de la protecció dels drets i les llibertats de les persones interessades en matèria de protecció de les seves dades personals, perquè en nom seu presenti la reclamació prevista en aquest article i, en nom seu exerciti els drets a la tutela judicial efectiva contra l’Agència Andorrana de Protecció de Dades i contra el responsable i l’encarregat del tractament.

Article 62. Potestats d’investigació de l’Agència Andorrana de Protecció de Dades

L’Agència Andorrana de Protecció de Dades disposa de les potestats d’investigació indicades a continuació:

Article 63. Exercici de les potestats d’investigació i d’inspecció de l’Agència Andorrana de Protecció de Dades

1. L’Agència Andorrana de Protecció de Dades disposa de poders d’investigació que pot portar a terme per iniciativa pròpia, o bé a sol·licitud de qualsevol persona interessada que consideri que els seus drets han estat afectats o que un responsable o l’encarregat del tractament ha incomplert les obligacions establertes per aquesta Llei.

2. Per exercir les seves funcions i potestats, l’Agència Andorrana de Protecció de Dades pot dirigir-se directament als responsables de tractament o als encarregats o als representants, o, si escau, als delegats de protecció de dades. Tant els responsables com els encarregats del tractament o els representants, com els delegats de protecció de dades, estan obligats a subministrar als inspectors de l’Agència tota la informació que sol·licitin i també a facilitar-los l’accés a les dependències i als recursos informàtics, o d’altre tipus, destinats al tractament de les dades quan se’ls sol·liciti en l’exercici d’aquesta facultat de control.

3. Dins del marc de qualsevol investigació, per reunir les proves necessàries, els inspectors de l’Agència, si escau assistits d’experts externs segons que estableix l’apartat b) de l’article anterior, es poden traslladar a l’indret d’ubicació dels fitxers, constatar el material, i elaborar, si és convenient, un reportatge fotogràfic o per altres mitjans.

4. En el marc de les inspeccions l’Agència pot requerir documentació o informació que consideri rellevant; en aquest sentit pot:



Les potestats d’investigació i d’inspecció de l’Agència Andorrana de Protecció de Dades es poden exercir durant la pràctica de les actuacions prèvies d’investigació o iniciat un procediment sancionador.

Article 64. Procediment d’inspecció

El procediment d’inspecció s’ajusta a les normes que es determinen reglamentàriament.

Article 65. Procediment sancionador

1. L’Agència Andorrana de Protecció de Dades disposa de la capacitat d’imposar les sancions que es preveuen en aquesta Llei.

2. Per imposar sancions per infraccions comeses en matèria de protecció de dades personals, és obligatòria la tramitació d’un expedient en el curs del qual s’han de respectar les garanties i els requisits previstos en aquesta Llei i els reglaments que la desenvolupen. El procediment sancionador ha de respectar allò que estableix la normativa vigent en cada moment relativa al procediment administratiu sancionador.

3. El procediment sancionador consta de les següents fases:



4. L’inici d’un procediment instructor ha d’especificar els fets, la identificació de la persona o l’entitat contra la qual es dirigeix el procediment, la infracció que s’ha pogut cometre i la possible sanció.

Durant la realització del procediment d’inspecció o davant l’inici del procediment sancionador, l’autoritat de control pot acordar motivadament l’aplicació de mesures provisionals necessàries i proporcionals per salvaguardar el dret a la protecció de dades personals.

5. En qualsevol cas, correspon als inspectors de l’Agència Andorrana de Protecció de Dades remetre al cap de l’Agència les propostes de sancions que es derivin de les seves inspeccions, i correspon al cap l’Agència Andorrana de Protecció de Dades resoldre aquestes propostes.

Article 66. Procediment d’urgència, mesures provisionals i de garantia dels drets

1. En circumstàncies extraordinàries i excepcionals, si l’Agència Andorrana de Protecció de Dades considera que és urgent intervenir per protegir els drets i les llibertats de les persones interessades, pot adoptar immediatament, de manera motivada, mesures provisionals destinades a produir efectes jurídics.

2. Durant la pràctica de les actuacions prèvies d’investigació o iniciat un procediment sancionador, l’Agència Andorrana de Protecció de Dades també pot acordar motivadament les mesures provisionals necessàries i proporcionades per salvaguardar el dret fonamental a la intimitat.

Article 67. Potestats correctives de l’Agència Andorrana de Protecció de Dades

L’Agència Andorrana de Protecció de Dades disposa, acumulativament, de les potestats correctives indicades a continuació:

Article 68. Condicions generals per imposar multes administratives

1. L’incompliment d’aquesta Llei pot ser objecte de multa administrativa. La quantia de la sanció la fixa l’autoritat de control, tenint en compte els criteris indicats a l’apartat 2. Les multes administratives per les infraccions d’aquesta Llei han de ser, en cada cas individual, efectives, proporcionades i dissuasives.

2. D’acord amb les circumstàncies de cada cas individual, les multes administratives s’imposen a títol addicional o a títol substitutiu de les mesures correctives indicades a l’article precedent. En decidir la imposició d’una multa administrativa i la seva quantia, s’ha de tenir en compte per a cada cas individual:



3. Si un responsable o un encarregat del tractament incompleix de manera intencionada o negligent, per les mateixes operacions de tractament o operacions vinculades, diverses disposicions d’aquesta Llei, la quantia total de la multa administrativa no ha de ser superior a la quantia prevista per les infraccions més greus.

Article 69. Tramitació del procediment sancionador en cas de procés penal

1. Si en el decurs de la tramitació d’un procediment sancionador a l’empara d’aquesta Llei es manifesten indicis de conductes que poden constituir una infracció penal, el cap de l’Agència Andorrana de Protecció de Dades ho ha de fer saber a l’òrgan jurisdiccional competent. D’altra banda, la persona competent per incoar el procediment o, si escau, l’instructor ha de suspendre, tot seguit, la tramitació de l’expedient esmentat, la qual cosa interromp el còmput dels terminis de prescripció i caducitat, d’acord amb el que estableix l’article següent.

2. La declaració de fets provats que pugui fer el tribunal penal és vinculant per al cap de l’Agència Andorrana de Protecció de Dades en tant que òrgan competent per dictar la resolució sancionadora.

Article 70. Prescripció i caducitat de les infraccions

1. Les infraccions molt greus, greus i lleus tipificades per aquesta Llei prescriuen al cap de tres anys, dos anys i un any, respectivament.

2. El termini de prescripció de les infraccions es computa des de la data del fet causant o des del dia en què se n’hagi hagut de tenir coneixement.

3. El termini de prescripció s’interromp per qualsevol actuació realitzada amb coneixement formal de la persona expedientada que s’adreci a la iniciació, la tramitació o la resolució del procediment sancionador.

4. En el cas de suspensió de la tramitació del procediment sancionador per causa de prejudicialitat penal, el termini de prescripció de la falta resta suspès fins que el cap de l’Agència Andorrana de Protecció de Dades tingui coneixement formal de la resolució ferma recaiguda en l’àmbit penal.

5. Els procediments d’inspecció i de sanció que ha iniciat l’Agència Andorrana de Protecció de Dades caduquen al cap de sis mesos de la darrera actuació duta a terme sense que s’hagi produït una nova actuació o s’hagi emès una resolució per causa no imputable a la persona interessada.

Article 71. Dret a indemnització i responsabilitat

1. Les sancions regulades pels articles següents s’entenen sense perjudici de la responsabilitat civil en què pugui incórrer un responsable o un encarregat del tractament pels danys i perjudicis que es causin per l’incompliment d’aquesta Llei.

2. Qualsevol persona que hagi patit danys i perjudicis, materials o immaterials, com a conseqüència d’una infracció d’aquesta Llei, té dret a percebre una indemnització del responsable o de l’encarregat del tractament pels danys i perjudicis soferts.

3. Qualsevol responsable que participi en l’operació de tractament ha de respondre dels danys i perjudicis que ha causat, si aquesta operació no compleix el que disposa aquesta Llei. Un encarregat del tractament únicament ha de respondre dels danys i perjudicis causats pel tractament quan no hagi complert amb les obligacions d’aquesta Llei adreçades específicament als encarregats del tractament, o quan hagi actuat al marge o en contra de les instruccions del responsable.

4. Per tal de quedar exempts de responsabilitat, el responsable o l’encarregat del tractament han de demostrar que no són responsables del fet que ha causat els danys i perjudicis.

5. Quan un o més d’un responsable o un o més d’un encarregat del tractament han participat en la mateixa operació de tractament i són declarats responsables del dany o perjudici causat per aquest tractament, la seva responsabilitat es pot considerar solidària, sense perjudici d’un eventual dret de repetició.

6. Les accions judicials en exercici del dret a indemnització s’han de formular davant dels tribunals competents, dins del termini d’un any a comptar de la data de la fermesa de la declaració de la responsabilitat del responsable o de l’encarregat del tractament.

7. Tota persona interessada pot exercir el seu dret a la jurisdicció i accedir a la tutela judicial efectiva, actuant contra un responsable o un encarregat del tractament, al Principat d’Andorra si el responsable o l’encarregat del tractament és un òrgan que constitueix l’Administració pública andorrana, inclosos els organismes autònoms o entitats parapúbliques o si el responsable del tractament és un privat.

Article 72. Infraccions

Constitueixen infraccions els actes i les conductes que siguin contraris a aquesta Llei.

1. Són infraccions considerades molt greus:



2. Són infraccions considerades greus:



3. Són infraccions considerades lleus:

Article 73. Sancions

L’incompliment d’aquesta Llei se sanciona tenint en compte la graduació establerta a l’apartat 2 de l’article 68.

1. Les sancions administratives econòmiques per infraccions considerades molt greus se sancionen amb un import comprès entre 30.001 euros i 100.000 euros.

2. Les sancions administratives econòmiques per infraccions considerades greus se sancionen amb un import comprès entre 15.001 euros i 30.000 euros.

3. Les sancions administratives econòmiques per infraccions considerades lleus se sancionen amb un import comprès entre 500 euros i 15.000 euros.

Article 74. Règim aplicable a determinats responsables o encarregats del tractament

1. El règim establert en aquest article és d’aplicació als tractaments dels quals siguin responsables o encarregats:



2. Per excepció al que disposa l’article anterior, quan els responsables o encarregats enumerats a l’apartat 1 cometin alguna de les infraccions previstes en aquesta Llei, l’Agència Andorrana de Protecció de Dades ha de dictar resolució sancionant-los amb amonestació. La resolució ha d’establir també les mesures que procedeixi adoptar perquè cesi la conducta o es corregeixin els efectes de la infracció que s’hagués comès.

La resolució s’ha de notificar al responsable o encarregat del tractament, a l’òrgan del que depengui jeràrquicament i als afectats que tinguin la condició de persones interessades, si s’escau.

3. Sense perjudici del que estableix l’apartat anterior, l’Agència Andorrana de Protecció de Dades també ha de proposar la iniciació d’actuacions disciplinàries quan existeixin indicis suficients al respecte. En aquest cas, el procediment i les sancions a aplicar són les establertes a la legislació sobre règim disciplinari o sancionador que resulti d’aplicació.

Tanmateix, quan les infraccions siguin imputables a autoritats i directius, i s’acrediti l’existència d’informes tècnics o recomanacions per al tractament que no haguessin estat degudament atesos, a la resolució en la que s’imposi la sanció s’ha d’incloure una amonestació amb denominació del càrrec responsable i s’ha d’ordenar la publicació al Butlletí Oficial del Principat d’Andorra.

4. Les resolucions que recaiguin en relació amb les mesures i actuacions referides als apartats anteriors han de ser comunicades a l’Agència Andorrana de Protecció de Dades.

5. L’Agència Andorrana de Protecció de Dades ha de publicar a la seva pàgina web, amb la deguda separació, les resolucions relatives a les entitats enumerades a l’apartat 1, amb expressa indicació de la identitat del responsable o encarregat del tractament que hagués comés la infracció.

Disposició addicional. Desplegament reglamentari i modificació de normes reglamentàries

1. S’encomana al Govern d’aprovar, en el termini de sis mesos des de la data de publicació d’aquesta Llei, les disposicions reglamentàries necessàries per al seu desplegament.

2. S’encomana al Govern que, en el termini de sis mesos des de la data de publicació d’aquesta Llei, aprovi les modificacions escaients al Reglament de l’Agència Andorrana de Protecció de Dades, a fi d’adaptar les seves disposicions a aquesta Llei.

Disposició transitòria

Quan el responsable i l’encarregat del tractament siguin òrgans que constitueixen l’Administració pública, inclosos els organismes autònoms o entitats parapúbliques, disposen d’un termini de sis mesos des de la data de publicació d’aquesta Llei, per designar el delegat de protecció de dades (DPD).

Disposició derogatòria primera

Queda derogada tota disposició que s’oposi al que estableix a aquesta Llei de dades personals, i, en especial, la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals.

Disposició derogatòria segona

Queda derogada tota la normativa relativa als fitxers i al Registre públic d’inscripció de fitxers de dades personals i queda sense efecte el propi Registre.

Disposició final primera. Modificació de la Llei 2/2013, del 18 d’abril, de la funció de l’estadística pública

1. Es modifica l’apartat 1 de l’article 11 de la Llei 2/2013, del 18 d’abril, de la funció de l’estadística pública, que queda redactat en els termes següents:

“Article 11. Petició i subministrament de la informació

1. Els organismes del sistema estadístic poden sol·licitar dades per recollir informació destinada a l’elaboració d’estadístiques públiques.

[…].”

2. Es modifica l’apartat 2 de l’article 15 de la Llei 2/2013, del 18 d’abril, de la funció de l’estadística pública, que queda redactat en els termes següents:

“Article 15. Dades de caràcter voluntari i protecció del dret a la intimitat

[…]

2. Tota petició d’informació amb finalitat estadística ha de ponderar l’interès públic de l’estadística pública concreta, amb la finalitat de respectar el dret a l’honor i a la intimitat personal i familiar, i a la pròpia imatge, d’acord amb el que estableix l’article 14 de la Constitució i amb la normativa reguladora de la protecció de dades personals vigent en cada moment.”

Disposició final segona. Text consolidat

S’encomana al Govern que en el termini màxim de tres mesos des de l’entrada en vigor d’aquesta Llei i en els termes previstos en l’article 116 del Reglament del Consell General, presenti el Projecte de consolidació de la Llei 2/2013, del 18 d’abril, de la funció de l’estadística pública que integri la legislació vigent sobre la matèria regulada.

Disposició final tercera. Normativa aplicable al tractament de dades amb finalitats de prevenció, investigació, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals

1. S’encomana al Govern que en el termini màxim de dos anys a comptar de l’entrada en vigor d’aquesta Llei, presenti un projecte de Llei relatiu al tractament de dades personals efectuat per part de les autoritats competents amb finalitats de prevenció, investigació, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals, incloent la protecció contra les amenaces per a la seguretat pública i la prevenció d’aquestes, seguint el model previst a la Directiva (UE) 2016/680 del Parlament Europeu i del Consell, del 27 d’abril del 2016, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, investigació, detecció o enjudiciament d’infraccions penals o d’execució de sancions penals, i a la lliure circulació de les dades referides, i per la què es deroga la Decisió Marc 2008/977/JAI del Consell.

Mentre no entri en vigor la Llei prevista a l’apartat anterior, el tractament de dades personals, per part de les autoritats competents, amb finalitats de prevenció, investigació, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals, incloent la protecció contra les amenaces per a la seguretat pública i la prevenció d’aquestes, ha d’ajustar-se a les disposicions previstes als apartats següents.

2. Les dades personals han de ser:



3. Les persones interessades poden exercir els drets d’informació, accés, rectificació, supressió de dades personals i limitació del seu tractament davant el responsable del tractament, qui pot denegar, total o parcialment, les sol·licituds d’exercici d’aquests drets, tenint degudament en compte els drets fonamentals i els interessos legítims de la persona interessada, per:



4. En el cas de denegació o restricció dels drets previstos a l’apartat anterior, la persona interessada pot presentar una reclamació davant l’Agència Andorrana de Protecció de Dades, en la seva qualitat d’òrgan independent encarregat de supervisar el compliment del que preveuen els apartats 2 i 3 anteriors.

El responsable del tractament ha d’informar per escrit a la persona interessada, sense dilació indeguda, sobre la seva decisió i les raons que la fonamenten, així com sobre la possibilitat de presentar una reclamació davant l’autoritat de protecció de dades, i d’interposar un recurs judicial.

Les raons de la denegació o restricció poden ser omeses o ser substituïdes per una redacció neutra quan la revelació dels motius que la fonamenten puguin posar en perill les finalitats del tractament.

5. L’Agència Andorrana de Protecció de Dades no és competent per controlar les operacions de tractament de dades personals dutes a terme en el marc de la tramitació pels òrgans judicials i el Ministeri Fiscal de les actuacions o procediments dels què siguin competents.

L’exercici dels drets d’informació, accés, rectificació, supressió i limitació del tractament referits als apartats anteriors s’ha de dur a terme de conformitat amb la normativa processal penal quan les dades figurin en una resolució judicial, o en un registre, diligències o expedients tramitats en curs d’investigacions i processos penals.

Disposició final quarta. Entrada en vigor de la Llei

Aquesta Llei entra en vigor en el termini de sis mesos des de la seva publicació al Butlletí Oficial del Principat d’Andorra.


Casa de la Vall, 28 d’octubre del 2021



Nosaltres els coprínceps la sancionem i promulguem i n’ordenem la publicació en el Butlletí Oficial del Principat d’Andorra.