Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.

Una transferència de dades personals a un estat membre de la Unió Europea, a un país de l’Espai Econòmic Europeu, a un país amb un nivell adequat de protecció d’acord amb la Comissió Europea, a un país que hagi ratificat el Conveni 108+, o bé a un tercer país declarat amb un nivell adequat per l’Agència Andorrana de Protecció de Dades, es pot fer mitjançant un instrument jurídic vinculant.

Es pot dur a terme una transferència internacional de dades fora dels països mencionats al punt anterior quan s’ofereixin garanties adequades.

En qualsevol cas, abans de fer una transferència internacional fora dels països mencionats a l’apartat 1 cal fer una anàlisi com a part del compliment del principi de responsabilitat proactiva. L’anàlisi ha d’incloure, com a mínim:

• a) La comprovació d’on van les dades personals (país de destinació), i que les dades transferides són adequades i pertinents i es limiten al que és estrictament necessari en relació amb les finalitats per a les quals es transfereixen i es tracten al tercer país.
• b) La verificació de l’instrument en què es basa la transferència, en particular els regulats a la Llei qualificada de protecció de dades personals. Si es transmeten dades a un tercer país amb un nivell adequat de protecció d’acord amb la Comissió Europea, o bé a un tercer país declarat amb un nivell adequat per l’Agència Andorrana de Protecció de Dades, tan sols cal verificar la vigència de la decisió d’adequació.
• c) L’avaluació de si hi ha algun aspecte de la legislació o la pràctica del tercer país que pugui afectar l’eficàcia de les garanties adequades dels instruments de transferència en què es basa, en el context de la transferència específica. L’avaluació ha de centrar-se principalment en la legislació de tercers països que sigui pertinent per transferir les dades. En absència d’una legislació que reguli les circumstàncies en què les autoritats públiques poden accedir a les dades personals, s’han d’examinar altres elements pertinents i objectius, i no s’ha de confiar en factors subjectius com la probabilitat que les autoritats públiques accedeixin a les dades de forma contrària a les normes de protecció de dades d’Andorra.

L’anàlisi sobre l’existència d’un nivell adequat de protecció de dades recau en el responsable o l’encarregat de tractament que pretén exportar dades, fet que té un impacte evident en les mesures que han de prendre ex ante aquests responsables, ja que, si el resultat de l’avaluació evidencia un risc que no es pot mitigar, cal adoptar mesures addicionals o complementàries. Les mesures addicionals o complementàries poden ser les següents, de manera independent o complementària, segons sigui necessari:

• a) Mesures tècniques que puguin impedir o fer ineficaç l’accés de les autoritats públiques de tercers països a les dades personals, en particular amb finalitats de vigilància.
• b) Mesures contractuals addicionals que puguin reforçar el nivell general de protecció de les dades, obstaculitzant, per exemple, els intents de les autoritats públiques d’accedir a les dades d’una manera no conforme amb les normes d’Andorra.
• c) Mesures organitzatives, que poden consistir en polítiques internes, mètodes organitzatius i normes que els responsables i encarregats del tractament poden aplicar-se a si mateixos i imposar als importadors de dades a tercers països.

Si, malgrat implementar les mesures addicionals o complementàries, no s’aconsegueix mitigar el risc de la transferència internacional a un tercer país, cal formular una consulta davant l’Agència Andorrana de Protecció de Dades, que avalua la pertinència i l’efectivitat de les mesures adoptades i emet un informe favorable o desfavorable sobre les mateixes mesures i, en conseqüència, sobre la transferència internacional.