Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.

Són obligats per les disposicions d’aquest Reglament els responsables, corresponsables, encarregats de tractament i subencarregats andorrans o constituïts conforme a les lleis del Principat d’Andorra i els actors exteriors que facin servir mitjans de tractament, automatitzats o no, ubicats en territori andorrà. D’acord amb el principi d’extraterritorialitat del tractament, aquest Reglament també s’aplica al tractament de dades personals per part de responsables o encarregats de fora d’Andorra quan duguin a terme activitats de tractament relacionades amb els interessats andorrans, o que resideixin al Principat d’Andorra, o bé quan el tractament consisteixi a fer oferta de béns i serveis, inclòs el mer control del comportament, a interessats del Principat d’Andorra.

Els conceptes de responsable, corresponsable, encarregat del tractament, subencarregat i representant definits a la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals són conceptes funcionals, ja que tenen per objectiu l’assignació de responsabilitats d’acord amb el rol real de cada part. L’estatus legal d’un actor, doncs, es pot determinar mitjançant una norma amb rang legal i de compliment obligatori per als actors o per a les activitats reals d’aquests actors en un tractament de dades concret, més enllà de les designacions formals que puguin existir.

El règim de corresponsabilitat, que pot sorgir quan hi ha diversos participants en el tractament, es regeix per les condicions generals següents:

• a) Els corresponsables determinen de forma conjunta la finalitat i els mitjans de tractament. Els criteris principals per determinar la corresponsabilitat són la participació conjunta de dos o més entitats en la determinació de finalitats i mitjans d’un o diversos tractaments i la impossibilitat del tractament sense la participació de l’altre o els altres corresponsables.
• b) Si una activitat de tractament, una finalitat o un mitjà de tractament és determinat unilateralment per un dels corresponsables, s’entén que aquest darrer és el responsable únic d’aquell tractament de dades.
• c) Quan hi ha corresponsabilitat, els corresponsables han de formalitzar transparentment i per escrit les funcions de cadascun i la seva relació amb els interessats. No obstant això, s’entén que el règim de responsabilitat és solidari davant els interessats, i per tant els interessats poden adreçar-se a i en contra de qualsevol dels responsables per exercir els seus drets.
• d) En cas de vulneració de la normativa de protecció de dades, tots els corresponsables responen pels danys que hagin pogut ocasionar, independentment de les accions de repetició que es puguin exercir posteriorment entre corresponsables.
• e) La distribució de les responsabilitats respectives entre corresponsables ha de determinar l’exercici dels drets dels interessats, el compliment del deure d’informació, l’aplicació de mesures de seguretat, la notificació de violacions de seguretat i les avaluacions d’impacte relatives a protecció de dades, entre altres aspectes.
• f) En circumstàncies concretes determinades, com en el marc dels assajos clínics i altres investigacions clíniques, hi pot haver responsables independents dels seus tractaments respectius. En aquests casos correspon a cada responsable respondre per les obligacions derivades de la seva activitat, de manera que no es pot apreciar la responsabilitat solidària entre ells pels incompliments que hagi pogut cometre l’altra part o les altres parts.

Sense perjudici del que estableix l’article 15 d’aquest Reglament, es consideren encarregats de tractament les entitats de qualsevol naturalesa o les persones físiques que processin dades personals en nom del responsable del tractament. La qualificació d’encarregat de tractament depèn de dos condicions bàsiques: que sigui una entitat separada del responsable del tractament i que tracti dades personals en nom del responsable del tractament. D’acord amb la Llei 29/2021, un responsable del tractament només ha d’utilitzar encarregats del tractament que proporcionin les garanties suficients per implementar adequadament mesures tècniques i organitzatives perquè el tractament compleixi els requisits de la normativa andorrana de protecció de dades. El grau de suficiència de les garanties depèn d’una anàlisi de risc del responsable que constati, entre altres aspectes, el coneixement expert de l’encarregat, la seva fiabilitat, els recursos de l’encarregat o la seva adhesió a un codi de conducta o mecanisme de certificació aprovat per Andorra que tingui validesa general dins d’Andorra. L’obligació del responsable d’escollir encarregats amb garanties suficients es manté durant tot el tractament, fet que requereix mecanismes adequats per comprovar la vigència de les garanties demostrades.

D’acord amb les obligacions contingudes a la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, i sense perjudici del que estableix l’article 16 d’aquest Reglament, els responsables o encarregats de tractament no domiciliats a Andorra o no constituïts conforme a les lleis del Principat però que facin servir mitjans de tractament, automatitzats o no, ubicats en territori andorrà, han de designar un representant prop de l’Agència Andorrana de Protecció de Dades establert al Principat d’Andorra, d’acord amb els criteris següents:

• a) El representant pot ser una persona física o jurídica que pugui actuar en nom i representació del responsable.
• b) El representant s’ha de designar tenint en compte les seves qualitats professionals i, especialment, els coneixements especialitzats en dret i la pràctica en matèria de protecció de dades. Alternativament, el representant pot no disposar d’aquests coneixements sempre que disposi d’un delegat de protecció de dades ja notificat davant l’Agència Andorrana de Protecció de Dades.
• c) La designació s’ha de notificar a l’Agència Andorrana de Protecció de Dades de forma telemàtica mitjançant els formularis específics, i cal adjuntar-hi el contracte de representació i la documentació que permeti identificar el representant (passaport andorrà o targeta de registre del Registre de Societats Mercantils).
• d) El responsable ha de mantenir actualitzada la informació sobre el representant davant l’Agència Andorrana de Protecció de Dades.