B
BOPA·CHAT
Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
31 versiones

Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.

Evolución de este artículo a través de todas las versiones de la ley.

v1ModificaciónVigenteBOPA 03411220 sept 2022

Definicions

Decret 367/2022, del 14-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.

A l’efecte d’aquest Reglament s’entén per:

  • a) Dades personals o de caràcter personal: tota informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a una persona física identificada o identificable (“persona interessada”); s’entén per persona física identificable qualsevol persona amb una identitat que es pugui determinar, directament o indirectament, sense esforços desproporcionats, en particular mitjançant un identificador o un o diversos elements específics característics de la seva identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social. A efectes d’aquest Reglament, no es considera dada de caràcter personal la que s’obté d’un tractament que comporti un mer mesurament, sense que el procés vagi acompanyat d’un registre ni una identificació dels interessats.

  • b) Metadades: tota informació secundària constituïda per dades que qualifiquen altres dades, que poden informar sobre la data, la ubicació des d’on s’ha demanat la dada, el moment, qui l’ha facilitat, el tipus de sensor, el seu factor de precisió, etc. Les metadades tenen la consideració de dades personals quan permeten identificar de forma directa o indirecta, sense esforços desproporcionats, una persona física.

  • c) Consentiment de la persona interessada: qualsevol manifestació de voluntat lliure, específica o granular, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin. En tot cas, el consentiment ha d’estar separat de la resta d’operacions del tractament o els termes i les condicions.

  • d) Elaboració de perfils: qualsevol forma de tractament automatitzat de dades personals consistent a utilitzar aquestes dades per avaluar determinats aspectes personals d’una persona física; en especial, per analitzar o predir aspectes relatius al rendiment professional, la situació econòmica, la salut, les preferències personals, els interessos, la fiabilitat, el comportament, la ubicació i els moviments d’aquesta persona, entre d’altres. Les decisions que no estan basades únicament en el tractament automatitzat, sinó que impliquen intervenció humana en alguna fase del tractament, poden incloure també l’elaboració de perfils.

  • e) Anonimització: procés que consisteix a eliminar tots els elements identificatius d’un conjunt de dades personals perquè ja no sigui possible identificar la persona interessada.

  • f) Pseudonimització: tractament de dades personals que no permet atribuir-ne a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti separadament i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable.

  • g) Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona, de manera accidental o il·lícita, en tot cas no autoritzada, la pèrdua, l’alteració o la divulgació de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

  • h) Interès vital: interès essencial per a la vida de la persona interessada.

    • i) Interès legítim: interès (lícit) del responsable del tractament o d’una tercera persona pel tractament de dades personals que prevalgui sobre els interessos, els drets o les llibertats fonamentals de l’interessat, tenint en compte les expectatives raonables dels interessats basades en la seva relació amb el responsable. Són exemples d’interès legítim tractaments efectuats en el marc d’una relació amb un client, quan es tracten dades personals per a finalitats de màrqueting directe, i tractaments per prevenir el frau o per garantir la seguretat de la xarxa i la informació dels seus sistemes informàtics, entre d’altres.

  • j) Dades biomètriques: dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmen la identificació única d’aquesta persona, com imatges facials, dades dactiloscòpiques o patrons d’iris.

  • k) Dades relatives a la salut: dades personals relatives a la salut física o mental d’una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d’atenció sanitària. S’hi inclouen les dades relatives al codi d’identificació de la història clínica o la informació relativa al dopatge d’un esportista.

  • l) Dades economicofinanceres: dades que ofereixen informació sobre la situació econòmica o financera d’un individu. Tenen un grau de sensibilitat elevat, si bé no es consideren categories especials de dades personals.

  • m) Dades de menors o discapacitats: dades de col·lectius vulnerables. Tenen un grau de sensibilitat elevat, si bé no es consideren categories especials de dades personals.

  • n) Transferència internacional de dades: la comunicació de dades personals o la seva posada a disposició a favor d’un destinatari subjecte a la jurisdicció d’un tercer país, o quan el destinatari és una organització internacional.

  • o) Principi d’extraterritorialitat del tractament: aquest Reglament s’aplica a les entitats que tracten dades personals quan facin servir mitjans de tractament ubicats en territori andorrà, tant si aquestes entitats estan establertes al Principat d’Andorra com si no hi estan establertes, d’acord amb l’article 2.2 de la Llei qualificada de protecció de dades personals, i també a les entitats establertes fora del Principat d’Andorra quan les activitats del tractament tinguin per objecte el tractament de dades d’interessats andorrans o que resideixin al Principat d’Andorra o controlin el comportament d’aquests interessats.

  • p) Principi de responsabilitat proactiva: el responsable del tractament ha d’aplicar mesures tècniques i organitzatives apropiades per garantir i poder demostrar que el tractament és conforme amb la Llei qualificada de protecció de dades personals. Aquest principi exigeix una actitud conscient, diligent i proactiva per part de les organitzacions davant de tots els tractaments de dades personals que duguin a terme.

  • q) Coordinador de protecció de dades: persona física integrant del personal d’una entitat que dona assistència al delegat de protecció de dades en tasques organitzatives però que en cap cas n’assumeix funcions ni responsabilitats.