Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.

Si no es compta amb la determinació d’un nivell de protecció adequat per la publicació al Diari Oficial de la Unió Europea, o per la submissió efectiva a les disposicions del Conveni 108+ del Consell d’Europa, el responsable o l’encarregat del tractament de dades personals només pot trametre-les a un tercer país o a una organització internacional si existeixen garanties adequades i si les persones interessades compten amb drets exigibles i accions legals efectives.

Les garanties adequades i els drets exigibles i accions legals efectives de les persones interessades s’han d’avaluar per l’APDA tenint en compte, en particular, l’estat de dret, el respecte dels drets humans i les llibertats fonamentals; la legislació pertinent, tant general com sectorial, inclosa la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal; l’accés de les autoritats públiques a les dades personals, així com l’aplicació d’aquesta legislació; les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloses les normes sobre transferències posteriors de dades personals a un altre tercer país o organització internacional que es compleixen en aquest país o organització internacional; la jurisprudència, així com el reconeixement de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius a les persones interessades de les quals es transfereixen les dades personals. També es consideraran els compromisos internacionals assumits pel tercer país o per la organització internacional de què es tracti, o altres obligacions derivades d’acords o instruments jurídicament vinculants, en especial en relació amb la protecció de les dades personals.

En particular, l’acreditació de que existeixen les garanties adequades referides als apartats anteriors, es pot efectuar mitjançant l’adopció de:

• a) Un instrument jurídicament vinculant i exigible entre les autoritats o els organismes públics.
• b) Normes corporatives vinculants.
• c) Clàusules tipus de protecció de dades adoptades per la Comissió Europea o per l’Agència Andorrana de Protecció de Dades.
• d) Un codi de conducta, juntament amb compromisos vinculants i exigibles del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses les relatives als drets de les persones interessades.
• e) Un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, juntament amb compromisos vinculants i exigibles del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses la relatives als drets de les persones interessades.

Tanmateix, l’acreditació de que existeixen les garanties adequades referides als apartats 1 i 2, es pot efectuar mitjançant:

• a) Clàusules contractuals entre el responsable o l’encarregat i el responsable, l’encarregat o el destinatari de les dades personals al tercer país o organització internacional.
• b) Disposicions incorporades en acords administratius entre les autoritats o els organismes públics, que incloguin drets efectius i exigibles per a les persones interessades.

Si no es compta amb la determinació d’un nivell de protecció adequat per la publicació al Diari Oficial de la Unió Europea, o per la submissió efectiva a les disposicions del Conveni 108+ del Consell d’Europa, el responsable o l’encarregat del tractament de dades personals només pot trametre-les a un tercer país o a una organització internacional si existeixen garanties adequades i si les persones interessades compten amb drets exigibles i accions legals efectives.

Les garanties adequades i els drets exigibles i accions legals efectives de les persones interessades s’han d’avaluar per l’APDA tenint en compte, en particular, l’estat de dret, el respecte dels drets humans i les llibertats fonamentals; la legislació pertinent, tant general com sectorial, inclosa la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal; l’accés de les autoritats públiques a les dades personals, així com l’aplicació d’aquesta legislació; les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloses les normes sobre transferències posteriors de dades personals a un altre tercer país o organització internacional que es compleixen en aquest país o organització internacional; la jurisprudència, així com el reconeixement de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius a les persones interessades de les quals es transfereixen les dades personals. També es consideraran els compromisos internacionals assumits pel tercer país o per la organització internacional de què es tracti, o altres obligacions derivades d’acords o instruments jurídicament vinculants, en especial en relació amb la protecció de les dades personals.

En particular, l’acreditació de que existeixen les garanties adequades referides als apartats anteriors, es pot efectuar mitjançant l’adopció de:

• a) Un instrument jurídicament vinculant i exigible entre les autoritats o els organismes públics.
• b) Normes corporatives vinculants.
• c) Clàusules tipus de protecció de dades adoptades per la Comissió Europea o per l’Agència Andorrana de Protecció de Dades.
• d) Un codi de conducta, juntament amb compromisos vinculants i exigibles del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses les relatives als drets de les persones interessades.
• e) Un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, juntament amb compromisos vinculants i exigibles del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses la relatives als drets de les persones interessades.

Tanmateix, l’acreditació de que existeixen les garanties adequades referides als apartats 1 i 2, es pot efectuar mitjançant:

• a) Clàusules contractuals entre el responsable o l’encarregat i el responsable, l’encarregat o el destinatari de les dades personals al tercer país o organització internacional.
• b) Disposicions incorporades en acords administratius entre les autoritats o els organismes públics, que incloguin drets efectius i exigibles per a les persones interessades.

Si no es compta amb la determinació d’un nivell de protecció adequat per la publicació al Diari Oficial de la Unió Europea, o per la submissió efectiva a les disposicions del Conveni 108+ del Consell d’Europa, el responsable o l’encarregat del tractament de dades personals només pot trametre-les a un tercer país o a una organització internacional si existeixen garanties adequades i si les persones interessades compten amb drets exigibles i accions legals efectives.

Les garanties adequades i els drets exigibles i accions legals efectives de les persones interessades s’han d’avaluar per l’APDA tenint en compte, en particular, l’estat de dret, el respecte dels drets humans i les llibertats fonamentals; la legislació pertinent, tant general com sectorial, inclosa la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal; l’accés de les autoritats públiques a les dades personals, així com l’aplicació d’aquesta legislació; les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloses les normes sobre transferències posteriors de dades personals a un altre tercer país o organització internacional que es compleixen en aquest país o organització internacional; la jurisprudència, així com el reconeixement de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius a les persones interessades de les quals es transfereixen les dades personals. També es consideraran els compromisos internacionals assumits pel tercer país o per la organització internacional de què es tracti, o altres obligacions derivades d’acords o instruments jurídicament vinculants, en especial en relació amb la protecció de les dades personals.

En particular, l’acreditació de que existeixen les garanties adequades referides als apartats anteriors, es pot efectuar mitjançant l’adopció de:

• a) Un instrument jurídicament vinculant i exigible entre les autoritats o els organismes públics.
• b) Normes corporatives vinculants.
• c) Clàusules tipus de protecció de dades adoptades per la Comissió Europea o per l’Agència Andorrana de Protecció de Dades.
• d) Un codi de conducta, juntament amb compromisos vinculants i exigibles del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses les relatives als drets de les persones interessades.
• e) Un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, juntament amb compromisos vinculants i exigibles del responsable o de l’encarregat del tractament al tercer país d’aplicar les garanties adequades, incloses la relatives als drets de les persones interessades.

Tanmateix, l’acreditació de que existeixen les garanties adequades referides als apartats 1 i 2, es pot efectuar mitjançant:

• a) Clàusules contractuals entre el responsable o l’encarregat i el responsable, l’encarregat o el destinatari de les dades personals al tercer país o organització internacional.
• b) Disposicions incorporades en acords administratius entre les autoritats o els organismes públics, que incloguin drets efectius i exigibles per a les persones interessades.