Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.

Constitueixen infraccions els actes i les conductes que siguin contraris a aquesta Llei.

1. Són infraccions considerades molt greus:

   • a) El tractament de dades personals que vulneri l’article 5.

   • b) El tractament de dades personals sense que es doni alguna de les condicions de licitud del tractament que estableix l’article 6.

   • c) L’incompliment de les condicions per a la validesa del consentiment que exigeixen els articles 7 i 8.

   • d) La utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per a la qual es van recollir, sense tenir el consentiment de la persona interessada o una base legal per a això.

   • e) El tractament de dades personals de les categories a què es refereix l’article 9, sense que concorri alguna de les circumstàncies contemplades pel precepte esmentat.

   • f) L’incompliment dels articles 10 i 11 en relació al tractament de dades personals relatives a condemnes i a infraccions penals així com amb finalitats d’arxiu en interès públic, de recerca científica o històrica, o estadístiques.

   • g) L’omissió del deure d’informar la persona interessada sobre el tractament de les seves dades personals de conformitat amb els articles 16 i 17.

   • h) L’exigència del pagament d’un cànon per facilitar a la persona interessada informació a l’empara dels articles 16 i 17, així com qualsevol comunicació relativa al tractament de dades, en correspondència als seus drets, excepte en els supòsits permesos per aquesta Llei.

   • d) La falta de formalització per part dels corresponsables del tractament de l’acord que determini les obligacions, les funcions i les responsabilitats respectives respecte al tractament de dades personals i les seves relacions amb les persones interessades.

     • i) L’impediment o l’obstaculització o la no atenció de l’exercici dels drets que estableixen els articles 18, 19, 20, 21, 22, 24 i 25.

   • e) No posar a disposició de les persones interessades els aspectes essencials de l’acord formalitzat entre els corresponsables del tractament.

   • j) La vulneració dels requisits necessaris per a efectuar transferències internacionals de dades personals a un destinatari que es trobi en un país o en una organització internacional que no reuneix les condicions establertes per aquesta Llei.

   • f) L’incompliment de l’obligació de l’encarregat del tractament d’informar el responsable del tractament sobre la possible infracció, per una instrucció rebuda d’aquest, de les disposicions d’aquesta Llei.

   • k) L’incompliment de les resolucions que dicti l’Agència Andorrana de Protecció de Dades;

   • g) L’incompliment per part de l’encarregat de les estipulacions imposades en el contracte que regula el tractament o les instruccions del responsable del tractament, tret que hi estigui obligat de conformitat amb aquesta Llei.

   • l) No facilitar l’accés del personal habilitat de l’autoritat de protecció de dades a les dades personals, la informació, els locals, els equips i els mitjans de tractament que requereixi l’autoritat de protecció de dades per a l’exercici dels seus poders d’investigació.

   • h) Disposar d’un registre d’activitats de tractament que no incorpori tota la informació requerida.

   • m) La resistència o l’obstrucció de l’exercici de la funció inspectora de l’autoritat de protecció de dades;

     • i) La notificació incompleta, tardana o defectuosa a l’autoritat de protecció de dades de la informació relacionada amb una violació de seguretat de les dades personals.

   • n) La reversió deliberada d’un procediment d’anonimització a fi de permetre la reidentificació de les persones interessades.

   • j) L’incompliment de l’obligació de documentar qualsevol violació de seguretat.

2. Són infraccions considerades greus:

   • k) No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible.

   • a) Encarregar el tractament de dades a un tercer sense la formalització prèvia d’un contracte o altre acte jurídic equivalent.

   • l) Els altres actes i les conductes que siguin contraris a aquesta Llei i no siguin considerats infraccions molt greus o greus.

   • b) La contractació per part d’un encarregat del tractament d’altres encarregats sense tenir l’autorització prèvia del responsable, o sense haver-lo informat sobre els canvis produïts en la subcontractació quan siguin exigibles legalment; i, en general, tota infracció a l’article 31.

   • c) El tractament de dades personals sense dur a terme una avaluació de l’impacte de les operacions de tractament en la protecció de dades personals, segons que disposa l’article 32.

   • d) No disposar del registre d’activitats de tractament que estableix l’article 34.

   • e) Incomplir els deures de notificació o de comunicació d’una violació de la seguretat de les dades personals.

   • f) Incomplir la designació d’un delegat de protecció de dades quan sigui exigible el seu nomenament segons l’article 38.

   • g) L’incompliment de l’obligació de bloqueig de les dades.

   • h) El tractament de dades personals d’un menor d’edat sense obtenir el seu consentiment o el del seu representant legal.

     • i) No acreditar la realització d’esforços raonables per verificar la validesa del consentiment prestat per un menor d’edat o pel seu representant legal.

   • j) L’impediment, l’obstaculització o la no atenció reiterada dels drets d’accés, rectificació, supressió, limitació del tractament o a la portabilitat de les dades en tractaments en què no es requereix la identificació de la persona interessada, quan aquesta, per a l’exercici d’aquests drets, hagi facilitat informació addicional que en permeti la identificació.

   • k) La falta d’adopció de les mesures tècniques i organitzatives apropiades per garantir que, per defecte, només es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament o que siguin apropiades per garantir un nivell de seguretat adequat al risc del tractament.

   • l) L’incompliment, com a conseqüència de la falta de la diligència deguda, de les mesures tècniques i organitzatives que s’hagin implantat.

   • m) L’incompliment de l’obligació de designar un representant del responsable o encarregat del tractament no establert al Principat d’Andorra.

   • n) La falta d’atenció per part del representant del responsable o de l’encarregat del tractament de les sol·licituds que efectuïn l’autoritat de protecció de dades o les persones interessades.

   • o) No possibilitar la participació efectiva del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no donar-li suport o interferir en l’exercici de les seves funcions.

3. Són infraccions considerades lleus:

   • a) L’incompliment del principi de transparència de la informació o el dret d’informació de la persona interessada per no facilitar tota la informació que exigeixen els articles 16 i 17.
   • b) L’incompliment de l’obligació d’informar la persona interessada, quan així ho hagi sol·licitat, dels destinataris als quals s’hagin comunicat les dades personals rectificades, suprimides o respecte de les quals s’ha limitat el tractament.
   • c) L’incompliment de l’obligació de suprimir les dades referides a una persona difunta.

Constitueixen infraccions els actes i les conductes que siguin contraris a aquesta Llei.

1. Són infraccions considerades molt greus:

   • a) El tractament de dades personals que vulneri l’article 5.

   • b) El tractament de dades personals sense que es doni alguna de les condicions de licitud del tractament que estableix l’article 6.

   • c) L’incompliment de les condicions per a la validesa del consentiment que exigeixen els articles 7 i 8.

   • d) La utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per a la qual es van recollir, sense tenir el consentiment de la persona interessada o una base legal per a això.

   • e) El tractament de dades personals de les categories a què es refereix l’article 9, sense que concorri alguna de les circumstàncies contemplades pel precepte esmentat.

   • f) L’incompliment dels articles 10 i 11 en relació al tractament de dades personals relatives a condemnes i a infraccions penals així com amb finalitats d’arxiu en interès públic, de recerca científica o històrica, o estadístiques.

   • g) L’omissió del deure d’informar la persona interessada sobre el tractament de les seves dades personals de conformitat amb els articles 16 i 17.

   • h) L’exigència del pagament d’un cànon per facilitar a la persona interessada informació a l’empara dels articles 16 i 17, així com qualsevol comunicació relativa al tractament de dades, en correspondència als seus drets, excepte en els supòsits permesos per aquesta Llei.

   • d) La falta de formalització per part dels corresponsables del tractament de l’acord que determini les obligacions, les funcions i les responsabilitats respectives respecte al tractament de dades personals i les seves relacions amb les persones interessades.

     • i) L’impediment o l’obstaculització o la no atenció de l’exercici dels drets que estableixen els articles 18, 19, 20, 21, 22, 24 i 25.

   • e) No posar a disposició de les persones interessades els aspectes essencials de l’acord formalitzat entre els corresponsables del tractament.

   • j) La vulneració dels requisits necessaris per a efectuar transferències internacionals de dades personals a un destinatari que es trobi en un país o en una organització internacional que no reuneix les condicions establertes per aquesta Llei.

   • f) L’incompliment de l’obligació de l’encarregat del tractament d’informar el responsable del tractament sobre la possible infracció, per una instrucció rebuda d’aquest, de les disposicions d’aquesta Llei.

   • k) L’incompliment de les resolucions que dicti l’Agència Andorrana de Protecció de Dades;

   • g) L’incompliment per part de l’encarregat de les estipulacions imposades en el contracte que regula el tractament o les instruccions del responsable del tractament, tret que hi estigui obligat de conformitat amb aquesta Llei.

   • l) No facilitar l’accés del personal habilitat de l’autoritat de protecció de dades a les dades personals, la informació, els locals, els equips i els mitjans de tractament que requereixi l’autoritat de protecció de dades per a l’exercici dels seus poders d’investigació.

   • h) Disposar d’un registre d’activitats de tractament que no incorpori tota la informació requerida.

   • m) La resistència o l’obstrucció de l’exercici de la funció inspectora de l’autoritat de protecció de dades;

     • i) La notificació incompleta, tardana o defectuosa a l’autoritat de protecció de dades de la informació relacionada amb una violació de seguretat de les dades personals.

   • n) La reversió deliberada d’un procediment d’anonimització a fi de permetre la reidentificació de les persones interessades.

   • j) L’incompliment de l’obligació de documentar qualsevol violació de seguretat.

2. Són infraccions considerades greus:

   • k) No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible.

   • a) Encarregar el tractament de dades a un tercer sense la formalització prèvia d’un contracte o altre acte jurídic equivalent.

   • l) Els altres actes i les conductes que siguin contraris a aquesta Llei i no siguin considerats infraccions molt greus o greus.

   • b) La contractació per part d’un encarregat del tractament d’altres encarregats sense tenir l’autorització prèvia del responsable, o sense haver-lo informat sobre els canvis produïts en la subcontractació quan siguin exigibles legalment; i, en general, tota infracció a l’article 31.

   • c) El tractament de dades personals sense dur a terme una avaluació de l’impacte de les operacions de tractament en la protecció de dades personals, segons que disposa l’article 32.

   • d) No disposar del registre d’activitats de tractament que estableix l’article 34.

   • e) Incomplir els deures de notificació o de comunicació d’una violació de la seguretat de les dades personals.

   • f) Incomplir la designació d’un delegat de protecció de dades quan sigui exigible el seu nomenament segons l’article 38.

   • g) L’incompliment de l’obligació de bloqueig de les dades.

   • h) El tractament de dades personals d’un menor d’edat sense obtenir el seu consentiment o el del seu representant legal.

     • i) No acreditar la realització d’esforços raonables per verificar la validesa del consentiment prestat per un menor d’edat o pel seu representant legal.

   • j) L’impediment, l’obstaculització o la no atenció reiterada dels drets d’accés, rectificació, supressió, limitació del tractament o a la portabilitat de les dades en tractaments en què no es requereix la identificació de la persona interessada, quan aquesta, per a l’exercici d’aquests drets, hagi facilitat informació addicional que en permeti la identificació.

   • k) La falta d’adopció de les mesures tècniques i organitzatives apropiades per garantir que, per defecte, només es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament o que siguin apropiades per garantir un nivell de seguretat adequat al risc del tractament.

   • l) L’incompliment, com a conseqüència de la falta de la diligència deguda, de les mesures tècniques i organitzatives que s’hagin implantat.

   • m) L’incompliment de l’obligació de designar un representant del responsable o encarregat del tractament no establert al Principat d’Andorra.

   • n) La falta d’atenció per part del representant del responsable o de l’encarregat del tractament de les sol·licituds que efectuïn l’autoritat de protecció de dades o les persones interessades.

   • o) No possibilitar la participació efectiva del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no donar-li suport o interferir en l’exercici de les seves funcions.

3. Són infraccions considerades lleus:

   • a) L’incompliment del principi de transparència de la informació o el dret d’informació de la persona interessada per no facilitar tota la informació que exigeixen els articles 16 i 17.
   • b) L’incompliment de l’obligació d’informar la persona interessada, quan així ho hagi sol·licitat, dels destinataris als quals s’hagin comunicat les dades personals rectificades, suprimides o respecte de les quals s’ha limitat el tractament.
   • c) L’incompliment de l’obligació de suprimir les dades referides a una persona difunta.

Constitueixen infraccions els actes i les conductes que siguin contraris a aquesta Llei.

1. Són infraccions considerades molt greus:

   • a) El tractament de dades personals que vulneri l’article 5.

   • b) El tractament de dades personals sense que es doni alguna de les condicions de licitud del tractament que estableix l’article 6.

   • c) L’incompliment de les condicions per a la validesa del consentiment que exigeixen els articles 7 i 8.

   • d) La utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per a la qual es van recollir, sense tenir el consentiment de la persona interessada o una base legal per a això.

   • e) El tractament de dades personals de les categories a què es refereix l’article 9, sense que concorri alguna de les circumstàncies contemplades pel precepte esmentat.

   • f) L’incompliment dels articles 10 i 11 en relació al tractament de dades personals relatives a condemnes i a infraccions penals així com amb finalitats d’arxiu en interès públic, de recerca científica o històrica, o estadístiques.

   • g) L’omissió del deure d’informar la persona interessada sobre el tractament de les seves dades personals de conformitat amb els articles 16 i 17.

   • h) L’exigència del pagament d’un cànon per facilitar a la persona interessada informació a l’empara dels articles 16 i 17, així com qualsevol comunicació relativa al tractament de dades, en correspondència als seus drets, excepte en els supòsits permesos per aquesta Llei.

     • i) L’impediment o l’obstaculització o la no atenció de l’exercici dels drets que estableixen els articles 18, 19, 20, 21, 22, 24 i 25.

   • j) La vulneració dels requisits necessaris per a efectuar transferències internacionals de dades personals a un destinatari que es trobi en un país o en una organització internacional que no reuneix les condicions establertes per aquesta Llei.

   • k) L’incompliment de les resolucions que dicti l’Agència Andorrana de Protecció de Dades;

   • l) No facilitar l’accés del personal habilitat de l’autoritat de protecció de dades a les dades personals, la informació, els locals, els equips i els mitjans de tractament que requereixi l’autoritat de protecció de dades per a l’exercici dels seus poders d’investigació.

   • m) La resistència o l’obstrucció de l’exercici de la funció inspectora de l’autoritat de protecció de dades;

   • n) La reversió deliberada d’un procediment d’anonimització a fi de permetre la reidentificació de les persones interessades.

2. Són infraccions considerades greus:

   • a) Encarregar el tractament de dades a un tercer sense la formalització prèvia d’un contracte o altre acte jurídic equivalent.

   • b) La contractació per part d’un encarregat del tractament d’altres encarregats sense tenir l’autorització prèvia del responsable, o sense haver-lo informat sobre els canvis produïts en la subcontractació quan siguin exigibles legalment; i, en general, tota infracció a l’article 31.

   • c) El tractament de dades personals sense dur a terme una avaluació de l’impacte de les operacions de tractament en la protecció de dades personals, segons que disposa l’article 32.

   • d) No disposar del registre d’activitats de tractament que estableix l’article 34.

   • e) Incomplir els deures de notificació o de comunicació d’una violació de la seguretat de les dades personals.

   • f) Incomplir la designació d’un delegat de protecció de dades quan sigui exigible el seu nomenament segons l’article 38.

   • g) L’incompliment de l’obligació de bloqueig de les dades.

   • h) El tractament de dades personals d’un menor d’edat sense obtenir el seu consentiment o el del seu representant legal.

     • i) No acreditar la realització d’esforços raonables per verificar la validesa del consentiment prestat per un menor d’edat o pel seu representant legal.

   • j) L’impediment, l’obstaculització o la no atenció reiterada dels drets d’accés, rectificació, supressió, limitació del tractament o a la portabilitat de les dades en tractaments en què no es requereix la identificació de la persona interessada, quan aquesta, per a l’exercici d’aquests drets, hagi facilitat informació addicional que en permeti la identificació.

   • k) La falta d’adopció de les mesures tècniques i organitzatives apropiades per garantir que, per defecte, només es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament o que siguin apropiades per garantir un nivell de seguretat adequat al risc del tractament.

   • l) L’incompliment, com a conseqüència de la falta de la diligència deguda, de les mesures tècniques i organitzatives que s’hagin implantat.

   • m) L’incompliment de l’obligació de designar un representant del responsable o encarregat del tractament no establert al Principat d’Andorra.

   • n) La falta d’atenció per part del representant del responsable o de l’encarregat del tractament de les sol·licituds que efectuïn l’autoritat de protecció de dades o les persones interessades.

   • o) No possibilitar la participació efectiva del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no donar-li suport o interferir en l’exercici de les seves funcions.

3. Són infraccions considerades lleus:

   • a) L’incompliment del principi de transparència de la informació o el dret d’informació de la persona interessada per no facilitar tota la informació que exigeixen els articles 16 i 17.

   • b) L’incompliment de l’obligació d’informar la persona interessada, quan així ho hagi sol·licitat, dels destinataris als quals s’hagin comunicat les dades personals rectificades, suprimides o respecte de les quals s’ha limitat el tractament.

   • c) L’incompliment de l’obligació de suprimir les dades referides a una persona difunta.

   • d) La falta de formalització per part dels corresponsables del tractament de l’acord que determini les obligacions, les funcions i les responsabilitats respectives respecte al tractament de dades personals i les seves relacions amb les persones interessades.

   • e) No posar a disposició de les persones interessades els aspectes essencials de l’acord formalitzat entre els corresponsables del tractament.

   • f) L’incompliment de l’obligació de l’encarregat del tractament d’informar el responsable del tractament sobre la possible infracció, per una instrucció rebuda d’aquest, de les disposicions d’aquesta Llei.

   • g) L’incompliment per part de l’encarregat de les estipulacions imposades en el contracte que regula el tractament o les instruccions del responsable del tractament, tret que hi estigui obligat de conformitat amb aquesta Llei.

   • h) Disposar d’un registre d’activitats de tractament que no incorpori tota la informació requerida.

     • i) La notificació incompleta, tardana o defectuosa a l’autoritat de protecció de dades de la informació relacionada amb una violació de seguretat de les dades personals.

   • j) L’incompliment de l’obligació de documentar qualsevol violació de seguretat.

   • k) No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible.

   • l) Els altres actes i les conductes que siguin contraris a aquesta Llei i no siguin considerats infraccions molt greus o greus.