Decret 368/2022, del 14-9-2022, d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades.

Amb l’aprovació de la Llei 29/2021, del 28 d’octubre del 2021, qualificada de protecció de dades personals i amb el Decret 367/2022, d’aprovació del Reglament d’aplicació de la Llei 29/2021, és el parer del Govern que el marc regulador dels tractaments de dades efectuats a Andorra ja ofereix els instruments jurídics necessaris per regular de manera efectiva i eficient qualsevol operació de tractament que tingui lloc en el marc de la normativa del Principat.

Tot i que la disposició addicional de la Llei 29/2021 encomana al Govern l’aprovació de les modificacions escaients al Reglament de l’Agència Andorrana de Protecció de Dades publicat l’any 2010, vist que és parer del Govern que el marc regulador del tractament de dades ja ofereix els instruments jurídics necessaris per regular de manera efectiva i eficient qualsevol operació de tractament que tingui lloc en el marc de la normativa del Principat, i tenint en compte que el Reglament de l’Agència Andorrana de Protecció de Dades fins ara vigent també regulava aquests darrers aspectes, cosa que fa que ara quedin sense sentit aquestes disposicions i que només s’hagi de fer referència a l’APDA i la seva activitat, es requereix una reforma profunda del Reglament.

Aquesta reforma es considera, doncs, prou important per justificar la derogació del Decret de l’1-7-2004 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades i aprovar un nou reglament. Aquesta nova redacció pretén regular, únicament, l’Agència Andorrana de Protecció de Dades, com a organisme públic amb personalitat jurídica pròpia, independent i amb plena capacitat d’obrar.

A proposta del ministre de Presidència, Economia i Empresa, en la sessió del 14 de setembre del 2022, el Govern aprova aquest Decret.

A l’empara del que disposa la disposició addicional de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, s’aprova el Reglament de l’Agència Andorrana de Protecció de Dades.

Reglament de l’Agència Andorrana de Protecció de Dades

Capítol primer. Disposicions generals

Aquest Reglament té per objecte desplegar la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD), en particular els capítols sisè i setè, tenint en compte els compromisos adquirits per l’Estat andorrà d’aplicar el Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de gener del 1981, i el Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001.

Aquest Reglament s’aplica a l’Agència Andorrana de Protecció de Dades (APDA).

1. L’Agència Andorrana de Protecció de Dades, creada l’any 2003, és una institució de dret públic que ajusta la seva activitat a l’ordenament jurídic públic.
2. L’Agència Andorrana de Protecció de Dades es configura com una autoritat independent que actua amb objectivitat i plena independència de les administracions públiques andorranes en l’exercici de les seves funcions.
3. L’Agència Andorrana de Protecció de Dades té personalitat jurídica pròpia i plena capacitat d’obrar.

Capítol segon. L’Agència Andorrana de Protecció de Dades

1. Correspon a l’Agència Andorrana de Protecció de Dades exercir com a autoritat de control dels tractaments de dades personals i de qualsevol ús posterior d’aquestes dades, d’acord amb l’ordenament jurídic, i fomentar i vigilar el compliment de la legislació andorrana sobre protecció de dades.
2. A aquest efecte té les competències de control, assessorament, informació, cooperació, investigació i inspecció, resolució i sanció que li atribueix la Llei de protecció de dades vigent i la resta de la normativa.
3. L’Agència Andorrana de Protecció de Dades no és competent per controlar les operacions de tractament efectuades pels tribunals en l’exercici de la seva funció judicial.

1. Dins el marc de les competències d’inspecció i investigació que té atribuïdes legalment, l’Agència Andorrana de Protecció de Dades pot:

   • a) Ordenar al responsable i a l’encarregat del tractament de dades personals, i, si escau, al representant del responsable o de l’encarregat del tractament, que facilitin qualsevol informació necessària per complir les seves funcions.
   • b) Dur a terme investigacions en forma d’auditories de protecció de dades; si escau, comptant amb experts nomenats ad hoc de manera motivada per l’APDA.
   • c) Notificar al responsable o a l’encarregat del tractament les presumptes infraccions de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
   • d) Obtenir del responsable o de l’encarregat del tractament l’accés a totes les dades personals i a tota la informació necessària per exercir les seves funcions.
   • e) Obtenir l’accés a tots els locals del responsable i de l’encarregat del tractament, inclosos qualssevol equips i mitjans de tractament de dades, així com a les auditories del programari aplicat al tractament de dades.
   • f) Obtenir tota la informació necessària que provi el compliment de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals i dels reglaments que la despleguen.

2. Tant els responsables com els encarregats del tractament o els representants, com també els delegats de protecció de dades, estan obligats a subministrar als inspectors de l’Agència Andorrana de Protecció de Dades tota la informació que els sol·licitin i els han de facilitar l’accés a les dependències i als recursos informàtics, o d’un altre tipus, destinats al tractament de les dades quan els inspectors els ho sol·licitin en l’exercici d’aquesta facultat de control.

3. Per reunir les proves necessàries, els inspectors de l’Agència, si escau assistits d’experts externs d’acord amb l’apartat b de l’article anterior, es poden traslladar a l’indret on hi ha els fitxers, constatar el material i elaborar, si cal, un reportatge fotogràfic o per altres mitjans.

4. En el marc de les inspeccions l’Agència pot requerir la documentació o la informació que consideri rellevant d’acord amb l’ordenament jurídic. A aquest efecte pot:

   • a) Sol·licitar la presentació o la tramesa de documents i el lliurament de còpies.
   • b) Examinar els suports d’informació que continguin dades personals.
   • c) Examinar els equips físics i lògics.
   • d) Examinar els sistemes de transmissió i d’accés a les dades.
   • e) Dur a terme auditories dels sistemes informàtics per verificar que s’ajusten a les exigències de la Llei de protecció de dades personals.
   • f) Instruir i resoldre els expedients informatius o sancionadors.

L’Agència Andorrana de Protecció de Dades té les funcions generals següents, sense perjudici de les que li atribueixi la legislació vigent:

• a) Controlar i garantir l’aplicació de la Llei i els reglaments vigents sobre protecció de dades personals i proposar millores en aquesta normativa.

• b) Promoure la sensibilització del públic i la comprensió dels riscos dictant les instruccions i les recomanacions necessàries per adequar els tractaments de dades personals als principis de la legislació vigent en matèria de protecció de dades personals; són objecte d’una atenció especial les activitats adreçades específicament als menors d’edat.

• c) Emetre informes, amb caràcter consultiu, en el cas de ser sol·licitats, sobre projectes de llei, projectes de disposicions normatives que elabora el Govern en virtut de delegació legislativa, projectes de reglaments o disposicions de caràcter general que afecten la protecció de dades de caràcter personal.

• d) Emetre, per iniciativa pròpia o a petició de les persones o els organismes interessats, dictàmens destinats al Consell General, al Govern o a altres institucions i organismes, així com al públic, sobre qualsevol assumpte relacionat amb la protecció de les dades personals.

• e) Emetre opinions entorn d’altres lleis o normes que afecten la privacitat de les persones físiques i els tractaments i la seguretat de les dades de caràcter personal.

• f) Respondre per escrit, en el termini màxim de quinze dies hàbils, les consultes que hi formulen les administracions públiques, les entitats públiques i privades i la ciutadania sobre l’aplicació de la legislació de protecció de dades de caràcter personal, i cooperar amb altres autoritats de control. Aquestes consultes han de ser adreçades per escrit o per via telemàtica i han de contenir com a mínim la informació següent:

• La identificació de l’Administració pública, l’entitat pública o privada o la persona sol·licitant.

• La consulta plantejada.

  • g) Atendre les peticions que li formulen les persones interessades.

  • h) Proporcionar informació sobre els drets de les persones en matèria de protecció de dades personals; en particular, mitjançant les campanyes de difusió, i, a aquest efecte, establir les previsions pressupostàries corresponents.

    • i) Publicar la llista de països i d’organitzacions internacionals que disposen d’una protecció adequada en matèria de dades personals.

  • j) Atendre les consultes relatives a les comunicacions internacionals de dades personals a països o organitzacions internacionals que no ofereixen un nivell de protecció adequat.

  • k) Assessorar els responsables i els encarregats del tractament de dades personals i instar-los a adoptar les mesures necessàries per adequar el tractament de dades personals a la legislació vigent.

  • l) Tractar les reclamacions rebudes; investigar, en la mesura oportuna, el motiu de la reclamació i informar la persona reclamant sobre el curs i el resultat de la investigació en un termini raonable, en particular en cas de ser necessàries noves investigacions. L’Agència facilita la presentació de les reclamacions mitjançant un formulari de presentació de reclamacions, també per mitjans electrònics, sense excloure altres mitjans de reclamació.

  • m) Incoar, instruir i resoldre expedients.

  • n) Instar judicialment, si escau, el cessament dels tractaments, com a mesura cautelar o mesura definitiva. Elaborar i publicar una memòria anual relativa a la seva activitat, que és accessible de forma gratuïta. Aquesta memòria ha de contenir com a mínim una descripció de l’activitat anual de l’Agència amb els resultats de l’actuació i les tasques efectuades tant pel cap de l’Agència com pels inspectors.

1. L’Agència Andorrana de Protecció de Dades està integrada per:

   • a) El cap de l’Agència.
   • b) Els inspectors, que depenen del cap de l’Agència.

2. El cap de l’Agència i els inspectors de Protecció de Dades són designats pel Consell General, per majoria qualificada de dos terceres parts en primera votació; si en una primera votació no s’assoleix la majoria requerida, queden elegits els candidats que, en una segona votació, obtinguin el vot favorable de la majoria absoluta.

3. Tots els membres de l’Agència Andorrana de Protecció de Dades han de posseir la titulació, l’experiència i les aptituds, en particular en l’àmbit de la protecció de dades personals, necessàries per al compliment de les seves funcions i l’exercici de les competències que tenen atribuïdes.

4. Els inspectors i el cap de l’Agència Andorrana de Protecció de Dades s’han d’abstenir de dur a terme qualsevol acció que sigui incompatible amb les seves funcions i no poden participar, mentre duri el seu mandat, en cap activitat professional que hi sigui incompatible, tant si és remunerada com si no ho és.

5. El càrrec d’inspector o cap de l’Agència Andorrana de Protecció de Dades és incompatible:

   • a) Amb el de membre del Consell General.
   • b) Amb l’exercici de qualsevol altre càrrec públic adscrit a alguna de les institucions de l’Administració pública, sigui per elecció, sigui per nomenament, funcionarial o contractual.
   • c) Amb qualsevol funció en partits polítics, sindicats i associacions, patronals i col·legis professionals, tant nacionals com estrangers.
   • d) Amb qualsevol càrrec directiu o executiu en partits polítics, sindicats i associacions, patronals i col·legis professionals, tant nacionals com estrangers.
   • e) Amb qualsevol activitat que pugui posar en perill la independència i la imparcialitat en el compliment de les obligacions, segons criteri del Consell General.
   • f) Amb l’exercici de la seva professió o qualsevol altra activitat remunerada.

6. Els inspectors i el cap de l’Agència Andorrana de Protecció de Dades perden la seva condició per les causes següents:

   • a) Per defunció.
   • b) Per renúncia expressa, feta per escrit, davant del síndic general.
   • c) Per finalització del termini del seu mandat.
   • d) Per inhabilitació per a l’exercici dels drets polítics declarada per decisió judicial ferma.
   • e) Per condemna mitjançant sentència ferma a causa de delicte.
   • f) Per incompliment de les obligacions del càrrec, declarat per decisió judicial.

7. Totes les persones que treballen a l’Agència Andorrana de Protecció de Dades estan subjectes al deure de secret professional, tant durant el seu mandat o prestació laboral com després, en relació amb les informacions confidencials de les quals tenen coneixement en el compliment de les seves funcions o en l’exercici de les seves competències. Durant el període que presten servei a l’Agència, aquest deure de secret professional s’aplica especialment a la informació rebuda per persones físiques en relació amb infraccions establertes legalment en matèria de protecció de dades personals.

8. Les persones diferents dels inspectors o el cap adscrites a l’Agència Andorrana de Protecció de Dades no poden exercir cap altra activitat professional que sigui incompatible amb les funcions desenvolupades a l’Agència o que pugui suposar un conflicte d’interessos o afectar la seva independència. Correspon al cap de l’Agència Andorrana de Protecció de Dades determinar aquesta incompatibilitat motivadament.

L’Agència Andorrana de Protecció de Dades s’estructura de la manera següent:

• a) El cap de l’Agència.
• b) Els inspectors.
• c) El personal adscrit a l’Agència.

1. El cap de l’Agència dirigeix l’Agència Andorrana de Protecció de Dades i n’exerceix la representació legal. Acompleix les seves funcions amb plena independència, neutralitat i objectivitat, sense subjecció a cap mandat imperatiu ni instrucció.

2. El cap de l’Agència és nomenat pel Consell General, amb la majoria de vots establerta per llei; té la consideració d’autoritat pública en el desenvolupament de la seva activitat i està obligat a mantenir el secret sobre la informació que conegui en l’exercici de les seves funcions, fins i tot després d’haver cessat en el càrrec.

3. El cap de l’Agència és nomenat per un període renovable de quatre anys.

4. Correspon específicament al cap de l’Agència:

   • a) Adjudicar i formalitzar els contractes que requereix la gestió de l’Agència i vigilar-ne el compliment i l’execució.

   • b) Aprovar les despeses i ordenar els pagaments, dins els límits dels crèdits del pressupost de despeses de l’Agència.

   • c) Exercir el control econòmic i financer de l’Agència.

   • d) Elaborar el projecte de pressupost de l’Agència.

   • e) Aprovar la memòria anual de l’Agència.

   • f) Organitzar, repartir i calcular la dedicació de les tasques i funcions de totes les persones que treballen a l’Agència, i valorar-ne el compliment.

   • g) Informar cada sis mesos el síndic general del funcionament intern de l’Agència, de la cooperació internacional i de les fortaleses i les debilitats de la protecció de dades en l’àmbit nacional.

   • h) Aprovar i aplicar el Reglament intern de l’Agència, si n’hi ha.

     • i) Aprovar instruccions amb caràcter vinculant per adequar determinats tractaments de dades als principis i a les garanties que estableix la legislació vigent en matèria de protecció de dades.

   • j) I qualsevol altra tasca relacionada amb la gestió i la protecció de dades personals que requereixi la seva intervenció d’acord amb la legislació vigent.

5. Si el cap de l’Agència es troba en situació d’incapacitat temporal per un període de temps significatiu, el Consell General, amb la majoria de vots establerta per llei, pot nomenar un cap de l’Agència en funcions entre els inspectors.

1. Els inspectors de l’Agència Andorrana de Protecció de Dades assisteixen el cap de l’Agència en l’exercici de les funcions pròpies de l’Agència i hi col·laboren.

2. Els inspectors són nomenats pel Consell General amb la mateixa majoria de vots que s’ha establert per nomenar el cap de l’Agència.

3. Els inspectors tenen la consideració d’autoritat pública en el desenvolupament de llur activitat i estan obligats a mantenir el secret sobre la informació que coneguin en l’exercici de les seves funcions, fins i tot després d’exercir el càrrec.

4. Els inspectors són nomenats per un període renovable de quatre anys.

5. Correspon específicament als inspectors de l’Agència:

   • a) Dur a terme les inspeccions i les instruccions d’expedients que els encarregui el cap de l’Agència, d’acord amb el que estableix la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals.
   • b) Dur a terme la resta de funcions que els atribueixen les lleis i els reglaments i les que els encomani el cap de l’Agència.

1. El règim aplicable al personal adscrit a l’Agència Andorrana de Protecció de Dades, llevat del cap i dels inspectors, és el que estableix la normativa vigent en matèria laboral. L’Agència pot dotar-se d’un reglament intern que reguli la seva organització i gestió diària. El cap i els inspectors poden adherir-se a les disposicions del Reglament intern per regular condicions bàsiques organitzatives, amb l’objectiu que l’Agència pugui dur a terme les tasques que legalment té encomanades.
2. Els llocs de treball de les persones diferents dels inspectors i el cap adscrites a l’Agència amb durada indeterminada es proveeixen mitjançant una convocatòria pública i d’acord amb els principis d’igualtat, mèrit i capacitat.

Capítol tercer. Procediment sancionador

1. La tramitació de l’expedient sancionador es fa efectiva amb les garanties i els requisits establerts a la Llei de protecció de dades vigent, i a la resta de normativa aplicable, especialment pel que fa al procediment administratiu sancionador.
2. El procediment sancionador consta de la fase instructora, que correspon als inspectors de l’Agència Andorrana de Protecció de Dades, i de la fase sancionadora, que és competència del cap de l’Agència Andorrana de Protecció de Dades.
3. L’inici d’un procediment instructor ha d’especificar els fets, la identificació de la persona o l’entitat contra la qual es dirigeix el procediment, la infracció que s’ha pogut cometre i la possible sanció.
4. En qualsevol cas, correspon als inspectors de l’Agència Andorrana de Protecció de Dades proposar al cap de l’Agència les sancions que es derivin de les seves inspeccions, i correspon al cap de l’Agència Andorrana de Protecció de Dades resoldre aquestes propostes.

1. Qualsevol persona interessada que consideri que el tractament de dades personals que l’afecta infringeix la legislació sobre protecció de dades té dret a presentar una reclamació davant l’Agència Andorrana de Protecció de Dades, per mitjans electrònics o de forma presencial, i que l’Agència avaluï l’admissió a tràmit de la reclamació.
2. Si admet a tràmit la reclamació, l’Agència Andorrana de Protecció de Dades comença una fase d’actuacions prèvies per determinar els fets i les circumstàncies que justifiquen la tramitació del procediment, i informa la persona reclamant sobre el curs i el resultat de la seva reclamació.
3. Si l’Agència refusa la reclamació, ha de fer-ho motivadament, i la resolució de refús o el silenci negatiu, segons els terminis regulats al Codi de l’Administració, poden ser objecte de recurs davant els tribunals andorrans.
4. La persona interessada pot actuar personalment o representada per un representant amb poders suficients.
5. La persona interessada té dret a fer-se representar, amb les formalitats legals oportunes, per una entitat, una organització o una associació sense ànim de lucre, constituïda segons la normativa andorrana, que tingui objectius estatutaris d’interès públic i que actuï en l’àmbit de la protecció dels drets i les llibertats de les persones interessades en matèria de protecció de dades personals, perquè en nom seu presenti la reclamació prevista en aquest article i també perquè, en nom seu, exerceixi els seus drets davant dels tribunals andorrans contra l’Agència Andorrana de Protecció de Dades i contra el responsable i l’encarregat del tractament.

1. Les competències en matèria d’investigació i d’inspecció de l’Agència Andorrana de Protecció de Dades es poden exercir durant la pràctica de les actuacions prèvies d’investigació o un cop iniciat un procediment sancionador.

2. El procediment d’inspecció s’ha d’ajustar a les normes següents:

   • a) El cap de l’Agència ha d’emetre l’autorització d’inspecció corresponent perquè els inspectors puguin adreçar al responsable del tractament el requeriment de la documentació que creguin rellevant per poder portar a terme la inspecció, o, si escau, perquè els inspectors puguin inspeccionar els locals del responsable del tractament o del prestador de serveis on hi hagi els fitxers i els equips informàtics i de suport on s’emmagatzemen les dades personals objecte de tractament, en el cas que es faci una inspecció presencial.
   • b) L’autorització d’inspecció ha de contenir, com a mínim, la informació següent:

• Número d’expedient.

• Les persones físiques o jurídiques denunciants i denunciades.

• Resum dels fets que motiven la inspecció.

• Presumpta infracció de la normativa de protecció de dades.

• Sanció corresponent a la presumpta infracció.

• Designació de l’inspector.

• Obligacions de la persona física o jurídica denunciada.

• Competències de l’inspector.

• Àmbit en què s’ha d’emmarcar la inspecció.

  • c) A l’inici de les actuacions, mitjançant una notificació, l’Agència Andorrana de Protecció de Dades informa la persona o les persones inspeccionades de la naturalesa i l’abast de la inspecció, i també dels drets i les obligacions que tenen en el curs d’aquestes actuacions, com ara l’obligació d’atendre la inspecció i de col·laborar.
  • d) Un cop efectuada la inspecció, l’inspector competent obre un expedient administratiu que recull el resultat de les actuacions d’inspecció, i en dona trasllat a la persona o les persones interessades dins el termini de quinze dies hàbils a comptar de la data d’incoació de l’expedient.
  • e) Els requeriments d’informació, de documentació o d’audiència han d’incloure:

• Noms i cognoms o raó social o denominació completa de la persona que ha d’aportar informació o documentació o de la persona que ha de comparèixer prop de l’Agència.

• Els motius que originen la investigació, l’actuació d’inspecció o l’audiència.

• La informació o la documentació que s’ha de presentar.

• Una còpia de l’autorització d’inspecció.

  • f) L’Agència pot sol·licitar l’audiència de tota persona que, segons el seu criteri, pugui ser susceptible de contribuir a facilitar alguna informació. Pot requerir, igualment, la participació d’assessors experts en la matèria.

  • g) En els requeriments d’informació o documentació emesos per l’Agència, el termini per aportar la informació o la documentació és de quinze dies hàbils, a comptar de l’endemà de la notificació del requeriment.

  • h) Si la inspecció és presencial, l’inspector designat per fer la inspecció ha de presentar l’autorització emesa pel cap de l’Agència i el responsable del tractament està obligat a permetre-li l’accés als locals on hi ha els fitxers, els equips informàtics i els de suport on s’emmagatzemen les dades personals objecte de tractament. Quan els locals tinguin la qualificació legal de domicili privat, l’activitat d’inspecció s’ha d’ajustar també a les regles que en garanteixen la inviolabilitat.

    • i) En cas d’inspecció presencial, una vegada s’ha acabat els inspectors aixequen una acta i n’informen el responsable del tractament.

  • j) L’acta ha de comprendre les dades següents:

• La data i el lloc de l’actuació, amb indicació del responsable del tractament.

• La identificació de les persones presents in situ.

• Els fets constatats per l’inspector i els mitjans utilitzats, si escau, amb indicació de les presumptes infraccions comeses i dels preceptes legals vulnerats amb la qualificació corresponent.

• La identificació de l’inspector que participa en la investigació o l’actuació d’inspecció i que redacta l’acta.

  • k) Una vegada els inspectors han practicat la investigació, han de presentar una proposta al cap de l’Agència Andorrana de Protecció de Dades, a qui correspon resoldre si s’ha d’incoar l’expedient sancionador.
  • l) La resolució del cap de l’Agència Andorrana de Protecció de Dades, tant en el cas que resolgui incoar un expedient sancionador com en el cas que no sigui així, s’ha de notificar al responsable del tractament.
  • m) En tot allò que no estigui previst expressament en aquest Reglament, el procediment sancionador s’ha d’ajustar al que disposa el Codi de l’Administració.

1. Si en el decurs de la tramitació d’un procediment sancionador a l’empara de la Llei de protecció de dades personals es manifesten indicis de conductes que poden constituir una infracció penal, el cap de l’Agència Andorrana de Protecció de Dades ho comunica a l’òrgan jurisdiccional competent i l’inspector encarregat de la instrucció suspèn la tramitació de l’expedient, amb la interrupció del còmput dels terminis de prescripció i caducitat.
2. La declaració de fets provats del tribunal penal és vinculant per al cap de l’Agència Andorrana de Protecció de Dades, com a òrgan competent per dictar la resolució sancionadora.

Durant el procediment d’inspecció o davant l’inici del procediment sancionador, el cap de l’Agència, després d’escoltar l’inspector o els inspectors competents, pot decidir motivadament l’aplicació de mesures provisionals necessàries i proporcionals per salvaguardar els drets fonamentals a la intimitat i la pròpia imatge.

1. A més de les sancions establertes en la Llei de protecció de dades vigent o bé de manera independent a les sancions de la Llei, l’Agència Andorrana de Protecció de Dades pot adreçar a qualsevol responsable o encarregat del tractament una advertència, si les operacions de tractament previstes infringeixen la legislació en matèria de protecció de dades personals.

2. L’advertència a la persona interessada ha de contenir la infracció o les infraccions concretes contra la seguretat de les dades personals.

3. L’advertència pot comminar la persona interessada, entre altres coses, a les obligacions següents:

   • a) Atendre les sol·licituds d’exercici dels drets de la persona, física o jurídica, interessada d’acord amb la normativa vigent sobre protecció de dades personals.
   • b) Ajustar-se a les disposicions vigents sobre protecció de dades personals, d’una determinada manera i dins d’un termini especificat, si escau.
   • c) Rectificar o suprimir dades personals o limitar el tractament, de conformitat amb la Llei i aquest Reglament, i notificar aquestes mesures als destinataris als quals s’han comunicat les dades personals.
   • d) Suspendre els fluxos de dades cap a un destinatari situat en un tercer país o cap a una organització internacional.

4. L’advertència també pot ordenar la limitació temporal o definitiva del tractament, i fins i tot prohibir-lo.

1. La imposició de les sancions per les infraccions fixades a la Llei vigent de protecció de dades correspon al cap de l’Agència Andorrana de Protecció de dades. Les sancions han de ser establertes per al cas concret, i han de ser efectives, proporcionades i dissuasives.

2. Les sancions establertes a la Llei s’imposen a títol addicional o a títol substitutiu de les mesures que fixa l’article 17, tenint en compte les circumstàncies següents:

   • a) La naturalesa, la gravetat i la durada de la infracció, segons la naturalesa, l’abast o la finalitat de l’operació de tractament, així com el nombre de persones interessades afectades i el nivell dels danys i perjudicis que hagin sofert.

   • b) La intencionalitat o la negligència en la infracció.

   • c) Qualsevol mesura presa pel responsable o l’encarregat del tractament per pal·liar els danys i perjudicis que han sofert les persones interessades.

   • d) El grau de responsabilitat del responsable o de l’encarregat del tractament, tenint en compte les mesures tècniques o organitzatives que s’hagin aplicat en la protecció de les dades i la seguretat del tractament.

   • e) Qualsevol infracció anterior que hagin comès el responsable o l’encarregat del tractament.

   • f) El grau de cooperació amb l’Agència Andorrana de Protecció de Dades, amb la finalitat de posar remei a la infracció i de mitigar-ne els possibles efectes adversos.

   • g) Les categories de dades de caràcter personal afectades per la infracció.

   • h) La forma en què l’Agència Andorrana de Protecció de Dades s’ha assabentat de la infracció, en particular si el responsable o l’encarregat del tractament han notificat la infracció, i, si és així, en quina mesura i en quin termini ho han fet.

     • i) El compliment de mesures notificades per l’Agència, si s’han ordenat prèviament envers el responsable o l’encarregat del tractament en relació amb el mateix assumpte.

   • j) L’adhesió a codis de conducta.

   • k) Qualsevol altre factor agreujant o atenuant aplicable a les circumstàncies del cas, com els beneficis financers que s’han obtingut o les pèrdues que s’han evitat, directament o indirectament.

3. Si un responsable o un encarregat del tractament incompleix de manera intencionada o negligent, per les mateixes operacions de tractament o operacions vinculades, diverses disposicions de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, la quantia total de la multa administrativa no ha de ser superior a la quantia prevista per les infraccions més greus; a excepció dels supòsits previstos al Reglament de desplegament de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades.

Els terminis de prescripció i caducitat que afecten les infraccions i els procediments d’inspecció i sanció són els que estableix la Llei de protecció de dades vigent.

Capítol quart. Disposicions finals

Queda derogat el Reglament de l’Agència Andorrana de Protecció de Dades aprovat pel Decret del 9 de juny del 2010.

Aquest Reglament entrarà en vigor al cap de quinze dies de ser publicat al Butlletí Oficial del Principat d’Andorra.

Andorra la Vella, 14 de setembre del 2022

Xavier Espot ZamoraCap de Govern