Andorra y protección de datos de carácter personal

bandera_andorra

Por José Luis Colom Planas

1. INTRODUCCIÓN

El Principado de Andorra (en catalán, su idioma oficial, “Principat d’Andorra”), como todos sabemos es un pequeño país soberano del suroeste de Europa con una extensión de 468 km2, situado en los Pirineos. Es fronterizo por el sur con España y por el norte con Francia. Su territorio, con capital en “Andorra la Vella”, está formado por siete parroquias con una población total de unos 78.115 habitantes (1).

Está constituido como un Estado social y democrático de Derecho, cuyo régimen político es el Coprincipado parlamentario y tiene como jefes de Estado al obispo de Urgel (España), actualmente  Joan Enric Vives i Sicília (1), y al presidente de la República Francesa, en la actualidad François Hollande (1).

El 8 de enero de 1982 se creó el cargo de Jefe de Gobierno del Principado de Andorra (en catalán “Cap de Govern del Principat d’Andorra”), que es presidente del Consejo de Ministros andorrano y es quien propone las leyes al Consejo General de Andorra. Tras la Constitución de 1993, este cargo quedó plenamente normalizado. El actual jefe de Gobierno electo el 12 de Mayo de 2011 es Antoni Martí Petit (1).

No tiene fuerzas armadas propias y su defensa es responsabilidad de España y Francia, según el tratado de buena vecindad:

TRATADO DE BUENA VECINDAD CON ANDORRA

2. RECONOCIMIENTO Y LEGISLACIÓN APLICABLE

Aunque uno de los dos copríncipes sea de España y sea un país vecino, la AEPD(Agencia Española de Protección de Datos) no tiene jurisdicción en Andorra. Dispone por tanto de una Agencia de Protección de Datos propia: APDA (Agència Andorrana de protecció de Dades) www.apda.ad

El 1 de Diciembre de 2009, the ARTICLE 29 DATA PROTECTION WORKING PARTY, 02317/09/EN, WP 166, publica la opinión 7/2009 “On the level of protection of personal data in the Principality of Andorra”.

Dicho dictamen prepara el terreno para que Andorra sea reconocida como país con adecuado nivel de protección por la EU.

Finalmente, la DECISIÓN DE LA COMISIÓN de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra (2010/625/UE), reconoce a Andorra como país con adecuado nivel de protección de datos personales.

La legislación aplicable en dicho país es la siguiente (equivalente a la LOPD y RLOPD de España):

La ley andorrana es la Llei 15/2003, del 18 de desembre, calificada de protección de datos personales.

El Reglamento de aplicación es el Decret del 9-06-2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades.

De ello se deduce que carece de sentido hablar de adecuar una empresa andorrana a la LOPD (Ley Orgánica española 15/1999, de 13 de diciembre). Si acaso a la Llei andorrana 15/2003, del 18 de desembre.

El artículo 4 de la “Lley andorrana 15/2003, del 18 de desembre”, cita textualmente, en relación al ámbito territorial de su aplicación:

Article 4. Àmbit territorial.

Aquesta Llei s’aplica a la creació de fitxers i al tractament de dades personals per responsables de tractament domiciliats al Principat d’Andorra, o constituïts conforme a les lleis del Principat d’Andorra.

Igualment, aquesta Llei és aplicable als tractaments de dades realitzats per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra, quan facin servir mitjans de tractament ubicats en el territori del Principat.

Que traducido al español dice:

Artículo 4. Ámbito territorial.

Esta ley se aplica a la creación de ficheros y al tratamiento de datos personales por parte de responsables del tratamiento domiciliados en el Principat d’Andorra, o constituidos conforme a las leyes del “Principat d’Andorra”.

Igualmente, esta ley es aplicable a los tratamientos de datos realizados por responsables del tratamiento no domiciliados al Principat o no constituidos conforme a las leyes del “Principat d’Andorra”, cuando hagan servir medios de tratamiento ubicados en el territorio del Principado.

3. ANÁLISIS DE POSIBILIDADES

3.1. Empresa Andorrana, con sede en Andorra y que opera allí.

En dicho caso se debe a la legislación andorrana, y actúa en calidad de RESPONSABLE DEL TRATAMIENTO de los datos de carácter personal recabados a los andorranos.

Debe registrar los ficheros que contengan dichos datos de carácter personal a la APDA (Agència Andorrana de Protecció de Dades).

3.2. Empresa Andorrana, con sede en Andorra que envía a España para que se los procesen o traten, los datos personales de andorranos.

Como España y Andorra, según la Comisión Europea y como lo contemplan sus respectivas AGPDs, son países con adecuado nivel de protección, se considerará una transferencia internacional de datos por lo que deberá notificarse a la APDA, pero no será necesaria la autorización de su director.

Debe firmarse un contrato con la empresa española, de forma que ésta actúe como ENCARGADO DEL TRATAMIENTO por cuenta de la andorrana que será la RESPONSABLE DEL TRATAMIENTO.

 3.3. Empresa Andorrana, con sede en Andorra que procesa o trata los datos personales de españoles, por cuenta de otra empresa española.

En dicho caso la empresa andorrana actuará como ENCARGADA DEL TRATAMIENTO y deberá reflejarlo en un contrato que la vincule a la empresa española que actuará como RESPONSABLE DEL TRATAMIENTO.

Será la empresa española la que deberá notificar a la AEPD, que realiza una transferencia internacional de datos hacia Andorra.

La empresa andorrana estará bajo la “Lley andorrana 15/2003, del 18 de desembre” que deberá cumplir.

3.4. CLOUD COMPUTING.

Es lo mismo que acabamos de describir, simplemente teniendo en cuenta que la empresa que almacena los datos de carácter personal prestando servicios de Cloud Computing es el ENCARGADO DEL TRATAMIENTO y la empresa que contrata los servicios para almacenar o tratar datos de carácter personal, es considerado RESPONSABLE DEL TRATAMIENTO.