Exposició de motius
Mitjançant l’aprovació de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), el Principat d’Andorra va donar compliment a l’objectiu de regular el tractament que tant persones com entitats privades com l’Administració pública andorrana duen a terme en relació a les dades corresponents a persones físiques, tot garantint, pel que fa al tractament i a la utilització de dades personals, els drets fonamentals de les persones, i especialment els relatius a la intimitat.
D’acord amb la mateixa Llei, es va crear l’Agència Andorrana de Protecció de Dades, amb l’objectiu de vetllar pel respecte dels drets fonamentals de les persones físiques en tot el que concerneix les operacions fetes mitjançant processos automatitzats o manuals de dades personals, amb una protecció especial del dret a la intimitat.
El Decret d’aprovació del Reglament del Registre Públic d’Inscripció de Fitxers de Dades Personals de l’1 de juliol del 2004, amb la correcció d’errata del 7 de juliol del 2004, l’annex 1 de la qual es va esmenar pel Decret de l’1 d’octubre del 2008, i el Decret del Reglament de l’Agència Andorrana de Protecció de Dades de l’1 de juliol del 2004, que fou modificat pel Decret del 21 de juliol del 2004, van desenvolupar els capítols tercer, quart i setè de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD).
L’experiència de més de cinc anys en l’aplicació del Reglament de l’Agència Andorrana de Protecció de Dades ha aportat coneixements sobre alguns aspectes que es poden millorar i precisar en el desplegament de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD).
També sorgeix la necessitat de prendre en consideració, en el desenvolupament de la Llei 15/2003,del 18 de desembre, qualificada de protecció de dades personals (LQPD), l’aprovació per part del Consell General, en la sessió del 18 d’octubre del 2007, de la ratificació del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de gener de 1981, i del Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001, ambdós en vigor des de l’1 de setembre del 2008.
L’abast de la reforma, doncs, es considera prou important per justificar la derogació del Decret d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades, de l’1 de juliol del 2004, la nova redacció del qual s’inclou en el Reglament que s’aprova, que té per finalitat reforçar la protecció de les dades personals, tenint en compte que els fluxos transfronterers de dades de caràcter personal són necessaris per al desenvolupament del comerç internacional; considerant els compromisos adquirits per l’Estat andorrà, amb l’objectiu principal de desenvolupar les disposicions previstes al Conveni i al Protocol addicional; prenent en consideració la Directiva 95/46/CE del Parlament Europeu i del Consell, del 24 d’octubre de 1995, relativa a la protecció de les persones físiques respecte al tractament de les dades de caràcter personal i a la lliure circulació d’aquestes dades; i, finalment, vetllant per la millora de la transparència i de la seguretat en el tractament, i també per la consolidació del nivell adequat i suficient de protecció de les dades de caràcter personal respecte el nivell d’exigència fixat per la Comunitat Europea.
A proposta del cap de Govern, en la sessió de Govern del 9 de juny del 2010, s’aprova aquest Decret:
Article únic
S’aprova el Reglament de l’Agència Andorrana de Protecció de Dades
Reglament de l’Agència Andorrana de Protecció de Dades
Capítol primer. Disposicions generals per la protecció de la persona en el tractament de dades personals
Article 1 .- Objecte
Aquest Reglament té per objecte desenvolupar la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), en particular els capítols primer, Objectiu, àmbit de la Llei i exclusions; segon, Principis aplicables al tractament de dades personals; tercer, Fitxers de naturalesa privada; quart, Fitxers de naturalesa pública; sisè, Comunicació internacional de dades; i setè, Autoritat de control; tenint en compte els compromisos adquirits per l’Estat andorrà d’aplicar el Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal, fet a Estrasburg el 28 de gener del 1981; i el Protocol addicional del Conveni per a la protecció de les persones respecte del processament automatitzat de les dades de caràcter personal relatiu a les autoritats de control i els fluxos transfronterers de dades, fet a Estrasburg el 8 de novembre del 2001.
Article 2 .- Àmbit d’aplicació
Aquest Reglament s’aplica a les dades de caràcter personal que siguin susceptibles de tractament, ja sigui manual ja sigui de forma automatitzada, i a qualsevol ús posterior d’aquestes dades de caràcter personal en els sectors públic i privat.
Article 3 .- Àmbits exclosos
S’exclouen de l’àmbit d’aplicació del Reglament:
1. Les dades personals relatives a la seguretat de l’Estat i a la investigació i a la prevenció d’infraccions penals, regulades per una llei de caràcter penal i en el marc d’un procediment penal.
2. Les dades de les persones físiques vinculades a la seva activitat empresarial, professional o comercial, en les circumstàncies següents:
a) dades de personal de persones jurídiques o d’establiments comercials o professionals, quan la informació vinculada a la persona física es refereixi únicament a la seva pertinença a l’empresa o a l’establiment, o a la seva qualitat professional en el si de l’empresa o de l’establiment;
b) dades de persones físiques pertanyents a col·lectius professionals, sempre que les dades es refereixin únicament a l’activitat professional de la persona i a la seva pertinença a un col·lectiu professional determinat;
c) dades de professionals autònoms o d’establiments professionals o comercials, quan les dades es refereixin únicament a la seva activitat professional o comercial.
3. El tractament de dades efectuat per part d’una persona física en l’exercici d’activitats exclusivament personals o domèstiques, com la correspondència i la gestió d’un repertori d’adreces.
Article 4 .- Àmbit territorial
1. Aquest Reglament és d’aplicació a la creació de fitxers i a tot tractament de dades de caràcter personal efectuat per responsables de tractaments domiciliats al Principat d’Andorra, o constituïts conforme a les lleis del Principat d’Andorra.
Quan no es doni la circumstància precedent relativa al responsable de tractament però hi hagi un prestador de serveis de dades personals domiciliat al Principat d’Andorra, també s’han d’aplicar els preceptes continguts en aquest Reglament.
Tanmateix, aquest Reglament és aplicable al responsable de tractament no domiciliat al Principat d’Andorra quan depengui de la legislació andorrana segons les normes del dret internacional públic; i ho és igualment als tractaments de dades fets per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra quan facin servir mitjans de tractament, automatitzats o no, ubicats en territori andorrà.
2. Els responsables de tractament no domiciliats al Principat d’Andorra que depenguin de la legislació andorrana segons les normes del dret internacional públic, i els responsables de tractament no domiciliats al Principat d’Andorra o no constituïts conforme a les lleis del Principat que facin servir mitjans de tractament, automatitzats o no, ubicats en territori andorrà, han de designar prop de l’Agència Andorrana de Protecció de Dades un representant establert al Principat d’Andorra, sense perjudici de les accions que es puguin emprendre contra el mateix responsable del tractament.
3. A l’efecte de l’aplicació d’aquest article, s’entén per domicili o establiment, amb independència de la seva forma jurídica, qualsevol instal·lació estable que permeti l’exercici efectiu i real d’una activitat.
Article 5 .- Definicions
A fi de regular la protecció de dades personals al Principat d’Andorra, s’entén per:
1. Dades personals o de caràcter personal: tota informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a una persona física identificada o identificable (“persona interessada”); s’entén per identificable tota persona amb una identitat que es pugui determinar, directament o indirectament, en particular mitjançant un número d’identificació o un o diversos elements específics, característics de la seva identitat física, fisiològica, psíquica, econòmica, cultural o social.
2. Consentiment: tota manifestació de voluntat que sigui lliure, específica, clara, indubtable i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que l’afectin.
3. Tractament de dades personals (“tractament”): qualsevol operació o conjunt d’operacions efectuades mitjançant procediments automatitzats o no, i aplicades a dades de caràcter personal, com la recollida, el registre, l’organització, la conservació, l’elaboració o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, la difusió, o qualsevol altra forma que en faciliti l’accés, la comparació o la interconnexió, el bloqueig, la supressió o la destrucció.
4. Fitxer de dades personals (“fitxer”): tot conjunt estructurat i organitzat, centralitzat o no, de dades personals, qualsevol que sigui la seva forma o modalitat de creació, emmagatzematge, organització i accés.
5. Processament automatitzat: les operacions efectuades totalment o parcialment amb l’ajut de procediments automatitzats, com ara l’emmagatzematge de dades; l’aplicació d’operacions lògiques i/o aritmètiques a aquestes dades; i la modificació, la supressió, l’extracció o la difusió de les dades.
6. Fitxers de naturalesa privada: fitxers de dades personals el responsable del tractament dels quals és una persona física o una persona jurídica de naturalesa privada o una societat pública sotmesa al dret privat.
7. Fitxers de naturalesa pública: fitxers de dades personals el responsable del tractament dels quals és l’Administració pública.
8. Dada anonimitzada: dada que no es pot associar a una persona identificada o identificable, considerant el conjunt dels mitjans que pugui utilitzar raonablement el responsable del tractament o qualsevol altra persona per identificar aquesta persona.
9. Responsable del tractament: la persona física o jurídica, el servei o qualsevol altre organisme competent per decidir sobre el tractament de dades personals i els mitjans que es destinaran a tal tractament, i que vetlla perquè les finalitats que es pretén assolir amb el tractament es corresponguin amb les concretades en la norma o en la decisió de creació del fitxer.
10. Prestador de serveis de dades personals: la persona física o jurídica, de naturalesa pública o privada, o l’autoritat pública, o el servei o qualsevol altre organisme que, sol o conjuntament amb d’altres, tracta les dades de caràcter personal per compte del responsable del tractament, o que accedeix a les dades personals per a la prestació d’un servei a favor i sota el control del responsable del tractament, sempre que no utilitzi les dades a què tingui accés per a finalitats pròpies, o que no les faci servir més enllà de les instruccions rebudes o per a finalitats diferents del servei que ha de prestar a favor del responsable.
11. Persona interessada: la persona física a la qual corresponen les dades de caràcter personal objecte de tractament.
12. Tercer: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme diferent de l’interessat, del responsable del tractament o del seu representant i del prestador de serveis.
13. Registres públics: tots els fitxers de dades personals el responsable del tractament dels quals sigui una entitat pública, als quals les persones interessades estan obligades a facilitar les seves dades a efectes d’inscripció o a altres efectes.
14. Registres públics accessibles: registres públics als quals qualsevol ciutadà o entitat, pública o privada, hi pot tenir accés.
15. Interès públic: concepte definit i determinat entès com a avantatge general i important i primordial, que justifica la finalitat de la intervenció de l’Estat i en fonamenta la legitimitat, sempre dins del marc de l’objectivitat i dels principis constitucionals de legalitat, de jerarquia, de publicitat de les normes jurídiques, de no retroactivitat de les disposicions restrictives de drets individuals o que comportarien un efecte o establirien una sanció desfavorables, de seguretat jurídica, de responsabilitat dels poders públics i d’interdicció de tota arbitrarietat.
16. Interès vital: interès essencial per a la vida de la persona interessada.
17. Destinatari: tercera persona física o jurídica, servei o qualsevol altre organisme que rebi una comunicació de dades
18. Cessió o comunicació de dades: qualsevol cessió o comunicació de dades de caràcter personal que el responsable del tractament dugui a terme en favor d’un tercer destinatari sempre que les dades siguin utilitzades pel destinatari per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i el cessionari.
19. Dades sensibles: dades referents a opinions polítiques, creences religioses, pertinença a organitzacions polítiques o sindicals, salut, vida sexual o origen ètnic de les persones interessades.
20. Dades de caràcter personal relacionades amb la salut: tota la informació relativa a la salut passada, present i futura, física o mental, d’una persona; es pot tractar d’una persona sana, malalta o difunta; es consideren dades relacionades amb la salut de les persones, entre d’altres, les relatives al seu percentatge de discapacitat o a la seva informació genètica, i també les relacionades amb el consum d’alcohol, de drogues tòxiques i de substàncies psicotròpiques.
21. Comunicació internacional de dades: tota comunicació de dades o tot accés a les dades per part d’un prestador de serveis de dades personals, quan els destinataris de la comunicació o els prestadors de serveis estiguin domiciliats a l’estranger, o emprin mitjans de tractament de dades personals ubicats a l’estranger per a la comunicació de les dades o per a la prestació del servei.
22. Normes de creació, modificació o supressió de fitxers de naturalesa pública: decisions dels òrgans de l’Administració pública definits per al Codi de l’Administració sotmeses a les disposicions de la Llei qualificada de protecció de dades personals, i als textos que la desenvolupen; destinades a regular la creació, la modificació o la supressió de fitxers de naturalesa pública, d’acord amb els requisits establerts a la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD).
Capítol segon.- Principis aplicables al tractament de dades personals
Article 6 .- Principis relatius a la qualitat de les dades
Perquè es puguin recollir i es puguin tractar, les dades personals han de ser obligatòriament i en tot cas:
1. obtingudes i tractades de manera lleial i lícita;
2. recollides per a finalitats determinades, explícites i legítimes i no ser tractades posteriorment de manera incompatible amb aquestes finalitats;
3. adequades, pertinents i no excessives en relació amb les finalitats per a les quals són recollides i per a les quals posteriorment es tracten;
4. exactes i, quan sigui necessari, actualitzades; cal prendre totes les mesures raonables perquè les dades inexactes o incompletes respecte a les finalitats per a les quals s’han recollit, o per a les quals s’han tractat posteriorment, siguin suprimides o rectificades;
5. conservades sota una forma que permeti la identificació de les persones interessades durant un període que no sigui superior al necessari per a les finalitats per a les quals s’han recollit o per a les quals es tractin posteriorment.
El compliment de les obligacions precedents recau sobre el responsable del tractament, del qual s’ha d’indicar clarament el nom o la raó social quan es faci la recollida de les dades.
Article 7 .- Principis relatius a la legitimació del tractament de dades
1. El tractament de dades personals només es pot dur a terme amb el consentiment exprés de la persona interessada.
Si sorgeix algun dubte referent a la prova de l’existència del consentiment de la persona interessada, la prova recau sobre el responsable del tractament.
La persona interessada pot revocar el seu consentiment fent ús dels seus drets, recollits al capítol tercer d’aquest Reglament.
2. El que estableix l’apartat 1 no s’aplica quan:
d) el tractament de dades correspongui a entitats de naturalesa pública, sempre que es faci amb les finalitats previstes en la norma o en la decisió de creació del fitxer de dades personals;
e) el tractament de dades sigui necessari per al compliment de les finalitats i les funcions dels registres públics conforme a la seva normativa;
f) el tractament de les dades es faci d’acord amb la normativa vigent;
g) les dades objecte de tractament s’obtinguin de registres públics accessibles;
h) sigui necessari per al compliment d’obligacions contractuals establertes entre la persona interessada i el responsable del tractament o bé sigui necessari per al compliment, el desenvolupament i el control d’altres relacions jurídiques que es puguin produir entre la persona interessada i el responsable del tractament;
i) sigui necessari per a la salvaguarda de l’interès vital de la persona interessada;
j) es faci exclusivament amb finalitats històriques o científiques, d’expressió artística o literària,
Tant les excepcions al consentiment de l’interessat com les relatives a les condicions legitimadores del tractament de dades personals s’han d’entendre i s’han d’interpretar sempre de manera restrictiva.
Article 8 .- Categories especials de tractament
1. Les dades sensibles només poden ser objecte de tractament o de comunicació amb el consentiment exprés de la persona interessada.
No és permesa la creació de fitxers amb la finalitat exclusiva de recollir o tractar dades sensibles relatives a opinions polítiques, creences religioses o filosòfiques, pertinença a organitzacions polítiques o sindicals, salut, vida sexual o origen racial o ètnic de les persones.
En cas de dubte, la prova de l’existència del consentiment de la persona interessada recau sobre el responsable del tractament.
2. El consentiment de la persona interessada per al tractament o la comunicació de dades sensibles no és necessari quan:
a) el tractament o la comunicació de dades sensibles es faci per o entre entitats de naturalesa pública, quan sigui estrictament necessari per al compliment de les seves funcions i finalitats legítimes, i es puguin incloure en les normes de creació dels fitxers de naturalesa pública previstes en la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD);
b) el tractament o la comunicació de dades sensibles sigui necessari per al compliment de les finalitats i les funcions dels registres públics, segons la normativa que en determina i en regula el funcionament;
c) es tracti de preservar l’interès vital de la persona afectada;
d) les dades s’hagin obtingut de registres públics accessibles segons la seva regulació;
e) el tractament o la comunicació de dades sensibles relatives a la salut el facin professionals mèdics, sanitaris o de treball social obligats a respectar el secret professional i a assegurar la confidencialitat de tota la informació nominativa i personal rebuda en el marc de l’exercici de la seva praxi professional, i sigui necessari per a la diagnosi i el tractament mèdic o l’assistència sanitària o social;
f) el tractament o la comunicació de dades sensibles relatives a la salut sigui necessari per a la realització d’estudis epidemiològics o per a la prevenció i tractament d’epidèmies, i que, prèviament a la comunicació, es converteixin en anònimes les dades personals sensibles;
g) Quan el tractament o la comunicació de dades sensibles es facin per o entre entitats de naturalesa pública, siguin estrictament necessaris per al compliment de les seves funcions i finalitats legítimes, i es puguin incloure en les normes de creació de fitxers de naturalesa pública previstes en la Llei.
Article 9 .- Accés a les dades per part dels prestadors de serveis
No es considera comunicació de dades l’accés necessari per a la prestació d’un servei pel compte del responsable del tractament.
La prestació de serveis de dades personals ha d’estar regulada en un contracte que ha de constar per escrit, que permeti acreditar-ne la concertació i el contingut, i s’hi ha d’establir de manera expressa que el prestador de serveis només ha de tractar les dades d’acord amb les instruccions del responsable del tractament, i que no les pot aplicar ni utilitzar amb una finalitat diferent de la que figura en el contracte acordat, ni comunicar-les a altres persones, ni tan sols per conservar-les.
El contracte també estipula que, una vegada acomplerta la prestació contractual, les dades de caràcter personal s’han de destruir o restituir al responsable del tractament, i també qualsevol suport o document en els quals consti alguna de les dades de caràcter personal objecte del tractament.
El prestador de serveis aplica les mesures tècniques i organitzatives adequades per a la protecció de les dades personals contra la destrucció accidental o il·lícita, la pèrdua accidental, i contra l’alteració, la difusió i l’accés no autoritzats, en particular quan el tractament inclogui la transmissió de dades dins una xarxa i contra qualsevol altre tractament il·lícit de dades personals.
En cas que el prestador de serveis destini les dades a una altra finalitat diferent de la pactada, les comuniqui o les utilitzi incomplint les estipulacions del contracte, serà considerat responsable del tractament, i haurà de respondre personalment de les infraccions en les quals hagi incorregut.
Capítol tercer.- Drets de la persona interessada
Article 10 .- Dret d’informació
1. En el moment de la recollida de les dades, la persona interessada és sempre informada per part del responsable o del seu representant de manera clara, expressa, precisa i inequívoca:
a) de la identitat del responsable del tractament i, si escau, del seu representant;
b) de la finalitat del tractament de què seran objecte les dades sol·licitades;
c) dels destinataris o del tipus de destinataris de les dades;
d) del caràcter obligatori o facultatiu de la resposta a les preguntes que se li plantegin i del dret a no atorgar el consentiment per al tractament de les dades i de les conseqüències de no atorgar-lo;
e) de l’existència dels drets d’accés, rectificació, oposició i supressió de les seves dades, i de com pot exercir-los.
2. El consentiment de la persona interessada ha de ser clarament informada de tal manera que sàpiga i entengui inequívocament la finalitat i els usos als quals es destinaran les seves dades objecte de recollida, i, especialment, a la finalitat de la recollida i als usos de les seves dades personals.
Si s’utilitzen qüestionaris o altres impresos per a la recollida de les dades personals, han de consignar clarament, detalladament i de manera llegible la informació ressenyada als epígrafs anteriors; així com el consentiment de la persona interessada.
3. És obligació del responsable del tractament conservar el suport que contingui i demostri l’acompliment del deure d’informar. Per a la consecució d’aquest objectiu, pot utilitzar, també, mitjans informàtics o telemàtics. En particular, pot escanejar la documentació en suport paper, sempre que pugui demostrar que en l’automatització no hi ha intervingut cap alteració dels suports originals.
4. En cas de dubte de la prova de l’existència del consentiment de la persona interessada, la responsabilitat recau sobre el responsable del tractament.
Article 11 .- Dret d’accés
Qualsevol persona interessada té dret a ser informada de manera intel·ligible pel responsable del tractament de l’existència o de la inexistència del tractament de dades que l’afecti; i té dret a rebre informació, com a mínim, sobre la finalitat del tractament o dels tractaments, les categories de dades a què es refereixen i els destinataris o tipus de destinataris als quals es comuniquen aquestes dades.
Tanmateix, té dret a rebre la comunicació, igualment de manera intel·ligible, de les dades objecte dels tractaments, i a conèixer tota la informació disponible sobre l’origen de les dades; i també té dret a conèixer la lògica utilitzada en els tractaments automatitzats de les dades referides a la persona interessada, almenys en els casos de les decisions automatitzades previstes a l’article 14 d’aquest Reglament.
1. El responsable del tractament informa la persona interessada dins un termini màxim de cinc dies hàbils a comptar del moment en què rebi la sol·licitud escrita i signada de la persona interessada.
2. El responsable facilita la informació a través dels mitjans que consideri més oportuns, ja sigui mitjançant la visualització directa de les dades, ja sigui per enviament en format imprès, ja sigui per qualsevol altra via que consideri convenient, de tal manera, però, que la informació sigui llegible i intel·ligible.
3. El responsable només pot denegar el dret d’accés en els supòsits previstos per la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD).
4. Tota denegació a l’accés a les dades l’ha de comunicar el responsable, de manera expressa, a la persona interessada dins un termini màxim de cinc dies hàbils a comptar del moment de la recepció de la sol·licitud escrita i signada de la persona interessada, per escrit, i ha d’estar motivada.
5. La denegació de l’accés a les dades o la comunicació defectuosa es pot recórrer davant la jurisdicció competent.
Article 12 .- Dret de rectificació
Qualsevulla persona interessada té dret a sol·licitar al responsable del tractament que les dades que són objecte de tractament es corregeixin si són errònies.
1. El responsable només pot denegar aquest dret de rectificació en els supòsits previstos en la Llei qualificada de protecció de dades personals.
2. Per a l’exercici del dret de rectificació, el responsable pot sol·licitar a la persona interessada que aporti els documents necessaris per acreditar la correcció i la realitat de les noves dades, i pot rebutjar la sol·licitud si aquests documents no els ha aportat la persona interessada o el seu representant o no acrediten la realitat de les noves dades.
3. En qualsevol cas, el responsable del tractament ha de comunicar a la persona interessada la denegació de la sol·licitud, o la correcció efectiva de les dades, dintre d’un període màxim d’un mes, a comptar del moment que rebi la sol·licitud de la persona interessada, si la sol·licitud ja va acompanyada de tots els documents necessaris per comprovar la realitat i la correcció de les noves dades, o a comptar del moment en què el responsable rebi la totalitat d’aquests documents.
4. La denegació de la sol·licitud s’ha de contestar per escrit, i s’ha de motivar; i es pot recórrer davant la jurisdicció competent.
5. Si les dades que són objecte de rectificació s’han comunicat prèviament, el responsable del tractament té l’obligació de notificar la rectificació al destinatari a qui s’han comunicat, i aquest darrer, si manté el tractament, també n’ha de dur a terme la rectificació.
Article 13 .- Dret d’oposició
Qualsevulla persona interessada té dret a oposar-se a que les seves dades siguin objecte de tractament per part d’un responsable, quan aquest responsable no hagi obtingut les dades directament de la persona interessada.
Quan un destinatari de dades de caràcter personal sigui objecte d’una comunicació de dades per part d’un responsable del tractament, i dintre d’un període màxim de quinze dies hàbils a comptar del moment en què rebi les dades, ha d’informar la persona interessada de les circumstàncies següents:
a) identitat del nou responsable del tractament o, si escau, del seu representant;
b) identitat de la persona física o jurídica de la qual el nou responsable ha rebut les dades;
c) finalitat del tractament de les dades obtingudes;
d) destinataris o tipus de destinataris de les dades;
e) drets d’accés, rectificació i supressió de les seves dades i com pot exercirlos.
Dintre d’un termini màxim d’un mes des del moment en què la persona interessada hagi estat informada de les circumstàncies anteriors, aquesta persona pot exercir el seu dret d’oposició, sol·licitant al nou responsable del tractament la supressió de les seves dades. Si al final d’aquest termini no ha exercit el seu dret d’oposició, s’entén que consent al tractament per part del nou responsable.
No es pot exercir el dret d’oposició quan la comunicació de dades:
a) es faci entre entitats de naturalesa pública, i aquesta comunicació s’estableixi en les normes de creació de fitxers de naturalesa pública i de conformitat amb els principis relatius a la qualitat de les dades;
b) sigui necessària per al compliment de les finalitats i les funcions dels registres públics expressament regulats;
c) es faci en compliment d’una norma vigent, o per al compliment d’una norma vigent;
d) sigui necessària per al compliment d’obligacions contractuals establertes entre la persona interessada i el responsable del tractament, o sigui necessària per al compliment, el desenvolupament i el control d’altres relacions jurídiques que hi pugui haver entre la persona interessada i el responsable del tractament;
e) sigui necessària per preservar l’interès vital de la persona interessada;
f) sigui requerida per una ordre judicial.
La denegació al dret d’oposició s’ha de contestar per escrit, i s’ha de motivar; i es pot recórrer davant la jurisdicció competent.
Article 14 .- Dret de supressió
Qualsevulla persona interessada té dret a sol·licitar al responsable del tractament que les dades que són objecte de tractament se suprimeixin.
1. El responsable pot denegar aquest dret de supressió en els supòsits següents:
a) quan la conservació de les dades sigui necessària per al responsable del tractament, d’acord amb la normativa vigent;
b) quan la conservació sigui necessària per al compliment de les finalitats legítimes del responsable, dintre dels terminis màxims que, d’acord amb la normativa vigent, siguin aplicables i, en qualsevol cas, durant el termini màxim que sigui necessari per a la finalitat prevista per al seu tractament;
c) quan la conservació sigui necessària en virtut de les relacions jurídiques o de les obligacions contractuals existents entre la persona interessada i el responsable, o per al cas de possibles reclamacions judicials o extrajudicials o obligacions administratives derivades d’aquestes relacions jurídiques o obligacions contractuals.
2. El responsable del fitxer disposa d’un termini màxim d’un mes, a comptar del moment en què rebi la sol·licitud de la persona interessada, per comunicar-li la supressió efectiva de les dades o la denegació de la seva sol·licitud, si escau alguna de les circumstàncies indicades en el paràgraf anterior.
3. La resolució té per efecte el bloqueig de les dades personals, que s’han de conservar únicament per a la disposició de les administracions públiques i dels tribunals amb l’objecte d’atendre les possibles responsabilitats relatives al tractament, durant el termini de prescripció de les dades. Esgotat el termini, se suprimiran.
4. En qualsevol cas, davant de la denegació de la sol·licitud, que s’ha de fer per escrit, i s’ha de motivar, l’interessat pot presentar recurs contra la dita decisió davant la jurisdicció competent.
5. Si les dades que són objecte de supressió s’han comunicat prèviament, el responsable del tractament té l’obligació de notificar la supressió al destinatari a qui s’han comunicat, i aquest darrer, si manté el tractament, també n’ha de dur a terme la supressió.
Article 15 .- Decisions individuals automatitzades
1. Tota persona té dret a no veure’s sotmesa a una decisió que produeixi efectes jurídics sobre ella o que l’afecti de manera significativa, que es basi únicament en un tractament automatitzat de dades destinat a avaluar determinats aspectes de la seva personalitat.
2. Una persona es pot veure sotmesa a una de les decisions que s’estableixen a l’apartat 1 quan aquesta decisió:
d) s’hagi adoptat en el marc de la celebració o de l’execució d’un contracte, sempre que la petició de celebració o d’execució del contracte presentada per l’interessat s’hagi satisfet o que existeixin mesures adequades per salvaguardar el seu interès legítim, com la possibilitat de defensar el seu punt de vista; o
e) estigui autoritzada per una llei que estableixi mesures que garanteixin l’interès legítim de l’interessat.
Article 16 .- Exercici dels drets d’accés, rectificació, oposició i supressió
El responsable del fitxer no pot sotmetre l’exercici dels drets d’accés, rectificació, oposició i supressió a cap formalitat, ni al pagament de cap despesa per part de la persona interessada.
Aquests drets s’exerceixen mitjançant petició escrita de la persona interessada.
Els drets d’accés, rectificació, oposició i supressió són drets personalíssims i són exercits pel mateix interessat o el seu representant.
Els drets d’accés, rectificació, oposició i supressió són drets independents de tal manera que l’exercici d’un no és requisit previ per a l’exercici d’un altre.
Capítol quart.. Confidencialitat i seguretat
Article 17. – Confidencialitat
El responsable del tractament ha d’establir les mesures tècniques i d’organització necessàries per garantir la confidencialitat de les dades personals objecte de tractament i evitar-ne la divulgació o l’accés no autoritzats.
Article 18 .- Seguretat
1. El responsable del tractament ha d’establir les mesures tècniques i organitzatives necessàries per protegir les dades de caràcter personal contra la destrucció accidental o il·lícita, la pèrdua accidental, l’alteració, la divulgació o l’accés no autoritzat, sobretot quan el tractament implica la transmissió de dades a través d’una xarxa, i també contra qualsevol altra forma il·lícita de tractament. Aquestes mesures han de garantir un nivell de seguretat adequat en funció dels riscos del tractament i de la naturalesa de les dades que s’han de protegir.
2. Si la totalitat o una part del tractament s’encarrega a prestadors de serveis de dades personals, correspon al responsable del tractament la responsabilitat que els prestadors tinguin establertes mesures tècniques i d’organització suficients per garantir la confidencialitat i la seguretat de les dades objecte del servei. A aquest efecte, els responsables del tractament han d’exigir als prestadors de serveis de dades personals l’establiment de les mesures tècniques i d’organització que el responsable de tractament consideri mínimes, sempre que aquestes mesures mínimes es corresponguin amb les que el mateix responsable tingui establertes per a tractaments de dades pròpies i de naturalesa anàloga als que siguin objecte del servei.
Capítol cinquè.- Fitxers de dades personals
Article 19 .- Fitxers de naturalesa privada
Abans de crear el fitxer, els responsables de tractament de dades l’han d’inscriure al Registre Públic d’Inscripció de Fitxers de Dades Personals seguint el que prevegi la normativa.
Article 20 .- Fitxers de naturalesa pública
La creació, la modificació o la supressió del fitxer de naturalesa pública s’ha de fer mitjançant la norma publicada per l’Administració pública, d’acord amb els requisits establerts a la Llei 15/2003,del 18 de desembre, qualificada de protecció de dades personals (LQPD).
Capítol sisè.- Comunicació internacional de dades
Article 21 .- Requisits per a la comunicació internacional de dades i excepcions
1. No es poden efectuar comunicacions internacionals de dades quan el país de destinació no estableixi, en la seva normativa vigent, un nivell de protecció per a dades de caràcter personal equivalent, com a mínim, al que està establert a la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD).
2. La comunicació internacional de dades cap a un país que no garanteixi un nivell de protecció equivalent, segons la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), només pot ser si:
a) es fa amb el consentiment inequívoc de la persona interessada;
b) es fa d’acord amb els convenis internacionals dels quals el Principat d’Andorra sigui part;
c) es fa a l’efecte d’auxili judicial internacional, o per al reconeixement, l’exercici o la defensa d’un dret en el marc d’un procediment judicial;
d) es fa per a la prevenció o la diagnosi mèdiques, l’assistència sanitària, la prevenció o la diagnosi social o per l’interès vital de la persona interessada.
e) es fa amb motiu de remeses bancàries o transferències dins del marc d’una relació jurídica que concerneix la persona interessada;
f) es fa de dades que provinguin de registres públics o es fan en compliment de les funcions i finalitats de registres públics, que, en virtut de disposicions legals, estiguin concebuts per facilitar informació al públic i estiguin oberts a la consulta per part del públic en general o de qualsevol persona que hi pugui demostrar un interès legítim, sempre que es compleixin, en cada cas particular, les condicions que estableix la normativa per a la consulta; en aquest cas, la transferència no ha d’afectar la totalitat de les dades o les categories de dades que contingui el registre esmentat; quan la finalitat d’un registre sigui la consulta per part de persones que hi tinguin un interès legítim, aquesta transferència només s’ha de poder efectuar a petició d’aquestes persones o quan aquestes en siguin les destinatàries; aquesta excepció no ha de ser mai legitimadora de transferències massives de dades amb finalitats comercials contingudes en registres públics o de recerca minuciosa de dades accessibles al públic amb la finalitat d’obtenir el perfil de certes persones;
g) és necessària ja sigui per a l’execució d’un contracte entre la persona interessada i el responsable del tractament (o per a l’execució de mesures precontractuals preses a petició de la persona interessada), ja sigui per a la conclusió o l’execució d’un contracte conclòs o per concloure, en l’interès de la persona interessada, entre el responsable del tractament i un tercer;
h) és necessària per preservar l’interès públic.
Totes les excepcions enumerades en aquest article s’han d’interpretar de manera estricta i restrictiva, perquè la seva aplicació no provoqui cap vulneració dels drets de la persona, en particular del dret a la intimitat.
Capítol setè.- L’Agència Andorrana de Protecció de Dades
Article 22. – L’Agència Andorrana de Protecció de Dades
1. L’Agència Andorrana de Protecció de Dades, creada per la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), és una institució de dret públic, que ajusta la seva activitat a l’ordenament jurídic públic.
2. L’Agència Andorrana de Protecció de Dades es configura com una autoritat independent que actua amb objectivitat i plena independència de les administracions públiques andorranes en l’exercici de les seves funcions.
3. L’Agència Andorrana de Protecció de Dades té personalitat jurídica pròpia i plena capacitat d’obrar.
Article 23 .- Àmbit d’actuació
1. L’Agència Andorrana de Protecció de Dades exerceix la seva autoritat de control sobre els tractaments de dades personals, i sobre qualsevol ús posterior d’aquestes dades, que es duguin a terme al Principat d’Andorra per part dels ens que constitueixen l’Administració pública, i les persones i les entitats privades que, d’acord amb el que estableix l’article 4 de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), siguin responsables del tractament i tinguin el seu domicili al Principat d’Andorra o s’hagin constituït d’acord amb les lleis del Principat d’Andorra.
2. Pel que fa als prestadors de serveis de dades personals que tinguin el seu domicili al Principat d’Andorra o s’hagin constituït d’acord amb les lleis del Principat d’Andorra, i amb independència del domicili o la nacionalitat dels responsables del tractament pels quals prestin els seus serveis, l’Agència és competent per verificar el compliment adequat de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD).
3. Tanmateix, l’Agència Andorrana de Protecció de Dades exerceix la seva autoritat de control sobre els tractaments de dades que portin a terme els responsables del tractament que no estiguin domiciliats al Principat d’Andorra o no s’hagin constituït d’acord amb les lleis del Principat d’Andorra però que utilitzin mitjans de tractament de dades personals ubicats al Principat d’Andorra.
4. També és competència de l’Agència la col·laboració amb altres autoritats i entitats de control en matèria de dades personals d’altres països.
Capítol vuitè.- Competències i funcions
Article 24 .- Competències de l’Agència
L’Agència Andorrana de Protecció de Dades té dins el seu àmbit d’actuació competències de vigilància del compliment de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), de proposta de millores en la normativa de protecció de dades personals, de redacció eventual d’informes facultatius i consultius previs als tractaments, d’informació, de consulta, de registre, de control, d’inspecció, d’investigació, de decisió, de resolució i de sanció, i també de cooperació amb altres autoritats de control.
Article 25 .- Funcions de l’Agència
Són funcions de l’Agència Andorrana de Protecció de Dades:
1. dictar les instruccions i les recomanacions necessàries per adequar els tractaments de dades personals als principis de la legislació vigent en matèria de protecció de dades personals;
2. emetre informes, amb caràcter consultiu, en el cas de ser sol·licitats, dels projectes de llei, els projectes de disposicions normatives que elabori el Govern en virtut de delegació legislativa, dels projectes de reglaments o disposicions de caràcter general que afectin la protecció de dades de caràcter personal;
3. emetre les seves opinions entorn a altres lleis o normes que afectin la privacitat de les persones físiques i els tractaments i la seguretat de les dades de caràcter personal;
4. proposar millores respecte de la normativa vigent en matèria de protecció de dades personals;
5. respondre les consultes que les Administracions públiques, les entitats públiques i privades i els ciutadans li formulin sobre l’aplicació de la legislació de protecció de dades de caràcter personal;
6. atendre les peticions que li formuli la ciutadania;
7. proporcionar informació sobre els drets de les persones en matèria de protecció de dades personals; en particular mitjançant la realització de campanyes de difusió que es considerin adients, i establint a aquest efecte les previsions pressupostàries que corresponguin conforme a l’article 27 d’aquest Reglament;
8. redactar, aprovar i publicar la llista de països que disposin de protecció equivalent en matèria de dades personals, d’acord amb el que estableix l’article 36 de la Llei de protecció de dades personals.
9. atendre les consultes relatives a la validesa de les comunicacions internacionals de dades personals a països que tenen una legislació que no ofereix un nivell de protecció suficient i adequat;
10. resoldre motivadament sobre la procedència o la improcedència de les sol·licituds d’inscripció, modificació o supressió de fitxers que s’hagin de practicar al Registre Públic d’Inscripció de Fitxers de Dades Personals i efectuar les inscripcions i les actualitzacions de fitxers de dades personals al Registre;
11. requerir als responsables del tractament i als prestadors de serveis de dades personals l’adopció de les mesures necessàries per adequar el tractament de dades personals objecte d’investigació a la legislació vigent i instar judicialment, si escau, el cessament dels tractaments i la cancel·lació dels fitxers;
12. incoar, instruir i resoldre els expedients sancionadors relatius als responsables del tractament dels fitxers de titularitat privada;
13. instar la incoació d’expedients disciplinaris als casos d’infraccions comeses per òrgans responsables de fitxers de l’Administració pública andorrana, i comprovar l’efectivitat dels expedients;
14. elaborar una memòria anual que s’ha de publicar perquè sigui accessible a tothom de forma pública i generalitzada; s’ha de fer accessible a través dels mitjans telemàtics a què fa referència el capítol dotzè d’aquest Reglament; la memòria ha d’incloure informació sobre l’aplicació de la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), i de les altres disposicions legals i reglamentàries sobre protecció de dades.
Capítol novè.- Règim de personal, econòmic i patrimonial
Article 26. – Règim del personal
1. El règim aplicable al cap i als inspectors de l’Agència pel desenvolupament del seu càrrec és el que s’ha previst en aquest Reglament, en relació amb les disposicions del Codi de l’Administració.
2. El règim aplicable al personal adscrit a l’Agència, llevat del cap i dels inspectors, és el que estableix la normativa vigent en matèria laboral.
3. Els llocs reservats al personal adscrit a l’Agència s’han de proveir mitjançant una convocatòria pública i d’acord amb els principis d’igualtat, mèrit i capacitat.
Article 27 .- Règim econòmic
1. Quant a recursos, l’Agència Andorrana de Protecció de Dades compta amb les assignacions anuals que s’estableixin als pressupostos del Consell General.
2. L’Agència Andorrana de Protecció de Dades ha d’ajustar la seva comptabilitat al règim de comptabilitat pública.
3. El Tribunal de Comptes exerceix la seva funció fiscalitzadora envers l’Agència Andorrana de Protecció de Dades.
Article 28 .- Pressupost
L’Agència Andorrana de Protecció de Dades ha d’elaborar anualment el seu projecte de pressupost, que ha de trametre al Consell General.
Article 29 .- Règim patrimonial i de contractació
1. L’Agència Andorrana de Protecció de Dades té un patrimoni propi constituït pels béns i pels drets que adquireixi.
2. El règim jurídic de contractació de l’Agència és el que estableix la legislació vigent sobre contractes de les Administracions públiques.
L’òrgan de contractació és el cap de l’Agència.
Capítol desè.- Òrgans de l’Agència
Article 30 .- Estructura orgànica
1. L’Agència Andorrana de Protecció de Dades s’estructura en els òrgans següents:
a) El cap de l’Agència.
b) Dos inspectors.
c) Personal adscrit a l’agència.
Article 31 .- El cap de l’Agència
1. El cap de l’Agència dirigeix l’Agència Andorrana de Protecció de Dades i n’exerceix la representació legal. Acompleix les seves funcions amb plena independència, neutralitat i objectivitat, sense subjecció a cap mandat imperatiu ni instrucció.
2. El cap de l’Agència és nomenat pel Consell General, amb la majoria de vots establerta a la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD); té la consideració d’autoritat pública en el desenvolupament de la seva activitat, i està obligat a mantenir el secret sobre la informació que conegui en l’exercici de les seves funcions, fins i tot després d’haver cessat.
3. El cap de l’Agència és nomenat per un mandat de quatre anys, que pot ser renovat a la seva fi.
4. Correspon específicament al cap de l’Agència:
a) adjudicar i formalitzar els contractes que requereixi la gestió de l’Agència i vigilar-ne el compliment i l’execució;
b) aprovar les despeses i ordenar els pagaments, dins els límits dels crèdits del pressupost de despeses de l’Agència;
c) exercir el control econòmic i financer de l’Agència;
d) elaborar el projecte de pressupost de l’Agència;
e) aprovar la memòria anual de l’Agència.
Article 32 .- Els inspectors
1. Els dos inspectors de l’Agència Andorrana de Protecció de Dades assisteixen i col·laboren amb el cap de l’Agència en l’exercici de les funcions pròpies de l’Agència.
2. Els dos inspectors són nomenats pel Consell General amb la mateixa majoria de vots que s’ha establert per nomenar el cap de l’Agència.
3. Els inspectors tenen la consideració d’autoritat pública en el desenvolupament de llur activitat i estan obligats a mantenir el secret sobre la informació que coneguin en l’exercici de les seves funcions, fins i tot després d’haver cessat del càrrec.
4. Els inspectors són nomenats per un mandat de quatre anys, que pot ser renovat a la seva fi.
5. Correspon específicament als inspectors de l’Agència:
a) dur a terme les inspeccions que els encarregui el cap de l’Agència, d’acord amb el que estableix d’aquest Reglament
b) dur a terme les altres funcions que els encomani el cap de l’Agència.
Article 33 .- Remuneració
El cap i els inspectors de l’Agència Andorrana de Protecció de Dades reben la remuneració que el seu càrrec té assignada al pressupost de l’Agència aprovat pel Consell General.
Article 34 .- Abstenció i recusació
El règim d’abstenció i recusació del cap de l’Agència i dels dos inspectors s’ha d’ajustar al mateix que estableix el Codi de l’Administració.
Article 35 .- Exercici de la potestat d’inspecció i d’investigació de l’Agència Andorrana de Protecció de Dades
1. De conformitat amb el que preveu la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), l’Agència Andorrana de Protecció de Dades pot portar a terme inspeccions a iniciativa pròpia, o bé a sol·licitud de qualsevol persona interessada que consideri que els seus drets han estat afectats o que un responsable de tractament ha incomplert les obligacions establertes en la Llei.
2. Per exercir les seves funcions, l’Agència Andorrana de Protecció de Dades pot dirigir-se directament als responsables de tractament o als prestadors de serveis.
Tant els responsables de tractament com els prestadors de serveis estan obligats a subministrar als inspectors de l’Agència tota la informació que els sol·licitin i també a facilitar-los l’accés a les seves dependències i als recursos informàtics o d’altre tipus destinats al tractament de les dades quan els ho sol·licitin en l’exercici d’aquesta facultat de control.
3. Dins del marc de qualsevol investigació, l’Agència pot requerir documentació o informació que consideri rellevant.
4. Correspon també a l’Agència portar a terme inspeccions de fitxers tant de titularitat pública com de titularitat privada. En aquest sentit pot:
a) sol·licitar la presentació o la tramesa de documents i el lliurament de còpies;
b) examinar els suports d’informació que continguin dades personals;
c) examinar els equips físics i lògics;
d) examinar els sistemes de transmissió i d’accés a les dades;
e) dur a terme auditories dels sistemes informàtics per verificar que s’ajusten a les exigències de la Llei de protecció de dades personals;
f) instruir i resoldre els expedients sancionadors;
g) per reunir les proves necessàries, els inspectors de l’Agència, sempre que sigui necessari, es traslladen a l’indret d’ubicació dels fitxers, constaten el material, i fan, si escau, un reportatge fotogràfic o audiovisual.
5. El procediment d’inspecció s’ha d’ajustar a les normes següents:
a) El cap de l’Agència ha d’emetre l’autorització d’inspecció corresponent perquè els inspectors puguin remetre al responsable del tractament el requeriment de la documentació que creguin rellevant per poder portar a terme la inspecció o, si escau, per tal que els inspectors puguin inspeccionar els locals del responsable del tractament o del prestador de serveis on hi hagi els fitxers i els equips informàtics i de suport on s’emmagatzemen les dades personals objecte de tractament, en el cas que es faci una inspecció presencial.
b) L’autorització d’inspecció ha de contenir, com a mínim, la informació següent:
– número d’expedient;
– nom de l’inspector designat per fer la inspecció;
– nom del denunciant, si n’hi ha;
– les dependències i la concreció del fitxer o del tractament respecte als quals s’ha d’efectuar el requeriment d’informació i/o la inspecció si són coneguts, i el raonament de la conveniència d’aquestes actuacions amb relació a l’indici o la prova de vulneració de la Llei, o amb relació al fet denunciat;
– la indicació, quan es coneguin, de les denominacions dels responsables del tractament i dels prestadors de serveis de dades que hagin de ser objecte d’inspecció, i dels locals i de les dependències que s’han d’inspeccionar.
c) L’Agència pot comprovar el compliment de les obligacions establertes a la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), sense necessitat de presentar-se a les dependències dels responsables del tractament o dels prestadors de serveis de dades personals adreçant-los la sol·licitud d’informació corresponent mitjançant un requeriment. En aquest cas, s’ha d’adjuntar al requeriment d’informació que es remeti, l’autorització emesa pel cap de l’Agència Andorrana de Protecció de Dades, amb el mateix contingut establert a l’epígraf b) d’aquest article.
En el cas que es porti a terme una inspecció presencial, l’inspector designat per fer la inspecció ha de presentar l’autorització emesa pel cap de l’Agència, i el responsable del tractament està obligat a permetre-li l’accés als locals on hi ha els fitxers, els equips informàtics i els de suport on s’emmagatzemen les dades personals objecte de tractament.
Quan els locals tinguin la qualificació legal de domicili privat, l’activitat d’inspecció s’ha d’ajustar també a les regles que en garanteixen la inviolabilitat.
e) En cas d’inspecció presencial, una vegada s’ha acabat, els inspectors aixequen una acta que notifiquen al responsable del tractament.
f) Una vegada els inspectors han practicat la investigació, han de presentar una proposta al cap de l’Agència Andorrana de Protecció de Dades, a qui correspon resoldre si s’ha d’incoar l’expedient sancionador.
g) La resolució del cap de l’Agència Andorrana de Protecció de Dades, tant en el cas que resolgui incoar expedient sancionador com en el cas que no sigui així, s’ha de notificar al responsable del tractament.
h) Per a tot allò que no estigui expressament previst en aquest Reglament, el procediment sancionador s’ha d’ajustar al que disposa el Codi de l’Administració.
Article 36 .- Prescripció i caducitat
1. Les infraccions tipificades a la Llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals (LQPD), prescriuen al cap de 3 anys d’haver-se comès.
2. Els procediments d’inspecció i de sanció que ha iniciat l’Agència Andorrana de Protecció de Dades caduquen al cap de 6 mesos de la darrera actuació duta a terme sense que s’hagi produït una nova actuació o s’hagi emès una resolució.
Capítol onzè.- Comunicacions telemàtiques
Article 37. – Mitjans telemàtics
1. L’Agència Andorrana de Protecció de Dades habilita els mitjans telemàtics convenients per exercir les seves funcions i per facilitar l’exercici per part dels ciutadans dels drets que els reconeix aquest Reglament, com el dret de formular consultes, presentar denúncies i altres drets que els reconeix el Reglament del Registre Públic d’Inscripció de Fitxers de Dades Personals i la Llei de protecció de dades personals.
2. A aquest efecte, s’han de fixar les previsions pressupostàries corresponents, d’acord amb el que estableix l’article 27 d’aquest Reglament.
Disposició derogatòria
Queda derogat el Reglament de l’Agència Andorrana de Protecció de Dades de l’1 de juliol del 2004 i la seva modificació pel Decret del 21 de juliol del 2004.
Disposició final
Aquest Reglament entrarà en vigor al cap de 15 dies a comptar del dia que es publica al Butlletí Oficial del Principat d’Andorra.
Andorra la Vella, 9 de juny del 2010
Jaume Bartumeu Cassany
Cap de Govern