Atès que el Consell General en la seva sessió del dia 18 de desembre del 2003 ha aprovat la següent:
llei 15/2003, del 18 de desembre, qualificada de protecció de dades personals
Exposició de motius
Aquesta Llei té per objectiu regular el tractament que tant persones o entitats privades com l'Administració pública andorrana duen a terme sobre les dades corresponents a persones físiques.
Aquesta regulació persegueix tres objectius fonamentals: primer, aportar un grau de protecció suficient i raonable al dret que tota persona té a la seva intimitat, dret fonamental reconegut per la Constitució al seu article 14; segon, que aquesta protecció no impliqui l'establiment d'obligacions excessives que puguin impedir o dificultar greument les activitats econòmiques, administratives o de gestió de les entitats públiques i privades andorranes; tercer, aproximar la legislació andorrana a les normatives del nostre entorn en aquesta matèria. Amb la regulació que conté aquesta Llei s'ha cercat l'equilibri entre aquests tres principis.
La regulació del tractament de dades personals no és desconeguda en el nostre país. Així, el Reglament sobre el banc de dades del sector públic, aprovat l'any 1976, ja establia tota una sèrie de previsions per al tractament de dades personals, tot i que limitava el camp d'acció a la utilització de les dades dels administrats en el sector públic.
Tenint en compte aquest precedent, la regulació establerta en aquesta Llei conté una previsió específica relativa al tractament de dades per part de l'Administració andorrana i inclou altres qüestions que s'han considerat fonamentals en la regulació del tractament de dades personals.
Així, el capítol primer de la Llei regula l'àmbit territorial i material, amb identificació de les matèries que, per la seva especificitat, s'han d'excloure del seu àmbit d'aplicació; el capítol segon defineix els principis fonamentals aplicables a qualsevol tractament de dades personals; el capítol tercer, els requisits específics aplicables al tractament de dades personals per part d'entitats privades; el capítol quart, els requisits específics per al tractament de dades personals per part d'entitats públiques; el capítol cinquè, les infraccions i sancions que es deriven de l'incompliment de la Llei; el capítol sisè, els requisits aplicables a les comunicacions internacionals de dades personals; el capítol setè, l'autoritat pública encarregada de vetllar pel compliment de la Llei; i, finalment, s'estableixen les disposicions de caràcter transitori, addicionals i finals que faciliten el compliment de la Llei.
Capítol primer.- Objectiu, àmbit de la Llei i exclusions
Article 1.- Objectiu
Aquesta Llei té per objectiu protegir i garantir, pel que fa al tractament i a la utilització de dades personals, els drets fonamentals de les persones, i especialment els relatius a la intimitat.
Article 2.- Àmbit d'aplicació
Aquesta Llei és aplicable a les dades de caràcter personal que siguin susceptibles de tractament i a qualsevol ús posterior d'aquestes dades.
Article 3.- Definicions
A l'efecte d'aquesta Llei s'entén per:
1. Dades personals: tota informació relativa o vinculada a persones físiques identificades o identificables.
2. Tractament de dades personals: tota operació aplicada o realitzada sobre dades personals, sigui o no sigui de forma automatitzada.
3. Fitxer de dades personals: conjunt estructurat i organitzat de dades personals, qualsevol que sigui la seva forma o modalitat de creació, emmagatzematge, organització i accés.
4. Responsable del tractament: persona física o jurídica, de naturalesa pública o privada, que decideix sobre el tractament de dades personals i els mitjans que es destinaran a tal tractament, i que vetlla perquè les finalitats que es pretén assolir amb el tractament es corresponguin amb les concretades en la norma o en la decisió de creació del fitxer.
5. Prestador de serveis de dades personals: persona física o jurídica, de naturalesa pública o privada, que tracta les dades per compte del responsable del tractament, o que accedeix a les dades personals per a la prestació d'un servei a favor i sota el control del responsable del tractament, sempre que no utilitzi les dades a què tingui accés per a finalitats pròpies, o que no les faci servir més enllà de les instruccions rebudes o per a finalitats diferents del servei que ha de prestar a favor del responsable.
6. Persona interessada: persona física a la qual corresponen les dades de caràcter personal objecte de tractament.
7. Registres públics: tots els fitxers de dades personals el responsable del tractament dels quals sigui una entitat pública, als quals les persones interessades estan obligades a facilitar les seves dades a efectes d'inscripció o a altres efectes.
8. Registres públics accessibles: registres públics als quals qualsevol ciutadà o entitat, tant pública com privada, hi pot tenir accés.
9. Comunicació de dades: qualsevol cessió de dades de caràcter personal que el responsable del tractament dugui a terme en favor d'un tercer destinatari de les dades, sempre que les dades siguin utilitzades pel destinatari per a les finalitats que els són pròpies, incloent-hi qualsevol accés que el destinatari pugui tenir a les dades sota el control del responsable del tractament.
10. Destinatari: tercera persona, física o jurídica, de naturalesa pública o privada, que tingui accés a una comunicació de dades.11. Dades sensibles: dades referents a opinions polítiques, creences religioses, pertanyença a organitzacions polítiques o sindicals, salut, vida sexual o origen ètnic de les persones interessades.
12. Fitxers de naturalesa privada: fitxers de dades personals el responsable del tractament dels quals és una persona física o una persona jurídica de naturalesa privada o una societat pública sotmesa al dret privat.
13. Fitxers de naturalesa pública: fitxers de dades personals el responsable del tractament dels quals és l'Administració pública.
14. Comunicació internacional de dades: tota comunicació de dades, o tot accés a les dades per part d'un prestador de serveis de dades personals, quan els destinataris de la comunicació o els prestadors de serveis estiguin domiciliats a l'estranger, o emprin mitjans de tractament de dades personals ubicats a l'estranger per a la comunicació de les dades o per a la prestació del servei.
15. Normes de creació de fitxers de naturalesa pública: decrets aprovats i publicats per l'Administració general o, en el cas dels comuns, les disposicions que siguin aplicables d'acord amb la Llei qualificada de delimitació de competències dels comuns, destinats a regular la creació, la modificació o la supressió de fitxers de naturalesa pública, d'acord amb els requisits establerts en els articles 30 i 31 d'aquesta Llei.
Article 4.- Àmbit territorial
Aquesta Llei s'aplica a la creació de fitxers i al tractament de dades personals per responsables de tractament domiciliats al Principat d'Andorra, o constituïts conforme a les lleis del Principat d'Andorra.
Igualment, aquesta Llei és aplicable als tractaments de dades realitzats per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d'Andorra, quan facin servir mitjans de tractament ubicats en el territori del Principat.
Article 5.- Exclusió de matèries
Queden fora de l'àmbit d'aplicació d'aquesta Llei el tractament de dades personals relatives a les matèries següents:
Seguretat de l'Estat
Investigació i prevenció d'infraccions penals
Article 6.- Fitxers particulars
Queden fora de l'àmbit d'aquesta Llei els tractaments de dades personals quan el responsable del tractament sigui una persona física, i destini les dades a finalitats exclusivament particulars, com ara les agendes personals o els directoris personals d'adreces i dades de contacte de persones interessades relacionats amb la persona física responsable del tractament.
Article 7.- Dades de persones físiques vinculades a la seva activitat empresarial, professional o comercial
Queden fora de l'àmbit de la Llei les dades de persones físiques vinculades a la seva activitat empresarial, professional o comercial, en les circumstàncies següents:
a) Dades de personal de persones jurídiques o d'establiments comercials o professionals, quan la informació vinculada a la persona física es refereixi únicament a la seva pertinença a l'empresa o a l'establiment, o a la seva qualitat professional en el si de l'empresa o l'establiment.
b) Dades de persones físiques pertanyents a col·lectius professionals, sempre que les dades es refereixin únicament a l'activitat professional de la persona i a la seva pertinença a un col·lectiu professional determinat.
c) Dades de professionals autònoms o d'establiments professionals o comercials, quan les dades es refereixin únicament a la seva activitat professional o comercial.
Article 8.- Aplicació supletòria de la Llei
Aquesta Llei s'aplica, amb caràcter subsidiari, a allò que no estigui regulat en la normativa aplicable a registres públics i en la normativa aplicable al secret bancari. En cas de contradicció entre aquesta Llei de dades personals i les normatives específiques esmentades, prevalen aquestes últimes, que en cap cas s'han d'entendre derogades per aquesta Llei qualificada de protecció de dades personals.
Article 9.- Secret professional
Aquesta Llei s'aplica amb caràcter addicional a les normes reguladores del secret professional, per a les activitats i professions sotmeses a aquesta obligació, normes reguladores que en cap cas s'han d'entendre derogades per aquesta Llei.
Capítol segon.- Principis aplicables al tractament de dades personals
Secció primera.- Principi general
Article 10.- Adequació a la llei
Únicament són lícits els tractaments de dades de caràcter personal que es realitzin conforme el que disposa aquesta Llei.
Secció segona.- Qualitat de les dades
Article 11.- Requisits generals de tot tractament
Els tractaments de dades personals només els poden dur a terme els responsables del tractament, si reuneixen els requisits següents:
a) Que el tractament sigui realitzat per a les finalitats previstes, en la norma o en la decisió de creació dels fitxers de dades personals.
b) Que les dades objecte de tractament es corresponguin amb les dades personals reals de les persones interessades, i que, a aquests efectes, es prenguin mesures per actualitzar-les o suprimirles.
c) Que les dades siguin conservades durant els terminis màxims que, d'acord amb la normativa vigent, siguin aplicables i, en qualsevol cas, durant el termini màxim que sigui necessari per a la finalitat prevista per al seu tractament.
D'acord amb la legislació específica, i atesos els valors històrics o científics, s'ha d'establir per reglament el procediment pel qual es decideixi el manteniment íntegre de determinades dades.
Article 12.- Confidencialitat i seguretat
Els responsables de tractament han d'establir les mesures tècniques i d'organització necessàries per garantir la confidencialitat i la seguretat de les dades personals que siguin objecte de tractament.
Si la totalitat o una part del tractament s'encarrega a prestadors de serveis de dades personals, correspon al responsable del tractament la responsabilitat que els prestadors tinguin establertes mesures tècniques i d'organització suficients per garantir la confidencialitat i la seguretat de les dades objecte del servei. A aquest efecte, els responsables del tractament han d'exigir als prestadors de serveis de dades personals l'establiment de les mesures tècniques i d'organització que el responsable de tractament consideri mínimes, sempre que aquestes mesures mínimes es corresponguin amb les que el mateix responsable tingui establertes per a tractaments de dades pròpies i de naturalesa anàloga als que siguin objecte del servei.
Secció tercera.- Dret d'informació
Article 13.- Obtenció de dades de la persona interessada
En el moment de la recollida de les dades, la persona interessada té dret a ser informada, per part del responsable del tractament, de les circumstàncies següents:
a) Identitat del responsable del tractament.
b) Finalitat del tractament de les dades sol·licitades.
c) Destinataris o tipus de destinataris de les dades.
d) Drets d'accés, rectificació i supressió de les seves dades i com pot exercir-los.
e) Del seu dret a no atorgar el consentiment per al tractament de les dades, i de les conseqüències de no atorgar-lo.
Article 14.- Excepcions al dret d'informació
Els responsables del tractament no estan obligats a facilitar la informació indicada en l'article anterior quan s'hagi inclòs en les normes de creació de fitxers de naturalesa pública previstes en l'article 30.
Article 15.- Dret d'oposició
Qualsevol persona interessada té dret a oposar-se que les seves dades siguin objecte de tractament per part d'un responsable de tractament, quan aquest no hagi obtingut les dades directament de la mateixa persona interessada.
A aquests efectes, quan un destinatari de dades de caràcter personal sigui objecte d'una comunicació de dades, i dintre d'un període màxim de quinze dies a comptar del moment en què rebi les dades, ha d'informar les persones interessades de les quals hagi rebut les dades de les circumstàncies següents:
a) Identitat del nou responsable del tractament.
b) Identitat de la persona física o jurídica de la qual el responsable ha rebut les dades.
c) Finalitat del tractament de les dades obtingudes.
d) Destinataris o tipus de destinataris de les dades.
e) Drets d'accés, rectificació i supressió de les seves dades i com pot exercir-los.
Dintre d'un termini màxim d'un mes des del moment en què les persones interessades hagin estat informades de les circumstàncies anteriors, aquestes persones poden exercir el seu dret d'oposició, sol·licitant al nou responsable del tractament la supressió de les seves dades. Si al final d'aquest termini no han exercit el seu dret d'oposició, s'entén que consenten al tractament per part del nou responsable.
Article 16.- Excepcions al dret d'oposició
L'article 15 no és aplicable quan la comunicació de dades tingui lloc en alguna de les circumstàncies següents:
a) Quan la comunicació de dades es faci entre entitats de naturalesa pública, i aquesta comunicació s'estableixi en les normes de creació de fitxers de naturalesa pública previstes en l'article 30.
b) Quan la comunicació de dades sigui necessària per al compliment de les finalitats i funcions dels registres públics.
c) Quan la comunicació de dades es faci en compliment d'una norma vigent, o per al compliment d'una norma vigent.
d) Quan la comunicació de les dades sigui necessària per al compliment d'obligacions contractuals establertes entre la persona interessada i el responsable del tractament, o sigui necessària per al compliment, desenvolupament i control d'altres relacions jurídiques que puguin existir entre la persona interessada i el responsable del tractament.
e) Quan la comunicació sigui necessària per preservar l'interès vital de la persona interessada.
f) Quan la comunicació sigui requerida per una ordre judicial.
Secció quarta.- Legitimació per al tractament
Article 17.- Consentiment
El tractament de dades personals només el poden dur a terme els responsables del tractament amb el consentiment inequívoc de les persones interessades.
Article 18.- Excepcions al consentiment
El consentiment de les persones interessades per al tractament de les dades no és necessari si s'esdevé alguna de les circumstàncies següents:
a) Quan el tractament de dades correspongui a entitats de naturalesa pública, sempre que el tractament es faci dintre dels límits establerts en l'apartat a) de l'article 11.
b) Quan el tractament de dades sigui necessari per al compliment de les finalitats i les funcions dels registres públics, conforme a la seva normativa.
c) Quan el tractament de les dades es faci d'acord amb una norma vigent.
d) Quan les dades objecte de tractament hagin estat obtingudes de registres públics accessibles.
e) Quan el tractament de les dades sigui necessari per al compliment d'obligacions contractuals establertes entre la persona interessada i el responsable del tractament, o bé sigui necessari per al compliment, desenvolupament i control d'altres relacions jurídiques que puguin existir entre la persona interessada i el responsable del tractament.
f) Quan el tractament sigui necessari per preservar l'interès vital de la persona interessada.
g) Quan el tractament sigui realitzat exclusivament amb finalitats històriques o científiques, o d'expressió artística o literària.
Article 19.- Dades sensibles
Les dades sensibles només poden ser objecte de tractament o de comunicació amb el consentiment exprés de la persona interessada. Queda prohibida la creació de fitxers amb la finalitat exclusiva de recollir o tractar dades sensibles relatives a opinions polítiques, creences religioses, pertinença a organitzacions polítiques o sindicals, salut, vida sexual o origen ètnic de les persones.
Article 20.- Excepcions al consentiment exprés per a dades sensibles
El consentiment exprés de la persona interessada per al tractament o la comunicació de dades sensibles no és necessari si s'esdevé alguna de les circumstàncies següents:
a) Quan el tractament o la comunicació de dades sensibles es facin per o entre entitats de naturalesa pública, siguin estrictament necessaris per al compliment de les seves funcions i finalitats legítimes, i es puguin incloure en les normes de creació de fitxers de naturalesa pública previstes en l'article 30.
b) Quan el tractament o la comunicació de dades sensibles siguin necessaris per al compliment de les finalitats i funcions dels registres públics, conforme a la seva normativa.
c) Quan sigui necessari per preservar l'interès vital de la persona afectada.
d) Quan les dades s'hagin obtingut de registres públics accessibles.e) En relació al tractament de dades sensibles relatives a la salut, quan el tractament o la comunicació siguin fets per professionals mèdics, sanitaris o de treball social, i siguin necessaris per al diagnosi i el tractament mèdic o l'assistència sanitària o social.
f) En relació al tractament de dades sensibles relatives a la salut, quan el tractament o la comunicació siguin necessaris per a la realització d'estudis epidemiològics o per a la prevenció i tractament d'epidèmies.
Article 21.- Fitxers relatius a infraccions i sancions penals o administratives
Només poden crear fitxers relatius a infraccions i sancions penals o administratives les entitats públiques judicials o administratives que, conforme a una norma vigent, tinguin la capacitat d'imposar sancions administratives o de resoldre procediments judicials de naturalesa penal.
Secció cinquena.- Drets de les persones interessades
Article 22.- Dret d'accés
Qualsevol persona interessada té dret a ser informada pel responsable del tractament de les seves dades que són objecte de tractament. El responsable només pot denegar aquest dret d'accés en els supòsits previstos en aquesta Llei.
El responsable, si no li correspon denegar l'accés a les dades, ha d'informar la persona interessada dins un termini màxim de cinc dies hàbils a comptar del moment en què el responsable rebi la sol·licitud de la persona interessada.
El responsable ha de facilitar la informació a través dels mitjans que consideri més oportuns, ja sigui mitjançant la visualització directa de les dades, ja sigui per enviament en format imprès, ja sigui per qualsevol altra via que consideri convenient.
En qualsevol cas, tota denegació a l'accés a les dades, ha d'estar motivada i serà susceptible d'ésser recorreguda davant la jurisdicció competent.
Article 23.- Dret de rectificació
Qualsevol persona interessada té dret a sol·licitar al responsable del tractament que les dades que són objecte de tractament siguin corregides, si són errònies.
El responsable només pot denegar aquest dret de rectificació en els supòsits previstos en aquesta Llei.
Per a l'exercici del dret de rectificació, el responsable pot sol·licitar a la persona interessada que aporti els documents necessaris per acreditar la correcció i la realitat de les noves dades, i pot rebutjar la sol·licitud si aquests documents no són aportats per la persona interessada o no acrediten la realitat de les noves dades.
En qualsevol cas, el responsable del tractament ha de comunicar a la persona interessada la denegació de la sol·licitud, o la correcció efectiva de les dades, dintre d'un període màxim d'un mes, a comptar del moment en què rebi la sol·licitud de la persona interessada, si la sol·licitud ja va acompanyada de tots els documents necessaris per comprovar la realitat i la correcció de les noves dades, o a comptar del moment en què el responsable rebi la totalitat d'aquests documents.
En qualsevol cas, tota denegació de la sol·licitud ha d'estar motivada i serà susceptible d'ésserrecorreguda davant la jurisdicció competent.
Article 24.- Dret de supressió
Qualsevol persona interessada té dret a sol·licitar al responsable del tractament que les dades que són objecte de tractament siguin suprimides.
El responsable pot denegar aquest dret de supressió en els supòsits següents:
a) Quan la conservació de les dades sigui necessària per al responsable del tractament, d'acord amb una norma vigent.
b) Quan la conservació sigui necessària per al compliment de les finalitats legítimes del responsable del fitxer, dintre dels terminis màxims establerts a l'apartat c) de l'article 11.
c) Quan la conservació sigui necessària en virtut de les relacions jurídiques o obligacions contractuals existents entre la persona interessada i el responsable del fitxer, o per al cas de possibles reclamacions judicials o extrajudicials o obligacions administratives derivades d'aquestes relacions jurídiques o obligacions contractuals.
El responsable del fitxer disposa d'un termini màxim d'un mes, a comptar del moment en què rebi la sol·licitud de la persona interessada, per comunicar-li la supressió efectiva de les dades o la denegació de la seva sol·licitud, si s'escau alguna de les circumstàncies indicades en el paràgraf anterior.
En qualsevol cas, davant de la denegació de la sol·licitud, que ha d'estar motivada, l'interessat podrà efectuar recurs contra dita decisió davant la jurisdicció competent.
Article 25.- Exercici dels drets d'accés, rectificació, supressió i oposició
L'exercici dels drets recollits en els articles 15, 22, 23 i 24, no pot sotmetre's, per part del responsable del fitxer, a cap formalitat, ni al pagament per la persona interessada de les despeses que hi puguin correspondre.
Article 26.- Dret a indemnització
Les sancions previstes en el capítol cinquè d'aquesta Llei s'entenen sense perjudici de la responsabilitat civil en què pugui incórrer un responsable del tractament en cas d'incompliment de la Llei.
Capítol tercer.- Fitxers de naturalesa privada
Article 27.- Obligació d'inscripció
Les persones físiques o les persones jurídiques de naturalesa privada que siguin responsables detractament de dades, han d'inscriure els fitxers de dades personals sota el seu control en el registre públic gestionat per l'autoritat de control indicada en el capítol setè. La persona responsable ha d'inscriure el fitxer abans de crear-lo.
Article 28.- Contingut de la inscripció
En el moment de la inscripció, el responsable del fitxer ha de subministrar la informació següent a l'autoritat de control:
a) Nom i adreça del responsable del tractament.
b) Estructura del fitxer.
c) Finalitat del tractament de les dades.
d) Tipus de dades objecte de tractament.
e) Fonts de les quals s'obtindran les dades.
f) Durada de conservació de les dades.
g) Destinataris o categories de destinataris a qui es preveu comunicar les dades.
h) Comunicacions internacionals de dades previstes.
i) Una descripció genèrica de les mesures tècniques i d'organització que s'apliquin al tractament del fitxer, d'acord amb l'article 12 d'aquesta Llei.
Article 29.- Actualització de la inscripció
Igualment, si després de la primera inscripció es produeixen modificacions en la informació subministrada a l'autoritat de control conforme a l'article 28, el responsable ha d'informar d'aquests canvis a la referida autoritat de control en el moment en què es produeixin, per a la constància registral corresponent.
Capítol quart.- Fitxers de naturalesa pública
Article 30.- Normes de creació de fitxers
La creació, modificació o supressió de fitxers de naturalesa pública s'ha de dur a terme mitjançant una norma de creació, que ha de ser aprovada per l'entitat pública responsable del seu tractament, i que ha de ser publicada al Butlletí Oficial del Principat d'Andorra abans de la creació, la modificació o la supressió del fitxer.
No és necessària l'aprovació d'una norma de creació de fitxer de naturalesa pública per a fitxers de dades personals sota el control d'entitats de naturalesa pública relatius a registres públics que disposin de normativa pròpia, ni tampoc els que fan referència a matèries excloses de l'àmbit d'aquesta Llei, d'acord amb l'article 5.
Article 31.- Contingut de les normes de creació
Les normes de creació o modificació de fitxers de naturalesa pública han de contenir, com a mínim, la informació següent:
a) Finalitat del tractament del fitxer.
b) Fonts de les quals s'obtindran les dades de caràcter personal.
c) Tipologia de dades que contindrà el fitxer.
d) Comunicacions internacionals de dades que es preveu efectuar.
e) Altres entitats de naturalesa pública amb les quals es preveu intercanviar dades personals als efectes de la gestió del fitxer.
f) Identificació dels òrgans responsables del fitxer i dels òrgans davant els quals es podran exercir els drets d'accés, rectificació, supressió i oposició.
g) Descripció genèrica de les mesures tècniques i d'organització que s'apliquin al tractament del fitxer, d'acord amb l'article 12.
Article 32.- Excepcions a l'exercici dels drets d'accés, rectificació, supressió i oposició
Els responsables de fitxers de naturalesa pública poden rebutjar l'exercici dels drets d'accés, rectificació, supressió i oposició per les persones interessades quan considerin que pugui posar en perill:
a) La seguretat pública.
b) Les actuacions administratives destinades a assegurar el compliment de les obligacions tributàries.
c) La prevenció o persecució d'infraccions administratives.
d) La prevenció o persecució d'infraccions penals.
e) L'interès públic o del mateix interessat.
Capítol cinquè.- Infraccions i sancions
Article 33.- Infraccions i sancions per a fitxers de naturalesa privada
L'incompliment d'aquesta Llei per part de les persones físiques o de persones jurídiques de naturalesa privada és objecte de sanció administrativa. El primer incompliment per part d'un responsable de fitxer se sanciona amb multa d'un import màxim de 50.000 euros, i els incompliments subsegüents en què pugui incórrer el mateix responsable se sancionen amb una multa d'un import màxim de 100.000 euros.
La quantia de la sanció la fixa l'autoritat de control, tenint en compte els criteris següents:
a) Les circumstàncies concretes de la infracció.
b) La gravetat de l'incompliment.
c) El nombre de persones afectades.
d) Els perjudicis causats a les persones interessades.
e) La reincidència.
Article 34.- Infraccions i sancions per a fitxers de naturalesa pública
El procediment i les sancions que cal aplicar en cas d'incompliment d'aquesta Llei per part d'entitats públiques són els establerts en les disposicions reguladores dels règims disciplinaris. A aquests efectes, la capacitat de sancionar correspon a l'autoritat de control establerta en el capítol setè d'aquesta Llei, sense perjudici dels recursos administratius previstos al Codi de l'Administració o de la tutela judicial que correspongui a les persones interessades.Capítol sisè. Comunicació internacional de dades
Article 35.- Requisits per a la comunicació internacional de dades
No es poden efectuar comunicacions internacionals de dades quan el país de destinació de les dades no estableixi, en la seva normativa vigent, un nivell de protecció per a dades de caràcter personal equivalent, com a mínim, al que està establert en aquesta Llei.
Article 36.- Països amb protecció equivalent
S'entén que tenen un nivell de protecció equivalent a aquesta Llei:
a) Els països que siguin membres de la Unió Europea.
b) Els països declarats per la Comissió de les Comunitats Europees com a països amb protecció equivalent.
c) Els països declarats per l'Agència Andorrana de Protecció de Dades.
Article 37.- Excepcions
La prohibició establerta en l'article 35 d'aquesta Llei no s'aplica quan la comunicació internacional:
a) Es faci amb el consentiment inequívoc de la persona interessada.
b) Es faci d'acord amb convenis internacionals dels quals el Principat d'Andorra sigui part.
c) Es faci a efectes d'auxili judicial internacional, o per al reconeixement, l'exercici o la defensa d'un dret en el marc d'un procediment judicial.
d) Es faci per a la prevenció o diagnosi mèdiques, assistència sanitària, prevenció o diagnosi social o per l'interès vital de la persona interessada.
e) Es faci amb motiu de remeses bancàries o transferències de diners.
f) Sigui necessària per a l'establiment, l'execució, el compliment o el control de relacions jurídiques o obligacions contractuals entre la persona interessada i el responsable del fitxer.
g) Sigui necessària per preservar l'interès públic.
h) Sigui de dades que provinguin de registres públics o es faci en compliment de les funcions i finalitats dels registres públics.
Capítol setè.- Autoritat de control
Article 38.- Creació de l'Agència Andorrana de Protecció de Dades
Es crea l'Agència Andorrana de Protecció de Dades, organisme públic amb personalitat jurídica pròpia, independent de les Administracions públiques i amb plena capacitat d'obrar.
Article 39.- Composició i finançament de l'Agència Andorrana de Protecció de Dades
L'Agència Andorrana de Protecció de Dades estarà integrada per:
a) El cap de l'Agència de Protecció de Dades.
b) Dos inspectors, que dependran del cap de l'Agència.El cap de l'Agència i els inspectors de Protecció de Dades seran designats pel Consell General, per majoria qualificada de dues terceres parts en primera votació; si en una primera votació no s'assoleix la majoria requerida anteriorment, queden elegits els candidats que, en una segona votació, obtinguin el vot favorable de la majoria absoluta.
Són designats per un període de quatre anys, designació que podrà renovar-se al final de cada període.
L'Agència Andorrana de Protecció de Dades es finançarà exclusivament de les partides pressupostàries que cada any estableixi per al seu funcionament el pressupost del Consell General.
Article 40.- Potestats de l'Agència Andorrana de Protecció de Dades
Són potestats de l'Agència Andorrana de Protecció de Dades:
a) Vetllar pel compliment d'aquesta Llei.
b) Gestionar el Registre Públic d'Inscripció de Fitxers de Dades Personals.
c) Publicar anualment la llista de països amb protecció equivalent, conforme al que estableix l'article 36 d'aquesta Llei.
d) Exercir la potestat inspectora i de sanció per a les infraccions que es tipifiquen en el capítol cinquè d'aquesta Llei.
e) Proposar les millores en la normativa de protecció de dades personals que consideri convenients.
f) Elaborar una memòria anual relativa a la seva activitat i als resultats que se'n derivin. La memòria anual és pública.
Article 41.- Potestat d'inspecció
L'Agència Andorrana de Protecció de Dades disposa de competència d'inspecció. Els responsables de fitxers estan obligats a subministrar als inspectors de l'Agència Andorrana de Protecció de Dades tota la informació que els sigui sol·licitada, i també a facilitar-los l'accés a les seves dependències i als recursos informàtics o d'altre tipus destinats al tractament de les dades quan els ho sol·licitin en l'exercici d'aquesta facultat de control.
En qualsevol cas, l'activitat inspectora només podrà ésser duta a terme amb la corresponent autorització del cap de l'Agència Andorrana de Protecció de Dades, que haurà de contenir la informació obligatòria que reglamentàriament s'estableixi. Els responsables de fitxers tindran dret a exigir als inspectors aquesta autorització, i podran denegar la inspecció lícitament si aquesta autorització no els és exhibida, o si no conté la informació obligatòria que reglamentàriament s'estableixi.
La inspecció la pot iniciar l'Agència Andorrana de Protecció de Dades a iniciativa pròpia o bé a sol·licitud de qualsevol persona interessada que consideri que els seus drets han estat afectats o que un responsable de tractament ha incomplert les obligacions que s'estableixen en aquesta Llei.
Article 42.- Potestat de sancionar
L'Agència Andorrana de Protecció de Dades disposa de la capacitat d'imposar les sancions que es preveuen en el capítol cinquè d'aquesta Llei, d'acord amb el procediment establert en el Codi de l'Administració.
En qualsevol cas, correspondrà als inspectors de l'Agència Andorrana de Protecció de Dadesremetre al cap de l'Agència Andorrana de Protecció de Dades les propostes de sancions que es derivin de les seves inspeccions, i al cap resoldre aquestes propostes decidint si s'escau iniciar o no el corresponent procediment sancionador.
Article 43.- Registre Públic d'Inscripció de Fitxers de Dades Personals
Es crea el Registre Públic d'Inscripció de Fitxers de Dades Personals, relatiu a les inscripcions de fitxers establertes en els articles del 27 al 29 d'aquesta Llei, amb el contingut i característiques que reglamentàriament s'estableixi.
Correspon a l'Agència Andorrana de Protecció de Dades gestionar el Registre Públic d'Inscripció de Fitxers de Dades Personals conforme als següents criteris:
a) Correspondrà als inspectors de l'Agència Andorrana de Protecció de Dades:
Revisar les sol·licituds d'inscripció de fitxers i d'actualització d'inscripció de fitxers que s'adrecin a l'Agència, i verificar si contenen els requisits establerts en els articles 28 i 29 d'aquesta Llei i en la corresponent normativa reglamentària.
Proposar al cap de l'Agència l'acceptació o no de les sol·licituds rebudes i, cas de proposar que siguin rebutjades, detallar-ne els motius.
b) Correspondrà al cap de l'Agència Andorrana de Protecció de Dades resoldre les propostes d'acceptació o de rebuig d'inscripció, i informar-ne als corresponents responsables de fitxers, amb indicació detallada dels motius de la seva decisió.
El Registre Públic d'Inscripció de Fitxers de Dades Personals és d'accés públic general i gratuït, i cal preveure la possibilitat d'accés a la informació continguda en aquest Registre Públic per mitjans telemàtics.
Article 44.- Actuació conforme al Codi de l'Administració
L'Agència Andorrana de Protecció de Dades adequarà en tot moment la seva actuació al Codi de l'Administració, les resolucions de la qual seran impugnables conforme al que s'estableix en aital corpus legislatiu.
Disposicions addicional, transitòries, derogatòria i final
Disposició addicional.- Desenvolupament reglamentari
S'encomana al Govern d'Andorra de dictar, en el termini d'un any des de l'entrada en vigor, els reglaments necessaris per al desenvolupament d'aquesta Llei qualificada, i en especial els referents a l'Agència Andorrana de Protecció de Dades.
Disposició transitòria primera.- Aprovació i publicació de normes de creació de fitxers de naturalesa pública
Les entitats públiques disposen d'un termini d'un any des de l'entrada en vigor d'aquesta Llei per aprovar i publicar al Butlletí Oficial del Principat d'Andorra els decrets previstos en l'article 30 que afectin fitxers de naturalesa pública existents abans de l'entrada en vigor d'aquesta Llei.
Disposició transitòria segona.- Inscripció de fitxers
Les persones físiques i les persones jurídiques de naturalesa privada que estiguin obligades a inscriure fitxers de dades personals sota el seu control, disposen d'un termini de sis mesos per procedir a la inscripció dels fitxers de naturalesa privada existents abans de l'entrada en vigor d'aquesta Llei. El termini de sis mesos s'inicia a la data de la publicació al Butlletí Oficial del Principat d'Andorra de la normativa de desenvolupament que es preveu en la disposició transitòria tercera.
Disposició transitòria tercera. Normativa reguladora del Registre Públic d'Inscripció de Fitxers de Dades Personals
Dintre d'un termini de sis mesos des de l'entrada en vigor d'aquesta Llei, el ministeri encarregat del Comerç ha d'aprovar i publicar al Butlletí Oficial del Principat d'Andorra la normativa de desenvolupament que reguli el Registre Públic d'Inscripció de Fitxers de Dades Personals, inclosos els models de formularis que els responsables de fitxers hauran d'emprar per procedir a la inscripció, així com els mitjans a través dels quals es podrà accedir a la informació inclosa en aquest Registre Públic.
Disposició transitòria quarta.- Control del compliment de la Llei fins a l'inici d'activitat de l'Agència Andorrana de Protecció de Dades
La designació del cap i dels inspectors de l'Agència de Protecció de Dades, així com l'aprovació dels mitjans i dels recursos econòmics i d'altra naturalesa necessaris per al funcionament d'aquesta Agència, han de tenir lloc en el termini màxim de sis mesos des de l'aprovació dels reglaments relatius a l'Agència Andorrana de Protecció de Dades establerts en la disposició addicional. Fins que l'Agència no estigui en funcionament les potestats establertes en els articles del 40 al 43 d'aquesta Llei seran exercides per les autoritats de control següents:
a) Fitxers de naturalesa privada: el ministeri encarregat de Comerç
b) Fitxers de naturalesa pública:
El ministeri de la Presidència, per als fitxers de naturalesa pública els responsables dels quals siguin l'Administració general o les entitats parapúbliques o de dret públic.
Els comuns, per als fitxers de naturalesa pública els responsables dels quals siguin els mateixos comuns.
El Consell Superior de la Justícia, per als fitxers de naturalesa pública els responsables dels quals siguin les entitats públiques integrades dintre de l'Administració de Justícia.
Disposició derogatòria. – Reglament sobre el banc de dades del sector públic i altres normes
Queda derogada tota disposició que s'oposi a aquesta Llei qualificada de dades personals, i en especial el Reglament sobre el banc de dades del sector públic de l'any 1976.
Disposició final.- Entrada en vigor de la Llei
Aquesta Llei entrarà en vigor al cap de quinze dies de ser publicada al Butlletí Oficial del Principat d'Andorra.Casa de la Vall, 18 de desembre del 2003
Francesc Areny Casal, Síndic General
Nosaltres els coprínceps la sancionem i promulguem i n'ordenem la publicació en el Butlletí Oficial del Principat d'Andorra.
Jacques Chirac Joan Enric Vives Sicília
President de la República Francesa Bisbe d'Urgell Copríncep d'Andorra Copríncep d'Andorra