Cuando una empresa en Andorra que vende online a la UE trata datos personales de clientes europeos, surgen obligaciones claras en materia de protección de datos. Estas obligaciones no se limitan a la normativa andorrana. En determinados supuestos, también resulta aplicable el RGPD.
Desde una perspectiva jurídica, la aplicación de la normativa no depende exclusivamente del domicilio social, sino del destino efectivo de los tratamientos de datos personales. Así pues, las ideas principales a tener en cuenta son:
- La LQPD es la norma base para empresas domiciliadas en Andorra.
- El RGPD puede resultar aplicable por efecto extraterritorial.
- El tratamiento de datos de clientes de la UE activa obligaciones reforzadas.
- La información al interesado es esencial.
- La transferencia internacional de datos debe analizarse caso por caso.
Tabla de contenidos
- ¿Cuál es el marco normativo aplicable en Andorra?
- ¿Cuál es el ámbito de aplicación territorial de la LQPD?
- Empresa en Andorra que vende online a la UE y efecto extraterritorial del RGPD
- ¿Qué consecuencias prácticas tiene la doble aplicación normativa a una empresa en Andorra que vende online?
- ¿Cuáles son los principales riesgos de protección de datos en una empresa en Andorra que vende online?
- Preguntas Frecuentes (FAQ)
- Fuentes y recursos
¿Cuál es el marco normativo aplicable en Andorra?
Para comenzar, las empresas establecidas en Andorra están sujetas a la Ley 29/2021, de 28 de octubre, calificada de protección de datos personales (LQPD). Entre otros aspectos, esta norma regula:
- Primero, los principios del tratamiento.
- Segundo, los derechos de los interesados.
- Tercero, las obligaciones del responsable y del encargado.
- Cuarto, el régimen sancionador.
¿Cuál es el ámbito de aplicación territorial de la LQPD?
Conforme al artículo 3 de la LQPD, la normativa andorrana resulta aplicable a los tratamientos de datos personales realizados por responsables o encargados establecidos en el Principado de Andorra, con independencia de dónde se encuentren los interesados cuyos datos se tratan. Desde esta perspectiva, deben tenerse en cuenta, entre otras, las siguientes consideraciones jurídicas:
- El comercio electrónico domiciliado en Andorra queda plenamente sujeto a la LQPD.
- No resulta determinante la nacionalidad ni la residencia del interesado.
- Basta con que el responsable o el encargado del tratamiento esté establecido en Andorra.
- El concepto de establecimiento debe interpretarse conforme a la actividad real y efectiva.
En consecuencia, una empresa que opera online desde Andorra debe cumplir con la LQPD respecto de todos sus tratamientos de datos personales. No obstante, este no es el único marco normativo que puede resultar aplicable, especialmente cuando los tratamientos se dirigen a ciudadanos situados fuera del Principado.
Empresa en Andorra que vende online a la UE y efecto extraterritorial del RGPD
De acuerdo con el artículo 3.2 del RGPD, dicho Reglamento establece su aplicación a responsables no establecidos en la Unión cuando:
- Ofrecen bienes o servicios a interesados en la UE.
- Controlan su comportamiento dentro de la Unión.
Por tanto, una empresa en Andorra que vende online a la UE puede quedar sujeta al RGPD, además de a la LQPD, si dirige su actividad a ciudadanos europeos. Este criterio ha sido reiterado por el Comité Europeo de Protección de Datos.
Aplicabilidad del RGPD a empresas andorranas en comercio online
| Situación | ¿Aplica la LQPD? | ¿Aplica el RGPD? | Motivo jurídico |
| Empresa establecida en Andorra | Sí | No, salvo aplicación del artículo 3.2 RGPD. | Art. 3 LQPD y art. 3.2 RGPD |
| Venta online a clientes en la UE | Sí | Sí | Art. 3.2 RGPD |
| Web orientada al mercado europeo | Sí | Sí | Oferta de bienes y servicios |
| Web meramente informativa | Sí | No | Falta de orientación a la UE |
¿Qué consecuencias prácticas tiene la doble aplicación normativa a una empresa en Andorra que vende online?
Cuando concurren LQPD y RGPD, la empresa debe cumplir con ambos marcos, en la medida en que no resulten incompatibles. En la práctica, esto implica, entre otros, los siguientes aspectos:
- Información ampliada al interesado.
- Base jurídica clara para el tratamiento.
- Mayor exigencia en consentimiento.
- Medidas técnicas y organizativas reforzadas.
Además, deben respetarse los derechos reconocidos en ambas normas.
Obligaciones prácticas derivadas de la LQPD y el RGPD
| Obligación | LQPD | RGPD | Impacto en ecommerce |
| Principios del tratamiento | Sí | Sí | Revisión de flujos de datos |
| Información al interesado | Sí | Sí (art. 13) | Política de privacidad ampliada |
| Base jurídica del tratamiento | Sí | Sí | Justificación del tratamiento |
| Derechos del interesado | Sí | Sí | Gestión de solicitudes |
| Medidas de seguridad | Sí | Sí (art. 32) | Refuerzo técnico y organizativo |
Información al interesado en comercio electrónico
La obligación de información resulta esencial en entornos online. De este modo, conforme al artículo 13 del RGPD, y sin perjuicio de las obligaciones informativas previstas en la LQPD, la empresa debe informar, entre otros extremos, de los siguientes aspectos:
- Primero, de la identidad del responsable.
- Segundo, de las finalidades del tratamiento.
- Tercero, de la base jurídica aplicable.
- Cuarto, de los destinatarios de los datos.
- Quinto, de los derechos del interesado.
Asimismo, esta información debe ser clara, accesible y previa a la recogida de datos.
Transferencias internacionales de datos
Desde la óptica de la UE, Andorra cuenta con una decisión de adecuación, regulada en el artículo 45 del RGPD. Por tanto, en una empresa en Andorra que vende online, se deben tener en cuenta, entre otras, las siguientes consideraciones:
- Los datos pueden transferirse desde la UE a Andorra sin garantías adicionales.
- Se reconoce un nivel adecuado de protección.
No obstante, los tratamientos de datos personales realizados desde Andorra que afecten a interesados situados en la Unión deben analizarse conforme a la LQPD y, cuando proceda, al RGPD.
¿Cuáles son los principales riesgos de protección de datos en una empresa en Andorra que vende online?
Para terminar, si se realiza un análisis desde la óptica de la práctica profesional, los riesgos más habituales son, entre otros:
- Políticas de privacidad genéricas o incompletas.
- Falta de base jurídica válida.
- Consentimientos inválidos.
- Ausencia de análisis de aplicabilidad del RGPD.
Además, estos riesgos pueden derivar en sanciones relevantes. Por ello, si tu empresa está domiciliada en Andorra y trata datos personales de clientes europeos, es imprescindible analizar la aplicabilidad conjunta de la LQPD y el RGPD.
En Legal Veritas realizamos auditorías de protección de datos adaptadas a comercio electrónico internacional. Si tienes una empresa en Andorra que vende online a la UE, resulta recomendable realizar un análisis jurídico previo que permita determinar con precisión el marco normativo aplicable. ¡Contacta con nosotros!
El presente contenido tiene carácter meramente informativo y no constituye asesoramiento jurídico. La aplicación de la normativa de protección de datos, incluida la LQPD y, en su caso, el RGPD, depende de las circunstancias concretas de cada empresa y de cada tratamiento de datos. Por ello, para una evaluación jurídica adecuada, se recomienda realizar un análisis profesional individualizado de la mano de expertos como Legal Veritas.
Preguntas Frecuentes (FAQ)
Sí, cuando dirige su actividad a personas físicas interesadas situadas en el territorio de la Unión Europea. El artículo 3.2 del RGPD establece su aplicación a responsables no establecidos en la UE que ofrezcan bienes o servicios a dichos interesados. La norma no exige un establecimiento en la Unión, sino una orientación efectiva de la actividad hacia el mercado europeo. Sin embargo, este análisis debe realizarse atendiendo a las circunstancias concretas del tratamiento.
Cuando concurren los presupuestos de aplicación de ambas normas, no existe una prevalencia automática de una sobre otra. La LQPD resulta aplicable por el establecimiento del responsable en Andorra, mientras que el RGPD se aplica por su efecto extraterritorial. En estos supuestos, ambas normas pueden coexistir y deben cumplirse de forma coordinada. El análisis debe realizarse tratamiento por tratamiento.
Sí, cuando resulta aplicable el RGPD por efecto extraterritorial. En este sentido, el artículo 27 del RGPD obliga a los responsables o encargados no establecidos en la Unión a designar un representante cuando ofrecen bienes o servicios a interesados situados en la UE o controlan su comportamiento. El representante debe estar establecido en un Estado miembro donde residan los interesados afectados y actúa como interlocutor ante las autoridades de control. A estos efectos, las excepciones previstas en la norma son limitadas y deben interpretarse de forma restrictiva.
En el contexto del comercio online a ciudadanos de la Unión, no siempre. Esto se debe a que cuando el tratamiento de datos personales queda sujeto también al RGPD, la política de privacidad debe incorporar los elementos informativos exigidos por el artículo 13 del RGPD, además de los previstos en la LQPD. Una política limitada a la normativa andorrana puede resultar incompleta si no refleja la aplicación del régimen europeo. En estos casos, es necesario adaptar el contenido informativo a ambos marcos normativos para garantizar un cumplimiento efectivo.
Fuentes y recursos
- LQPD: Ley 29/2021, de 28 de octubre, cualificada de protección de datos personales
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
- APDA: Drets i obligacions
Privacidad de protección de datos empresa
Deja una respuesta