La obligación de nombrar un Delegado de Protección de Datos en Andorra no es general para todas las organizaciones. En realidad, depende de los supuestos previstos expresamente en la Ley 29/2021, de 28 de octubre, cualificada de protección de datos personales (LQPD). Por tanto, solo determinadas entidades deben proceder a su designación conforme a lo establecido en el artículo 37 de la LQPD. Por ello, las ideas claves a destacar son:
- Para comenzar, no todas las empresas deben nombrar un DPD.
- Seguidamente, la obligación está regulada en el artículo 37 de la LQPD.
- A su vez, es obligatorio para autoridades públicas y para responsables o encargados que realicen tratamientos en los supuestos previstos expresamente en el artículo 37 de la LQPD.
- Del mismo modo, la designación debe cumplir requisitos de independencia y cualificación.
- Igualmente, la Agencia Andorrana de Protección de Datos puede supervisar el cumplimiento.
Tabla de contenidos
- Delegado de Protección de Datos en Andorra: marco normativo
- Supuestos en los que es obligatorio el Delegado de Protección de Datos en Andorra
- ¿Es obligatorio nombrar un Delegado de Protección de Datos en Andorra para las empresas privadas?
- Requisitos del Delegado de Protección de Datos en Andorra
- Delegado de protección de datos en Andorra: ¿Cuándo debe comunicarse con la Agencia Andorrana de Protección de Datos?
- Conclusión
- Preguntas Frecuentes (FAQ)
- Fuentes y recursos
Delegado de Protección de Datos en Andorra: marco normativo
En primer lugar, conviene acudir directamente a la norma. De este modo, es el artículo 37 de la LQPD el que establece los supuestos en los que es obligatorio designar un delegado de protección de datos. Por tanto, de acuerdo con dicho artículo, deben designar un delegado:
- Primero, las autoridades y organismos públicos.
- Segundo, los responsables o encargados cuyo tratamiento requiera una observación habitual y sistemática de personas a gran escala.
- Tercero, los responsables o encargados que traten a gran escala categorías especiales de datos personales.
Por consiguiente, la obligación no depende del tamaño de la empresa en términos generales. En cambio, depende de la naturaleza del tratamiento y del volumen o escala del mismo.
Además, el propio artículo 37 prevé que el delegado puede formar parte de la plantilla o ejercer sus funciones en el marco de un contrato de servicios.
Supuestos en los que es obligatorio el Delegado de Protección de Datos en Andorra
Para continuar, se van a analizar cada uno de los supuestos en los que resulta de obligación.
Autoridades y organismos públicos
En primer término, el artículo 37.1.a de la LQPD establece la obligatoriedad para autoridades y organismos públicos. Por tanto, las autoridades y organismos públicos incluidos en el ámbito del artículo 37.1.a de la LQPD deben designar un delegado. Esta obligación deriva directamente del artículo 37.1.a de la LQPD y se fundamenta en la condición de autoridad u organismo público, con independencia de la naturaleza concreta de los datos tratados.
Observación habitual y sistemática a gran escala
En segundo lugar, el artículo 37.1.b se refiere a tratamientos que impliquen una observación habitual y sistemática de personas a gran escala. No obstante, la LQPD no define de forma matemática qué debe entenderse por “gran escala”. En consecuencia, debe analizarse caso por caso, atendiendo a:
- Primero, número de interesados afectados.
- Segundo, volumen de datos tratados.
- Tercero, duración o permanencia del tratamiento.
- Cuarto, alcance geográfico del tratamiento.
Este enfoque es coherente con los criterios interpretativos utilizados en el marco europeo del RGPD, que inspira la normativa andorrana.
Tratamiento a gran escala de categorías especiales de datos
Asimismo, el artículo 37.1.c impone la obligación cuando el tratamiento se refiera, a gran escala, a categorías especiales de datos. Dichas categorías se regulan en el artículo 9 de la LQPD e incluyen, entre otros:
- Primeramente, datos relativos a la salud.
- Seguidamente, datos biométricos dirigidos a identificar de manera unívoca a una persona.
- A su vez, datos sobre ideología, religión o afiliación sindical.
Por tanto, centros sanitarios, aseguradoras médicas o entidades que gestionen historiales clínicos pueden encontrarse dentro de este supuesto, siempre que el tratamiento sea a gran escala.
| Supuesto | ¿DPO obligatorio? | Base legal |
| Autoridad u organismo público | Sí | Art. 37.1.a LQPD |
| Observación sistemática a gran escala | Sí | Art. 37.1.b LQPD |
| Tratamiento a gran escala de datos especiales | Sí | Art. 37.1.c LQPD |
| Empresa pequeña con datos básicos de clientes | En principio, no | Análisis caso por caso |
¿Es obligatorio nombrar un Delegado de Protección de Datos en Andorra para las empresas privadas?
En definitiva, no. La LQPD no impone una obligación generalizada a todas las sociedades mercantiles. Sin embargo, determinadas empresas privadas pueden quedar obligadas si encajan en los supuestos del artículo 37. Así, algunos ejemplos podrían ser:
- De un lado, plataformas digitales con monitorización sistemática.
- De otro, entidades financieras con análisis masivo de comportamiento.
- También, empresas tecnológicas que traten biometría de forma estructural.
En cambio, una pequeña empresa que trate datos básicos de clientes y empleados, sin tratamientos sensibles ni a gran escala, no estaría obligada en principio. No obstante, la designación voluntaria puede ser una medida de cumplimiento proactivo.
Requisitos del Delegado de Protección de Datos en Andorra
Del mismo modo, el artículo 38 de la LQPD regula su posición y garantías. Por tanto, el DPD debe cumplir, en esencia, los siguientes aspectos:
- Para comenzar, debe actuar con independencia.
- Seguidamente, no puede recibir instrucciones en el ejercicio de sus funciones.
- A su vez, no puede ser destituido ni sancionado por desempeñar sus tareas.
- Por otro lado, debe contar con conocimientos especializados en derecho y práctica en protección de datos.
Por su parte, el responsable debe facilitarle:
- Primeramente, recursos adecuados.
- También, acceso a información.
- Igualmente, integración en los procesos organizativos.
En consecuencia, conforme al artículo 38 de la LQPD, la figura del delegado exige garantías efectivas de autonomía e independencia funcional.
Delegado de protección de datos en Andorra: ¿Cuándo debe comunicarse con la Agencia Andorrana de Protección de Datos?
Por último, cabe señalar que el artículo 37.7 LQPD establece que:
- En primer lugar, debe comunicarse la designación a la Agencia Andorrana de Protección de Datos.
- En segundo lugar, los datos de contacto del DPD deben hacerse públicos.
- Por último, deben facilitarse a la autoridad de control.
| Obligación | Base legal | Relevancia práctica |
| Nombramiento formal | Art. 37 LQPD | Análisis previo obligatorio |
| Independencia funcional | Art. 38 LQPD | Prohibición de instrucciones |
| Recursos adecuados | Art. 38 LQPD | Garantía de efectividad |
| Comunicación a la APDA | Art. 37.7 LQPD | Control por autoridad |
| Publicidad datos de contacto | Art. 37.7 LQPD | Transparencia |
Conclusión
En definitiva, la obligación de designar un Delegado de Protección de Datos en Andorra depende estrictamente de los supuestos del artículo 37 de la Ley 29/2021. Por ello, no basta con atender al tamaño de la empresa. Contrariamente, es imprescindible analizar, entre otros aspectos:
- Primero, tipo de datos tratados.
- Segundo, escala del tratamiento.
- Tercero, existencia de monitorización sistemática.
- Cuarto, condición de autoridad u organismo público.
En Legal Veritas analizamos cada caso con rigor técnico y conforme a la normativa vigente. Por ello, si necesitas determinar si tu organización debe designar un delegado o deseas implantar un sistema de cumplimiento adaptado a la LQPD, podemos ayudarte. Contacta con nuestro equipo especializado en protección de datos en Andorra.
Este contenido está redactado con carácter informativo, ya que cada caso debe ser objeto de estudio individualizado. Por ello, si necesitas asesoramiento en materia de protección de datos, te recomendamos que consultes tu caso con un equipo de expertos como Legal Veritas.
Preguntas Frecuentes (FAQ)
Sí. El artículo 37 de la LQPD no prohíbe la designación voluntaria. De hecho, la norma establece los supuestos de obligatoriedad, pero no limita el nombramiento en otros casos. No obstante, una vez designado, deben respetarse plenamente los artículos 37 y 38 en cuanto a independencia, cualificación y recursos. Por tanto, no puede tratarse de una figura meramente nominal.
La falta de designación cuando resulte obligatoria puede constituir un incumplimiento de la Ley 29/2021 y dar lugar a actuaciones por parte de la Agencia Andorrana de Protección de Datos conforme al régimen sancionador previsto en la propia norma. Además, la ausencia de delegado puede evidenciar una deficiente gobernanza en materia de protección de datos. Por ello, el análisis previo de obligatoriedad resulta esencial.
Sí. El artículo 37.6 de la LQPD prevé expresamente que el delegado pueda desempeñar sus funciones en el marco de un contrato de servicios. Sin embargo, deben garantizarse igualmente la independencia y la ausencia de conflicto de intereses. En consecuencia, el proveedor externo debe contar con cualificación suficiente y autonomía funcional.
No de forma automática. El artículo 37 no utiliza el criterio de número de empleados como elemento determinante. En cambio, el análisis se centra en la naturaleza del tratamiento y en la gran escala. Por tanto, una empresa pequeña podría estar obligada si realiza tratamientos intensivos de categorías especiales de datos.
Fuentes y recursos
- LQPD: Ley 29/2021, de 28 de octubre, cualificada de protección de datos personales
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
- APDA: Drets i obligacions
Privacidad y videovigilancia en la empresa: cuándo y cómo informar correctamente
Deja una respuesta