Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

jueves, 2 de agosto de 2012

ANDORRA y PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Resumen: Desarrollaremos dos preguntas. ¿Tiene sentido hablar de adecuar a la LOPD española, una empresa inscrita y que desarrolla sus actividades en Andorra? ¿Hablaremos de cesiones o de transferencias internacionales de datos, si intercambia datos de carácter personal con España?

Autor del artículo		Colaboración
JOSE LUIS COLOM PLANAS
Actualizado	2 de Agosto de 2012

ÍNDICE

1. INTRODUCCIÓN.
2. RECONOCIMIENTO Y LEGISLACIÓN APLICABLE.
3. ANÁLISIS DE POSIBILIDADES.
3.1 EMPRESA ANDORRANA, CON SEDE EN ANDORRA Y QUE OPERA ALLÍ.
3.2. EMPRESA ANDORRANA, CON SEDE EN ANDORRA QUE ENVÍA A ESPAÑA PARA QUE SE LOS PROCESEN O TRATEN, LOS DATOS PERSONALES DE ANDORRANOS.
3.3. EMPRESA ANDORRANA, CON SEDE EN ANDORRA QUE PROCESA O TRATA LOS DATOS PERSONALES DE ESPAÑOLES, POR CUENTA DE OTRA EMPRESA ESPAÑOLA.
3.4. CLOUD COMPUTING.
4. DERECHOS DE AUTOR

1. INTRODUCCION

El Principado de Andorra (en catalán, su idioma oficial, “Principat d'Andorra”), como todos sabemos es un pequeño país soberano del suroeste de Europa con una extensión de 468 km2, situado en los Pirineos. Es fronterizo por el sur con España y por el norte con Francia. Su territorio, con capital en “Andorra la Vella”, está formado por siete parroquias con una población total de unos 78.115 habitantes (1).

Está constituido como un Estado social y democrático de Derecho, cuyo régimen político es el Coprincipado parlamentario y tiene como jefes de Estado al obispo de Urgel (España), actualmente Joan Enric Vives i Sicília (1), y al presidente de la República Francesa, en la actualidad François Hollande (1).

El 8 de enero de 1982 se creó el cargo de Jefe de Gobierno del Principado de Andorra (en catalán “Cap de Govern del Principat d'Andorra”), que es presidente del Consejo de Ministros andorrano y es quien propone las leyes al Consejo General de Andorra. Tras la Constitución de 1993, este cargo quedó plenamente normalizado. El actual jefe de Gobierno electo el 12 de Mayo de 2011 es Antoni Martí Petit (1).

No tiene fuerzas armadas propias y su defensa es responsabilidad de España y Francia, según el tratado de buena vecindad:

TRATADO DE BUENA VECINDAD CON ANDORRA

(1) Referido a Agosto de 2012.

2. RECONOCIMIENTO Y LEGISLACIÓN APLICABLE

Aunque uno de los dos copríncipes sea de España y sea un país vecino, la AEPD (Agencia Española de Protección de Datos) no tiene jurisdicción en Andorra. Dispone por tanto de una Agencia de Protección de Datos propia: APDA (Agència Andorrana de protecció de Dades) www.apda.ad

El 1 de Diciembre de 2009, the ARTICLE 29 DATA PROTECTION WORKING PARTY, 02317/09/EN, WP 166, publica la opinión 7/2009 “On the level of protection of personal data in the Principality of Andorra” (Versión ES):
ARTICULO 29 WP 166

Dicho dictamen prepara el terreno para que Andorra sea reconocida como país con adecuado nivel de protección por la EU.

Finalmente, la DECISIÓN DE LA COMISIÓN de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra (2010/625/UE), reconoce a Andorra como país con adecuado nivel de protección de datos personales:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:277:0027:0029:ES:PDF

La legislación aplicable en dicho país es la siguiente (equivalente a la LOPD y RLOPD de España):

La ley andorrana es la Llei 15/2003, del 18 de desembre, calificada de protección de datos personales.

http://www.redipd.org/documentacion/legislacion/common/legislacion/Andorra/norma_general.pdf

El Reglamento de aplicación es el Decret del 9-06-2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades.

https://www.apda.ad/system/files/Decret%20d%E2%80%99aprovaci%C3%B3%20del%20Reglament%20de%20l%E2%80%99Ag%C3%A8ncia%20Andorrana%20de%20Protecci%C3%B3%20de%20Dades_0.pdf

De ello se deduce que carece de sentido hablar de adecuar una empresa andorrana a la LOPD (Ley Orgánica española 15/1999, de 13 de diciembre). Si acaso a la Llei andorrana 15/2003, del 18 de desembre.

El artículo 4 de la “Lley andorrana 15/2003, del 18 de desembre”, cita textualmente, en relación al ámbito territorial de su aplicación:

Article 4. Àmbit territorial.

Aquesta Llei s'aplica a la creació de fitxers i al tractament de dades personals per responsables de tractament domiciliats al Principat d'Andorra, o constituïts conforme a les lleis del Principat d'Andorra.

Igualment, aquesta Llei és aplicable als tractaments de dades realitzats per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d'Andorra, quan facin servir mitjans de tractament ubicats en el territori del Principat.

Que traducido al español dice:

Artículo 4. Ámbito territorial.

Esta ley se aplica a la creación de ficheros y al tratamiento de datos personales por parte de responsables del tratamiento domiciliados en el Principat d’Andorra, o constituidos conforme a las leyes del "Principat d’Andorra".

Igualmente, esta ley es aplicable a los tratamientos de datos realizados por responsables del tratamiento no domiciliados al Principat o no constituidos conforme a las leyes del "Principat d’Andorra", cuando hagan servir medios de tratamiento ubicados en el territorio del Principado.

3. ANÁLISIS DE POSIBILIDADES

3.1. Empresa Andorrana, con sede en Andorra y que opera allí.

En dicho caso se debe a la legislación andorrana, y actúa en calidad de RESPONSABLE DEL TRATAMIENTO de los datos de carácter personal recabados a los andorranos.

Debe registrar los ficheros que contengan dichos datos de carácter personal a la APDA (Agència Andorrana de Protecció de Dades).

3.2. Empresa Andorrana, con sede en Andorra que envía a España para que se los procesen o traten, los datos personales de andorranos.

Como España y Andorra, según la Comisión Europea y como lo contemplan sus respectivas AGPDs, son países con adecuado nivel de protección, se considerará una transferencia internacional de datos por lo que deberá notificarse a la APDA, pero no será necesaria la autorización de su director.

Debe firmarse un contrato con la empresa española, de forma que ésta actúe como ENCARGADO DEL TRATAMIENTO por cuenta de la andorrana que será la RESPONSABLE DEL TRATAMIENTO.

3.3. Empresa Andorrana, con sede en Andorra que procesa o trata los datos personales de españoles, por cuenta de otra empresa española.

En dicho caso la empresa andorrana actuará como ENCARGADA DEL TRATAMIENTO y deberá reflejarlo en un contrato que la vincule a la empresa española que actuará como RESPONSABLE DEL TRATAMIENTO.

Será la empresa española la que deberá notificar a la AEPD, que realiza una transferencia internacional de datos hacia Andorra.

La empresa andorrana estará bajo la “Lley andorrana 15/2003, del 18 de desembre” que deberá cumplir.

3.4. CLOUD COMPUTING.

Es lo mismo que acabamos de describir, simplemente teniendo en cuenta que la empresa que almacena los datos de carácter personal prestando servicios de Cloud Computing es el ENCARGADO DEL TRATAMIENTO y la empresa que contrata los servicios para almacenar o tratar datos de carácter personal, es considerado RESPONSABLE DEL TRATAMIENTO.

NOTA DEL EDITOR: Para ampliar datos sobre legislación y CLOUD COMPUTING, puede consultarse en éste mismo Blog:

Cloud Computing y protección de datos personales

4. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:

José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.