ANDORRA y PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Resumen: Desarrollaremos dos preguntas. ¿Tiene sentido hablar de adecuar a la LOPD española, una empresa inscrita y que desarrolla sus actividades en Andorra? ¿Hablaremos de cesiones o de transferencias internacionales de datos, si intercambia datos de carácter personal con España?
Autor del artículo Colaboración
JOSE LUIS COLOM PLANAS
Actualizado 2 de Agosto de 2012
ÍNDICE.
1. INTRODUCCIÓN. 2. RECONOCIMIENTO Y LEGISLACIÓN APLICABLE.
3. ANÁLISIS DE POSIBILIDADES.
3.1 EMPRESA ANDORRANA, CON SEDE EN ANDORRA Y QUE OPERA ALLÍ. 3.2. EMPRESA ANDORRANA, CON SEDE EN ANDORRA QUE ENVÍA A ESPAÑA PARA QUE SE LOS PROCESEN O TRATEN, LOS DATOS PERSONALES DE ANDORRANOS. 3.3. EMPRESA ANDORRANA, CON SEDE EN ANDORRA QUE PROCESA O TRATA LOS DATOS PERSONALES DE ESPAÑOLES, POR CUENTA DE OTRA EMPRESA ESPAÑOLA. 3.4. CLOUD COMPUTING.
1.INTRODUCCION

Está constituido como un Estado social y democrático de Derecho, cuyo régimen político es el Coprincipado parlamentario y tiene como jefes de Estado al obispo de Urgel (España), actualmente Joan Enric Vives i Sicília (1), y al presidente de la República Francesa, en la actualidad François Hollande (1).

No tiene fuerzas armadas propias y su defensa es responsabilidad de España y Francia, según el tratado de buena vecindad:
TRATADO DE BUENA VECINDAD CON ANDORRA
(1) Referido a Agosto de 2012.
2. RECONOCIMIENTO Y LEGISLACIÓN APLICABLE
Aunque uno de los dos copríncipes sea de España y sea un país vecino, la AEPD (Agencia Española de Protección de Datos) no tiene jurisdicción en Andorra. Disponepor tanto de una Agencia de Protección de Datos propia: APDA (Agència Andorrana de protecció de Dades) www.apda.ad

El 1 de Diciembre de 2009, the ARTICLE 29 DATA PROTECTION WORKING PARTY, 02317/09/EN, WP 166, publica la opinión 7/2009 “On the level of protection of personal data in the Principality of Andorra” (Versión ES):
ARTICULO 29 WP 166
Dicho dictamen prepara el terreno para que Andorra sea reconocida como país con adecuado nivel de protección por la EU.
Finalmente, la DECISIÓN DE LA COMISIÓN de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra (2010/625/UE), reconoce a Andorra como país con adecuado nivel de protección de datos personales:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:277:0027:0029:ES:PDF
La legislación aplicable en dicho país es la siguiente (equivalente a la LOPD y RLOPD de España):
La ley andorrana es la Llei 15/2003, del 18 de desembre, calificada de protección de datos personales.
http://www.redipd.org/documentacion/legislacion/common/legislacion/Andorra/norma_general.pdf
El Reglamento de aplicación es el Decret del 9-06-2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades.
https://www.apda.ad/system/files/Decret%20d%E2%80%99aprovaci%C3%B3%20del%20Reglament%20de%20l%E2%80%99Ag%C3%A8ncia%20Andorrana%20de%20Protecci%C3%B3%20de%20Dades_0.pdf
De ello se deduce que carece de sentido hablar de adecuar una empresa andorrana a la LOPD (Ley Orgánica española 15/1999, de 13 de diciembre). Si acaso a la Llei andorrana 15/2003, del 18 de desembre.
El artículo 4 de la “Lley andorrana 15/2003, del 18 de desembre”, cita textualmente, en relación al ámbito territorial de su aplicación:
Article 4. Àmbit territorial.
Aquesta Llei s'aplica a la creació de fitxers i al tractament de dades personals per responsables de tractament domiciliats al Principat d'Andorra, o constituïts conforme a les lleis del Principat d'Andorra.
Igualment, aquesta Llei és aplicable als tractaments de dades realitzats per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d'Andorra, quan facin servir mitjans de tractament ubicats en el territori del Principat.
Que traducido al español dice:
Artículo 4. Ámbito territorial.
Ésta ley se aplica a la creación de ficheros y al tratamiento de datos personales por parte de responsables del tratamiento domiciliados en el Principat d’Andorra, o constituidos conforme a las leyes del Principat d’Andorra.
Igualmente, ésta Ley es aplicable a los tratamientos de datos realizados por responsables del tratamiento no domiciliados al Principat o no constituidos conforme a las leyes del Principat d’Andorra, cuando hagan servir medios de tratamiento ubicados en el territorio del Principado.
3. ANÁLISIS DE POSIBILIDADES
3.1. Empresa Andorrana, con sede en Andorra y que opera allí.
En dicho caso se debe a la legislación andorrana, y actúa en calidad de RESPONSABLE DEL TRATAMIENTO de los datos de carácter personal recabados a los andorranos.
Debe registrar los ficheros que contengan dichos datos de carácter personal a la APDA (Agència Andorrana de Protecció de Dades).
3.2. Empresa Andorrana, con sede en Andorra que envía a España para que se los procesen o traten, los datos personales de andorranos.
Como España y Andorra, según la Comisión Europea y como lo contemplan sus respectivas AGPDs, son países con adecuado nivel de protección, se considerará una transferencia internacional de datos por lo que deberá notificarse a la APDA, pero no será necesaria la autorización de su director.
Debe firmarse un contrato con la empresa española, de forma que ésta actúe como ENCARGADO DEL TRATAMIENTO por cuenta de la andorrana que será la RESPONSABLE DEL TRATAMIENTO.
3.3. Empresa Andorrana, con sede en Andorra que procesa o trata los datos personales de españoles, por cuenta de otra empresa española.
En dicho caso la empresa andorrana actuará como ENCARGADA DEL TRATAMIENTO y deberá reflejarlo en un contrato que la vincule a la empresa española que actuará como RESPONSABLE DEL TRATAMIENTO.
Será la empresa española la que deberá notificar a la AEPD, que realiza una transferencia internacional de datos hacia Andorra.
La empresa andorrana estará bajo la “Lley andorrana 15/2003, del 18 de desembre” que deberá cumplir.
3.4. CLOUD COMPUTING.

Para ampliar datos sobre legislación y CLOUD COMPUTING, puede consultarse en éste mismo Blog:
http://joseluiscolom.blogspot.com.es/2012/05/cloud-computing-y-proteccion-de-datos.html
O en el índice temático del Blog, al final del artículo.