GRUPO DE TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29 02317-02/09/ES WP 166 Dictamen 7/2009 sobre el nivel de protección de datos personales en el Principado de Andorra Adoptado el 1 de diciembre de 2009 El Grupo de trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Es un órgano consultivo europeo e independiente sobre protección de datos y privacidad. En el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE se describen sus competencias. De la secretaría se encarga la Dirección C (Justicia civil, Derechos y Cudadanía) de la Comisión Europea, Dirección General de Justicia, Libertad y Seguridad, B-1049 Bruselas, Bélgica, despacho LX-46 01/190. Sitio internet: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm El Grupo de Trabajo sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y, en particular, sus artículos 29 y 30, apartado 1, letra b), Visto el Reglamento del Grupo de Trabajo y, en particular, sus artículos 12 y 14, HA ADOPTADO EL SIGUIENTE DICTAMEN: 1. INTRODUCCIÓN El 21 de mayo de 2008, el Embajador de Andorra ante la Unión Europea solicitó a la Comisión que iniciara el procedimiento de declaración de que Andorra ofrece un nivel adecuado de protección de datos a tenor del artículo 25, apartado 6, de la Directiva 95/46/EC. A fin de evaluar el nivel de adecuación de la protección de datos en Andorra, la Comisión solicitó un informe al Centre de Recherches Informatique et Droit (CRID) de la Universidad de Namur. El CRID elaboró un amplio informe que analizaba el cumplimiento en el sistema normativo andorrano de los requisitos de legislación sustantiva y de desarrollo de mecanismos de protección de datos personales fijados en el documento de trabajo «Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva de protección de datos de la UE», adoptado por el Grupo de Trabajo el 24 de julio de 1998 (documento WP12). El informe fue debatido por el Subgrupo «Safe Harbour» en reunión celebrada el 18 de marzo de 2009. En dicha reunión, el Subgrupo propuso que el presidente del Grupo de Trabajo enviara a las autoridades andorranas una carta que, tras valorar positivamente el actual régimen de protección de Andorra, señalara determinados asuntos que reclamaban mayor clarificación. El 31 de julio de 2009, las autoridades andorranas, a través de la Agencia de de Protección de Datos de Andorra (APDA), remitieron al Grupo de Trabajo un amplio informe en el que respondían a las preguntas planteadas en dicha carta. El informe andorrano fue analizado por el Subgrupo, siendo asimismo objeto de una audiencia que tuvo lugar el 16 de septiembre de 2009, durante la que los miembros del Subgrupo solicitaron a las autoridades andorranas, representadas por el jefe de la APDA, el jefe del departamento de inspección y el jefe de su departamento jurídico, que clarificaran los asuntos que, tras el debate sobre el informe de las autoridades andorranas, seguían considerando que requerían mayor clarificación. En sus reuniones de 12 y 13 de octubre, el Subgrupo informó al Grupo de Trabajo de las conclusiones obtenidas en dicha audiencia, proponiéndole la adopción del presente Dictamen con sus salvedades; el Grupo de Trabajo aprobó la propuesta en dicha reunión. 2. LA LEGISLACIÓN SOBRE PRINCIPADO DE ANDORRA PROTECCIÓN DE DATOS EN EL Andorra es un pequeño país situado en los Pirineos, entre Francia y España; es el sexto país más pequeño del mundo por su superficie. Tiene unos 80 000 habitantes. Su actividad económica se basa en el sector terciario (en que se inscribe el 80 % de las empresas que operan en el país) y especialmente en el turismo. Además, solo un tercio de su población tiene nacionalidad andorrana. Estas peculiaridades son particularmente significativas en lo que toca a la protección de los datos personales, dado que afectan necesariamente a los flujos de datos a y de Andorra y especialmente a la visibilidad de las decisiones que adopta el organismo de control en relación a la protección de datos. Desde la aprobación de la Constitución en referéndum el 14 de marzo de 1993, el sistema político de Andorra es un coprincipado parlamentario cuyos copríncipes son el Presidente de la República Francesa y el Arzobispo de Seo de Urgell. El artículo 14 de la Constitución del Principado de Andorra confirma la protección del derecho a la intimidad y al honor y a la protección de daños a la reputación y estipula que todas las personas tienen derecho a protección legal frente intromisiones ilícitas en su vida privada o familiar. La protección de los datos personales se regula en la Ley Cualificada 15/2003 de 15 de diciembre sobre protección de datos personales, introducida mediante distintos reglamentos, incluidos dos decretos del 1 de julio de 2004, de los que el primero aprueba la normativa de la Agencia Andorrana de Protección de Datos y el segundo la normativa del Registro Público de Archivo de Datos Personales. Similarmente, durante el procedimiento mencionado en la sección 1, las autoridades andorranas informaron al Grupo de Trabajo de la próxima aprobación de la normativa general de protección de datos que complementa y clarifica las disposiciones de la Ley, cuya aprobación se prevé en los últimos meses de 2009 o los primeros de 2010. En el ámbito internacional, Andorra ha firmado y ratificado el Convenio Europeo de Protección de Derechos Humanos (vigente desde el 22 de enero de 1996) y su Protocolo (vigente desde el 6 de mayo de 2008) así como el Pacto Internacional de Derechos Civiles y Políticos (que entró en vigor en Andorra el 19 de julio de 2006). En lo que atañe a la protección de datos, Andorra ha firmado y ratificado el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo complementario, ambos en vigor desde el 1 de septiembre de 2008. 3 Por último, debe señalarse que, con arreglo al artículo 3 de la Constitución de Andorra, los tratados y acuerdos internacionales entran en vigor, según el sistema jurídico andorrano, a partir de su publicación en el Boletín Oficial del Principado de Andorra y no pueden ser derogados por la legislación nacional. Es decir, que dichos tratados y acuerdos forman parte, desde el momento de su ratificación, del Derecho andorrano y son directamente aplicables en Andorra. 3. VALORACIÓN DE LA LEY DE PROTECCIÓN DE DATOS DEL PRINCIPADO DE ANDORRA EN SUS VIRTUALIDADES DE ADECUADA PROTECCIÓN DE DATOS El Grupo de Trabajo señala que su valoración de las virtualidades de la legislación de protección de datos vigente en Andorra se refiere esencialmente a la Ley Cualificada de Protección de Datos Personales de 2003. Las disposiciones de dicha Ley se han comparado con las principales disposiciones de la Directiva, teniendo en cuenta el Dictamen WP12 del Grupo de Trabajo. El presente Dictamen enumera una serie de principios que constituyen el «núcleo» de principios «de contenido» y de requisitos «de procedimiento/de aplicación», cuyo cumplimiento pudiera considerarse un requisito mínimo para juzgar adecuada la protección. 3.1. Principios de contenido (a) Principios básicos (1) El principio de limitación de la finalidad. El tratamiento de los datos debe responder a una finalidad específica y su utilización o comunicación ulterior no pueden ser incompatibles con la finalidad de la transferencia. Las únicas excepciones a esta regla serían las obligadas en una sociedad democrática en razón de los elementos enumerados en el artículo 13 de la Directiva. El Grupo de Trabajo considera que la legislación de Andorra respeta dicho principio. En particular, el artículo 11, letra a), de la Ley establece que «los tratamientos de datos personales sólo los pueden llevar a cabo los responsables del tratamiento, si reúnen los requisitos siguientes: a) Que el tratamiento sea realizado para las finalidades previstas, en la norma o en la decisión de creación del los ficheros de datos personales». En relación a dicho principio, el artículo 27 de la Ley impone a todos los responsables de ficheros de datos personales la obligación de inscribirlos en el registro público gestionado por la Agencia Andorrana de Protección de Datos, donde, con arreglo al artículo 28, letra c), debe indicarse expresamente «la finalidad del tratamiento de los datos». Por otra parte, el artículo 30, como requisito previo a la creación de ficheros de datos privados, dispone la adopción de una norma de creación que «ha de ser aprobada por la entidad pública responsable del tratamiento y que ha de ser publicada en el Boletín Oficial del Principado de Andorra». Dicha norma, a tenor del artículo 31, apartado a), debe especificar la «finalidad del tratamiento del fichero». 4 La prohibición del tratamiento de datos con finalidades incompatibles con la mencionada se deduce de la aplicación directa del Convenio 108, artículo 5, letra b), que establece que «los datos personales objeto de tratamiento automático... deberán almacenarse para finalidades específicas y legítimas y no utilizarse de ningún modo incompatible con dichas finalidades». Como se ha dicho, esta disposición es directamente aplicable en el Derecho andorrano en virtud de la aplicación del artículo 3 de la Constitución. (2) La calidad de los datos y el principio de proporcionalidad. Los datos deben ser exactos y, en su caso, actualizarse. Los datos deben ser adecuados y relevantes y no rebasar la finalidad para la que se transfieran o sean objeto de tratamiento ulterior. El Grupo de Trabajo considera que el principio de calidad está expresamente incluido en el artículo 11, letra b), de la Ley, con arreglo al cual «los tratamientos de datos personales sólo los pueden llevar a cabo los responsables del tratamiento, si reúnen los requisitos siguientes: …b) Que los datos objeto de tratamiento se correspondan con los datos personales reales de las personas interesadas, y que, a tales efectos, se tomen medidas para actualizarlos o suprimirlos. También con relación al principio de proporcionalidad tiene en cuenta el Grupo de Trabajo la aplicabilidad directa en Andorra del Convenio 108, artículo 5, letra c), que prohíbe el tratamiento de datos que rebasen la finalidad para la que se almacenaron. Por ello, el Grupo de Trabajo estima que la legislación de Andorra se ajusta a dicho principio. (3) El principio de transparencia. Las personas físicas deben recibir información sobre la finalidad del tratamiento y la identidad del responsable del tratamiento de datos en el tercer país y cualquier otra información que sea necesaria para garantizar un tratamiento correcto. Las únicas excepciones autorizadas deben ajustarse al artículo 11, apartado 2, y al artículo 13 de la Directiva. El Grupo de Trabajo estima que el derecho a la información de la persona interesada está regulado en los artículos 13 y 15 de la Ley, que se refiere respectivamente a los casos en que los datos se hayan obtenido de la persona interesada o en que los datos no se hayan obtenido de la misma. El artículo 13 de la Ley dispone que, en el momento de la recogida de los datos, la persona interesada sea informada por parte del responsable del tratamiento, en condiciones análogas a las de la Directiva, en relación a: a) b) c) d) e) la identidad del responsable del tratamiento; la finalidad del tratamiento de los datos solicitados; los destinatarios o el tipo de destinatarios de los datos; los derechos de acceso, rectificación y supresión de sus datos y el modo como puede ejercerlos; su derecho a no otorgar el consentimiento para el tratamiento de los datos y de las consecuencias de no otorgarlo. 5 El Grupo de Trabajo considera, en relación a la letra e), que la referencia al consentimiento concierne a los casos en que este debe otorgarse con arreglo a las disposiciones de la Ley que regula la legitimidad del tratamiento, incluida en el capítulo II de la propia Constitución andorrana. En este punto, el Grupo considera que las observaciones planteadas por las autoridades andorranas durante la audiencia que mantuvieron con el Subgrupo en relación a la definición del consentimiento dispuesto en la Ley bastan para considerar que dicho consentimiento se ajusta a las disposiciones de la Directiva. Si los datos no se obtienen directamente de la persona interesada, el artículo 15 de la Ley establece que cualquier destinatario de los datos objeto de una comunicación ha de informar a la persona interesada dentro de un período máximo de quince días, contando desde el momento en que se reciban los datos, de los extremos enumerados en el artículo 13, letras a) a d), así como de la identidad de la persona física o jurídica de la que el destinatario haya recibido los datos, pudiendo las personas interesadas, si la Ley lo autoriza, ejercer su derecho de oposición al tratamiento de los datos y solicitando la supresión de estos en el término del mes siguiente al momento en que hayan sido informadas. Consiguientemente, el Grupo de Trabajo considera que la legislación andorrana cumple con este principio. (4) El principio de seguridad. El responsable del tratamiento debe adoptar medidas de seguridad técnicas y de organización suficientes a los riesgos que presenta el tratamiento. Ninguna persona que actúe bajo la autoridad del responsable de los datos, incluido el procesador de los mismos, deberá tratar los datos si no es siguiendo instrucciones del responsable. El Grupo de Trabajo considera que la legislación andorrana cumple con este principio. El artículo 12 de la Ley establece expresamente lo siguiente: Los responsables de tratamiento han de establecer las medidas técnicas y de organización necesarias para garantizar la confidencialidad y la seguridad de los datos personales que sean objeto de tratamiento. Si la totalidad o una parte del tratamiento se encarga a prestadores de servicios de datos personales, corresponde al responsable del tratamiento garantizar que los prestadores tengan establecidas medidas técnicas y de organización suficientes para garantizar la confidencialidad y la seguridad de los datos objeto del servicio. El concepto de «prestador de servicios de datos personales» corresponde al de responsable del tratamiento de datos contemplado en la Directiva, dado que el artículo 3, apartado 5, de la Ley lo define como «la persona física o jurídica de naturaleza pública o privada que trata los datos por cuenta del responsable del tratamiento o que accede a los datos personales para la prestación de un servicio a favor y bajo el control del responsable del tratamiento, siempre que no utilice los datos a los que tenga acceso 6 para finalidades propias o que no los haga servir más allá de las instrucciones recibidas o para finalidades diferentes del servicio que ha de prestar a favor del responsable» (5) Los derechos de acceso, rectificación y oposición. Las personas interesadas deben tener derecho a recibir una copia de todos los datos que las afecten y sean objeto de tratamiento, así como el derecho de rectificar dichos datos si resultan ser inexactos. En determinadas situaciones, la persona interesada debe poder oponerse personalmente al tratamiento de los datos. Las únicas excepciones a dichos derechos deben estar en sintonía con el artículo 13 de la Directiva. El artículo 22 de la Ley se refiere al derecho de acceso, reconociendo que «cualquier persona interesada tiene derecho a ser informada por el responsable del tratamiento de sus datos que son objeto de tratamiento». El responsable debe otorgar dicho derecho en el término de cinco días, pudiendo elegir el medio de proporcionar la información al interesado. El Grupo de Trabajo considera que este procedimiento corresponde bien al derecho que otorga el artículo 12 de la Directiva al interesado de «comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos». El derecho de rectificación está regulado en el artículo 23 de la Ley como el derecho del interesado a hacer corregir los datos que sean incorrectos, derecho que debe otorgársele en el término del mes siguiente a su solicitud. El responsable del tratamiento de datos solo puede denegar dicho derecho, aparte de los casos mencionados a continuación, si el interesado no aporta la documentación necesaria que demuestre la existencia de un error en el tratamiento. El Grupo de Trabajo considera que este derecho se ajusta a las disposiciones del artículo 12 de la Directiva. El Grupo de Trabajo observa también que la legislación del Principado de Andorra no incluye normas que regulen el derecho de oposición en condiciones análogas a las previstas en el artículo 14 de la Directiva. No obstante, considera que tal deficiencia se subsana con las normas que regulan los derechos de oposición y supresión en los artículos 15 y 25 de la Ley. A tenor de la primera de estas normas, la persona interesada puede oponerse, con las salvedades que fija el mismo artículo 15, al tratamiento de sus datos que se derive de la comunicación de los mismos a un tercero en el término del mes siguiente al recibo de la información que debe enviarse obligatoriamente a la persona interesada. El derecho de supresión se prevé en la Ley como el derecho de la persona interesada a «solicitar al responsable del tratamiento que suprima los datos objeto del tratamiento». El responsable debe responder a dicha solicitud en el plazo del mes siguiente al recibo de la solicitud. La única excepción a este derecho se hará en casos en que se dé una base jurídica o contractual para que el responsable proceda al tratamiento. Con relación a las excepciones a dichos derechos, la Ley establece dos tipos: las que se refieren exclusivamente al derecho de oposición y son aplicables a cualquier tratamiento (artículo 15) y otras referidas a todos los derechos pero que solo serán aplicables a archivos públicos o judiciales (artículo 32). 7 El Grupo de Trabajo estima que dichas excepciones pueden interpretarse a tenor del artículo 13 de la Directiva, teniendo en cuenta igualmente las explicaciones proporcionadas al efecto por las autoridades andorranas. Además, hace observar que las normas referidas a cada uno de los derechos establecen expresamente que, en caso de denegación del derecho, esta podrá ser objeto de recurso ante la instancia competente. (6) Restricciones en la transferencia a terceros. Las transferencias ulteriores de datos personales del receptor de la transferencia de datos original solo deben autorizarse si el segundo receptor (es decir, el receptor de la transferencia ulterior) está igualmente sujeto a la normativa que impone la obligación de un nivel adecuado de protección. Las únicas excepciones autorizadas deben ajustarse a lo dispuesto en el artículo 26, artículo 1, de la Directiva. El capítulo sexto de la Ley se refiere a las transferencias internacionales de datos, y estipula, en primer lugar, que «no se pueden efectuar comunicaciones internacionales de datos cuando el país de destino de los datos no establezca, en su normativa vigente, un nivel de protección para datos de carácter personal equivalente, como mínimo, al que está establecido en esta Ley». El Grupo de Trabajo considera satisfactorias la interpretación del término «equivalente» de la Ley andorrana y las explicaciones suministradas por las autoridades de dicho país, aclarando, por su parte, que dicha expresión debe interpretarse en el sentido expuesto en el artículo 25 de la Directiva, es decir, que la limitación se refiere a países que no ofrezcan un nivel de protección «adecuado». Del mismo modo, el Grupo tiene en cuenta las clarificaciones que aporta el artículo 36 de la propia Ley, que considera «equivalente» el nivel de protección establecido en los Estados miembros y en los «países declarados por la Comisión de las Comunidades Europeas como países con protección equivalente». El artículo 37 de la Ley fija las excepciones a la norma general de protección adecuada a la que se ha hecho referencia, indicando la posibilidad de realizar una transferencia que a) b) c) d) e) f) g) h) se haga con el consentimiento inequívoco de la persona interesada; se haga de acuerdo con los convenios internacionales de los cuales el Principado de Andorra sea parte; se haga a efectos de auxilio judicial internacional, o para el reconocimiento, el ejercicio o la defensa de un derecho en el marco de un procedimiento judicial; se haga para la prevención o diagnosis médicas, asistencia sanitaria, prevención o diagnosis social o por el interés vital de la persona interesada; se haga con motivo de remesas bancarias o transferencias de dinero; sea necesaria para el establecimiento, la ejecución, el cumplimiento o el control de relaciones jurídicas u obligaciones contractuales entre la persona interesada y el responsable del fichero; sea necesaria para preservar el interés público; sea de datos que provengan de registros públicos o se haga en cumplimiento de las funciones y finalidades de los registros públicos». 8 El Grupo de Trabajo considera que las explicaciones y aclaraciones de las autoridades andorranas sobre la materia bastan para que se considere que dichas excepciones corresponden a las establecidas en el artículo 26, apartado 1, de la Directiva. Así pues, y amén de las excepciones referidas a las características del consentimiento ya mencionadas, el Grupo de Trabajo considera que la excepción contemplada en 3) debe considerarse incluida en el artículo 26, apartado 1, letras b) y c), de la Directiva. Paralelamente, el Grupo de Trabajo toma nota con satisfacción de las explicaciones de las autoridades andorranas según las cuales el interés público a que se refiere la letra g) debe ser siempre importante, dado que el sistema jurídico andorrano no se refiere a la posible existencia de «un» interés público sino «al» interés público, siendo imposible que en dicho país haya un interés público que no sea importante. Del mismo modo, el Grupo de Trabajo toma nota con satisfacción de las explicaciones de las autoridades andorranas referidas a los conceptos de «registros públicos» y «registros de acceso público». A este efecto, la transferencia a que se refiere la letra h) solo puede realizarse en los casos y en la medida que establezca la normativa referida a cada registro, de modo que en ningún caso sería posible una transferencia masiva de los datos contenidos en un registro público ni una transferencia en otras medida y otras condiciones que las dispuestas en el reglamento del registro, las cuales, en general, exigen que el solicitante tenga un interés legítimo en confirmar el contenido del registro. Por último, el Grupo de Trabajo considera igualmente suficientes las declaraciones sobre la excepción contemplada en la letra d), especialmente si se tienen en cuenta las peculiaridades de la geografía y la población de Andorra, con lo que dicha excepción puede considerarse cubierta por el artículo 26, apartado 1, letra e), de la Directiva. (b) Principios adicionales El documento WP12 alude a ciertos principios que deben aplicarse a tipos específicos de tratamiento de datos, centrándose en los siguientes: (1) Datos sensibles. Cuando se trata de categorías de datos «sensibles» (los enumerados en el artículo 8 de la Directiva), deben establecerse salvaguardias adicionales como el requisito de que la persona interesada otorgue su consentimiento explícito al tratamiento. El Grupo de Trabajo considera que la legislación andorrana satisface dicho principio, teniendo en cuenta, en especial, las disposiciones de los artículos 19 a 21 de la Ley así como la definición de datos sensibles que ofrece el artículo 3, apartado 11, de la Ley, cuya enumeración de datos se corresponde con la incluida en el artículo 8 de la Directiva. En concreto, la Ley establece que «los datos sensibles solo pueden ser objeto de tratamiento o de comunicación con el consentimiento expreso de la persona interesada». Además, queda expresamente prohibida la creación de archivos con la finalidad exclusiva de recoger o tratar datos sensibles. 9 El Grupo de Trabajo toma nota con satisfacción de las aclaraciones dadas por las autoridades andorranas en relación a las normas particulares aplicables al tratamiento de datos sanitarios y, en concreto, a la obligación de confidencialidad que establece el sistema normativo andorrano así como a las normas por las que la realización de estudios epidemiológicos respeta el anonimato. (2) Comercialización directa. Si los datos se transfieren a efectos de comercialización directa, la persona interesada debe poder decidir en cualquier momento que sus datos dejen de usarse para ello. La legislación andorrana no alude expresamente a este principio. No obstante, el Grupo de Trabajo hace observar que el mismo está garantizado por dicha legislación en virtud de la aplicación de distintas normas legales. Así pues, en el momento de la recogida de datos, el responsable de la misma debe informar al interesado de la finalidad para que se vayan a tratar sus datos y, en su caso, de la necesidad de contar con el consentimiento del interesado (artículos 13 y 17 de la Ley). Del mismo modo, si los datos no se recogen directamente de la persona interesada, esta deberá ser informada de la finalidad del tratamiento en el plazo de quince días, pudiendo exigir que su negativa surta efecto en el plazo del mes siguiente (artículo 15). Por último, la persona interesada puede en todo momento ejercer su derecho de supresión de datos, que solo podrá denegarse en casos previstos por ley; estos no pueden incluir en ningún caso el uso de datos a efectos de comercialización directa (artículo 24 de la Ley). Así pues, si se presenta una solicitud de cesación del tratamiento a este efecto relacionada con la recogida de los datos o el ejercicio del derecho contemplado en el artículo 15 de la Ley, el responsable de los datos está obligado a satisfacerla. Consiguientemente, el Grupo de Trabajo considera que dicho principio está garantizado en el Derecho andorrano. (3) Decisión individual automatizada. Si la finalidad de la transferencia de datos es la adopción de una decisión automatizada a tenor del artículo 15 de la Directiva, la persona en cuestión debe tener el derecho de conocer la lógica de dicha decisión y deben adoptarse las medidas precisas para garantizar los intereses legítimos del interesado. Como en el caso anterior, dicho principio no está expresamente cubierto por la legislación andorrana. El Grupo de Trabajo tiene en cuenta las aclaraciones suministradas por las autoridades andorranas en relación a la protección del derecho del interesado respecto de decisiones individuales automatizadas, particularmente en la medida en que estipula que el interesado puede siempre ejercer los derechos de acceso y supresión previstos por la Ley, lo que permitirá que las personas físicas conozcan la lógica del tratamiento realizado y, en su caso, hagan oposición al mismo. 10 No obstante, el Grupo de Trabajo considera que, aunque ello no afecta a su valoración positiva de la normativa andorrana, sería muy deseable que la legislación andorrana incluyera expresamente dicho principio para evitar cualquier duda futura sobre su posible aplicación. A tal objeto, el Grupo de Trabajo toma nota con satisfacción del hecho de que la Ley será objeto de próximos reglamentos de aplicación y solicita a las autoridades del Principado de Andorra que expongan claramente en dichos reglamentos el mencionado principio en términos análogos a los empleados en el artículo 15 de la Directiva. 3.2. Mecanismos de procedimiento / ejecución El Dictamen WP12 del Grupo de Trabajo «Transferencias de datos personales a países terceros: aplicación de los artículos 25 y 26 de la Directiva de protección de datos» señala que para evaluar la adecuación del sistema jurídico de un país tercero, es necesario saber cuáles son los objetivos subyacentes del sistema procesal de protección de datos y, a partir de ahí, valorar la variedad de mecanismos procesales judiciales y no judiciales. A este respecto, los objetivos de un sistema de protección de datos son básicamente tres: – – – garantizar un nivel alto de cumplimiento de la normativa; proporcionar apoyo y asistencia a los interesados en el ejercicio de sus derechos; proporcionar la oportuna satisfacción a la parte perjudicada cuando no se cumpla la normativa. (a) Garantizar un nivel alto de cumplimiento de la normativa: Un buen sistema se caracteriza en general por un alto nivel de concienciación de los responsables de los datos respecto de sus obligaciones y de los interesados respecto de sus derechos y los medios de ejercerlos. La existencia de sanciones eficaces y disuasorias puede desempeñar un papel importante para garantizar el respeto de la normativa como evidentemente pueden hacerlo los sistemas de verificación directa utilizados por autoridades, auditores o funcionarios independientes a cargo de la protección de datos. El Grupo de Trabajo considera que dicho objetivo es respetado a la vista de las distintas disposiciones incluidas en la legislación andorrana y particularmente las siguientes: Agencia Andorrana de Protección de Datos (APDA) El capítulo séptimo de la Ley crea la Agencia Andorrana de Protección de Datos, «organismo público con personalidad jurídica propia, independiente de las administraciones públicas y con plena capacidad de obrar». El Reglamento de la Agencia la designa como «autoridad independiente que actúa con objetividad y plena independencia de las administraciones públicas andorranas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio responsable de la economía». El Grupo de Trabajo considera que esta relación no implica, de acuerdo con el Derecho público andorrano, ningún tipo de dependencia jerárquica. 11 Igualmente, el Grupo de Trabajo hace observar que las normas contenidas en la Ley y en el Reglamento de la Agencia demuestran la independencia de esta última tanto en lo tocante al nombramiento y a la destitución de su jefe y de los dos inspectores que la integran como en su independencia presupuestaria, dado que tanto el nombramiento y la destitución de dichos cargos como el presupuesto de la Agencia los aprueba el poder legislativo (Consell General), lo que, en ambos casos, exige mayoría cualificada especial. Asimismo, el Grupo tiene en cuenta, en la valoración de dicha independencia, el hecho de que las decisiones de la Agencia solo puedan recurrirse ante los órganos judiciales. La Ley dota a la Agencia de competencias adecuadas para garantizar el cumplimiento de la normativa de protección de datos. Es deber de la Agencia, en general, garantizar la observancia de esta legislación. En especial, el Grupo de Trabajo hace observar que la Ley otorga a la Agencia « la capacidad de imponer las sanciones que se prevén en el capítulo quinto de esta Ley». Medios de ejecución y sanción El capítulo quinto de la Ley se refiere a la imposición de sanciones por incumplimiento de sus disposiciones, estableciendo como principio general que «el incumplimiento de esta Ley por parte de las personas físicas o de personas jurídicas de naturaleza privada es objeto de sanción administrativa. El primer incumplimiento por parte de un responsable de fichero se sanciona con una multa de importe máximo de 50 000 euros, y los incumplimientos subsiguientes en que pueda incurrir el mismo responsable se sancionan con una multa de un importe máximo de 100 000 euros» (artículo 33). En los casos en que el responsable de los datos sea un organismo público, el artículo 34 prevé que se apliquen el procedimiento y las sanciones «establecidos en las disposiciones reguladoras de los regímenes disciplinarios». El Grupo de Trabajo toma nota de las aclaraciones hechas por las autoridades andorranas según las cuales la traducción correcta de la referencia hecha por la Ley a los regímenes «disciplinarios» en materia de administración pública debe ser un régimen «de sanciones» específico y de que el artículo 14 del reglamento de la Agencia otorga potestad sancionadora a esta en lo tocante a los archivos de las administraciones públicas, remitiendo en este punto a las normas de sanción específicas. Igualmente, el Grupo de Trabajo tiene en cuenta la capacidad de bloquear las bases de datos como medida preventiva. La capacidad de inspección y sanción corresponde, como queda dicho, a la Agencia. El Grupo de Trabajo toma nota de la amplitud de dichas competencias a la luz de las disposiciones de la Ley y del Reglamento de la Agencia. Con arreglo a lo anterior, el Grupo de trabajo considera que la legislación de Andorra incluye los elementos necesarios para garantizar un buen nivel de cumplimiento de la normativa. (b) Proporcionar apoyo y asistencia a los interesados en el ejercicio de sus derechos. Las personas físicas deben poder ejercer sus derechos con rapidez y eficacia y sin costes prohibitivos. Para ello debe haber algún mecanismo institucional que permita la investigación independiente de las denuncias. 12 El Grupo de Trabajo hace observar que la legislación andorrana ha introducido diversos mecanismos para cumplir este objetivo. Por una parte, el artículo 25 de la Ley dispone que el ejercicio de los derechos de acceso, rectificación, supresión de datos y oposición «no se puede someter, por parte del responsable del fichero, a ninguna formalidad, ni al pago por la persona interesada de los gastos que puedan corresponder». En caso de denegación de dichos derechos, la Ley establece vías de recurso ante el órgano jurisdiccional competente. Además, el artículo 41, apartado 3, de la Ley establece la posibilidad de que la Agencia inicie una inspección por propia iniciativa a solicitud de cualquier persona interesada que considere que sus datos se han visto afectados o que un responsable del control de datos ha infringido las obligaciones que dispone la Ley. Además, el artículo 20, apartado 2, del Reglamento de la Agencia se refiere expresamente a las inspecciones realizadas a solicitud de los interesados, imponiendo a la Agencia la obligación de realizar las inspecciones solicitadas por los interesados. Con arreglo a lo anterior, el Grupo de Trabajo considera que la legislación andorrana incluye los elementos necesarios para proporcionar apoyo y asistencia a los interesados en el ejercicio de sus derechos. (c) Proporcionar la oportuna satisfacción a la parte perjudicada cuando no se cumpla la normativa. Este es un elemento clave que debe implicar un sistema de adjudicación o arbitrio independiente que permita el pago de compensaciones y la imposición de las sanciones que correspondan. El artículo 26 de la Ley reconoce expresamente el derecho de los interesados a obtener la compensación a la que tengan derecho a raíz de la responsabilidad civil en que pueda incurrir el responsable de los datos en caso de infracción legal, siendo dicho derecho de compensación independiente de las sanciones que pueda imponer la Agencia. Por dicho motivo, el Grupo de Trabajo considera que la legislación andorrana incluye los elementos necesarios para proporcionar la oportuna satisfacción a la parte perjudicada cuando no se cumpla la normativa. 4. RESULTADO DE LA EVALUACIÓN En conclusión, y en línea con lo indicado, el Grupo de Trabajo considera que el Principado de Andorra garantiza un nivel adecuado de protección a tenor del artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Al mismo tiempo, el Grupo de Trabajo solicita que, en el reglamento de aplicación de la Ley Cualificada de Protección de Datos Personales, las autoridades andorranas tengan en cuenta las aclaraciones incluidas en el presente Dictamen, particularmente las referidas a la regulación de las decisiones individuales automáticas. 13 Hecho en Bruselas, 1 de diciembre de 2009 Por el Grupo de trabajo El Presidente Alex TÜRK 14