LOPD y RGPD: Protección de Datos en España

ASESORES TRIBUTARIOS

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 1

ASESORES TRIBUTARIOS

1. Introducción

2. Regulación

3. Finalidad del Ebook

4. Reglamento

4.1. Términos y conceptos

4.2. Empresas obligadas a cumplir el Reglamento

4.3. Principios

4.4. Consentimiento expreso y excepciones al mismo

4.5. Derechos de los interesado

4.6. Responsable del Tratamiento

4.7. Encargado del tratamiento

4.8. Registro de actividades de tratamiento

4.9. Seguridad de los datos personales

y comunicación de una violación de seguridad

4.10. Evaluación de impacto

4.11. Consulta previa

4.12. Códigos de conducta

4.13.MecanismosdeCertificación

4.14. Delegado de Protección de Datos

4.15. Transferencias Internacionales

4.16. Sanciones

5. Conclusión

Anteo

2

2

2

3

3

4

4

5

6

7

7

7

8

8

9

9

9

14

15

16

17

18

Índice

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 2

ASESORES TRIBUTARIOS

Uno de los derechos fundamentales reconocidos en la Constitución es el derecho a la protección de los datos personales, por lo que cada uno de nosotros podemos y debemos controlar el uso que se hace de los mismos.

La otra vertiente de este derecho consiste en que las personas físicas o jurídicas que traten datos personales de otros deben hacerlo de forma correcta, teniendo en consideración las obligaciones que establece la Ley y

El marco jurídico que trata la Protección de los Datos personales está compuesto por las siguientes normas:

1. Artículo 18.4 Constitución Española

2. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

3. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

4. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

EsteEbooktieneporfinalidadexponerlasmodificacionesfundamentalesquesehanintroducidoen la materia que tratamos a consecuencia de la promulgación del Reglamento General de Protección de Datos de la Unión Europea, cuyo cumplimiento será exigible a partir del 25 de mayo de 2018 de forma directa, sin perjuicio de que se promulgue una Ley Orgánica.

Tambiénesnuestrapretensiónclarificarconceptos,detallar los principios aplicables, obligaciones y sanciones.

1. Introducción

2. Regulación 3. Finalidad del eBook

ello tanto en el ámbito profesional como en el ámbito personal (con familiares y amigos).

Es por ello que se ha desarrollado una disciplina jurídica conlafinalidaddeprotegerestederechofrentealos usos ilegítimos o al margen de la ley de los datos personales que puedan dañar los intereses de las personas que son titulares de los mismos.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 3

ASESORES TRIBUTARIOS

Datos personales

Todainformaciónsobreunapersonafísicaidentificadaoidentificable(nombre,apellidos,dirección,teléfono,correo electrónico).

Tratamiento

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no (tratamiento en papel), como la recogida, registro, organización, estructuración, conservación, adaptación omodificación,extracción,consulta,utilización,etc.

Elaboración de perfiles

Toda forma de tratamiento automatizado de datos personales consistente en utilizar dichos datos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad,comportamiento,ubicaciónomovimientosdedicha persona física.

Seudonimización

Técnica que reduce el vínculo existente entre los datos decarácterpersonalylapersonaalaqueidentifican.Responsable del tratamiento o responsable: persona física o jurídica, autoridad pública, servicio u otro organismo responsable de que los datos sean tratados aplicando las garantías establecidas en la ley.

4. Reglamento

Encargado del tratamiento o encargado

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Consentimiento del interesado

Todamanifestacióndevoluntadlibre,específica,informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa,eltratamientodedatospersonalesqueleconciernen.

Datos genéticos

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionenunainformaciónúnicasobrelafisiologíao la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

Datos biométricos

Datos personales obtenidos a partir de un tratamiento técnicoespecífico,relativosalascaracterísticasfísicas,fisiológicasoconductualesdeunapersonafísicaquepermitanoconfirmenlaidentificaciónúnicade dicha persona, como imágenes faciales o datos dactiloscópicos.

4.1. Términos y conceptos

Con el objeto de ofreceros una mayor comprensión expondremos a continuación determinados términos o conceptos de importante consideración:

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 4

ASESORES TRIBUTARIOS

4.3 Principios

Licitud, lealtad y transparencia, lo que implica que los datos deben recogerse con el consentimiento del interesado de forma lícita (para la ejecución de un contrato, para el cumplimiento de una obligación legal, para la protección de intereses vitales, para cumplir una misión en interés público) y el responsable debe facilitar al interesado toda la información relativa al tratamiento de forma concisa, clara y de fácil acceso.

Limitación de la finalidad, es decir con indicación de losfinesparaloscualesserecogen.

Minimización de datos, que implica la recogida de los datos exclusivamente necesarios para perseguir los finesparalosquesontratados.

Exactitud y actualización, a cuyos efectos se adoptarán las medidas necesarias para enmendar la inexactitud en la recogida y conservación de datos.Limitación en el plazo de conservación, quiere decir que los datos únicamente deben conservarse durante eltiemponecesarioparalosfinesdeltratamiento,aexcepcióndequesetratenconfinesdearchivoeninteréspúblico,investigacióncientífica,oparaelcumplimiento de obligaciones legales.

Integridad y confidencialidad, a cuyos efectos deberán adoptarse las medidas necesarias para cumplir dichos principios.

Responsabilidad proactiva, es uno de los principios que introduce el Reglamento y que obliga al responsable de los datos a adoptar todas las medidas necesarias para el correcto tratamiento de los mismos, pero lo que es más importante a poder demostrárselo a las autoridades competentes en esta materia.

4. Reglamento

4.2. Empresas obligadas a cumplir el reglamento

EL Reglamento se aplicará a las empresas que traten datos de carácter personal que se encuentren dentro de la Unión Europea, asicomo a responsables y encargados no establecidos en la Unión Europea cuando se traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 5

ASESORES TRIBUTARIOS

4.4. Consentimiento expreso y excepciones al mismo

Es otra de las importantes novedades que introduce el Reglamento:

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió en el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que tambiénserefieraaotrosasuntos,lasolicituddeconsentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Reglamento

Excepciones al consentimiento expreso. a. Cuando los datos personales son solicitados por

un funcionario de una administración pública en el ejercicio de sus funciones.

b. Cuando exista una Ley, que no disponga lo contrario. La Ley 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, señala en su art 8 “que el derecho a la propia imagen, no impedirálainformacióngráficasobreunsucesoa acaecimiento público, cuando la imagen de una persona determinada aparezca como meramente accesoria”.

c. Cuando los datos personales, sean necesarios para el cumplimiento o mantenimiento de un contrato laboral, administrativo. Evidentemente, si nuestrosdatospersonales,seutilizanparaunfindistinto de la relación contractual, se requiere del consentimiento.

d. Cuando exista un interés vital del afectado.

e. Quenuestrosdatosfigurenenfuentesaccesiblesalpúblico.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 6

ASESORES TRIBUTARIOS

Hasta ahora los denominados derechos ARCO son los siguientes:

ACCESO

Es el derecho que tiene el ciudadano para dirigirse alresponsabledelficheroqueestáhaciendousodesusdatosypedirleinformaciónsobrelafinalidaddeltratamiento, posibles comunicaciones de datos y plazo de conservación de los mismos, asicomo exigir garantías en caso de que se produzcan transferencia de datos.

RECTIFICACIÓN

Elderechoaexigirlamodificacióndelosdatosmedianteuna solicitud indicando los que deben ser corregidos.

CANCELACIÓN

El derecho a solicitar el bloqueo de los datos, conservándose únicamente a disposición de Jueces y Tribunales y Administraciones Públicas durante el plazo necesario, para ser suprimidos una vez transcurrido el mismo.

OPOSICIÓN

Es el derecho que tiene el interesado para que sus datos no sean objeto de tratamiento para actividades de publicidad y prospección comercial, o para un tratamiento automatizado de datos, incluida la elaboracióndeperfiles.

4. Reglamento

El nuevo reglamento regula dos derechos nuevos que se suman a los anteriores:

OLVIDO O SUPRESIÓNEs el derecho a la cancelación y oposición en el ámbito de internet.

PORTABILIDADEs la posibilidad que tienen los interesados de solicitar al encargado de tratamiento que trate sus datos de forma automatizadaqueselosdevuelvaoquelostransfierana otra empresa en un formato automatizado.

El nuevo Reglamento advierte a los responsables de la obligación de facilitar el ejercicio de los derechos indicados, pudiendo presentar las solicitudes por medios electrónicos y de forma gratuita, excepto en los supuestos de que el uso de los derechos sea abusivo, es decir reiterativo o infundado, en cuyo caso se podrá cobrar un canon.

4.5. Derechos de los interesados

A los ciudadanos se les reconocen unos derechos para que puedan defender su privacidad en el uso que se hace de sus datos personales.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 7

ASESORES TRIBUTARIOS

4.6. Responsable del tratamiento

El responsable del tratamiento es toda persona física o jurídica, pública o privada que obtiene datos personales de personas físicas para su tratamiento y en consecuencia debe adoptar las medidas técnicas y organizativas necesarias para acreditar que el tratamiento de los mismos se realiza de conformidad con lo establecido en la normativa reguladora de la protección de datos personales.

Esquiendecidelacreacióndelosficheros,lafinalidaddelos mismos, el contenido de los datos almacenados.Asimismo tiene el deber de informar, el deber de secreto y todos aquellos que le impone la legislación.

En el supuesto de que no cumpla con la legislación vigente en la materia será objeto de sanciones.Los responsables deben elegir encargados que puedan acreditar que han adoptado las medidas técnicas y organizativas apropiadas para el tratamiento y seguridad de los datos.

4.7. Encargado del tratamiento

Es la persona física o jurídica que en virtud de un contrato de prestación de servicios trata los datos personales por cuentadelresponsabledelfichero. La vinculación entre el responsable y encargado del tratamiento en virtud del contrato de prestación de servicios es ineludible, en otro caso estaríamos hablando de cesión de datos inconsentida. El encargado del tratamiento no puede subcontratar el servicio que le vincula al responsable con un tercero si no es con su autorización. El encargado del tratamiento deberá tratar los datos del responsable siguiendo las instrucciones de éste. El contenido del contrato se amplía con el nuevo reglamento, siendo necesario añadir el objeto y duración del contrato, naturaleza del tratamiento, tipo de datos personales, las categorías de interesados, las obligaciones y derechos del responsable, la supresión y devolución de losdatosalfinalizarelencargo.

4. Reglamento

4.8. Registro de actividades

Conlalegislaciónvigenteelresponsabledelosficheros,tenía la obligación de proceder a la inscripción de los mimos en un Registro de la Agencia de Protección de Datos y elaborar un documento de seguridad. El Reglamento suprime dicha obligación pero prevé lo que denomina registro de actividades de tratamiento cuando las empresas tengan más de 250 trabajadores, a menos que el tratamiento pueda entrañar un riesgo para los derechos y libertades o incluya categorías especiales de datos, o incluya datos de condenas e infracciones penales. El contenido del registro de actividades es el que sigue: • El nombre y los datos de contacto del responsable y,

en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

• Fines del tratamiento.

• Descripción de las categorías de interesados y de las categorías de datos personales.

• Transferencias Internacionales.

• Cuando sea posible, los plazos previstos para la supresión de los datos.

• Una descripción generalizada de las medidas técnicas y organizativas.

El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite. Creemos que los documentos de seguridad podrían cumplir con la función de registro de actividades de tratamiento para todas aquellas empresas que los tienen al coincidir en su contenido con el establecido para este registro.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 8

ASESORES TRIBUTARIOS

4.9. Seguridad de los datos personales y comunicación de una violación de seguridad

El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, así como para restaurar la disponibilidad y el acceso a los datos personales de forma rápida, pero el Reglamento no establece cuales son estas medidas a excepción de las que siguen:

a. Minimización, o recaudación de los datos estrictamente necesarios.

b. La seudonimización y el cifrado de datos personales, es decir el tratamiento de datos de manera que no puedan atribuirse a un interesado sin consultar información adicional (sustitución de datos por códigos, usos de claves secretas, clave almacenada o uso de una clave secreta a modo de valor de entrada suplementario.

Elresponsabledeberánotificarunaviolacióndelaseguridad de los datos personales a la autoridad de control en el plazo de 72 h. a menos que no exista riesgo alguno o suponga un esfuerzo desproporcionado.

4.10. Evaluación de impacto

En los supuestos de alto riesgo en el tratamiento de los datos personales, el Reglamento determina la necesidad de realizar una evaluación de impacto, en concreto:

• Enlossupuestosdeelaboracióndeperfilessobrecuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados.

• Tratamiento a gran escala de datos sensibles• Observación sistemática a gran escala de una zona

de acceso público.

4. Reglamento

EL problema es que se entiende por datos a gran escala, es un término indeterminado que tiene que ser precisado por las autoridades competentes y que tendrá en consideración varios criterios, como son:

• El número de interesados afectados en términos absolutos o en proporción a una determinada población.

• El volumen y variedad de datos tratados.

• La duración o permanencia de la actividad de tratamiento.

• Laextensióngeográficadelaactividaddetratamiento.

Las autoridades deberán elaborar un listado de las empresas que deban realizar una evaluación de impacto. Parece ser que se considera procesamiento peligroso el realizado con datos de 5.000 o más personas o el tratamiento de datos de menores a gran escala.

La evaluación deberá incluir como mínimo:

• Una descripción sistemática de las operaciones de tratamientoprevistasydelosfinesdeltratamiento,inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.

• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 9

ASESORES TRIBUTARIOS

• El tratamiento leal y transparente.

• Los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos.

• La recogida de datos personales.

• La seudonimización de datos personales.

• La información proporcionada al público y a los interesados.

• El ejercicio de los derechos de los interesados.

• La información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño.

4. Reglamento

• Las medidas y procedimientos.

• Lanotificacióndeviolacionesdelaseguridaddelosdatos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados.

• La transferencia de datos personales a terceros países u organizaciones internacionales

• Los procedimientos extrajudiciales y otros procedimientosderesolucióndeconflictosquepermitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento.

4.11. Consulta previa

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo y no haya identificadoomitigadosuficientementedichoriesgo.

2.12. Códigos de conducta

Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podránelaborarcódigosdeconductaomodificaroampliardichoscódigosconobjetodeespecificarlaaplicacióndelpresente Reglamento, como en lo que respecta a:

4.13. Mecanismos de certificación

ElReglamentoestablecemecanismosdecertificaciónparaacreditarquelasempresascumplenconlosestablecidoen el mismo.

LascertificacionespuedenserotorgadasporlasAutoridadesdeproteccióndedatos,tantoindividualcomocolectivamente desde el Comité Europeo, o por entidades debidamente acreditadas a dichos efectos.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 10

ASESORES TRIBUTARIOS

4. Reglamento

4.14. Delegado de protección de datos

ElDelegadodeProteccióndeDatosesunafiguraquecrea el Reglamento para que junto con el Responsable y el Encargado de tratamiento velen por el cumplimiento de la normativa contenida en el mismo en el ámbito de las empresas en los supuestos en que el tratamiento:

• Lo realice una autoridad u organismo público.• Se realice de forma masiva y se precise una

observaciónhabitualysistemáticaoserefieraainteresados a gran escala.

• Tenga por objeto categorías especiales de datos personales o relativos a condenas o infracciones penales.

Las funciones del DPO son entre otras:

• Informar, asesorar y supervisar a los responsables, encargados y trabajadores en relación al cumplimiento de la normativa de protección de datos.

• Asesoramiento respecto a la evaluación de impacto, en su caso.

• Cooperar con la autoridad de control.

El Delegado de Protección de Datos puede formar parte de la plantilla de una empresa o de la Administración Pública, o ser un profesional ajeno que desempeñe sus funciones a través de un contrato de servicios. Si bien en todos los supuestos debe garantizarse su independencia respecto de los órganos de dirección y se le deben proporcionar los medios materiales necesarios para llevar a cabo sus atribuciones.

4.15. Transferencias internacionales

Consiste en la comunicación de datos a persona distinta de la empresa fuera del ámbito nacional y en concreto a países que no tienen las mismas garantías respecto de la protección de los datos personales que las contenidas en el Reglamento.

Nuestra legislación establece los mecanismos necesarios para garantizar que los datos tratados por nuestras empresas recibirán la protección adecuada en el país de destino.

Si se trata de algún país de la Comunidad Económica Europea no se precisa autorización de la Comisión de la Agencia de Protección de Datos porque con el Reglamentosehaunificadolaregulaciónentodosellosalser de aplicación directa.

En cuanto a la transferencia de datos entre Europa y EEUU se ha alcanzado un acuerdo de privacidad en virtud del cual las empresas de EEUU se comprometen a cumplir unos principios de privacidad.

Con este nuevo acuerdo se establece el denominado escudo de protección para los usuarios europeos basado en que las transferencias internacionales se podrán realizar con la empresa norteamericana si está adherida al acuerdo Privacy Shield, en cuyo caso sólo existe la obligación de comunicar la cesión a las Agencia de Protección de Datos, pero no de pedir autorización.

En el caso de transferencia de datos a otros países de los indicados habrá que solicitar autorización a la Agencia de Protección de Datos.

4.16. Sanciones

En el nuevo Reglamento las sanciones han sufrido un importante incremento, pudiendo alcanzar la cuantiosa cifra de 20.000.000 € o el importe correspondiente al 4% del volumen de negocio total anual global del ejercicio financieroanterior,porloquelasempresasdeberántener especial cuidado en el cumplimiento de la ley.

También establece que las sanciones tendrán en consideración el principio de proporcionalidad, la efectividad del daño causado, la colaboración con las Autoridades competentes, etc.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 11

ASESORES TRIBUTARIOS

5. Conclusión

Con la nueva regulación las empresas gozarás de más libertad a la hora de adoptar las medidas técnicas y organizativas relacionadas con la gestión para la protección de datos personales, pero ello requiere un mayor esfuerzo por su parte a la hora de poder demostrar que dichas medidas han sido efectivamente implementadas.

Por otra parte es fundamental la recogida del consentimiento expreso de los titulares de los datos personales para el tratamiento de los mismos.

LOPD y RGPD: Protección de Datos en España asesoria@anteo.es | +34 936 656 051 | Carrer de Torras I Bages, 12 08860 Castelldefels | 12

ASESORES TRIBUTARIOS

Anteo Gestión

Desde su creación en 1985, Anteo nace con la voluntad de crear una asesoría que preste servicios de calidad a las empresas. La calidad entendida como la satisfacción de nuestros clientes, es prioritaria en la actividad de nuestra firma.

Nuestra forma de entender la consultoría se basa en una metodología de trabajo orientada al cliente. Con un equipo experimentado y profesional y una relación próxima, nos implicamos en la rentabilidad de cada empresa que asesoramos.

Somos especialistas en asesoramiento legal y tributario a particulares y empresa.

www.anteo.es

Delegación CastelldefelsCarrer de Torras I Bages, 1208860 CastelldefelsBarcelona936 656 051

Delegación BarcelonaCarrer de Mallorca, 272 3ª planta08037 BarcelonaBarcelona933 942 600

¡Síguenos en nuestras Redes Sociales!

ASESORES TRIBUTARIOS

LOPD y RGPD: Protección de Datos en España

ASESORES TRIBUTARIOS