Entradas

El problema de las sociedades al 50%

/en /por

Muchas sociedades nacen como proyectos empresariales compartidos por dos personas que, por la idea de control sobre el mismo, se constituyen al 50% y, en muchos casos, además, ambos socios se nombran administradores. Esta situación suele darse, mayoritariamente, en las pequeñas y medianas empresas («PYMES»), sobre todo, en las sociedades familiares compuestas por dos únicos socios o grupos paritarios de socios.

Pero hay que tener en cuenta de que en caso de desconfianza u otros problemas que puedan surgir entre los socios, no es recomendable fundar una empresa al 50 % con otro socio, ya que, en caso de discrepancias la situación de bloqueo, por falta de mayoría, sería inevitable. La mayoría de estos casos, desgraciadamente tan habituales, terminan con la disolución y liquidación de la sociedad.

Por tanto, si está pensando en constituir una sociedad a medias con alguno socio es necesario que adopte medidas cautelares para prevenir e incluso evitar conflictos futuros.

Si a pesar de los riesgos descritos, tiene claro que la empresa debe constituirse al 50%, porque la idea de negocio la han creado los dos, porque siempre han tenido muy buena relación o porque simplemente le apetece, le apuntamos a continuación algunas opciones para que «no se arrepienta de la decisión tomada» y evite la paralización de la sociedad por si algún día surgieran discrepancias entre los socios

Tenga en cuenta que un reparto por igual, constituye el origen de muchas situaciones de bloqueo, precisamente, por discrepancias existentes entre los dos socios (o dos grupos de socios) con igual participación social. Es decir, cuando cada uno de ellos es titular del 50% del capital social con derecho a voto, pueden producirse situaciones de bloqueo societario, que llevan a la sociedad a su paralización, debido a la imposibilidad de adopción de acuerdos en alguno de los órganos sociales, por lo que, de mantenerse dicha situación, conllevará la obligación de disolver y liquidar la sociedad cuando el conflicto no sea puntual sino que resulte ser un conflicto invencible o insuperable.

¿Existen mecanismos para evitar un Bloqueo Societario?

Sí. Una posibilidad es pactar (en acuerdo parasocial) una opción de compra de todas o algunas de las participaciones del otro socio, de manera que la regla paritaria del 50% desaparezca.

Podría elegir entre establecer un plazo determinado para ejercitarla o describir una situación concreta que desencadene su ejecución. Por ejemplo por «la falta de entendimiento que impide la adopción de acuerdos de forma continuada».

Respecto a la cuantía de la opción, piense siempre en grande, no se quede corto, pues aunque en las sociedades limitadas muchos de los acuerdos se adoptan por mayoría simple, existen casos en los que se requiere el voto favorable de las dos terceras partes del capital:

-Más del 50% del capital para su aumento o reducción o la modificación de los estatutos sociales.

-Al menos 2/3 del capital social para:

· Autorizar a los administradores el desarrollo de actividades concurrentes con la sociedad

· Suprimir o limitar el derecho de preferencia en los aumentos de capital

· Transformar, fusionar o escindir y ceder globalmente el activo y pasivo

· Trasladar el domicilio social al extranjero y

· Excluir a socios.

Otra vía es la de establecer en los estatutos dos clases de participaciones:

– Las ordinarias que conceden a su titular un voto en la junta de socios.

– Las privilegiadas que conceden, varios votos, por ejemplo dos.

Se tratará de un privilegio sólo de voto, de manera que para el resto de cuestiones todas las participaciones tendrán los mismos derechos. De esta forma, si la SL tiene beneficios, usted y su socio se los repartirán a partes iguales, puesto que todas las participaciones seguirán teniendo los mismos derechos económicos.

Recuerde que este privilegio de voto puede limitarse a los acuerdos más importantes (por ejemplo, una ampliación de capital), o bien aplicarse a todas las decisiones.

Sea como fuere recuerde que, salvo en el caso de una sociedad unipersonal en la que podrá ostentar el 100% del capital social, una de las decisiones más importantes cuando se trata de participar como socio en una empresa es determinar el porcentaje de su participación (mayoritaria, neutral o minoritaria, según sea mayor, igual o menor al 50 por cien) y el de ser conscientes de que en todas las situaciones indicadas, tendremos que coexistir con otros socios, hecho generador de relaciones y potenciales conflictos.

¿Qué sanciones contempla el próximo régimen sancionador de la Ley de Morosidad?

/en /por

Como ya sabe, la Ley 15/2010 de modificación de la Ley 3/2004, por la que se establecen medidas de lucha contra la morosidad en las operaciones comerciales, establecía unos plazos máximos de pago en las operaciones comerciales de 60 días en el caso de la empresa privada y de 30 días en el caso de las Administraciones Públicas, a contar a partir de la entrega de los productos o prestación de los servicios.

Pese a la existencia de la  actual Ley 15/2010 de morosidad que regula los plazos de pago lo cierto es que la falta de un régimen sancionador facilita el incumplimiento de los tiempos.

Proposición de Ley que regula el régimen sancionador de la Ley de Morosidad

Por ello, en el mes de junio de 2017 se inició la tramitación de Proposición de Ley de Refuerzo de la Lucha contra la Morosidad en las Operaciones Comerciales presentada por el Grupo Parlamentario de Ciudadanos, y cuya intención es modificar la Ley de medidas de Lucha contra la Morosidad 15/2010 (que a su vez modificó la Ley 3/2004) y dotarla de un régimen sancionador que permita castigar a quienes se retrasen en los plazos máximos de pago previstos por la Ley.

Tras su tramitación en el Senado, el texto ha vuelto al Congreso para su votación y, o, aprobación, previo informe de la Comisión de Economía y Empresa de la Cámara cuya redacción definitiva está próxima a finalizar. Hemos tenido que esperar casi un año y medio para que ésta Proposición de Ley haya iniciado el trámite parlamentario.

Endurecimiento de las sanciones

El texto normativo divide las sanciones en multas leves, graves y muy graves, con importes que van desde los 60 a 2.000 euros para las leves, entre los 6.000 y los 40.000 euros en el caso de las grado medio y desde los 40.001 hasta los 800.000 euros para las de máximo incumplimiento.

Entre las infracciones leves se penaliza, por ejemplo, el pacto sobre plazos de pago que excluya del cómputo los períodos de vacaciones.

Se considera graves:

– La superación del plazo de pago legal en 20 días,

– La inclusión de cláusulas que marquen el inicio de la contabilización de fechas de pago,

– Los acuerdos relativos a posibles represalias en caso de demora,

– La falta de constancia documental de la fecha de entrega de mercancías,

– La renuncia al derecho de indemnización en caso de retraso,

– La omisión en la memoria de las cuentas anuales de la mención a los PMP o

– La reincidencia en tres infracciones leves.

Entre las infracciones consideradas como muy graves se encuentran:

– La de superar en más de 60 días el periodo estipulado por ley,

– La negativa a colaborar con la inspección,

– La falsificación de facturas, albaranes o de la información que sobre el Periodo Medio de Pago a Proveedores (PMP) se ha de incluir en la memoria de las cuentas anuales o

– La comisión de dos infracciones graves.

La graduación de las sanciones, se determinará a partir de un procedimiento de control en el que se valorará la existencia de intencionalidad, fraude, interés de ahorrarse costes financieros, capacidad y solvencia económica, tamaño de empresa, etc… Asimismo se estudiará el importe de la deuda, si esta no excede los 6.000 euros el grado de la infracción será mínimo, entre 6.001 y 100.000 medio y superior a ésta última cuantía máximo.

La Proposición de Ley contempla también con mayor rigor los casos de reincidencia de infracciones calificadas como muy graves privando al sujeto infractor de la posibilidad de acceder a cualquier tipo de subvención o deducción y suspendiendo, en su caso, el aprovechamiento de los préstamos suscritos con el ICO (Instituto de Crédito Oficial).

Las sanciones indicadas podrán ser objeto de reducción en un 30%, 70% o incluso un 100% si se acredita que se ha procedido a liquidar la factura durante los 6 días siguientes a la notificación de la sanción o se demuestra que las empresas son acreedoras de deudas por importe igual o superior a la contraída. Asimismo se establece un periodo de prescripción de uno a cuatro años.

El sector público también deberá someterse a este control y tanto la Intervención General del Estado como las autonomías y las corporaciones locales deberán informar trimestralmente a Hacienda de cómo y en cuánto tiempo están abonando sus facturas.

Intrastat_Palacio_Asesores

Los derechos de los accionistas

/en /por

El Reglamento europeo viene a desarrollar la denominada «Directiva de Derechos de los Accionistas» estableciendo los requisitos mínimos en relación con la identificación de los accionistas, la transmisión de información y la facilitación del ejercicio de los derechos de los mismos.

El Reglamento incluye únicamente los requisitos mínimos en relación a aspectos sobre la información para que los accionistas ejerzan sus derechos como:

  • Transmisión de las notificaciones de junta general.
  • Confirmación del derecho de los accionistas a ejercer sus derechos en una junta general.
  • Notificación de participación de los accionistas en una junta general.
  • Formato de confirmación de la recepción y del registro y el recuento de votos.
  • Transmisión de información específica de los actos societarios que no sean juntas generales.
  • Plazos que han de observar los emisores y los intermediarios en los actos societarios y los procesos de identificación de los accionistas.
  • Requisitos mínimos de seguridad al transmitir toda la información anterior.

El Derecho nacional del domicilio social del emisor determinará de manera concreta las obligaciones que han de cumplir los intermediarios para facilitar el ejercicio de sus derechos por parte de los accionistas. Estas incluirán, cuando sea necesario, la obligación de confirmar el derecho del accionista a participar en una junta general y la obligación de transmitir la notificación de participación al emisor. A tal efecto, es necesario establecer unos requisitos mínimos respecto de los tipos de información que deben figurar en dicha notificación de participación.

Sigue siendo necesario normalizar la confirmación del derecho a participar en las juntas generales, dado que el emisor puede no disponer de información precisa sobre las posiciones autorizadas, o que esta información puede no haberle sido transmitida de forma eficiente, en particular debido a la comunicación transfronteriza. 

La confirmación del derecho se comunica de maneras diversas como, por ejemplo, por vía electrónica a través de la cadena de intermediarios, o directamente por el último intermediario al emisor, o por el último intermediario en papel o en formato electrónico a los accionistas o clientes, en función del modelo de tenencia de valores vigente en el mercado de que se trate. 

El presente Reglamento establece requisitos mínimos respecto de los tipos de información que deben incluirse en las diferentes confirmaciones, a saber, la confirmación de la recepción de los votos y la confirmación de su registro y recuento.

La celeridad en el tratamiento de las transmisiones en la cadena de intermediarios, en especial cuando esta está formada por depositarios u otros operadores en múltiples niveles y cuando se utilizan cuentas ómnibus de clientes, resulta esencial a fin de garantizar que la información llegue a los accionistas en los casos en que la transmisión sea transfronteriza, y que estos puedan reaccionar en un tiempo razonable y dentro de los plazos establecidos para los actos societarios por parte de los emisores y los intermediarios. A fin de proteger los intereses razonables de los accionistas y de encontrar un equilibrio entre estos intereses y los de los emisores e intermediarios, es importante fijar plazos que han de respetarse en la transmisión de información sobre actos societarios y las actuaciones de los accionistas.

Habida cuenta de que las normas de mercado voluntarias para el tratamiento de actuaciones societarias, entre ellas actos societarios de naturaleza financiera como la distribución de beneficios y las reestructuraciones societarias que afecten a la acción subyacente, se aplican en la mayoría de los casos, el presente Reglamento solo establece los elementos y principios clave que deben observase en estos procesos.

Es fundamental que se genere información fidedigna y que la información confidencial se transmita de forma segura. Los intermediarios, los emisores y los proveedores de servicios de los emisores deben contar con los procedimientos adecuados para garantizar, en particular, la integridad y la seguridad de estos procesos en los que se utilizan datos personales.

Protección de Datos: “Guía para la gestión y notificación de brechas de seguridad”

/en /por

Una de las novedades destacadas del nuevo Reglamento General de Protección de Datos (RGPD), desde el 25 de mayo de 2018, es que  el responsable del tratamiento debe notificar  la brecha de la seguridad  en cuanto tenga conocimiento de que se ha producido a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. La Agencia Española de Protección de Datos (AEPD) ha presentado la “Guía para la gestión y notificación de brechas de seguridad” con el objetivo de ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan. 

La Agencia Española de Protección de Datos (AEPD) ha presentado la “Guía para la gestión y notificación de brechas de seguridad” con el objetivo de ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.

El responsable del tratamiento debe notificar  la brecha de la seguridad  en cuanto tenga conocimiento de que se ha producido a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.

El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

Lo que debemos saber de las Actas de las Juntas de sociedades

/en /por

Los acuerdos de los órganos colegiados de las sociedades mercantiles se deben consignar en acta, que se extenderá o transcribirá en el libro de actas correspondiente, con expresión de las circunstancias que indica la Ley. Cuando el acta se deba formalizar en escritura pública e inscribirse en el Registro Mercantil, su redacción queda sometida al cumplimiento de una serie de requisitos y contenidos de obligada inclusión, de forma que la falta de alguno de ellos impedirá su inscripción.

Los acuerdos que la junta de accionistas adopte, así como todas las circunstancias relativas a la reunión deben quedar recogidas en el acta, que se convierte en el documento decisivo  a partir del cual se puede conocer lo sucedido en la reunión de la junta, se elevan a público aquellos acuerdos que así deban recogerse por ser obligatoria su inscripción en el Registro Mercantil, y permite controlar si los acuerdos han sido tomados válidamente. El acta de la junta se convierte así en un documento fundamental y obligatorio en toda sociedad mercantil.

Los arts. 202 y 203 de la Ley de Sociedades  de Capital (LSC) y los arts. 97 y siguientes del Reglamento del Registro Mercantil (RRM) contienen el régimen legal relativo a las actas.

Contenido del acta

En lo que respecta al contenido del acta, que debe extenderse o transcribirse en el libro de actas correspondiente, el art. 97 del RRM enumera las circunstancias que debe recoger, cuya observación es especialmente importante cuando el acta debe ser la base sobre la que se otorga la escritura pública que contiene un acuerdo que debe inscribirse en el Registro Mercantil, tal es el caso de acuerdos relativos a ampliaciones de capital, modificaciones del objeto social, cambio de domicilio, etc.

Así, los acuerdos de los órganos colegiados de las sociedades mercantiles se deben consignar en acta, que se extenderá o transcribirá en el libro de actas correspondiente, con expresión de las siguientes circunstancias:

1.ª Fecha y lugar del territorio nacional o del extranjero en que se hubiere celebrado la reunión.

2.ª Fecha y modo en que se hubiere efectuado la convocatoria, salvo que se trate de Junta o Asamblea universal. Si se tratara de Junta General o Especial de una sociedad anónima, se indicarán el «Boletín Oficial del Registro Mercantil» y el diario o diarios en que se hubiere publicado el anuncio de convocatoria.

3.ª Texto íntegro de la convocatoria o, si se tratase de Junta o Asamblea universal, los puntos aceptados como orden del día de la sesión.

4.ª En caso de Junta o Asamblea, el número de socios concurrentes con derecho a voto, indicando cuántos lo hacen personalmente y cuántos asisten por representación, así como el porcentaje de capital social que unos y otros representan. Si la Junta o Asamblea es universal, se hará constar, a continuación de la fecha y lugar y del orden del día, el nombre de los asistentes, que deberá ir seguido de la firma de cada uno de ellos.

En caso de órganos colegiados de administración, se expresará el nombre de los miembros concurrentes, con indicación de los que asisten personalmente y de quienes lo hacen representados por otro miembro.

5.ª Un resumen de los asuntos debatidos y de las intervenciones de las que se haya solicitado constancia.

6.ª El contenido de los acuerdos adoptados.

7.ª En el caso de Junta o Asamblea, la indicación del resultado de las votaciones, expresando las mayorías con que se hubiere adoptado cada uno de los acuerdos.

Si se tratase de órganos colegiados de administración, se indicará el número de miembros que ha votado a favor del acuerdo.

En ambos casos, y siempre que lo solicite quien haya votado en contra, se hará constar la oposición a los acuerdos adoptados.

8.ª La aprobación del acta. 

Además de estas menciones es importante recordar que la lista de asistentes debe figurar al comienzo del acta o adjuntarse por medio de anejo firmado por el secretario con el Visto Bueno del presidente. Antes de entrar en el orden del día se formará la lista de los asistentes, expresando el carácter o representación de cada uno y el número de acciones propias o ajenas con que concurran. Al final de la lista se determinará el número de accionistas presentes o representados, así como el importe del capital del que sean titulares, especificando el que corresponde a los accionistas con derecho de voto.

Una vez elaborada el acta debe procederse a su aprobación y firma. 

Sociedades unipersonales

Las decisiones del socio único se consignarán en acta, que se extenderá o transcribirá en el Libro de actas correspondiente, con expresión de las circunstancias 1.ª y 6.ª del apartado anterior, así como si la decisión ha sido adoptada personalmente o por medio de representante.

Aprobación del acta

Las actas de Junta o Asamblea se aprobarán en la forma prevista por la Ley o, en su defecto, por la escritura social. A falta de previsión específica, el acta deberá ser aprobada por el propio órgano al final de la reunión.

Las actas del órgano colegiado de administración se aprobarán en la forma prevista en la escritura social. A falta de previsión específica, el acta deberá ser aprobada por el propio órgano al final de la reunión o en la siguiente.

Una vez que conste en el acta su aprobación, será firmada por el Secretario del órgano o de la sesión, con el Visto Bueno de quien hubiera actuado en ella como Presidente.

Cuando la aprobación del acta no tenga lugar al final de la reunión, se consignará en ella la fecha y el sistema de aprobación.

Acta notarial

Los administradores podrán requerir la presencia de notario para que levante acta de la junta general y estarán obligados a hacerlo siempre que, con 5 días de antelación al previsto para la celebración de la junta, lo soliciten socios que representen, al menos, el 1% del capital social en la sociedad anónima o el 5% en la sociedad de responsabilidad limitada. En este caso, los acuerdos sólo serán eficaces si constan en acta notarial.

El acta notarial no se someterá a trámite de aprobación, tendrá la consideración de acta de la junta y los acuerdos que consten en ella podrán ejecutarse a partir de la fecha de su cierre.

Los honorarios notariales serán de cargo de la sociedad.

 

¿Cuánto tarda una transferencia bancaria?

/en /por

 

Las transferencias bancarias son una de las operaciones más habituales llevadas a cabo por los usuarios que poseen una cuenta en cualquier entidad bancaria. No obstante, en ocasiones, la persona ordenante necesita que el dinero llegue al beneficiario lo antes posible, pero sabe que no puede controlar el tiempo que tardará en efectuarse. Entonces surge la pregunta de por qué, en ocasiones, las transferencias llegan a la cuenta de destino de forma casi instantánea y, sin embargo, en otras ocasiones pueden pasar incluso días hasta que el dinero queda reflejado.

¿Cuánto tarda una transferencia bancaria?

En general, y desde la entrada en vigor de la Zona Única de Pagos en Euros, también conocida como SEPA, tanto las transferencias nacionales realizadas en euros, como las internacionales -también en euros- dirigidas a países pertenecientes al espacio europeo, tienen un plazo máximo de un día hábil. 

Por días hábiles hay que entender aquellos marcados por el Banco Central Europeo (BCE) como operativos para el euro (aquellos días de apertura comercial en los que no esté cerrado el sistema europeo de pagos). De esta forma, se considerarán hábiles todos los días menos los sábados, domingos y algunos festivos (25 y 26 de diciembre, Año Nuevo, Viernes Santo, Lunes de Pascua, 1 de mayo).

No obstante, existen excepciones, como sería el caso de las transferencias ordinarias instantáneas. Todas aquellas que se realicen entre dos cuentas de un mismo banco, por ejemplo, serán instantáneas ya que al tratarse de una transferencia interna, solo supone un mero apunte contable para la entidad, por lo que en caso de retraso, conviene que pregunte a su entidad.

Todas las entidades tienen una hora de corte, y si realiza la transferencia momentos después de esa hora, la orden se considerará recibida el siguiente día hábil. Por ello, es muy importante tener en cuenta esta hora, ya que, de hacer la transferencia antes o después de esa hora, tardará 1 día hábil más o menos.

Transferencias bancarias inmediatas

Hay que recordar que desde el  pasado 21 de noviembre de 2017 arrancó el nuevo sistema de transferencias bancarias inmediatas, un servicio que establece que las transferencias entre bancos de la Unión Europea se podrán hacer prácticamente en tiempo real. Se efectuarán en 10 segundos, cuando antes el dinero tardaba como mínimo 24 horas en llegar a su destino e incluso podía demorarse hasta cuatro días. 

Así, ya es posible realizar transferencias bancarias instantáneas entre países de Unión Europea a cualquier hora del día los 7 días de la semana. El BCE ha aprobado el nuevo Sistema TIPS (TARGET instant payment settlement) que consiste en realizar transferencias instantáneas de dinero a través de una entidad bancaria donde en 10 segundos, el receptor la puede tener en su cuenta. El beneficiario recibirá los fondos en su cuenta de forma inmediata. 

Dependiendo de las comisiones que cada banco aplique a sus clientes, puede ser gratis o puede aplicarse una pequeña comisión. Es probable que algunos bancos no cobren por realizar estas transferencias, ya que el coste para ellos será reducido (0,20 euros por transferencia los dos primeros años en que esté operativo el sistema y 0,50 euros a partir de entonces).  En cambio, actualmente el coste de realizar una transferencia a otra entidad es porcentual (del 0,20%, por ejemplo).

El requisito para emitir transferencias instantáneas es que nuestro banco las haya habilitado y que el envío se haga a alguna de las entidades que también haya incluido estos servicios.

No se pueden hacer envíos entre todas las entidades. Solo se permitirán las transferencias inmediatas entre entidades que tengan habilitado el servicio y, de momento, no todos los bancos han querido incluirlo.

¿Qué hay que tener en cuenta con respecto a las ?

Transferencia internacional, exterior o transfronteriza es aquella en se envían fondos de una cuenta de un país a la cuenta de otro país.

Si los países en los que están situados el ordenante y el beneficiario de la transferencia están situados en zona SEPA, deberán tener los mismos costes que los pagos nacionales.

Si interviene un banco corresponsal, la entidad del ordenante debe informar a su cliente de la posibilidad de que aquel cargue sus propios gastos.

Si se utiliza el IBAN y el BIC, se consideran transferencias STP (Straight Through Processing) que se realizan de forma automatizada y son más rápidas y económicas.

En los casos de transferencias transfronterizas los plazos de llegada de los fondos a la cuenta destino pueden incrementarse (sobre todo si el origen o el destino está fuera de la Unión Europea).

¿Cumple su empresa con el nuevo Reglamento de Protección de Datos europeo que entró en vigor el 25 de mayo de 2018?

/en /por

Ya es una realidad. El pasado 25 de mayo de 2018 entró el vigor el Nuevo  Reglamento General de Protección de Datos de la Unión Europea (RGPD), que afecta tanto a las empresas, como a los autónomos y organismos públicos y privados que traten datos de carácter personal. Entre los grandes cambios, se deberán contar con el consentimiento explícito de los usuarios para el uso de sus datos; aclarar qué información tienen, dónde, por cuanto tiempo, quién la usa y para qué; cumplir con el derecho al olvido; y nombrar a un delegado de datos que velará por el cumplimiento de la normativa. El incumplimiento de la nueva normativa podría llegar a acarrear sanciones de hasta 20 millones de euros o del 4% del volumen total global del negocio de la compañía, con el evidente y grave perjuicio reputacional que también supondría para la organización.

El pasado 25 de mayo de 2018 entró en vigor el  nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que es de aplicación obligatoria y que impone a las empresas numerosos deberes en relación a la privacidad.

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.

Las compañías que operen en Europa deberán acatar el RGPD, independientemente de que estén registradas en países que no pertenecen a la Unión Europea.

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta. 

El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc. 

¿Qué entendemos por datos personales?

Se definen los datos personales de las personas como toda aquella información que se puede vincular directa o indirectamente a una persona. Es decir, pueden ir desde el nombre completo o domicilio de un individuo hasta información acerca de su condición social, estado civil o inclusive dirección IP. 

Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados. 

Algunas de los puntos básicos de este Reglamento son:

  • • Los datos personales son siempre del titular, no de quien los trata.
  • • Los datos deben utilizarse sólo para la finalidad para la que fueron recabados.
  • • Los interesados pueden ejercer el derecho a la portabilidad de sus datos, estando obligado el responsable del tratamiento a facilitar una copia completa de los datos en soporte electrónico.

Las personas viviendo dentro de la UE tendrán derecho a:

  • – Recibir información clara y comprensible sobre quien procesa sus datos y por qué.
  • – Acceder a los datos que las organizaciones tienen sobre ellos.
  • – Pedir que se eliminen los datos personales si no existe un motivo legítimo para guardarlos.
  • – Poder corregir los datos si son incorrectos.
  • – Mover los datos de un proveedor de servicios, como el correo electrónico o red social, a otro.

LAS CLAVES DEL NUEVO RGPD

1. Consentimiento expreso, no tácito

La nueva normativa establece que las empresas deben contar con el permiso expreso del usuario para disponer y utilizar sus datos. Hasta ahora valía con el permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no rechazaba. 

Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o explícito de los titulares de los datos. 

Por tanto, las empresas necesitarán obtener el consentimiento voluntario, específico, inequívoco e informado de las personas para procesar sus datos. También necesitarán que los usuarios opten por aceptar el procesamiento de sus datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras palabras, las empresas ya no podrán pedir a los consumidores que marquen una casilla después de un extenso conjunto de términos y condiciones que la mayoría de los usuarios nunca lee.

2. La legalidad del procesamiento de datos

Las empresas que procesen datos personales deben asegurarse de que es legal, justo y transparente. No pueden usar datos para fines distintos de aquellos para los que se recopilaron, con excepciones limitadas.

El procesamiento de datos es legal si:

  • • Un individuo ha dado su consentimiento.
  • • Es necesario para la ejecución de un contrato.
  • • Es necesario cumplir una obligación legal en virtud de la legislación nacional o de la UE.
  • • Es necesario para proteger los intereses vitales de un individuo.
  • • Es necesario llevar a cabo una tarea de interés público en virtud de la legislación nacional o de la UE.
  • • Es en interés legítimo de la compañía, siempre que no se imponga sobre los derechos y libertades fundamentales de un individuo.

Si una empresa recopiló datos sobre la base del consentimiento, no puede usarlos para otros fines.

3. Tiempo y uso concreto

Las compañías no solo están obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos.  El RGPD establece que se deben guardar no más del «tiempo necesario». 

4. Portabilidad de datos

El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compañía, sí así lo desea.

5. Robo de datos

Además de informar claramente a los ciudadanos para qué y cómo procesan sus datos personales, deberán informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deberán conocerlo antes de tres días.

6. Descarga de toda la información a un «clic»

Los usuarios tienen derecho a saber toda la información que las compañías poseen sobre ellos y a tener una copia electrónica.

7. El derecho al olvido

Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al olvido» y podrán solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el límite de tiempo que el usuario da permiso de uso de su información.

8. Mayor protección de los menores

La edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes servicios digitales.

9. La letra pequeña, reflejada de forma clara

El nuevo reglamento establece que los términos de uso y las políticas de privacidad de datos deben redactarse y publicarse de una manera más sencilla y clara, es decir, comprensible para todos.

10. El Registro de Ficheros en la AEPD.

Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la normativa será responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecerán los medios para la aplicación de la normativa. 

¿Qué pasará con los ficheros registrados? Será una obligación cumplida bajo una normativa anterior, ya no habrá ningún procedimiento de presentación o de consulta de los ficheros comunicados.

11. Nuevas reglas para procesadores de datos

El RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un controlador de datos determina por qué se deben recopilar y procesar los datos personales y cómo. Un procesador de datos solo procesa datos personales en nombre del controlador y generalmente es una empresa externa.

Por ejemplo, un minorista que contrata a una empresa de recursos humanos para manejar la nómina y otras funciones es el controlador de datos, mientras que la empresa de recursos humanos es el procesador de datos.

Bajo el RGPD, los procesadores de datos deben garantizar los mismos estándares que los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber un contrato legal entre un procesador y un controlador, y un procesador no puede contratar a otra compañía para procesar datos sin el consentimiento del controlador.

12. Delegado de Protección de Datos

Una de las exigencias que introduce el RGPD es la designación obligatoria de un Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en inglés). Ahora nace una figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.

Sus funciones es velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

13. Nuevas sanciones por incumplimiento.

La cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar las administrativas con cantidades entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de negocio total, en base al anual global del ejercicio financiero anterior.

PAUTAS A SEGUIR: 

1. Actualice sus documentos legales y realiza auditorías internas

En este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse al nuevo Reglamento en cada caso particular.

2. Solicite el certificado o permiso para poder procesar datos

Si el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.

3. Organice una auditoría de información

Le permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con ellos, así como actualizar los datos de los empleados.

4. Informe a su equipo de trabajo

Es importante que su equipo sepa qué es el RGPD y cómo puede afectar  a la empresa. Además de formarle para que lleve a cabo los procedimientos adecuados para cumplir la normativa.

5. Eliminación de datos 

Es indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean necesarios.

6. Situación de crisis

Es necesario elaborar y establecer una estrategia de gestión de crisis por si la situación lo requiriera.

7. Muestre que está cumpliendo con la normativa

Actualice sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en práctica y cumpliendo el RGPD.

8. Canales de acceso

Aquellos que estén interesados en formar parte de sus  bases de datos, acepten los términos y lo soliciten, se les incluirá. Por el contrario, aquellos que no hayan dado su autorización no se les estará permitido y no deberían entrar a formar parte de la base de datos de la compañía.

9. Protección de datos para menores de 16 años

Los menores de 16 años necesitarán el permiso de sus padres o tutor con la nueva Ley de Protección de Datos.

10. Nuevo cargo: Delegado de Protección de Datos (DPD)

Se recomienda incluir la figura de Delegado de Protección de Datos  para asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún trabajador que asuma el rol.

Para más información, puede consultar también la página Web de la AEPD: 

https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Los comerciantes y empresarios tendrán que aceptar tarjetas (datáfonos) o transferencias para los pagos superiores a 30 euros

/en /por

Cuando entre en vigor la futura Ley de Servicios de Pago, los comerciantes estarán obligados a poner a disposición de los clientes datáfonos o servicios alternativos de pago para abonar cualquier transacción por importe superior a los 30 euros. Así consta al menos en el Anteproyecto de Ley aprobado el pasado viernes por el Consejo de Ministros. La norma transpone la Directiva 2015/2366, del Parlamento Europeo y del Consejo, de 25 de noviembre. 

Esta nueva norma impulsada por el Ministerio de Economía da un paso más allá de la Directiva europea, ya que no obligará a utilizar los habituales TPV (Terminal Punto de Venta), sino que cualquier sistema de pago alternativo será viable.

Pero, ¿con qué alternativas podrán contar los clientes? Además de las tarjetas de crédito o débito, también existen los llamados servicios de iniciación de pagos, unos sistemas que implican un pago electrónico sin necesidad de sacar la tarjeta de la cartera. Así, puede ser una aplicación que conecta directamente con el banco, una cartera virtual u otras aplicaciones de las llamadas fintech.

Se fija en 50 euros la pérdida máxima para el cliente

Otra de las medidas más novedosas que incluye la nueva regulación es la referida a la exigencia de una autentificación reforzada del cliente en el acceso online de cuentas. El Anteproyecto reduce además de 150 euros a 50 euros las pérdidas máximas que un cliente debe asumir en el caso de que se produzca una operación de pago no autorizada como consecuencia del extravío o robo de ese instrumento de pago.

Dos nuevos servicios de pago

La Directiva introduce diferentes novedades en este sector, como la introducción de nuevos operadores, los servicios de iniciación de pagos o los agregadores de cuentas, dando acceso a estos a la infraestructura de los bancos, en nombre y previa autorización del cliente. Así, la futura Ley introduce dos nuevos servicios de pago:

  • • Por un lado, los de iniciación de pago, que son intermediarios entre comerciantes y consumidores y que garantizan el pago del consumidor al comerciante directamente, constituyendo una alternativa a los pagos con tarjeta.
  • • Por otro lado, los servicios de información sobre cuentas (agregadores de cuentas), que son entidades que consolidan toda la información de las diversas cuentas que tiene abiertas un usuario en diferentes entidades y que permite, por ejemplo, el pago con los móviles.

Trámite parlamentario

El texto debe obtener aún los dictámenes correspondientes y volverá de nuevo al Consejo de Ministros para ser aprobado como Proyecto de Ley e iniciar la tramitación parlamentaria.

Les mantendremos informados de las novedades que se introduzcan el texto normativo en su tramitación por el Congreso y su aprobación.

¿Qué debemos saber sobre la garantía de bienes de consumo?

/en /por

La Ley protege a los consumidores particulares (personas que actúan con un propósito ajeno a su actividad comercial, empresarial, oficio o profesión) en materia de garantías. En primer lugar, es importante saber que el régimen legal de las garantías de bienes de consumo se aplica a los contratos de compraventa de productos (electrodomésticos, ropa, calzado, vehículos,…), a los contratos de suministro de productos que se tengan que producir o fabricar (muebles, cortinas,…), así como al agua o al gas, cuando estén envasados para la venta (botellas, bombonas,…). También queda cubierta por la garantía la instalación del producto, siempre que esté incluida en el contrato de compraventa o suministro y haya sido realizada por la parte vendedora o por el consumidor cuando la instalación defectuosa se deba a un error en las instrucciones de instalación.

En segundo lugar, debe saber que según la normativa vigente en materia de defensa de las personas consumidoras y usuarias, existen dos tipos de garantía: la legal y la comercial.

La garantía legal es obligatoria por ley, mientras que la garantía comercial es ofrecida de manera voluntaria por la empresa o persona vendedora, adicional a la garantía legal y nunca inferior a la misma.

 

Garantía legal

Es la que que la ley otorga como derecho inapelable cuando se da una relación de consumo y comprende a los productos a los que se les aplica el régimen de garantías.

Esta garantía obligatoria implica una serie de derechos: devolución, reparación, rebaja del precio o resolución del contrato.

 

¿Qué plazos están implicados?

Si se trata de un  producto nuevo, el plazo de protección que ofrece la garantía es de 2 años, a contar desde la fecha que aparece en el tique o factura de compra, o en la del albarán si la entrega es posterior. Sin embargo, si se trata de un producto de segunda mano, se puede pactar entre la parte vendedora y compradora un plazo menor de garantía, que nunca será inferior a 1 año. En caso de no pactarse ningún plazo de garantía, se aplicará el general de 2 años.

 

– ¿Qué sucede si el defecto o la falta de conformidad surge en los primeros 6 meses, tanto si se trata de un producto nuevo, como de segunda mano?

Se presume que el defecto o falta de conformidad ya existía cuando el producto fue entregado (defecto de origen o de fábrica del producto).

Será la persona vendedora la que deba demostrar que el defecto o falta de conformidad no es de origen sino que se debe, por ejemplo, a un mal uso o mantenimiento dado por la persona consumidora.

– ¿Y si el defecto o la falta de conformidad surge a partir de los 6 primeros meses y hasta los 2 años?

Sigue existiendo garantía legal pero en esta ocasión correspondería a la persona consumidora demostrar que el defecto o falta de conformidad ya existía en el momento de la venta y que no se ha dado por mal uso o mantenimiento del producto por su parte (esta demostración se realiza, a menudo, a través de la realización de un peritaje por parte de la persona consumidora).

– ¿Ante quién debe ejercerse los derechos que conforman la garantía legal?

Ante la persona vendedora del producto en cuestión, ya que ésta responde ante las faltas de conformidad o defectos producidos durante el plazo de garantía.

Sólo en casos en que a la persona consumidora le resulte imposible o le suponga una carga excesiva dirigirse a la persona que lo vende (en casos, por ejemplo, de cierre de la tienda donde se adquirió el producto o bien de compra en otra región o país europeo distinto), podrá directamente reclamar y exigir su derechos a la entidad fabricante o productora.

 

– ¿Cómo se ejercen los derechos en materia de garantías de bienes de consumo?

Toda persona consumidora que encuentre falta de conformidad o defectos en productos en garantía podrá optar por exigir la reparación o la sustitución del producto, salvo que una de estas opciones sea objetivamente imposible o desproporcionada.

 

Tanto la reparación como la sustitución presentan una serie de características:

  • En primer lugar es lo que debe exigir la persona consumidora ante una posible falta de conformidad.

Durante el periodo de garantía tanto la reparación como la sustitución serán gratuitos para la persona consumidora, así como todo coste relacionado con las mismas.

  • Son gratis para la persona consumidora: la reparación o sustitución en sí, los gastos de envío, transportes, recambios, costes relacionados con la mano de obra, siendo todos ellos a cargo de la entidad vendedora.
  • Se deberán llevar a cabo en un plazo razonable y sin mayores inconvenientes para la persona consumidora.
  • Mientras dure la reparación los plazos de la garantía quedan suspendidos, y empezará de nuevo a correr cuando la entidad vendedora entregue el producto reparado.
  • En el caso de que proceda la sustitución del producto se suspenderán los plazos de la garantía, que no volverán a activarse hasta que, por la parte vendedora, se proceda a la efectiva sustitución y entregue el producto sustituido a la persona consumidora. Debe quedar claro que el producto sustituido no cuenta con un nuevo plazo de 2 años de garantía, sino que se activa el plazo restante que quedara por cumplirse.

Sin perjuicio de lo anterior, si durante los 6 primeros meses tras la entrega del producto sustituto éste presenta faltas de conformidad, se presumirá que éstas ya existían cuando el mencionado producto sustituto fue entregado.

  • Debe tenerse en cuenta que la persona consumidora no podrá exigir la sustitución de productos para: los productos no fungibles (aquéllos que no pueden ser sustituidos por otros al ser únicos) y los productos de segunda mano.
  • En el caso de que un producto sea reparado durante el periodo de garantía, la mencionada reparación cuenta con una garantía de 6 meses durante los cuales la entidad vendedora responderá de las faltas de conformidad surgidas con relación a dicha reparación.
  • Si, estando en garantía, el producto es reparado, le ha sido entregado y sigue siendo no conforme con el contrato, podrá exigir la sustitución del producto, salvo que resulte desproporcionado, la rebaja en el precio o la resolución del contrato.
  • Si, estando en garantía, el producto es sustituido, le ha sido entregado y sigue siendo no conforme con el contrato, podrá exigir la reparación del producto, salvo que resulte desproporcionado, la rebaja del precio o la resolución del contrato.
  • La persona consumidora deberá informar a la parte vendedora sobre la falta de conformidad o defectos observados en el plazo de 2 meses desde que tuvo conocimiento de ella. Si así no se hace no implica la pérdida de la garantía, pero de los daños o perjuicios ocasionados de manera efectiva por el retraso de la comunicación deberá responder la persona que consume.
  • Si hay acogimiento a los derechos de reparación o sustitución del producto en garantía, la entidad vendedora deberá entregar, y la persona consumidora exigir: un justificante de tal extremo en el que conste la fecha de entrega y el defecto (cuando la persona consumidora entregue el producto), o un documento en el que figure la fecha de entrega del producto sustituido o reparado y, en su caso, la reparación efectuada (cuando la persona consumidora recoja el producto reparado o sustituido).
  • La rebaja del precio o la resolución del contrato procederán, a elección de la persona consumidora:
  1. Cuando la reparación o sustitución del producto defectuoso no fueran posibles.
  2. Cuando la reparación o sustitución del producto defectuoso no se realizaran en un plazo razonable o sin mayores inconvenientes para la persona consumidora.
  • La rebaja del precio deberá ser proporcional a la diferencia que haya entre:
  1. El valor del producto no defectuoso.
  2. El valor del producto con el defecto cuando fue entregado a la persona consumidora.
  • La resolución no procederá cuando la falta de conformidad o defecto sea de escasa importancia.

 

Garantía Comercial

Es aquella ofrecida de manera voluntaria por la persona vendedora y adicional a la garantía legal. Siempre ha de consistir en una mejora de la garantía legal. Si se ofrece garantía comercial ésta será adicional a la garantía legal.

Deberá ser formalizada, al menos en castellano, y, a petición de la persona consumidora, por escrito o en cualquier otro soporte duradero y directamente disponible para la persona que consume y que sea accesible a ésta.

Expresará necesariamente la siguiente información:

  • El bien o servicio sobre el que recaiga la garantía.
  • El nombre y dirección del garante: responsable de la garantía.
  • Que la garantía no afecta a los derechos legales de la persona consumidora ante la falta de conformidad o defecto del producto. Derechos, adicionales a los legales, que se conceden a la persona consumidor como titular de la garantía.
  • Plazo de duración de la garantía y su alcance territorial.
  • Vías de reclamación de que dispone la persona que consume.

En los productos de naturaleza duradera (aparatos informáticos, electrodomésticos, vehículos,…):

  • Deberá entregarse en todo caso a la persona consumidora formalizada por escrito o en cualquier soporte duradero aceptado por la persona consumidora, y con el contenido mínimo anterior.
  • Se debe indicar también, de manera expresa, los derechos legales reconocidos a la persona consumidora ante la falta de conformidad o defectos de los productos con el contrato, y que éstos son independientes y compatibles con la garantía comercial.

La persona consumidora tendrá derecho a un adecuado servicio técnico y a la existencia de repuestos durante el plazo mínimo de 5 años a partir de la fecha en que el producto deje de fabricarse.

Cuenta atrás para la adaptación al nuevo Reglamento General de Protección de Datos (RGPD)

/en /por

A partir del próximo 25 de mayo de 2018 entra en vigor el  nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad.

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria y que muy probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación del Reglamento europeo. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.

El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc.

Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.

En cuanto a los cambios y obligaciones que afectan a las empresas, podemos destacar entre otros los siguientes:

  • Delegado de Protección de Datos (DPD / DPO). El Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO, que podrá ser externo o interno. Un DPO deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información.
  • Exigencia de la realización de una evaluación de impacto relativa a la protección de datos para ciertos tratamientos.
  • Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.
  • Se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron tácitamente o buscarles otra cobertura legal.
  • Se amplían las obligaciones de información a los afectados, lo que obligará ponerles al día en dicha información a los ya existentes.
  • Se amplía el contenido mínimo en los contratos de acceso a datos por parte de terceros, por lo que deberán de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.
  • El RGPD no establece diferenciación entre datos personales y datos ‘profesionales’ (datos de contacto de personas físicas que prestan sus servicios en una persona jurídica y empresarios individuales) como estableció el vigente Reglamento, lo que obligará a las empresas a tener que realizar acciones informativas a esta categoría de datos.

1.- CONSENTIMIENTO EXPRESO

Se establece la obligación de las empresas de obtener un consentimiento expreso, inequívoco y verificable, y no tácito de la información que se obtenga de sus clientes. Se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no (ejemplo: “si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros”).

Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.

Atención: A partir de la entrada en vigor del nuevo RGPD, no se podrá seguir obteniendo el consentimiento de los afectados por omisión. Será necesario revisar todos los tratamientos anteriores, para adecuarlos a las previsiones de la nueva normativa.

Puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

 

2.- TRANSPARENCIA EN LA INFORMACIÓN

Será necesario que las empresas detallen explícitamente y con un lenguaje comprensible los datos e información personal requerida al usuario o cliente y solo se podrá tratar los datos en caso que tengan un interés legítimo.

El deber de informar a los afectados sobre el uso y las finalidades del tratamiento de datos, sufre una importante modificación con el nuevo RGPD, pues se amplía considerablemente la información que se les debe suministrar, incluyendo aspectos no contemplados hasta la fecha como:

  • Base jurídica del tratamiento
  • Intención de realizar transferencias internacionales
  • Datos del Delegado de Protección de Datos (si lo hubiere)
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • El derecho a presentar una reclamación ante las Autoridades de Control

Atención. Los procedimientos, modelos o formularios diseñados de conformidad con la LOPD, deberán ser revisados y adaptados al nuevo RGPD, tanto para adaptarlos al nuevo contenido del deber de informar, como para ajustar su forma a los requisitos de precisión y claridad que exige la nueva normativa.

 

3.- SEGURIDAD

Las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.

En la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino que cada organización deberá contar con un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Además, la tipología de los datos no será la única variable a tomar en consideración a la hora de determinar las medidas técnicas y organizativas aplicables sino que, por el contrario, el nuevo RGDP tiene en cuenta:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos para los derechos y libertades

Atención. El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática. Es necesario determinar, caso por caso, las medidas aplicables, bajo un enfoque de riesgo, basado en el principio de la seguridad desde el diseño y por defecto.

4.- ENCARGADOS DE TRATAMIENTO

También la figura de los encargados de tratamiento sufre importantes cambios en la nueva regulación. En síntesis, estos cambios se pueden resumir en tres puntos:

1) El nuevo RGPD establece obligaciones expresamente dirigidas a los encargados de tratamiento, como:

 

  • Mantener un registro de actividades de tratamiento.
  • Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

2) Se acentúa el deber de diligencia en la elección del encargado del tratamiento, de manera que los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

 

3) Se modifica el contenido mínimo que debe incluir el contrato con el encargado del tratamiento, incluyendo aspectos como:

  • Objeto, duración, naturaleza y la finalidad del tratamientos
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

Atención. Se deben revisar todos los contratos de encargo de tratamiento firmados con anterioridad, para verificar si cumplen las nuevas exigencias del RGPD.

 

5.- DERECHOS DEL CIUDADANO

El nuevo RGPD incluye nuevos derechos como el derecho a la portabilidad y el derecho al olvido, el derecho a no ser objeto de decisiones individualizadas y el derecho a la limitación del tratamiento.

  • EL DERECHO DE ACCESO: Es el derecho a conocer qué datos de carácter personal tuyos están siendo tratados por parte del responsable, la finalidad de este tratamiento, el origen de los citados datos y si se han comunicado o se van comunicar a un tercero.

Atención: Según la LOPD, el responsable del tratamiento debía facilitarse todos los datos de base del afectado, pero no copias o documentos. Sin embargo, el nuevo RGPD reconoce expresamente el derecho de los afectados a obtener gratuitamente una copia de los datos personales objeto de tratamiento.

Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.

  • EL DERECHO DE RECTIFICACION: Consiste en la posibilidad de modificar aquellos datos que sean inexactos o incompleto

Atención: Además de rectificar los datos inexactos, se incluye el derecho a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.

  • EL DERECHO DE CANCELACIÓN: Permite la cancelación de datos personales que sean inadecuados o excesivos.

Atención: Los interesados tienen derecho a que sus datos personales se supriman y dejen de tratarse:

  • si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo,
  • si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen,
  • si el tratamiento de sus datos personales incumple de otro modo el RGPD
  • El DERECHO DE OPOSICION: Mediante el ejercicio de este derecho el interesado puede oponerse al tratamiento de sus datos personales en los siguientes supuestos:
  • Cuando no siendo necesario su consentimiento para el tratamiento, exista un motivo legítimo y fundado referente a su concreta situación personal (salvo que una Ley establezca lo contrario).
  • Cuando estemos ante tratamientos de datos personales cuya finalidad sea la realización de actividades de publicidad y prospección comercial
  • Cuando el tratamiento tenga como fin la adopción de una decisión referida a su persona, basada únicamente en un tratamiento automatizado de sus datos personales
  • DERECHO AL OLVIDO: Es una manifestación de los derechos de cancelación u oposición en el entorno online. El responsable del tratamiento que haya hecho públicos datos personales, está obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales, que supriman todo enlace a ellos, o las copias o réplicas de los mismos.

Atención: El derecho al olvido tiene algunas limitaciones como la libertad de expresión y el derecho a la información, el interés público en el ámbito de la salud, la investigación así como la defensa de reclamaciones. 

  • DERECHO A LA PORTABILIDAD DE LOS DATOS: Es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.
  • DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALIZADAS. El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar.
  • DERECHO A LA LIMITACION DEL TRATAMIENTO: Solicitar al responsable que suspenda el tratamiento de datos cuando:
  • Se impugne la exactitud de los datos, mientras se verifica dicha exactitud por el responsable.
  • El interesado ha ejercitado su derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del responsable prevalecen sobre el interesado.
  • el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
  • el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones

 

6- REGISTRO

El reglamento exige la obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.

 

7.- ¿QUÉ PÁGINAS WEB DEBEN SOLICITAR UN CONSENTIMIENTO?

Cualquier página web o tienda online que recoja datos personales a través de formularios (de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el consentimiento de los usuarios para poder tratar sus datos.

 

8.- ¿PUEDO ENVIAR COMUNICACIONES COMERCIALES A CLIENTES SIN CONSENTIMIENTO?

Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. También se admite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

 

Para más información, puede consultar también la página Web de la AEPD:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php