Unión Europea Archivos - Palacio Asesores

Entradas

Los derechos de los accionistas

3 octubre, 2018/en Mercantil /por Mireia Font

El Reglamento europeo viene a desarrollar la denominada «Directiva de Derechos de los Accionistas» estableciendo los requisitos mínimos en relación con la identificación de los accionistas, la transmisión de información y la facilitación del ejercicio de los derechos de los mismos.

El Reglamento incluye únicamente los requisitos mínimos en relación a aspectos sobre la información para que los accionistas ejerzan sus derechos como:

Transmisión de las notificaciones de junta general.
Confirmación del derecho de los accionistas a ejercer sus derechos en una junta general.
Notificación de participación de los accionistas en una junta general.
Formato de confirmación de la recepción y del registro y el recuento de votos.
Transmisión de información específica de los actos societarios que no sean juntas generales.
Plazos que han de observar los emisores y los intermediarios en los actos societarios y los procesos de identificación de los accionistas.
Requisitos mínimos de seguridad al transmitir toda la información anterior.

El Derecho nacional del domicilio social del emisor determinará de manera concreta las obligaciones que han de cumplir los intermediarios para facilitar el ejercicio de sus derechos por parte de los accionistas. Estas incluirán, cuando sea necesario, la obligación de confirmar el derecho del accionista a participar en una junta general y la obligación de transmitir la notificación de participación al emisor. A tal efecto, es necesario establecer unos requisitos mínimos respecto de los tipos de información que deben figurar en dicha notificación de participación.

Sigue siendo necesario normalizar la confirmación del derecho a participar en las juntas generales, dado que el emisor puede no disponer de información precisa sobre las posiciones autorizadas, o que esta información puede no haberle sido transmitida de forma eficiente, en particular debido a la comunicación transfronteriza.

La confirmación del derecho se comunica de maneras diversas como, por ejemplo, por vía electrónica a través de la cadena de intermediarios, o directamente por el último intermediario al emisor, o por el último intermediario en papel o en formato electrónico a los accionistas o clientes, en función del modelo de tenencia de valores vigente en el mercado de que se trate.

El presente Reglamento establece requisitos mínimos respecto de los tipos de información que deben incluirse en las diferentes confirmaciones, a saber, la confirmación de la recepción de los votos y la confirmación de su registro y recuento.

La celeridad en el tratamiento de las transmisiones en la cadena de intermediarios, en especial cuando esta está formada por depositarios u otros operadores en múltiples niveles y cuando se utilizan cuentas ómnibus de clientes, resulta esencial a fin de garantizar que la información llegue a los accionistas en los casos en que la transmisión sea transfronteriza, y que estos puedan reaccionar en un tiempo razonable y dentro de los plazos establecidos para los actos societarios por parte de los emisores y los intermediarios. A fin de proteger los intereses razonables de los accionistas y de encontrar un equilibrio entre estos intereses y los de los emisores e intermediarios, es importante fijar plazos que han de respetarse en la transmisión de información sobre actos societarios y las actuaciones de los accionistas.

Habida cuenta de que las normas de mercado voluntarias para el tratamiento de actuaciones societarias, entre ellas actos societarios de naturaleza financiera como la distribución de beneficios y las reestructuraciones societarias que afecten a la acción subyacente, se aplican en la mayoría de los casos, el presente Reglamento solo establece los elementos y principios clave que deben observase en estos procesos.

Es fundamental que se genere información fidedigna y que la información confidencial se transmita de forma segura. Los intermediarios, los emisores y los proveedores de servicios de los emisores deben contar con los procedimientos adecuados para garantizar, en particular, la integridad y la seguridad de estos procesos en los que se utilizan datos personales.

Adaptación de Protección de Datos

17 septiembre, 2018/en Mercantil /por Mireia Font

En el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018, con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos, norma de la Unión Europea que, al entrar en vigor el pasado 25 de mayo, impuso importantes modificaciones en la legislación interna, regulando también el régimen de prescripción de las sanciones previstas en el texto europeo, y que viene a clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección de Datos Personales- ciertos aspectos del Derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018 resultara de plena aplicación del Reglamento de la UE.

En el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que viene a clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección de Datos Personales- ciertos aspectos del Derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018 resultara de plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD).

La normativa española debe adaptarse al nuevo Reglamento Europeo en aquellos preceptos en los que este deje margen o bien en todo aquello que lo contravenga. Para ello se aprobó el pasado 24 de noviembre de 2017 el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho Proyecto está en fase de enmiendas y aprobación parlamentaria y, mientras llega su aprobación definitiva, se ha hecho necesaria la aprobación de este Decreto-Ley para regular algunas materias que por razones de urgencia no pueden esperar a que el Proyecto de ley esté definitivamente aprobado.

Esta norma entrará en vigor al día siguiente de su publicación en el BOE y permanecerá vigente hasta la entrada en vigor de la nueva legislación orgánica de protección de datos.

El contenido esencial de esta norma regula aquellas cuestiones que quedan fuera del ámbito de la Ley Orgánica, que son (i) el ejercicio de poderes de investigación de la Agencia Española de Protección de Datos, (ii) el régimen sancionador y (iii) los procedimientos para el caso de posibles vulneraciones de la normativa de protección de datos.

Así, entre otras medidas contenidas en el Real Decreto-Ley (RDL), destacan las siguientes:

• La delimitación de los sujetos responsables de los tratamientos a los que les es aplicable el régimen sancionador (los encargados de los tratamientos; los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea; las entidades de certificación; las entidades acreditadas de supervisión de los códigos de conducta). El RDL sigue las consideraciones del Reglamento Europeo y excluye a los Delegados de Protección de Datos de responsabilidad.
• Se establecen los plazos de prescripción de las infracciones: (i) tres años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y (ii) dos años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
• Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la Administración para requerirnos su pago: (i) un año las sanciones con importe igual o inferior a 40.000 euros, (ii) dos años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000 euros y (iii) tres años para las sanciones por importe superior a 300.000 euros.
• Peculiaridades de los procedimientos:

a) En caso de posible vulneración de la normativa de protección de datos se distinguen:

1. - • Aquellos procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento.
  - • Aquellos en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.

b) Suspensión automática de los plazos de tramitación cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la UE o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento General de Protección de Datos, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos, con el fin de evitar la caducidad del mismo.

c) Actuaciones previas de investigación: Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

1. - • La representación española en el Comité Europeo de Protección de Datos a través de la Agencia Española de Protección de Datos.
  - • Por último, los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 sujetos al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. No obstante, durante los mencionados plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a las nuevas exigencias del GDPR.

¿Cumple su empresa con el nuevo Reglamento de Protección de Datos europeo que entró en vigor el 25 de mayo de 2018?

6 junio, 2018/en Mercantil /por Mireia Font

Ya es una realidad. El pasado 25 de mayo de 2018 entró el vigor el Nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD), que afecta tanto a las empresas, como a los autónomos y organismos públicos y privados que traten datos de carácter personal. Entre los grandes cambios, se deberán contar con el consentimiento explícito de los usuarios para el uso de sus datos; aclarar qué información tienen, dónde, por cuanto tiempo, quién la usa y para qué; cumplir con el derecho al olvido; y nombrar a un delegado de datos que velará por el cumplimiento de la normativa. El incumplimiento de la nueva normativa podría llegar a acarrear sanciones de hasta 20 millones de euros o del 4% del volumen total global del negocio de la compañía, con el evidente y grave perjuicio reputacional que también supondría para la organización.

El pasado 25 de mayo de 2018 entró en vigor el nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que es de aplicación obligatoria y que impone a las empresas numerosos deberes en relación a la privacidad.

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.

Las compañías que operen en Europa deberán acatar el RGPD, independientemente de que estén registradas en países que no pertenecen a la Unión Europea.

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.

El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc.

¿Qué entendemos por datos personales?

Se definen los datos personales de las personas como toda aquella información que se puede vincular directa o indirectamente a una persona. Es decir, pueden ir desde el nombre completo o domicilio de un individuo hasta información acerca de su condición social, estado civil o inclusive dirección IP.

Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.

Algunas de los puntos básicos de este Reglamento son:

• Los datos personales son siempre del titular, no de quien los trata.
• Los datos deben utilizarse sólo para la finalidad para la que fueron recabados.
• Los interesados pueden ejercer el derecho a la portabilidad de sus datos, estando obligado el responsable del tratamiento a facilitar una copia completa de los datos en soporte electrónico.

Las personas viviendo dentro de la UE tendrán derecho a:

– Recibir información clara y comprensible sobre quien procesa sus datos y por qué.
– Acceder a los datos que las organizaciones tienen sobre ellos.
– Pedir que se eliminen los datos personales si no existe un motivo legítimo para guardarlos.
– Poder corregir los datos si son incorrectos.
– Mover los datos de un proveedor de servicios, como el correo electrónico o red social, a otro.

LAS CLAVES DEL NUEVO RGPD

1. Consentimiento expreso, no tácito

La nueva normativa establece que las empresas deben contar con el permiso expreso del usuario para disponer y utilizar sus datos. Hasta ahora valía con el permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no rechazaba.

Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o explícito de los titulares de los datos.

Por tanto, las empresas necesitarán obtener el consentimiento voluntario, específico, inequívoco e informado de las personas para procesar sus datos. También necesitarán que los usuarios opten por aceptar el procesamiento de sus datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras palabras, las empresas ya no podrán pedir a los consumidores que marquen una casilla después de un extenso conjunto de términos y condiciones que la mayoría de los usuarios nunca lee.

2. La legalidad del procesamiento de datos

Las empresas que procesen datos personales deben asegurarse de que es legal, justo y transparente. No pueden usar datos para fines distintos de aquellos para los que se recopilaron, con excepciones limitadas.

El procesamiento de datos es legal si:

• Un individuo ha dado su consentimiento.
• Es necesario para la ejecución de un contrato.
• Es necesario cumplir una obligación legal en virtud de la legislación nacional o de la UE.
• Es necesario para proteger los intereses vitales de un individuo.
• Es necesario llevar a cabo una tarea de interés público en virtud de la legislación nacional o de la UE.
• Es en interés legítimo de la compañía, siempre que no se imponga sobre los derechos y libertades fundamentales de un individuo.

Si una empresa recopiló datos sobre la base del consentimiento, no puede usarlos para otros fines.

3. Tiempo y uso concreto

Las compañías no solo están obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos. El RGPD establece que se deben guardar no más del «tiempo necesario».

4. Portabilidad de datos

El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compañía, sí así lo desea.

5. Robo de datos

Además de informar claramente a los ciudadanos para qué y cómo procesan sus datos personales, deberán informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deberán conocerlo antes de tres días.

6. Descarga de toda la información a un «clic»

Los usuarios tienen derecho a saber toda la información que las compañías poseen sobre ellos y a tener una copia electrónica.

7. El derecho al olvido

Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al olvido» y podrán solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el límite de tiempo que el usuario da permiso de uso de su información.

8. Mayor protección de los menores

La edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes servicios digitales.

9. La letra pequeña, reflejada de forma clara

El nuevo reglamento establece que los términos de uso y las políticas de privacidad de datos deben redactarse y publicarse de una manera más sencilla y clara, es decir, comprensible para todos.

10. El Registro de Ficheros en la AEPD.

Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la normativa será responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecerán los medios para la aplicación de la normativa.

¿Qué pasará con los ficheros registrados? Será una obligación cumplida bajo una normativa anterior, ya no habrá ningún procedimiento de presentación o de consulta de los ficheros comunicados.

11. Nuevas reglas para procesadores de datos

El RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un controlador de datos determina por qué se deben recopilar y procesar los datos personales y cómo. Un procesador de datos solo procesa datos personales en nombre del controlador y generalmente es una empresa externa.

Por ejemplo, un minorista que contrata a una empresa de recursos humanos para manejar la nómina y otras funciones es el controlador de datos, mientras que la empresa de recursos humanos es el procesador de datos.

Bajo el RGPD, los procesadores de datos deben garantizar los mismos estándares que los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber un contrato legal entre un procesador y un controlador, y un procesador no puede contratar a otra compañía para procesar datos sin el consentimiento del controlador.

12. Delegado de Protección de Datos

Una de las exigencias que introduce el RGPD es la designación obligatoria de un Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en inglés). Ahora nace una figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.

Sus funciones es velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

13. Nuevas sanciones por incumplimiento.

La cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar las administrativas con cantidades entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de negocio total, en base al anual global del ejercicio financiero anterior.

PAUTAS A SEGUIR:

1. Actualice sus documentos legales y realiza auditorías internas

En este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse al nuevo Reglamento en cada caso particular.

2. Solicite el certificado o permiso para poder procesar datos

Si el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.

3. Organice una auditoría de información

Le permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con ellos, así como actualizar los datos de los empleados.

4. Informe a su equipo de trabajo

Es importante que su equipo sepa qué es el RGPD y cómo puede afectar a la empresa. Además de formarle para que lleve a cabo los procedimientos adecuados para cumplir la normativa.

5. Eliminación de datos

Es indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean necesarios.

6. Situación de crisis

Es necesario elaborar y establecer una estrategia de gestión de crisis por si la situación lo requiriera.

7. Muestre que está cumpliendo con la normativa

Actualice sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en práctica y cumpliendo el RGPD.

8. Canales de acceso

Aquellos que estén interesados en formar parte de sus bases de datos, acepten los términos y lo soliciten, se les incluirá. Por el contrario, aquellos que no hayan dado su autorización no se les estará permitido y no deberían entrar a formar parte de la base de datos de la compañía.

9. Protección de datos para menores de 16 años

Los menores de 16 años necesitarán el permiso de sus padres o tutor con la nueva Ley de Protección de Datos.

10. Nuevo cargo: Delegado de Protección de Datos (DPD)

Se recomienda incluir la figura de Delegado de Protección de Datos para asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún trabajador que asuma el rol.

Para más información, puede consultar también la página Web de la AEPD:

https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Cuenta atrás para la adaptación al nuevo Reglamento General de Protección de Datos (RGPD)

12 abril, 2018/en Mercantil /por Mireia Font

A partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad.

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria y que muy probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación del Reglamento europeo. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.

En cuanto a los cambios y obligaciones que afectan a las empresas, podemos destacar entre otros los siguientes:

Delegado de Protección de Datos (DPD / DPO). El Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO, que podrá ser externo o interno. Un DPO deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información.
Exigencia de la realización de una evaluación de impacto relativa a la protección de datos para ciertos tratamientos.
Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.
Se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron tácitamente o buscarles otra cobertura legal.
Se amplían las obligaciones de información a los afectados, lo que obligará ponerles al día en dicha información a los ya existentes.
Se amplía el contenido mínimo en los contratos de acceso a datos por parte de terceros, por lo que deberán de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.
El RGPD no establece diferenciación entre datos personales y datos ‘profesionales’ (datos de contacto de personas físicas que prestan sus servicios en una persona jurídica y empresarios individuales) como estableció el vigente Reglamento, lo que obligará a las empresas a tener que realizar acciones informativas a esta categoría de datos.

1.- CONSENTIMIENTO EXPRESO

Se establece la obligación de las empresas de obtener un consentimiento expreso, inequívoco y verificable, y no tácito de la información que se obtenga de sus clientes. Se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no (ejemplo: “si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros”).

Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.

Atención: A partir de la entrada en vigor del nuevo RGPD, no se podrá seguir obteniendo el consentimiento de los afectados por omisión. Será necesario revisar todos los tratamientos anteriores, para adecuarlos a las previsiones de la nueva normativa.

Puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

2.- TRANSPARENCIA EN LA INFORMACIÓN

Será necesario que las empresas detallen explícitamente y con un lenguaje comprensible los datos e información personal requerida al usuario o cliente y solo se podrá tratar los datos en caso que tengan un interés legítimo.

El deber de informar a los afectados sobre el uso y las finalidades del tratamiento de datos, sufre una importante modificación con el nuevo RGPD, pues se amplía considerablemente la información que se les debe suministrar, incluyendo aspectos no contemplados hasta la fecha como:

Base jurídica del tratamiento
Intención de realizar transferencias internacionales
Datos del Delegado de Protección de Datos (si lo hubiere)
El plazo o los criterios de conservación de la información,
La existencia de decisiones automatizadas o elaboración de perfiles,
El derecho a presentar una reclamación ante las Autoridades de Control

Atención. Los procedimientos, modelos o formularios diseñados de conformidad con la LOPD, deberán ser revisados y adaptados al nuevo RGPD, tanto para adaptarlos al nuevo contenido del deber de informar, como para ajustar su forma a los requisitos de precisión y claridad que exige la nueva normativa.

3.- SEGURIDAD

Las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.

En la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino que cada organización deberá contar con un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Además, la tipología de los datos no será la única variable a tomar en consideración a la hora de determinar las medidas técnicas y organizativas aplicables sino que, por el contrario, el nuevo RGDP tiene en cuenta:

El coste de la técnica
Los costes de aplicación
La naturaleza, el alcance, el contexto y los fines del tratamiento
Los riesgos para los derechos y libertades

Atención. El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática. Es necesario determinar, caso por caso, las medidas aplicables, bajo un enfoque de riesgo, basado en el principio de la seguridad desde el diseño y por defecto.

4.- ENCARGADOS DE TRATAMIENTO

También la figura de los encargados de tratamiento sufre importantes cambios en la nueva regulación. En síntesis, estos cambios se pueden resumir en tres puntos:

1) El nuevo RGPD establece obligaciones expresamente dirigidas a los encargados de tratamiento, como:

Mantener un registro de actividades de tratamiento.
Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
Designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

2) Se acentúa el deber de diligencia en la elección del encargado del tratamiento, de manera que los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

3) Se modifica el contenido mínimo que debe incluir el contrato con el encargado del tratamiento, incluyendo aspectos como:

Objeto, duración, naturaleza y la finalidad del tratamientos
Tipo de datos personales y categorías de interesados
Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados…

Atención. Se deben revisar todos los contratos de encargo de tratamiento firmados con anterioridad, para verificar si cumplen las nuevas exigencias del RGPD.

5.- DERECHOS DEL CIUDADANO

El nuevo RGPD incluye nuevos derechos como el derecho a la portabilidad y el derecho al olvido, el derecho a no ser objeto de decisiones individualizadas y el derecho a la limitación del tratamiento.

EL DERECHO DE ACCESO: Es el derecho a conocer qué datos de carácter personal tuyos están siendo tratados por parte del responsable, la finalidad de este tratamiento, el origen de los citados datos y si se han comunicado o se van comunicar a un tercero.

Atención: Según la LOPD, el responsable del tratamiento debía facilitarse todos los datos de base del afectado, pero no copias o documentos. Sin embargo, el nuevo RGPD reconoce expresamente el derecho de los afectados a obtener gratuitamente una copia de los datos personales objeto de tratamiento.

Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.

EL DERECHO DE RECTIFICACION: Consiste en la posibilidad de modificar aquellos datos que sean inexactos o incompleto

Atención: Además de rectificar los datos inexactos, se incluye el derecho a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.

EL DERECHO DE CANCELACIÓN: Permite la cancelación de datos personales que sean inadecuados o excesivos.

Atención: Los interesados tienen derecho a que sus datos personales se supriman y dejen de tratarse:

si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo,
si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen,
si el tratamiento de sus datos personales incumple de otro modo el RGPD
El DERECHO DE OPOSICION: Mediante el ejercicio de este derecho el interesado puede oponerse al tratamiento de sus datos personales en los siguientes supuestos:
Cuando no siendo necesario su consentimiento para el tratamiento, exista un motivo legítimo y fundado referente a su concreta situación personal (salvo que una Ley establezca lo contrario).
Cuando estemos ante tratamientos de datos personales cuya finalidad sea la realización de actividades de publicidad y prospección comercial
Cuando el tratamiento tenga como fin la adopción de una decisión referida a su persona, basada únicamente en un tratamiento automatizado de sus datos personales
DERECHO AL OLVIDO: Es una manifestación de los derechos de cancelación u oposición en el entorno online. El responsable del tratamiento que haya hecho públicos datos personales, está obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales, que supriman todo enlace a ellos, o las copias o réplicas de los mismos.

Atención: El derecho al olvido tiene algunas limitaciones como la libertad de expresión y el derecho a la información, el interés público en el ámbito de la salud, la investigación así como la defensa de reclamaciones.

DERECHO A LA PORTABILIDAD DE LOS DATOS: Es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.
DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALIZADAS. El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar.
DERECHO A LA LIMITACION DEL TRATAMIENTO: Solicitar al responsable que suspenda el tratamiento de datos cuando:
Se impugne la exactitud de los datos, mientras se verifica dicha exactitud por el responsable.
El interesado ha ejercitado su derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del responsable prevalecen sobre el interesado.
el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones

6- REGISTRO

El reglamento exige la obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.

7.- ¿QUÉ PÁGINAS WEB DEBEN SOLICITAR UN CONSENTIMIENTO?

Cualquier página web o tienda online que recoja datos personales a través de formularios (de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el consentimiento de los usuarios para poder tratar sus datos.

8.- ¿PUEDO ENVIAR COMUNICACIONES COMERCIALES A CLIENTES SIN CONSENTIMIENTO?

Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. También se admite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

Para más información, puede consultar también la página Web de la AEPD:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Las transferencias bancarias de hasta 15.000 euros serán inmediatas entre países de la UE

28 diciembre, 2017/en Mercantil /por Mireia Font

El pasado 21 de noviembre de 2017 arrancó el nuevo sistema de transferencias bancarias inmediatas, un servicio que establece que las transferencias entre bancos de la Unión Europea se podrán hacer prácticamente en tiempo real. Se efectuarán en 10 segundos, cuando antes el dinero tardaba como mínimo 24 horas en llegar a su destino e incluso podía demorarse hasta cuatro días.

Así, ya es posible realizar transferencias bancarias instantáneas entre países de Unión Europea a cualquier hora del día los 7 días de la semana. El BCE ha aprobado el nuevo Sistema TIPS (TARGET instant payment settlement) que consiste en realizar transferencias instantáneas de dinero a través de una entidad bancaria donde en 10 segundos, el receptor la puede tener en su cuenta. El beneficiario recibirá los fondos en su cuenta de forma inmediata.

Dependiendo de las comisiones que cada banco aplique a sus clientes, puede ser gratis o puede aplicarse una pequeña comisión. Es probable que algunos bancos no cobren por realizar estas transferencias, ya que el coste para ellos será reducido (0,20 euros por transferencia los dos primeros años en que esté operativo el sistema y 0,50 euros a partir de entonces). En cambio, actualmente el coste de realizar una transferencia a otra entidad es porcentual (del 0,20%, por ejemplo).

Con este sistema podrá realizar transferencias de hasta 15.000 euros (está previsto ampliar este límite), y se prevé que esté plenamente operativo a partir de enero de 2018.
Actualmente se cifra en un total de 585 entidades financieras las que han iniciado estas transacciones exprés, correspondientes a ocho países: España, Alemania, Italia, Austria, Estonia, Letonia, Holanda, Finlandia y Lituania, pero se estima que en noviembre de 2018 se hayan incorporado a la plataforma todos los países y bancos europeos.

Por tanto, si realiza transferencias con asiduidad (por ejemplo, para pagar a sus proveedores) confirme si su banco dispone ya de este servicio, y negocie además que estas transferencias sean gratuitas.

¿Cómo afecta trabajar en dos o más países de la Unión Europea en los derechos de la Seguridad Social?

13 diciembre, 2017/en Laboral /por Mireia Font

Cada vez son más habituales las vidas laborales que transcurren en varios países, máxime si hablamos de países dentro de la Unión Europea, y nos podemos preguntar ¿A qué prestaciones de Seguridad Social tenemos derecho si hemos trabajado en varios países de la Unión Europea?

A grandes rasgos, si hemos trabajado en varios países de la Unión Europea, tenemos que ceñirnos a los reglamentos europeos 883/2004 y 987/2009, que son los que se aplican para la coordinación de los sistemas de Seguridad Social de los Estados miembros de la Unión Europea, Suiza y otros estados del Espacio Económico Europeo. Dan cobertura tanto a los nacionales de estos Estados como a los de terceros países con residencia legal en ellos. En el caso del Reino Unido, sigue vigente por el momento la legislación actual, a la espera de concretarse su salida de la Unión Europea.

Debe tener en cuenta que para tener derecho a las prestaciones, se pueden sumar los periodos de seguro, empleo o residencia cumplidos en cualquier estado miembro de la UE, del Espacio Económico Europeo o en Suiza.

Las prestaciones contributivas las podrá percibir con independencia de dónde resida dentro de la Unión, del Espacio Económico Europeo o Suiza. Sin embargo, las prestaciones no contributivas sólo se pueden percibir en el territorio del Estado en que resida y con arreglo a su legislación.

Veamos prestación por prestación:

Prestaciones de vejez y supervivencia: Aquí se incluyen la jubilación, la viudedad y la orfandad. A los períodos de cotización españoles se suman los períodos de seguro o residencia cubiertos bajo la legislación de otros Estados miembros.

La institución competente de cada Estado en el que haya trabajado, debe hacer un doble cálculo. Por un lado, calculará la pensión por legislación interna como si sólo hubiera trabajado en ese Estado. Y, por otro, hará el cálculo por totalización de los periodos de seguro/residencia cumplidos a lo largo de toda la vida laboral en ése y otros Estados. El interesado tiene derecho a recibir el importe más elevado de los dos.

Atención. Las prestaciones contributivas se pueden percibir con independencia de dónde se viva, pero las no contributivas sólo se perciben en el Estado de residencia y con arreglo a su legislación

Prestaciones de enfermedad, maternidad y paternidad

Para su reconocimiento, se sumarán, si fuera necesario, los periodos de seguro, empleo o residencia cubiertos por la legislación de otro país. La asistencia sanitaria se reconoce, de acuerdo con su legislación, por el país en el que esté asegurado el trabajador o, en el caso de ser pensionista, por el país responsable de la pensión. Se proporciona en el país donde se encuentre el beneficiario.

Prestaciones de invalidez

Hay dos tipos de legislaciones en este sentido. Por un lado, está la legislación de los países en los que da igual el tiempo de seguro o residencia a la hora de calcular el importe de la pensión (tipo A), y por otro, todas las demás (tipo B). En el primer caso están Estonia, Grecia, Irlanda, Letonia y Reino Unido, y en el segundo, los demás.

En el caso de las legislaciones del tipo A, será competente el Estado cuya legislación fuera aplicable a la persona en el momento de sobrevenirle la enfermedad que da lugar a la incapacidad permanente. En cuanto a las legislaciones de tipo B, se suman los periodos cotizados en España a los cotizados en otros Estados, igual que en las prestaciones de vejez y supervivencia.

Prestaciones de accidente de trabajo y enfermedad profesional

El derecho a percibir una de estas prestaciones se determina por el país cuya legislación sea aplicable en el momento de producirse el accidente o contraerse la enfermedad.

Subsidios de defunción

El país competente, es decir, aquel donde el trabajador fallecido estuviera asegurado, reconoce el derecho a esta prestación con independencia del lugar donde se haya producido el fallecimiento.

Prestaciones de prejubilación

No se totalizan los periodos de seguro o de residencia.

Prestaciones familiares

Cualquier persona tendrá derecho, por los miembros de su familia que residen en el territorio de cualquier Estado miembro, a las prestaciones familiares con arreglo a la legislación del país competente.

El resto de países

Cuando el trabajador presta sus servicios en algún país que no forma parte de la Unión Europea y con los que España no ha suscrito un Convenio Bilateral (Andorra, Argentina, Australia, Brasil, Canadá, Chile, Colombia, Ecuador, Estados Unidos, Filipinas, Japón, Marruecos, México, Paraguay, Perú, República Dominicana, Rusia, Túnez, Turquía, Ucrania, Uruguay, Venezuela,…), puede suceder que coexistan las obligaciones de cotizar en ambos países de forma simultánea y, en consecuencia, que el trabajador perciba prestaciones de la Seguridad Social de ambos países.

En este supuesto, tan sólo puede determinarse la legislación de Seguridad Social aplicable acudiendo a la legislación interna de los países a los que va a prestar sus servicios.

Fuente: Revista Activa. Seguridad Social