L’Agència Espanyola de Protecció de Dades (AEPD) ha concedit els Premis de Protecció de Dades 2017, amb la finalitat de reconèixer els treballs que promouen el coneixement, la recerca i la difusió del dret fonamental a la protecció de dades.

El jurat ha concedit el premi principal de comunicació al periodista Pedro del Rosal, del diari “El Economista”, per les notícies, reportatges i entrevistes publicades en relació al Reglament General de Protecció de Dades i l’adaptació al nou marc normatiu. (more…)

El 10 de novembre de 2017 el Consell de Ministres va aprovar el Projecte de Llei Orgànica de Protecció de Dades, a proposta del ministre de Justícia, Rafael Català. Aquesta adaptarà la legislació espanyola a les disposicions del Reglament UE 2016/679, que s’aplicarà a partir del pròxim 25 de maig de 2018.

En el cas espanyol, l’adaptació de la legislació al Reglament General de Protecció de Dades (RGPD) requereix l’elaboració d’una nova Llei Orgànica, substituint l’actual. Ara bé, cal indicar que l’Agència Espanyola de Protecció de Dades també ha de desenvolupar qüestions concretes atès que el reglament comunitari remet a les autoritats nacionals de control certs aspectes.

El RGPD introdueix novetats en la regulació del dret fonamental de protecció de dates, regulat en l’article 18.4 de la Constitució espanyola, i que un dels seus objectius és acabar amb la fragmentació existent en les diferents normatives dels estats comunitaris. Així mateix, també persegueix l’adaptació de la normativa de protecció de dades a la ràpida evolució tecnològica i als canvis produïts pel desenvolupament de la societat de la informació i la globalització.

Més concretament, el nou marc normatiu recull novetats tant en el règim del consentiment, com en el del tractament i introdueix nous procediments i figures.

En relació amb el règim del consentiment la normativa espanyola avança als 13 anys l’edat, abans 14, per consentir el tractament de dades, en consonància amb la normativa d’altres països europeus. Una altra novetat és que es considera el tractament de les dades de persones mortes en base a la sol·licitud dels seus hereus. A més, s’exclou la figura del consentiment tàcit que es substitueix per una acció afirmativa i expressa per part de l’afectat. En cas d’inexactitud de les dades personals obtingudes de forma directa, s’exclou la imputabilitat del responsable del tractament si aquest ha adoptat les mesures raonables per la rectificació o supressió d’aquestes.

Pel que fa al tractament de dades s’incorpora el principi de transparència que suposa el dret dels afectats a ser informats sobre el tractament de les seves dades, regulant de forma expressa els drets dels afectats, que són: el dret d’accés, rectificació, supressió, oposició, a la limitació del tractament i a la portabilitat.

A més, s’introdueixen supòsits en que es contempla com a presumpció la prevalença de l’interès legítim del responsable del tractament de les dades en compliment de determinats requisits, com en el cas de sistemes d’informació creditícia. Així mateix, es regulen situacions en què s’aprecia l’existència de l’interès públic, com per exemple les relacionades amb la videovigilància, el sistemes d’exclusió publicitària (llista Robinson), la funció estadística pública i les denúncies internes en el sector privat.

Relacionat amb el procediment, es promou l’existència de mecanismes d’autoregulació, tant en el sector públic com privat. També s’ introdueix l’obligació de bloqueig de les dades per garantir que aquestes quedaran a disposició del tribunal corresponent, el Ministeri Fiscal o autoritats competents amb la finalitat d’exigir responsabilitats derivades del seu tractament i que no puguin ser esborrades per encobrir el seu incompliment.
Per últim, una de les novetats més rellevants i que genera més dubtes a les entitats és la potenciació de la figura del delegat de protecció de dades, que la seva designació ha de ser comunicada a l’autoritat competent.

Un cop exposat l’anterior i a sis mesos de l’aplicació del Reglament General de Protecció de Dades, es recomana a les entitats que revisin els seus documents, formularis, procediments i altres aspectes relacionats amb el tractament de dades de caràcter personal per l’adaptació al nou marc normatiu atès que les novetats, com s’ha pogut observar, no són poques.

Més detall a:

Ministerio de Justicia

El 3 de gener de 2018 comença l’aplicació del nou marc normatiu sobre els mercats i instruments financers, basats en la Directiva 2014/65/EU  i el Reglament UE 600/2014, ambdós relatius als mercats d’instruments financers, conegut com el MiFID II i MiFIR, respectivament.  D’aquests es desprèn l’obligació d’obtenir el codi LEI (Legal Entity Indentifier), per part de les persones jurídiques que donen ordres a intermediaris financers per realitzar transaccions sobre instruments admesos a negociació si volen que aquests intermediaris segueixin executant les operacions que les instrueixen.

En concret, el codi LEI és un codi alfanumèric de 20 caràcters que identifica unívocament a las entitats legals a nivell mundial, sent únic, permanent, consistent i portable per a cada entitat.

Com pot semblar coherent no totes les entitats han de disposar d’aquest codi LEI, sinó aquelles persones jurídiques que participen en els mercats financers mitjançant operacions de repo[1], derivats o valors.  Així mateix, les empreses de serveis d’inversió així com entitats de crèdit que executin transaccions sobre instruments financer admesos a negociació en un mercat per compte de clients que siguin persones jurídiques han d’obtenir d’aquests clients el codi LEI que els identifiqui abans d’executar les operacions, quedant regulada aquesta obligació en l’article 26 MiFIR.

En aquest sentit, si el client no facilita el codi LEI al intermediari financer corresponent aquest últim no podrà executar les operacions instruïdes per aquells clients que siguin susceptibles d’obtenir el codi mencionat.

Pel que fa a l’emissió i gestió del codi LEI, a Espanya ha estat confiada als Registradors Mercantils, sent el Col·legi de Registradors d’Espanya la institució encarregada de coordinador el funcionament del sistema, tot i que és possible sol·licitar el LEI en altres institucions estrangeres acreditares pel GLEIF[2]. Així mateix, per la obtenció del codi LEI és necessari que el sol·licitant complimenti una sol·licitud aportants unes dades bàsiques de l’entitat i s’acrediti si actua com en representació de la seva entitat, o formula sol·licitud en interès d’una altra en virtut del mandat exprés, sent la tramitació ràpida i senzilla, que en la majoria dels casos no sobrepassaria les 48 hores.

En conclusió es recomana a les entitats que compleixin amb els requisits indicats que tinguin en compte aquesta nova obligació que serà necessària acomplir a partir del gener de 2018, començant a preveure l’inici de la tramitació per l’obtenció del codi LEI, tot i que per operar en derivats i assegurances de canvi serà obligatori l’u de novembre del present any.

[1] Repurchase Agreement o Sale and Repurchase Agreement

[2]  Global Legal Entity Identifier Fundation

L’Agència Espanyola de Protecció de Dades va publicar el 29 de juny la Memòria 2016, en la que es recullen de forma detallada les activitats realitzades per aquesta institució, les tendències més destacades i les decisions i procediments més rellevants de l’any. Així mateix, analitza els reptes del present i futur en matèria de protecció de dades, subratllant que l’any 2016 va ser un any especialment important per tres motius:

• L’aprovació del Reglament General de Protecció de Dades, que serà aplicable a partir del 25 de maig de 2018.
• L’impuls i desenvolupament de les 113 actuacions recollides en el Pla Estratègic 2015-2019 de l’AEPD.
• La sentencia del TJUE que va declarar invàlida la Decisió de Port Segur. Com a conseqüència, es va produir un important increment de les sol·licituds d’autorització basades en l’aportació de garanties contractuals, rebent-se 737 sol·licituds durant 2016 enfront de les 128 que es van registrar durant el 2015, arribant-se’n a concedir 499 l’any 2016.

Un dels primers punts que la memòria fa esment són les denuncies i reclamacions, indicant que durant l’any 2016 van tenir entrada 10.523 denúncies i reclamacions de tutela de drets. D’aquest número d’entrades, 7.935 van ser denúncies i 2.588 van ser reclamacions, podent observar que mentre les denuncies s’han reduït un 6,53% respecte l’any anterior, les reclamacions s’han incrementat un 24,30%.

Un cop explicat això, en relació a la naturalesa de les denúncies tramitades, són rellevants els casos d’inclusió indeguda en fitxers de morositat i contractació irregular que suposen un 21,5% i 11,3% de les resolucions sancionadores de l’AEPD i més del 65% de l’import global de les sanciones imposades.

Pel que fa a l’increment del número de reclamacions de tutela de drets presentades a l’AEPD, l’Agència ho justifica en la seva memòria amb la major preocupació per part dels ciutadans perquè aquells tercers que tracten la seva informació personal ho deixin de fer quan així ho sol·licitin els interessats. El dret de cancel·lació ha estat un any més el dret més reclamat, referint-se a la inclusió indeguda en fitxers de solvència gairebé el 25% de les reclamacions plantejades.

Així mateix, durant l’any 2016 l’AEPD va reprendre les inspeccions sectorials d’ofici, amb la realització del Pla d’Inspecció sectorial de sanitat, la inspecció del Sistema d’Informació de Visats i Schengen.

En segon lloc, en relació amb les infraccions declarades durant l’any anterior, l’Agència destaca l’increment en un 16,7% dels procediments de prevenció respecte al 2015 i una reducció del 21% en el número d’infraccions amb sanció econòmica. En la publicació també es fa esment al fet de que en moltes ocasions les investigacions permeten a l’AEPD advertir al denunciat en comptes d’imposar una sanció, exigint la correcció de la conducta i l’adopció de les mesures corresponents. Ara bé, també s’indica que l’import global de les sancions econòmiques, que suposa un import de 14.190.173 euros, ha pujat un 3,48% respecte al 2015.

En el cas de les Administracions Públiques, es van resoldre 56 procediments d’infracció, corresponent 23 a l’Administració Local, 20 a l’Administració Autonòmica, 10 a l’Administració General de l’Estat i 3 a altres entitats de dret públic.

Pel que fa a les sentències de l’Audiència Nacional en relació a recursos interposats contra resolucions de l’Agència, en la memòria s’indica que de les 74 sentències dictades en el 2016, un 78% van confirmar els criteris de l’AEPD.

En tercer lloc, també és interessant mencionar que es van atendre aproximadament 237.000 consultes plantejades pels ciutadans, sent els temes més consultats els relacionats amb la inscripció de fitxers, comunitats de veïns o videovigilància. Tot i això, respecte a les consultes telefòniques i presencials sobre l’exercici de drets, més de la meitat (53,34%) van ser sobre el dret de cancel·lació, a les que cal sumar un 26,56% que van sol·licitar informació específica sobre el dret a l’oblit.

En relació al Canal Jove, que és l’àrea específica de l’AEPD per a potenciar la comunicació amb els menors, pares i professors, ha atès aproximadament unes 700 consultes sent plantejades per pares, membres de la comunitat educativa, serveis socials i sanitaris.

En quart i darrer lloc, en la publicació s’indica que l’any 2016 va finalitzar amb més de 4,5 milions de fitxers inscrits en el Registre General de Protecció de Dades, apuntant que d’aquests el 96,41% van ser de titularitat privada i el 3,59%  van ser de titularitat pública.

Per a més informació i detall es pot consultar Memoria_AEPD_2016

En data 30 de març de 2017 es va publicar en el DOCG la Llei 4/2017, del 28 de març, de pressupostos de la Generalitat de Catalunya per al 2017, dedicant una disposició addicional, concretament la seixanta- u, a la contractació i convenis en matèria de salut. (more…)

El pasado 16 de diciembre de 2016 se publicó en el “Diari Oficial de la Generalitat de Catalunya” la resolución JUS/2815/2016, por la cual se aprueban  los criterios que tienen que regir el Plan de actuación inspectora de fundaciones para el año 2017. (more…)

El passat 19 d’octubre el Tribunal de Justícia de la Unió Europea C-582/14 va declarar que l’adreça IP dinàmica registrada per un proveïdor de serveis de mitjans en línia, durant la consulta del seu lloc d’Internet accessible, constitueix una dada personal, quan aquest disposi de mitjans legals que li permetin identificar a l’usuari.

L’origen de l’assumpte resideix en el fet que la part demandant, el Sr. Patrich Breyer, s’oposa al fet que els llocs d’Internet dels organismes federals alemanys registrin i conservin les adreces IP. La part demandada, així mateix, utilitza l’argument de prevenció d’atacs cibernètics i la possibilitat d’exercitar accions penals per defensar el registre i la conservació de les adreces IP.

Davant aquests fets, el Bundesgerichtshof (Tribunal Suprem Civil i Penal Alemany) va decidir suspendre el procediment i plantejar al Tribunal de Justícia dues qüestions prejudicials, que són les següents:

A) Les adreces IP dinàmiques constitueixen una dada personal, en relació al gestor del lloc d’Internet, i per tant han de gaudir de la protecció de la normativa en protecció de dades?

B) Un proveïdor de serveis en línia nomes pot recollir i utilitzar dades personals d’un usuari d’aquests serveis, sense el consentiment d’aquest, quan aquesta recollida i utilització siguin necessàries per garantir el funcionament general del lloc?

(more…)

En l’ àmbit de les transferències internacional de dades entre la UE i Estats Units, es va derogar l’antic Safe Harbor, en el qual es fonamentaven les transferències de dades entre la UE i Estats Units. Aquest ha estat substituït pel  nou acord Privacy Shield, entès com una nova certificació d’adequació a la protecció de dades de la UE.

Des de  l’ 1 del passat mes d’agost les empreses poden certificar-se davant el Departament de Comerç d’ Estats Units. És important indicar que, encara que hi ha més de vuitanta empreses certificades,  únicament Microsoft està inscrita des del primer dia. Tot i així es troben a faltar empreses i grans organitzacions relacionades amb el cloud o mailing.

Es pot consultar la llista d’empreses adherides a Privacy Shield a la página web oficial:  https://www.privacyshield.gov/list

El passat dia  15 de juny es va publicar la Directiva 2016/943 relativa a la protecció dels coneixements tècnics i la informació empresarial no divulgats (secrets comercials)contra la seva obtenció, utilització i revelació il·lícita.

L’objectiu de la present directiva és el bon funcionament del mercat interior de la Unió Europea, al considerar que la regulació i l’aportació d’una major protecció als secrets comercials suposarà una incentivació de la innovació i creativitat i, en conseqüència, un augment de la inversió.

En la nova directiva es considera que una informació per considerar-se secret comercial, que fins a llavors resultava definit en l’article 39 de l’ADPIC (Acuerdo De la Organicación Mundial de Comercio sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el comercio), ha de complir amb els següents requisits acumulatius:

• Ser secreta, en el sentit de no ser generalment conegut per les persones pertanyents als cercles en que normalment s’utilitzi el tipus d’informació en qüestió, ni fàcilment accessible per aquesta.
• Tenir un valor comercial al ser secret.
• Haver estat objecte de mesures raonables per mantenir-la secreta.

El nou text legal estableix mesures comunes contra l’obligació, utilització o divulgació il·lícita de secrets comercials. Però en quin supòsit l’obtenció d’un secret comercial es considera lícita?

Quan s’obtingui mitjançant:

• El descobriment o la creació independent.
• L’obtenció, l’estudi, el desmuntatge o l’assaig d’un producte o objecte a la disposició del públic, sense estar subjecte a cap obligació jurídicament vàlida de limitar l’obtenció del secret comercial.
• L’exercici dels drets dels treballadors i els representants d’aquets a ser informats i consultats.
• Qualsevol pràctica que sigui conforme a les pràctiques comercials lleials.

La Directiva també preveu una compensació als titulars de secrets comercials. En aquest sentit els Estats membres hauran establert les mesures, procediments i vies de recursos necessaris per garantir la disponibilitat de reparacions civils en cas d’obtenció i divulgació il·lícita de secrets comercials, com per exemple en casos de danys i perjudicis com conseqüència de l’apropiació de documents, objectes, etc. Que continguin secrets comercials o es puguin deduir.

S’ha de tenir en compte que no ha estat un camí facil per la Directiva 2016/943 en haver tingut els seus detractors que entenen que la present vulnera la llibertat d’informació en fomentar l’opacitat ja que la definició que s’ha establert de “secreto comercial” és excessivament àmplia, segons ells.

La present Directiva aclareix que la mateixa no pot ser invocada per limitar el dret a la llibertat d’expressió i d’informació ni limitar l’ús dels treballadors de l’experiència i competències adquirides durant el transcurs de la seva carrera professional.Finalment recordar que en el termini de dos anys els Estats membres de la UE hauran de traslladar als ordenaments jurídics nacionals aquesta Directiva. En conseqüència, el 2018 serà un any interesant per la protecció de la informació amb l’entrada en vigor d’aquesta directiva i el nou Reglament Europeu de Protecció de dades.

El Parlament Europeu va aprovar el dia 9 de juny de 2016 el Reglament que té com a objectiu reduir els costos i els tràmits per als ciutadans que presentin un document públic en un altre país membre de la UE.

Actualment, amb anterioritat a la aprovació del present Reglament la circulació de documentació pública entre els països de la UE era bastant lenta i farragosa, ja que els ciutadans que es traslladen , o bé, resideixen a un altre país de la UE deuen disposar d’una estampa per demostrar que aquests documents públics són autèntics. Amb l’aprovació del Reglament aquest tràmit i els altres procediments burocràtics ja no seran necessaris a l’hora de presentar un document públic expedit en un altre país de la UE.

Les novetats amb les que es posa fi a una sèrie de procediments burocràtics són les següents:

• No és necessari que el document públic emès en un país de la UE porti una estampa de autenticació (postil.la) perquè sigui acceptada com a  autèntic en un altre estat membre de la UE.
• Es suprimeix l’obligació de facilitar una còpia compulsada o una traducció jurada dels documents públics. Així mateix, els ciutadans que ho precisin a fi d’evitar els requisits de traducció tindran a la seva disposició un formulari multilingüe, per presentar com reforç a la traducció adjunta als documents públics.
• Amb l’objectiu d’evitar el frau, la autoritat receptora podrà comprovar l’autenticitat del document públic davant l’autoritat d’expedició si té dubtes sobre l’autenticitat d’aquest, a traves del Sistema de Informació del Mercat Interior (IMI).

És important tenir en compte que el Reglament tracta únicament de l’autenticitat dels documents públics, i no del reconeixement del contingut ni dels efectes d’aquest.En conseqüència, els estats membres hauran de seguir aplicant les seves normes nacionals relacionades amb el reconeixement del contingut i els efectes d’un document públic expedit en un altre país de la UE.

Però, quin és el seu àmbit d’aplicació? El reglament avarca els documents públics en els següents àmbits: naixement; el fet de que una persona estigui viva; defunció; nom; matrimoni (inclosos la capacitat per contraure matrimoni i l’estat civil); divorci, separació legal o anul·lació del matrimoni; unió de fets registrada ( inclosa la capacitat per inscriure’s com a membre d’una unió de fet registrada i la condició de membre d’una unió de fet registrada); cancel·lació del registre d’una unió de fet, separació judicial o anul·lació d’una unió registrada; filiació; adaptació; domicili o residència; nacionalitat; absència d’antecedents penals i drets de sufragi actiu i passiu en les seleccions municipals i en les eleccions al Parlament Europeu.

Finalment, hem de tenir present que després de la signatura del Reglament els Estats membres disposen de dos anys i mig a partir de la data d’entrega en vigor per adoptar totes les mesures necessàries per la seva correcta aplicació.