La Agencia Española de Protección de Datos (AEPD) ha concedido los Premios de Protección de Datos 2017, con el fin de reconocer los trabajos que promueven el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos.

El jurado ha concedido el premio principal de comunicación al periodista Pedro del Rosal, del diario «El Economista», por las noticias, reportajes y entrevistas publicadas en relación al Reglamento General de Protección de Datos y la adaptación al nuevo marco normativo.

En cuanto al premio de «Investigación en protección de datos personales Emilio Aced» el jurado ha otorgado el premio a Abel Lozoya de Diego por su trabajo «Modelo de atributos clínicos a anonimizar para el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal «.

En relación al premio a las «Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento Europeo de Protección de Datos» en la modalidad de empresas, asociaciones y fundaciones se ha premiado a la Unión Española de entidades Aseguradoras y Reaseguradoras (UNESPA) en reconocimiento por las acciones e iniciativas para adaptarse al Reglamento. En cuanto a la modalidad de entidades del sector público, se ha otorgado el premio a la Gerencia de Informática de la Seguridad Social, por la propuesta realizada por la adecuación del RGPD desde el punto de vista de la figura el encargado de tratamiento.

Por último, el premio a «Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de Internet», en la modalidad dirigida a centros de enseñanza, se ha concedido el premio al IES Isaac Albéniz por su trabajo sobre el «Uso y Abuso de las redes sociales y su implicación en el entorno educativo».

Finalmente, el jurado ha otorgado el premio a la Policía Nacional y la Guardia Civil, por la ejecución del «Plan Director para la convivencia y mejora de la seguridad en los centros educativos y sus entornos», en la modalidad que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas y privadas que han destacado por el impulso y difusión entre los menores de edad de buenas prácticas para un uso seguro de internet.

El 10 de noviembre de 2017 el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, a propuesta del ministro de Justicia, Rafael Català. Esta adaptará la legislación española a las disposiciones del Reglamento UE 2016/679, que se aplicará a partir del próximo 25 de mayo de 2018.

En el caso español, la adaptación de la legislación al Reglamento General de Protección de Datos (RGPD) requiere la elaboración de una nueva Ley Orgánica, sustituyendo la actual. Ahora bien, hay que indicar que la Agencia Española de Protección de Datos también debe desarrollar cuestiones concretas dado que el reglamento comunitario remite a las autoridades nacionales de control ciertos aspectos.

El RGPD introduce novedades en la regulación del derecho fundamental de protección de datos, regulado en el artículo 18.4 de la Constitución española, y que uno de sus objetivos es acabar con la fragmentación existente en las diferentes normativas de los estados comunitarios. Asimismo, también persigue la adaptación de la normativa de protección de datos a la rápida evolución tecnológica y los cambios producidos por el desarrollo de la sociedad de la información y la globalización.

Más concretamente, el nuevo marco normativo recoge novedades tanto en el régimen del consentimiento, como en el del tratamiento e introduce nuevos procedimientos y figuras.

En relación con el régimen del consentimiento la normativa española avanza a los 13 años la edad, antes 14, para consentir el tratamiento de datos, en consonancia con la normativa de otros países europeos. Otra novedad es que se considera el tratamiento de los datos de personas fallecidas en base a la solicitud de sus herederos. Además, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado. En caso de inexactitud de los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable del tratamiento si éste ha adoptado las medidas razonables para la rectificación o supresión de estas.

En cuanto al tratamiento de datos se incorpora el principio de transparencia que supone el derecho de los afectados a ser informados sobre el tratamiento de sus datos, regulando de forma expresa los derechos de los afectados, que son: el derecho de acceso, rectificación , supresión, oposición, a la limitación del tratamiento ya la portabilidad.

Además, se introducen supuestos en que se contempla como presunción la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de sistemas de información crediticia. Asimismo, se regulan situaciones en las que se aprecia la existencia del interés público, como por ejemplo las relacionadas con la videovigilancia, los sistemas de exclusión publicitaria (lista Robinson), la función estadística pública y las denuncias internas en el sector privado.

Relacionado con el procedimiento, se promueve la existencia de mecanismos de autorregulación, tanto en el sector público como privado. También se introduce la obligación de bloqueo de los datos para garantizar que estas quedarán a disposición del tribunal correspondiente, el Ministerio Fiscal o autoridades competentes con el fin de exigir responsabilidades derivadas de su tratamiento y que no puedan ser borradas para encubrir su incumplimiento.

Por último, una de las novedades más relevantes y que genera más dudas a las entidades es la potenciación de la figura del delegado de protección de datos, que su designación debe ser comunicada a la autoridad competente.

Una vez expuesto lo anterior y a seis meses de la aplicación del Reglamento General de Protección de Datos, se recomienda a las entidades que revisen sus documentos, formularios, procedimientos y otros aspectos relacionados con el tratamiento de datos de carácter personal para lal adaptación al nuevo marco normativo dado que las novedades, como se ha podido observar, no son pocas.

Más detalle en:

Ministerio de Justicia

El 3 de enero de 2018 comienza la aplicación del nuevo marco normativo sobre los mercados e instrumentos financieros, basados ​​en la Directiva 2014/65 / EU y el Reglamento UE 600/2014, ambos relativos a los mercados de instrumentos financieros, conocido como el MiFID II y MiFIR, respectivamente. De estos se desprende la obligación de obtener el código LEI (Legal Entity Indentifier), por parte de las personas jurídicas que dan órdenes a intermediarios financieros para realizar transacciones sobre instrumentos admitidos a negociación si quieren que estos intermediarios sigan ejecutando las operaciones que las instruyen.

En concreto, el código LEI es un código alfanumérico de 20 caracteres que identifica unívocamente a las entidades legales a nivel mundial, siendo único, permanente, consistente y portable para cada entidad.

Como puede parecer coherente no todas las entidades deben disponer de este código LEI, sino aquellas personas jurídicas que participan en los mercados financieros mediante operaciones de repo, derivados o valores. Asimismo, las empresas de servicios de inversión así como entidades de crédito que ejecuten transacciones sobre instrumentos financiero admitidos a negociación en un mercado por cuenta de clientes que sean personas jurídicas deben obtener de estos clientes el código LEI que los identifique antes de ejecutar las operaciones, quedando regulada esta obligación en el artículo 26 MiFIR.

En este sentido, si el cliente no facilita el código LEI al intermediario financiero correspondiente este último no podrá ejecutar las operaciones instruidas para aquellos clientes que sean susceptibles de obtener el código mencionado.

En cuanto a la emisión y gestión del código LEI, en España ha sido confiada a los Registradores Mercantiles, siendo el Colegio de Registradores de España la institución encargada de coordinador el funcionamiento del sistema, aunque es posible solicitar el LEI en otras instituciones extranjeras acreditado por GLEIF. Asimismo, para la obtención del código LEI es necesario que el solicitante cumplimente una solicitud aportantes unos datos básicos de la entidad y se acredite si actúa como en representación de su entidad, o formula solicitud en interés de otra en virtud del mandato expreso, siendo la tramitación rápida y sencilla, que en la mayoría de los casos no sobrepasaría las 48 horas.

En conclusión se recomienda a las entidades que cumplan con los requisitos indicados que tengan en cuenta esta nueva obligación que será necesaria cumplir a partir de enero de 2018, empezando a prever el inicio de la tramitación para la obtención del código LEI, aunque que para operar en derivados y seguros de cambio será obligatorio el uno de noviembre del presente año.

[1] Repurchase Agreement o Sale and Repurchase Agreement

[1]  Global Legal Entity Identifier Fundation

La Agencia Española de Protección de Datos publicó el 29 de junio la Memoria 2016, en la que se recogen de forma detallada las actividades realizadas por esta institución, las tendencias más destacadas y las decisiones y procedimientos más relevantes del año. Asimismo, analiza los retos del presente y futuro en materia de protección de datos, subrayando que el año 2016 fue un año especialmente importante por tres motivos:

• La aprobación del Reglamento General de Protección de Datos, que será aplicable a partir del 25 de mayo de 2018.
• El impulso y desarrollo de las 113 actuaciones recogidas en el Plan Estratégico 2015 hasta 2019 de la AEPD.
• La sentencia del TJUE que declaró inválida la Decisión de Puerto Seguro. Como consecuencia, se produjo un importante incremento de las solicitudes de autorización basadas en la aportación de garantías contractuales, recibiéndose 737 solicitudes durante 2016 frente a las 128 que se registraron durante el 2015, llegándose a conceder 499 el año 2016.

Uno de los primeros puntos que la memoria hace mención son las denuncias y reclamaciones, indicando que durante el año 2016 tuvieron entrada 10.523 denuncias y reclamaciones de tutela de derechos. De este número de entradas, 7.935 fueron denuncias y 2.588 fueron reclamaciones, pudiendo observar que mientras las denuncias se han reducido un 6,53% respecto al año anterior, las reclamaciones se han incrementado un 24,30%.

Una vez explicado esto, en relación a la naturaleza de las denuncias tramitadas, son relevantes los casos de inclusión indebida en ficheros de morosidad y contratación irregular que suponen un 21,5% y 11,3% de las resoluciones sancionadoras de la AEPD y más del 65% del importe global de las sanciones impuestas.

En cuanto al incremento del número de reclamaciones de tutela de derechos presentadas a la AEPD, la Agencia lo justifica en su memoria con la mayor preocupación por parte de los ciudadanos para que aquellos terceros que tratan su información personal lo dejen de hacer cuando así lo soliciten los interesados. El derecho de cancelación ha sido un año más el derecho más reclamado, refiriéndose a la inclusión indebida en ficheros de solvencia casi el 25% de las reclamaciones planteadas.

Asimismo, durante el año 2016 la AEPD retomó las inspecciones sectoriales de oficio, con la realización del Plan de Inspección sectorial de sanidad, la inspección del Sistema de Información de Visados y Schengen.

En segundo lugar, en relación con las infracciones declaradas durante el año anterior, la Agencia destaca el incremento en un 16,7% de los procedimientos de prevención respecto al 2015 y una reducción del 21% en el número de infracciones con sanción económica. En la publicación también se hace mención al hecho de que en muchas ocasiones las investigaciones permiten a la AEPD advertir al denunciado en vez de imponer una sanción, exigiendo la corrección de la conducta y la adopción de las medidas correspondientes. Ahora bien, también se indica que el importe global de las sanciones económicas, que supone un importe de 14.190.173 euros, ha subido un 3,48% respecto a 2015.

En el caso de las Administraciones Públicas, se resolvieron 56 procedimientos de infracción, correspondiente 23 a la Administración Local, 20 a la Administración Autonómica, 10 a la Administración General del Estado y 3 a otras entidades de derecho público.

En cuanto a las sentencias de la Audiencia Nacional en relación a recursos interpuestos contra resoluciones de la Agencia, en la memoria se indica que de las 74 sentencias dictadas en 2016, un 78% confirmaron los criterios de la AEPD.

En tercer lugar, también es interesante mencionar que se atendieron aproximadamente 237.000 consultas planteadas por los ciudadanos, siendo los temas más consultados los relacionados con la inscripción de ficheros, comunidades de vecinos o videovigilancia. Sin embargo, respecto a las consultas telefónicas y presenciales sobre el ejercicio de derechos, más de la mitad (53,34%) fueron sobre el derecho de cancelación, a las que hay que sumar un 26,56% que solicitar información específica sobre el derecho al olvido.

En relación al Canal Joven, que es el área específica de la AEPD para potenciar la comunicación con los menores, padres y profesores, ha atendido aproximadamente unas 700 consultas siendo planteadas por padres, miembros de la comunidad educativa, servicios sociales y sanitarios.

En cuarto y último lugar, en la publicación se indica que en el año 2016 finalizó con más de 4,5 millones de ficheros inscritos en el Registro General de Protección de Datos, apuntando que de estos el 96,41% fueron de titularidad privada y el 3,59% fueron de titularidad pública.

Para más información y detalle se puede consultar:

Para más información puede consultar Memoria_AEPD_2016

En fecha 30 de marzo de 2017 se publicó en el DOGC la Ley 4/2017, de 28 de marzo, de presupuestos de la Generalitat de Catalunya para el 2017, dedicando una disposición adicional, concretamente la sesenta y uno, a la contratación y convenios en materia de salud. (más…)

El pasado 16 de diciembre de 2016 se publicó en el «Diari Oficial de la Generalitat de Catalunya» la resolución JUS/2815/2016, por la cual se aprueban  los criterios que tienen que regir el Plan de actuación inspectora de fundaciones para el año 2017. (más…)

El pasado 19 de octubre el Tribunal de Justicia de la Unión Europea C-582/14  declaró que la dirección IP dinámica registrada por un proveedor de servicios de medios en línea, durante la consulta de su sitio de Internet accesible, constituye un dato personal, cuando este disponga de medios legales que le permitan identificar al usuario.

El origen del asunto reside en el hecho de que la parte demandante, el Sr. Patrich Breyer, se opone a que los sitios de Internet de los organismos federales alemanes registren y conserven las direcciones IP. La parte demandada, asimismo, utiliza el argumento de prevención de ataques cibernéticos y la posibilidad de ejercitar acciones penales, para defender el registro y la conservación de las direcciones IP.

Ante estos hechos, el Bundesgerichtshof (Tribunal Supremo Civil y Penal Alemán) decidió suspender el procedimiento y plantear al Tribunal de Justicia dos cuestiones prejudiciales, que son las siguientes:

A) ¿Las direcciones IP dinámicas constituyen un dato personal, en relación al gestor del sitio de Internet, y por lo tanto deben disfrutar de la protección de la normativa en protección de datos?

B) ¿Un proveedor de servicios en línea solo puede recoger y utilizar datos personales de un usuario de esos servicios, sin el consentimiento de éste, cuando dicha recogida y utilización sean necesarias para garantizar el funcionamiento general del sitio?

(más…)

En el ámbito de las transferencias internacionales de datos entre la UE y los Estados Unidos, se derogó el antiguo Safe Harbor, en el cual se fundamentaban las transferencias de datos entre la UE y los Estados Unidos.  Esta ha estado sustituida por el nuevo acuerdo Privacy Shield, entendido como una nueva certificación de adecuación a la protección de datos de la UE.

Desde el 1 del pasado mes de agosto las empresas pueden certificarse ante el Departamento de Comercio de los Estados Unidos. Es importante indicar que, aunque hay más de ochenta empresas certificadas, únicamente Microsoft está inscrita desde el primer día. Aun así se echan en falta empresas y grandes organizaciones relacionadas con el Cloud o mailing.

Se puede consultar la lista de empresas adheridas a Privacy Shield en la página web oficial: https://www.privacyshield.gov/list

El pasado día 15 de junio se publicó la Directiva 2016/943 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícita.

El objetivo de la presente directiva es el buen funcionamiento del mercado interior de la Unión Europea,  al considerar que la regulación y la aportación de una mayor protección a los secretos comerciales supondrá una incentivación de la innovación y creatividad y ,en consecuencia, un aumento de la inversión.

En la nueva directiva se considera que una información para considerarse secreto comercial, que hasta entonces resultaba definido en el artículo 39 del ADPIC (Acuerdo De la Organización Mundial de Comercio sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el comercio), debe cumplir los siguientes requisitos acumulativos:

• ser secreta, en el sentido de no ser generalmente conocida por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información en cuestión, ni fácilmente accesible para estas.
• tener un valor comercial al ser secreto.
• haber sido objeto de medidas razonables para mantenerla secreta.

El nuevo texto legal establece medidas comunes contra la obtención, utilización o divulgación ilícita de secretos comerciales.  ¿Pero en qué supuestos la obtención de un secreto comercial se considera lícita? Cuando se obtenga mediante:

• el descubrimiento o la creación independiente.
• la observación, el estudio, el desmontaje o el ensayo de un producto u objeto a disposición del público, sin estar sujeto a ninguna obligación jurídicamente válida de limitar la obtención del secreto comercial.
• el ejercicio de los derechos de los trabajadores y los representantes de estos a ser informados y consultados.
• cualquier práctica que sea conforme a las prácticas comerciales leales.

La Directiva también prevé una compensación a los titulares de secretos comerciales. En este sentido los Estados miembros deberán establecer las medidas, procedimientos y vías de recurso necesarios para garantizar la disponibilidad de reparaciones civiles en caso de obtención y divulgación ilícita de secretos comerciales, como por ejemplo en caso de daños y perjuicios como consecuencia de la apropiación de documentos, objetos, etc. que contengan secretos comerciales o se puedan deducir.

Se debe tener en cuenta que no ha sido un camino fácil para la Directiva 2016/943 al haber tenido sus detractores  que entienden que la presente vulnera la libertad de información al fomentar la opacidad ya que la definición que se ha establecido de “secreto comercial” es excesivamente amplia, según ellos.

La presente Directiva aclara que la misma no puede ser invocada para limitar el derecho a la libertad de expresión y de información ni limitar el uso de los trabajadores de la experiencia y competencias adquiridas durante el transcurso de su carrera profesional.Por último recordar que en el plazo de dos años los Estados miembros de la UE deberán trasladar a los ordenamientos jurídicos nacionales esta Directiva. En consecuencia, 2018 será un año interesante para la protección de la información con la entrada en vigor de esta directiva y el nuevo Reglamento Europeo de Protección de Datos.

El Parlamento Europeo aprobó el día 9 de junio de 2016 el Reglamento que tiene como objetivo reducir los costes y los trámites para los ciudadanos que presenten un documento público en otro país miembro de la UE.

Actualmente, con anterioridad a la aprobación del presente Reglamento la circulación de documentación pública entre los países de la UE era bastante lenta y farragosa, ya que los ciudadanos que se trasladan, o bien, residen en otro país de la UE deben de disponer de una estampilla para demostrar que dichos documentos públicos son auténticos. Con la aprobación del Reglamento este trámite y los demás procedimientos burocráticos ya no serán necesarios a la hora de presentar un documento público expedido en otro país de la UE.

Las novedades con las que se pone fin a una serie de procedimientos burocráticos son las siguientes:

• No es necesario que el documento público emitido en un país de la UE lleve una estampilla de autenticación (apostilla) para que sea aceptado como auténtico en otro estado miembro de la UE.
• Se suprime la obligación de facilitar una copia compulsada o una traducción jurada de los documentos públicos. Asimismo, los ciudadanos que lo precisen a fin de evitar los requisitos de traducción tendrán a su disposición un formulario multilingüe, para presentar como refuerzo a la traducción adjunta a los documentos públicos.
• Con el objetivo de evitar el fraude, la autoridad receptora podrá comprobar la autenticidad del documento público ante la autoridad de expedición si tiene dudas sobre la autenticidad de este, a través del Sistema de Información del Mercado Interior (IMI).

Es importante tener en cuenta que el Reglamento trata únicamente de la autenticidad de los documentos públicos, y no del reconocimiento del contenido ni de los efectos de éste.  En consecuencia, los estados miembros deberán seguir aplicando sus normas nacionales relacionadas con el reconocimiento del contenido y los efectos de un documento público expedido en otro país de la UE.

Pero, ¿cuál es su ámbito de aplicación? El reglamento abarca los documentos públicos en los siguientes ámbitos: nacimiento; el hecho de que una persona está viva; defunción; nombre; matrimonio (incluidos la capacidad para contraer matrimonio y el estado civil); divorcio, separación legal o anulación del matrimonio; unión de hecho registrada (incluida la capacidad para inscribirse como miembro de una unión de hecho registrada y la condición de miembro de una unión de hecho registrada); cancelación del registro de una unión de hecho, separación judicial o anulación de una unión registrada; filiación; adopción; domicilio o residencia; nacionalidad; ausencia de antecedentes penales y el derecho de sufragio activo y pasivo en la selecciones municipales y en las elecciones al Parlamento Europeo.

Por último, debemos tener presente que tras la firma del Reglamento los Estados miembros disponen de dos años y medio a partir de la fecha de entrada en vigor  para adoptar todas las medidas necesarias para su correcta aplicación.