Canvis d’última hora en el Reglament General de Protecció de Dades

El Reglament General de Protecció de Dades (RGPD) és potser la normativa europea que ha generat més polèmica i expectació en els darrers anys, tant per les implicacions que pot tenir per a moltes empreses, que hauran d’adaptar-se a un canvi radical en l’enfocament de la matèria, com per les pressions exercides per lobbys i empreses transnacionals ja des de la seva gestació a la capital europea. Continua

Auditoria i assessorament fiscal. Són incompatibles?

La compatibilitat entre les activitats d’assessoria fiscal i auditoria de comptes i la transcendència que aquesta concurrència d’activitats pot tenir en la independència de l’auditor és una qüestió àmpliament debatuda en la doctrina legal i la seva regulació no és uniforme en els Estats membres de la Unió Europea. La Directiva 2006/43/CE, relativa a l’auditoria legal dels comptes anuals, estableix una “harmonització mínima” doncs diu que “els estats membres que exigeixin una auditoria legal podran imposar uns requisits més estrictes, salvat que es disposi el contrari en la present directiva” (art. 52).

La transposició d’aquesta directiva i de les reformes introduïdes posteriorment per la Directiva 2014/56/UE a la legislació espanyola es concreta actualment  en la llei d’auditoria de comptes (Llei 22/2015 de 20 de juliol, LAC) i en el Reglament que desenvolupa l’anterior text refós de la LAC (Reglament 1517/2011 de 31 d’octubre RAC). Continua

Noves consideracions sobre la remuneració dels administradors

La Sala de lo Civil del Tribunal Suprem (TS) en la sentència número 98/2018, de 26 de febrer, ha modificat el criteri mantingut fins a la data per la major part de la doctrina i també de la Direcció General del Registre i Notariat (DGRN), en relació amb el sistema de remuneració dels administradors, en concret, pel que fa a la dualitat existent entre els “administradors en la seva condició de tals” i els “consellers executius”, previstos en els articles 217 i 249 de la Llei de societats de capital (LSC), respectivament, la qual desapareix i passa a ser una relació cumulativa, és a dir, el TS considera que el règim general previst en els esmentats articles és aplicable a tots els administradors, inclosos també els consellers delegats o executius. Continua

Avantprojecte de Llei de Secrets Empresarials

El Ministeri de Justícia acaba d’obrir a tràmit d’informació pública del nou Avantprojecte de Llei de Secrets Empresarials que suposa la transposició a l’ordenament jurídic intern de la Directiva (UE) 2016/943, relativa a la protecció dels coneixements tècnics i la informació empresarial no divulgats (secrets empresarials) contra la seva obtenció, utilització i revelació il·lícites, aprovada pel Parlament i el Consell Europeu el 8 de juny de 2016.

El text busca protegir a les empreses de pràctiques deslleials que persegueixen l’apropiació indeguda de secrets empresarials, a través del robatori, la còpia no autoritzada, l’espionatge econòmic o l’incompliment dels requisits de confidencialitat. La informació que es protegeix comprèn no només coneixements tècnics, sinó també dades empresarials relatives a clients i proveïdors, plans comercials i estudis o estratègies de mercat. Continua

Modificació dels llindars de valor per a la subjecció dels contractes en la normativa comunitària per adaptar-la als llindars establerts per l’Organització Mundial del Comerç

L’arribada de l’any nou ve acompanyada de la modificació de les directives europees 2014/25/UE, 2014/24/UE, 2014/23/UE i 2009/81/CE del Parlament Europeu i el Consell, ja que des del passat dia 1 de gener han entrat en vigor els  Reglaments (UE) 2017/2364, 2017/2365, 2017/2366 i 2017/2367 que les modificaven.

La modificació d’aquestes directives suposa una harmonització en la regulació de la contractació pública d’obres i serveis, que quedaran subjectes a la normativa comunitària quan el valor estimat dels mateixos sigui igual o superior a 5.548.000 euros. També en queden subjectes els contractes de subministraments i serveis de valor igual o superior a  221.000 euros, llindar que se situa en els 135.000 quan l’òrgan de contractació no pertanyi a l’Administració General de l’Estat, els organismes autònoms o les Entitats Gestores i Serveis Comuns de la Seguretat Social. Continua

Pla d’ inspecció sectorial d’ofici a hospitals públics de l’agencia espanyola de protecció de dades

Dins del Pla estratègic 2015-2019 de l’Agència Espanyola de Protecció de Dades (AEPD), en l’ Eix estratègic 1, denominat “Prevenció per a una protecció més eficaç”, es contempla un programa dedicat a la Sanitat, on s’engloba el Pla Sectorial d’Ofici que es centra en els procediments tècnics i polítiques d’actuació dels hospitals públics, valora el seu nivell d’adequació a les previsions de la normativa de protecció de dades i emet recomanacions amb l’objectiu final d’elevar el nivell de compliment del sector en aquesta matèria, així com generar confiança en les actuacions de les institucions sanitàries tant en l’àmbit assistencial, com també en el de la recerca.

 

L’ AEPD va fer públic el passat 26 de setembre el  Pla d’inspecció sectorial d’ofici realitzat a hospitals públics, en el que es recullen els resultats i les conclusions de l’anàlisi realitzat per l’ AEPD sobre el nivell de compliment de les garanties en matèria de protecció de dades per part dels hospitals públics. Pot consultar-se el documento a Plan Inspeccion Hospitales Publicos

 

Cal recordar que els plans d’ofici de l’AEPD, que es realitzen amb caràcter preventiu, analitzen el compliment de la normativa en sectors o àrees específiques per a obtenir una visió integral i conjunta que permeti detectar deficiències i realitzar les recomanacions corresponents de manera transversal. Aquest pla d’inspecció no és el primer que aquesta autoritat de control realitza en el sector, sinó que ja a l’any 1995 fou dissenyat un Pla Sectorial d’ Ofici amb l’objectiu d’analitzar el nivell d’adequació a la normativa de protecció de dades en el sector de l’assistència hospitalària pública, les  actuacions del qual finalitzaren el 1996 i en el seu informe de conclusions es posaven de manifest nombroses deficiències. Posteriorment, el 2010, l’AEPD realitzà seguiment mitjançant qüestionari remès a tots els hospitals del Catàleg Nacional per analitzar el compliment de la normativa de protecció de dades, inclosa la implementació de les mesures de seguretat sobre les dades personals tractades, obtenint-se un informe de situació que reportava certes carències, si bé en general, es detectà una evolució positiva en el sector en relació al compliment de la normativa de protecció de dades. El detall de les actuacions anteriors es troba a portalwebAGPD

 

Com a continuació al mencionat en el paràgraf precedent, durant el passat 2016 l’ Agència realitzà noves actuacions d’inspecció dirigides als centres hospitalaris de titularitat pública (tenint en compte els gestionats tant de manera directa com indirecta) i centrant-se en l’auditoria dels aspectes amb més mancances detectats en les actuacions anteriorment referenciades, en concret, en les mesures de seguretat implementades, amb visites presencials als hospitals que foren inicialment auditats i hospitals de nova creació. A més, conscient que en els hospitals es realitzen tractaments de dades personals amb 2 finalitats diferents, això és, la finalitat  assistencial i la finalitat de recerca mèdica, l’ AEPD dugué a terme les seves actuacions comprovant l’adequació d’ambdós tractaments a la normativa.

 

En l’informe final es posa de manifest la tendència general favorable a la progressiva assumpció, no només de la normativa, sinó dels principis i la cultura sobre la rellevància del tractament de les dades en aquest sector i la seva deguda protecció. Amb tot, encara s’han i es poden millorar, entre altres aspectes, els relacionats amb:

-la qualitat i la confidencialitat de les dades conservades,

-la informació oferta als pacients, així com als subjectes participants en els assaigs  clínics,

-l’ obtenció dels consentiments en tots els casos en que siguin necessaris,

-i el reforçament de les mesures de seguretat, potenciant amb caràcter general els mecanismes de control d’accés.

 

D’altra banda, amb el diagnòstic que deriva de l’informe, l’AEPD pretén també oferir un punt de referència amb el que tots els integrants del sector sanitari puguin abordar l’adaptació dels seus sistemes i procediments als nous requeriments que imposa el RGPD, que serà de plena aplicació a partir del proper 25 de maig de 2018 (Reglament UE 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel que es deroga la Directiva 95/46/CE). Sobre el RGPD, en destaca l’informe 2 aspectes clau:

– l’obligació de realitzar una avaluació d’ impacte de forma prèvia a la posada en marxa de nous tractaments que comportin un alt risc,

– i la necessitat de tot hospital d’incorporar un delegat de protecció de dades a partir de maig de 2018.

 

A l’informe del pla d’actuació presentat, es conclou que l’aprofundiment en la cultura, la formació i els principis que informen sobre la transcendència dels tractaments de les dades personals en aquest sector resulta un element capital en el que caldrà seguir treballant i que, pel que fa al personal sanitari i administratiu del sector, podrien resumir-se en el decàleg següent:

 

1- Tractar les dades dels pacients com voldries que tractessin les teves.

2- Estàs segur que has d’accedir a aquesta història clínica? Pensa-ho. Només ho has de fer si és necessari.

3- Recorda: els teus accessos a la documentació clínica queden registrats en el sistema. Se sap en quin moment i a quina informació has accedit. Els accessos són auditats posteriorment.

4- Evita informar a tercers sobre la salut dels teus pacients excepte que aquests ho  hagin consentit o tinguis justificació lícita.

5- Quan surtis del despatx, assegura’t de tancar la sessió oberta en el teu ordinador. No facilitis a ningú la teva clau i contrasenya; si necessites un accés urgent contacta amb el servei d’informàtica.

6- No enviïs informació amb dades de salut per correu electrònic o per qualsevol xarxa pública o sense fils de comunicació electrònica; si has de fer-ho, no oblidis xifrar les dades.

7- No llencis documents amb dades personals a la paperera, destrueix-los tu mateix o segueix el procediment implantat en el teu centre.

8- Quan acabis de passar consulta, tanca amb clau els armaris o arxivadors que continguin documentació clínica.

9- No deixis les històries clíniques a la vista sense supervisió.

10- No creïs pel teu compte fitxers amb dades personals de pacients; consulta abans amb el departament d’informàtica.

Novetats de la Llei 10/2017, Voluntats digitals i de modificació dels llibres segon i quart del Codi civil de Catalunya

Amb l’auge de l’entorn digital en la activitat personal i professional dels ciutadans, el legislador ha promulgat la Llei 10/2017, del 27 de juny, de les voluntats digitals i de modificació dels llibres segon i quart del Codi civil de Catalunya la qual ha entrat en vigor el passat 19 de juliol.

Enfocada majoritàriament cap a les xarxes socials o bé plataformes al núvol, en les quals els ciutadans aboquen tot tipus d’informació, sigui personal o professional, amb aquesta llei es pretén regular com s’ha d’administrar la presencia de les persones en els entorns digitals durant llur minoria d’edat i en els supòsits de capacitat judicialment modificada i de mort.

Sota aquest context, les voluntats digitals són definides com les disposicions que estableix una persona perquè, després de la seva mort, l’hereu o el marmessor universal, si n’hi ha, o la persona designada per a executar-les actuï davant dels prestadors de serveis digitals amb els qui el causant tingui comptes actius.  D’aquesta forma, el causant podrà designar a una persona via testament , codicil o memòries testamentàries o bé, en cas de no haver atorgat disposicions d’última voluntat, a través d’un document que s’ha d’inscriure en el Registre electrònic de voluntats digitals, per a que aquesta dugui a terme la comunicació de la defunció als prestadors, sol·licitar-ne la cancel·lació dels seus comptes actius i/o sol·licitar que s’executin les clàusules contractuals o s’activin les polítiques establertes per als casos de defunció dels titulars de comptes actius i, si escau, que li lliurin una còpia dels arxius digitals que estiguin en llurs servidors. En cas que no s’hagin expressat voluntats digitals, es possibilita que sigui l’hereu o el marmessor universal, si n’hi ha, l’encarregat d’executar-les, o bé, la persona a la qual aquests s’ho encarreguin.

En tot cas, excepte si el causant ho ha previst expressament en les seves voluntats, l’encarregat d’executar les seves disposicions no podrà tenir accés als continguts dels comptes i arxius digitals del causant, excepte si s’obté autorització judicial i, tenint en compte que qualsevol despesa originada de l’execució de les disposicions com a regla general aniran a càrrec de l’actiu hereditari.

Pel que fa a les situacions de pèrdua sobrevinguda de la capacitat, les modificacions que introdueix la llei versen sobre la possibilitat què una persona, per al cas de pèrdua sobrevinguda de la capacitat, pugui apoderar a una altra per a que actuï davant dels prestadors de serveis digitals amb els qui el poderdant tingui comptes actius a fi de gestionar-los i, si escau, sol·licitar-ne la cancel·lació. Preveu, no obstant, que el poderdant quan sigui possible haurà de conèixer les decisions que prengui l’apoderat  sobre els comptes actius i participi en aquestes.

Els tutors que vetllin per la seguretat de les persones les quals tinguin la capacitat modificada judicialment o bé sobre un menor no emancipat quan no estigui en potestat parental i, per altra banda, el progenitors sobre els seus fills en potestat parental, tenen l’obligació de vetllar per a que la presencia d’aquells sigui apropiada a la seva edat i personalitat, a fi de protegir-lo dels riscos que en puguin derivar els entorns digitals. En aquest sentit, se’ls atorga la potestat de promoure les mesures adequades i oportunes davant dels prestadors de serveis digitals i, entre d’altres, instar-los a suspendre provisionalment l’accés als comptes actius, sempre que hi hagi un risc clar, immediat i greu, informat per un facultatiu, per a llur salut física o mental, havent escoltat al menor o el tutelat.

S’ha de tenir en compte que, en els casos que els tutors o administradors patrimonials o bé els progenitors o administradors especials desitgin demanar la cancel·lació de comptes digitals del menor o tutelat als prestadors de serveis digitals, en aquest cas, es requerirà una autorització judicial.

Per últim la llei crea el Registre electrònic de voluntat digitals el qual, com s’ha comentat, és un nou instrument registral de caràcter administratiu per deixar constància de les voluntats digitals quan aquestes no es plasmen al testament, codicil o memòria testamentaria. Es preveu que l’accés a aquest únicament sigui pel titular atorgant de les voluntats i, només una vegada mort, les persones que acreditin un interès legítim podran sol·licitar un certificat relatiu a l’existència o no d’aquest document i, pel que fa el seu contingut, únicament serà lliurat a la/les persones designades per a l’execució d’aquestes voluntats digitals. Es preveu no obstant que, a falta de desenvolupament reglamentari, el mateix Registre electrònic de voluntats digitals, si en te coneixement de la mort d’un atorgant, comuniqui d’ofici l’existència de voluntats inscrites a les persones designades per executar-les.

Obligació de les persones jurídiques d’obtenir el codi LEI (legal entity identifier)

El 3 de gener de 2018 comença l’aplicació del nou marc normatiu sobre els mercats i instruments financers, basats en la Directiva 2014/65/EU  i el Reglament UE 600/2014, ambdós relatius als mercats d’instruments financers, conegut com el MiFID II i MiFIR, respectivament.  D’aquests es desprèn l’obligació d’obtenir el codi LEI (Legal Entity Indentifier), per part de les persones jurídiques que donen ordres a intermediaris financers per realitzar transaccions sobre instruments admesos a negociació si volen que aquests intermediaris segueixin executant les operacions que les instrueixen.

En concret, el codi LEI és un codi alfanumèric de 20 caràcters que identifica unívocament a las entitats legals a nivell mundial, sent únic, permanent, consistent i portable per a cada entitat.

Com pot semblar coherent no totes les entitats han de disposar d’aquest codi LEI, sinó aquelles persones jurídiques que participen en els mercats financers mitjançant operacions de repo[1], derivats o valors.  Així mateix, les empreses de serveis d’inversió així com entitats de crèdit que executin transaccions sobre instruments financer admesos a negociació en un mercat per compte de clients que siguin persones jurídiques han d’obtenir d’aquests clients el codi LEI que els identifiqui abans d’executar les operacions, quedant regulada aquesta obligació en l’article 26 MiFIR.

En aquest sentit, si el client no facilita el codi LEI al intermediari financer corresponent aquest últim no podrà executar les operacions instruïdes per aquells clients que siguin susceptibles d’obtenir el codi mencionat.

Pel que fa a l’emissió i gestió del codi LEI, a Espanya ha estat confiada als Registradors Mercantils, sent el Col·legi de Registradors d’Espanya la institució encarregada de coordinador el funcionament del sistema, tot i que és possible sol·licitar el LEI en altres institucions estrangeres acreditares pel GLEIF[2]. Així mateix, per la obtenció del codi LEI és necessari que el sol·licitant complimenti una sol·licitud aportants unes dades bàsiques de l’entitat i s’acrediti si actua com en representació de la seva entitat, o formula sol·licitud en interès d’una altra en virtut del mandat exprés, sent la tramitació ràpida i senzilla, que en la majoria dels casos no sobrepassaria les 48 hores.

En conclusió es recomana a les entitats que compleixin amb els requisits indicats que tinguin en compte aquesta nova obligació que serà necessària acomplir a partir del gener de 2018, començant a preveure l’inici de la tramitació per l’obtenció del codi LEI, tot i que per operar en derivats i assegurances de canvi serà obligatori l’u de novembre del present any.

[1] Repurchase Agreement o Sale and Repurchase Agreement

[2]  Global Legal Entity Identifier Fundation

Les noves ordres ministerials de 19 de maig per les quals s’aproven nous models per a la presentació en el Registre Mercantil dels comptes anuals.

En data 25 de maig de 2017 es van publicar al BOE dues noves Ordres, la JUS / 470/2017 i la JUS / 471/2017, ambdues de 19 de maig. La primera d’elles aprova el nou model per a la presentació en el Registre Mercantil dels comptes anuals consolidats dels subjectes obligats a la seva publicació mentre que la segona, aprova els nous models per a la presentació en el Registre Mercantil dels comptes anuals abreujats i de Pimes dels subjectes obligats a la seva publicació. La diferència està en que l’Ordre JUS / 470/2017 aprova el nou model de presentació de comptes anuals consolidats, mentre que l’Ordre JUS / 471/2017 aprova el model abreujat i de Pimes de comptes anuals.

L’Ordre JUS/470/2017 conté tres annexos: l’annex I que estableix el model de presentació dels comptes anuals consolidats juntament amb les seves instruccions d’emplenament, l’annex II que recull el format dels dipòsits digitals i l’Annex III que conté la definició dels test d’errors.
El model de comptes anuals consolidats que aprova aquesta nova Ordre té una doble modalitat, segons s’utilitzi per  la presentació en el tradicional suport en paper o bé en suport electrònic (també anomenat informàtic o digital), facilitant la presentació per via telemàtica. Continua

Presentació de la Guia Pràctica per a l’execució d’Avaluacions d’Impacte de Protecció de Dades per l’APDCAT.

El proppassat 19 de juny l’Autoritat Catalana de Protecció de Dades (APDCAT)  va celebrar la jornada Noves eines per a la Protecció de Dades, a menys d’un any de la Plena Aplicació del Reglament Europeu, en la qual es va presentar la primera versió de la Guia per a l’Execució d’Avaluacions d’Impacte de Protecció de Dades en Empreses, Administracions Públiques i Institucions.

L’Avaluació d’Impacte de Protecció de Dades, o bé AIPD, és el nom que rep el procés d’avaluació que cal fer abans d’iniciar les operacions de tractament de dades personals que poden suposar un alt risc per als drets i llibertat de les persones, especialment quan aquests comporten una avaluació sistemàtica i exhaustiva d’aspectes personals de persones, tractament de categories especials de dades a gran escala o d’observació sistemàtica a gran escala de zones d’accés públic.

Amb l’objectiu de determinar i aplicar els mitjans que s’han d’emprar per a tractar les dades personals enfocant-se en la gestió dels riscos per als drets i llibertats fonamentals de les persones, l’APDCAT proporciona aquesta primera versió de guia per realitzar una AIPD  amb la finalitat que els subjectes obligats puguin extraure en un informe i complir amb el principi de responsabilitat proactiva (capacitat de demostrar el compliment de la norma, o accountability) les característiques del tractament avaluat i decisions preses per mitigar-ne els riscos a través de sis fases: anàlisi de la necessitat de fer l’avaluació d’impacte, descripció sistemàtica de les operacions de tractament, avaluació de la necessitat i proporcionalitat de les operacions de tractament, gestió dels riscos, informe d’avaluació d’impacte i la supervisió de la implantació i revisió del tractament respecte de l’AIPD.

Per a més informació, faci clic aquí per accedir a la Guia Pràctica d’Avaluació d’Impacte relativa a la protecció de dades

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar tu experiència como usuario mientras navegas por nuestro sitio web. Si continuas navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información política de cookies aquí.

ACEPTAR
Aviso de cookies