Etiqueta: RGPD

Las limitaciones y legalidad en la publicación de la lista de deudores con Hacienda

A pesar de que tenían dudas, finalmente el Gobierno ha decidido hacer pública la lista de morosos con Hacienda, del ultimo ejercicio 2017, respecto aquellos deudores que deben a la Administración pública más de un millón de euros.

Las-limitaciones-y-legalidad-en-la-publicación-de-la-lista-de-deudores-con-Hacienda-Juan-Ignacio-Navas-Marqués

Según la Ley General Tributaria, la Administración puede hacer público, periódicamente, este dato, pero, ¿existen limitaciones? La respuesta debe ser forzosamente positiva, pues entran en juego, como se verán, derechos fundamentales como la intimidad, vida privada y honor.

Según el art. 95bis de la Ley Tributaria, el gobierno puede aprobar la publicación de nombre completo y DNI, junto con cantidad que se debe, en el BOE; una publicación que durará, según ley, 3 meses.

Pero prestemos atención al siguiente inciso que hace el mismo artículo:

La publicación se efectuará en todo caso por medios electrónicos, debiendo adoptarse las medidas necesarias para impedir la indexación de su contenido a través de motores de búsqueda en Internet y los listados dejarán de ser accesibles una vez transcurridos tres meses desde la fecha de publicación.

Como es ampliamente conocido, este dato a los tres meses no desaparece, sino mas bien, se reproduce por todos los medios de comunicación digital, lo que produce que los datos personales de los deudores quedan indexados, irremediablemente, a los motores de búsqueda de internet.

¿Derecho a la libertad informativa y de expresión, o derecho a la intimidad, honor y vida privada?

Ambos derechos son fundamentales, y vienen recogidos en los art. 18 y 20 de nuestra Constitución. No obstante, solamente en el primero de ellos viene una limitación, que puede hacer que la balanza se incline a favor del deudor.

Si bien existe un derecho del público a ser informado de ciertas publicaciones o noticias, que muchas veces tienen como objetivo satisfacer curiosidades del público sobre detalles de la vida privada y económica de ciertos personajes, cualquiera que sea su notoriedad, no se puede considerar que éstos contribuyan a un debate de interés general alguno para la sociedad.  El interés general no puede reducirse a las expectativas de un público ávido de detalles sobre la vida ajena, ni al gusto de los lectores por el sensacionalismo, pues el carácter público de una persona incluye e la protección de la que su vida privada pueda disfrutar.

Tal como ha dictado nuestro Tribunal Constitucional, el art. 18.4 CE garantiza un ámbito de protección específico pero también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamentales mencionados en el apartado 1 del precepto (STC 292/2000, FJ 4), de modo que “la garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada «libertad informática» es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención.

Así, el perjudicado tiene derecho a ejercitar el denominado derecho al olvido y también, según el Reglamento de Protección de datos, en vigor desde el 25 de mayo de 2018, a solicitar cuantos daños y perjuicios se causen.

Entra en vigor el reglamento Europeo de Protección de Datos

Entra-en-vigor-el-reglamento-Europeo-de-protección-de-datos-Juan-Ignacio-Navas-Marqués-Navas-&-Cusí-Abogados-Bruselas

A estas alturas, para nadie es una sorpresa el hecho de que mañana viernes, entra en vigor en nuevo Reglamento de Protección de Datos emitido por las instituciones europeas, y que es de aplicación directa. Es decir, no necesita de ninguna ley para que sea respetado por todos los estados miembros.

El objetivo: La protección de Datos de los usuarios en internet

El principal objetivo que persigue la nueva norma europea es la protección de los internautas en relación a uno de sus derechos fundamentales reconocidos por todas las constituciones de los estados miembros y también por la carta de Derechos Fundamentales de la Unión Europea – en su artículo 8- y el Tratado de Funcionamiento de la Unión Europea.

Hasta ahora, la protección de los derechos y libertados fundamentales de las personas físicas en relación a las actividades de tratamiento de datos de carácter personal venía recogida en la Directiva 95/46/CE, del Parlamento Europeo y del Consejo.

No obstante, el nuevo reglamento europeo viene a derogar dicha directiva, de 1995, y a actualizar el contenido, adaptándose a la nueva era de las nuevas tecnologías e internet.

Una necesidad adaptada a los nuevos tiempos tecnológicos

Tal como establece la misma normal, la rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado considerablemente gracias a los avances tecnológicos y las múltiples oportunidades que esta nueva era de internet nos ofrece, entre ellas, mayor facilidad y rapidez.

No obstante, estos avances requieren de un marco más solido y coherente para la protección de un bien jurídico fundamental como como es la protección de datos dentro de la comunidad europea. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operados económicos y las autoridades públicas.

El consentimiento del usuario debe ser expreso

Uno de los hot topics del reglamento es el otorgamiento, por parte del consumidor, de su consentimiento expreso para la obtención y recogida de sus datos.

Es decir, para poder solicitar, tratar y utilizar los datos de un internauta, previamente hará falta que éste haya dado un consentimiento claro y expreso de que autoriza el tratamiento de sus propios datos.

Y esta regla sirve para todos, desde mañana, independientemente de si previamente ya se había dado el consentimiento o no.

El mayor ejemplo es una suscripción a una newsletter. En caso de que estemos suscritos a una newsletter, tendremos que autorizar, de nuevo, el consentimiento. Por ello, durante los últimos días y semanas, hemos notado que estamos recibiendo multitud de emails, solicitando “renovar” el consentimiento, pues de cualquier otra forma, estas empresas no pueden seguir enviado información comercial al internauta.

Derecho al olvido

El reglamento también hace expresa referencia al denominado “derecho al olvido”. Este derecho obliga a Google a tener en cuenta las peticiones de los consumidores que quieran retirar de la web ciertos enlaces que les conciernan de manera directa.

Las consecuencias que pueden tiene el incumplimiento del reglamento

El reglamento también establece multas y sanciones para el caso de que las empresas no traten de manera legal los datos de los internautas. Estas sanciones administrativas van de 10 a 20 millones de euros, o en caso de una empresa, de un 2 a un 4% del volumen de negocio.

Cuenta atrás para la plena aplicación del Reglamento Europeo de Protección de Datos

Cuenta-atrás-para-la-plena-aplicación-del-Reglamento-Europeo-de-Protección-de-Datos-Juan-Ignacio-Navas

El 25 de mayo de 2018 ya está ahí.

Es la fecha en que será plenamente aplicable el RGPD, siglas con las que ya se conoce al Reglamento 2016/679, del Parlamento europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos de carácter personal, que entró en vigor hace dos años, pero que será aplicable con plena eficacia a partir del 25 de mayo, momento a partir del cual las multas por infracción de este derecho fundamental de la persona pasan de 600.000 euros (seiscientos mil euros) a 20 millones (VEINTE MILLONES) de euros, salvo que resulte mayor, en el caso de empresas, el 4 % del “volumen de negocio total anual global del ejercicio financiero anterior”, en cuyo caso se aplicará esta última cantidad.

Es verdad que es la normativa española debe de adecuarse a lo establecido en el RGPD, ya que en esa, 25 de mayo, se derogará la Directiva 1995/46/CE que es la que sirve de sustento a la vigente Ley Orgánica de Protección de Datos, pero también es verdad que, al tratarse de un Reglamento de la Unión Europea, resulta directamente aplicable a nuestro Derecho  desde la fecha de su entrada en vigor (25 de mayo de 2016) sin que sea necesario ninguna norma que los transponga a nuestro derecho interno.

Qué podemos saber seguro a fecha de hoy (09 de mayo d 2018):

  • Que el Proyecto de Ley de la futura Ley Orgánica de Protección de Datos que se está tramitando en las Cortes generales no va a estar aprobado antes del 25 de mayo. Se prevé que pueda estarlo para finales de junio o julio de 2018.
  • Que todo el sistema de legalización de ficheros de la vigente LOPD ya no es aplicable. Además, como no tendremos a 25 de mayo nueva LOPD, no se podrá saber si sigue siendo válida la legalización de ficheros por tener inscrito los ficheros en la AEPD (Agencia Española de Protección de Datos) o, para el caso de sector público, haberlos publicados en boletín o diario oficial correspondiente.
  • Por tanto, la única seguridad jurídica para evitar cualquier tipo de sanción es tener legalizado los ficheros conforme al RGPD.
  • Que además, a fecha 25 de mayo del 2018, todo el sector público, así como es sector privado que tenga datos sensible (salud, ideología…) deben de tener nombrado un “Delegado de Protección de Datos” y tienen que haber comunicado su nombre a la AEP.
  • Que los derechos ARCO (Acceso, Rectificación Cancelación y Oposición) se amplía su contenido, como ocurre con el de cancelación y supresión que ahora incluye el nuevo derecho al olvido. O, incluso, aparecen nuevos derechos, como el derecho a la portabilidad de los datos personales, derecho a la limitación del tratamiento o el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, junto con la prohibición de elaborar perfiles de una persona sin su conocimiento.
  • Por tanto, a partir del 25 de mayo todos los sitios web y todos los documentos deberán hacer referencia al RGPD y garantizar el ejercicio los nuevos derechos.
  • Además, las medidas de seguridad son específicas para cada fichero y las brechas de seguridad se deben de notificar a los afectados y a la AEPD.
  • Por último, al haber cambiado es sistema de obtención del consentimiento, aquellos que hayan obtenido dicho consentimiento de forma tácita o mediante un pre-marcado de casillas no estarán legitimados para continuar con el tratamiento y podrán ser sancionados por ello. De ahí que se esté requiriendo a muchos usuarios para que presten un consentimiento válido.

Son muchas las consultas y el asesoramiento técnico que está prestando el despacho Navas & Cusí Abogados, como despacho experto en Derecho privado comunitario. De hecho, el despacho Navas & Cusí Abogados en Valencia participa en un curso que se está realizando en la sede de la Fundación Universidad Empresa ADEIT

Se trata de una formación especializada para muchas personas que han sido designadas “delegados de protección de datos” o que van a ser los nuevos encargados de velar por el cumplimiento del RGPD, asumiendo la función de legalización e implementación de las nuevas medidas de seguridad de los distintos ficheros de datos personales.

Y por tanto, podemos concluir señalando que las principales novedades del RGPD son las siguientes:

– Que será plenamente exigible a partir del 25 de mayo de 2018

– Que las sanciones de hasta 20 millones de euros o el 4 % del “volumen de negocio total anual global del ejercicio financiero anterior”

– Que todo el sector público y parte del sector privado (los que utilicen datos especialmente protegidos, como los de salud, o manejen un elevado número de datos) tienen que nombrar un delegado de protección de datos y comunicárselo a la AEPD.

– Que se tiene que comunicar a la AEPD y a los afectados las «brechas de seguridad» de las que se tenga constancia.

– Que no valen ni se pueden utilizar lícitamente todos los datos que se hayan obtenido de forma tácita, sin información o por el sistema de marcado previo de casillas, siendo necesario un consentimiento implícito o expreso.

– Se tiene que garantizar los nuevos derechos: potabilidad, derecho al olvido, limitación al tratamiento y prohibición de la elaboración de perfiles automatizados de la persona sin su conocimiento

En Proyecto una nueva Ley Orgánica de Protección de Datos de Carácter Personal

En-Proyecto-una-la-nueva-Ley-Orgánica-de-Protección-de-Datos-de-Carácter-Personal-Juan-Ignacio-Navas-Navas-&-Cusí-Abogados

En estos momentos se está tramitando un nuevo proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, publicado en el Boletín Oficial de las Cortes Generales, de 24 de noviembre de 2017.

Más allá de que es seguro que habrá una nueva Ley que sustituirá la vigente 15/1999, de 13 de diciembre, lo más significativo son, cuanto menos, cinco aspectos que paso a destacar.

1- Habrá una doble regulación: la de la futura LOPD y la del Reglamento General de Protección de Datos (RGPD)

Tal y como se señala se señala en el artículo 1.2 del Proyecto; con la complejidad que ello supone y con la prevalencia del RGPD sobre la LOPD.

Por ello, un despacho especializado en protección de datos y nuevas tecnologías con presencia en Bruselas, como es Navas & Cusí Abogados, es garantía de profesionalidad a la hora de recibir el mejor asesoramiento, formación y prestación de servicios en esta materia.

2- Protección de datos de una persona fallecida

Como novedad para el Derecho español en materia de protección de datos se debe destacar la regulación contenida en el artículo 3 sobre la protección de datos de la persona fallecida, del que ya había una regulación en Cataluña (ley 10/2017, de voluntades digitales), pero que ahora gozará de una regulación de ámbito nacional.

3- Desaparece el sistema de inscripción de ficheros en el Registro de la Agencia Española de Protección de Datos

Ello determina que el sistema de protección sea idéntico para todas las personas físicas y jurídicas que tiene ficheros con datos personales, con la única diferencia que unos requerirán de un “Delegado de protección de datos”, externalizado o en plantilla, y otros no necesitarán de la tenencia de dicho Delegado, pero requerirán de un tercero que garantice la adecuación de los ficheros y de la protección de datos a las nuevas exigencias de la normativa comunitaria y nacional. Efectivamente, se impone una nueva política de previsión y prevención de infracciones, un sistema de accountability de cada fichero, que va a requerir de una protección más específica e individualizada.

4- La extensión de los supuestos en los que va ser obligatorio tener un Delegado de Protección de Datos, especialmente en lo que refiere al sector privado

En ese sentido, el artículo 35 del Proyecto LOPD, que establece la obligatoriedad de los responsables y encargados del tratamiento deban designar un delegado de protección de datos (DPD o DPO de Data Protection Officer) en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de colegios profesionales; colegios y centros docentes; Universidades públicas y privadas; empresas de telecomunicaciones; prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio; entidades de ordenación, supervisión y solvencia de entidades de crédito; establecimientos financieros de crédito; entidades aseguradoras y reaseguradoras; empresas de servicios de inversión; distribuidores y comercializadores de energía eléctrica; entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito; entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; empresas de juego online y empresas de seguridad privada.

Pero, sobre todo, los más afectados son las instituciones y centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Es verdad que la mayoría de instituciones privadas que aparecen en este amplio elenco de entidades obligadas a tener un Delegado de Protección de Datos, interno o externalizado, no estaban obligadas a ello por el RGPD y será complicado que a la entrada en vigor puedan tener sus ficheros regularizados, pero Navas & Cusí ya ha sido designado por su experiencia, rigor y profesionalidad como DPD o DPO de diversas multinacionales europeas.

5- El régimen sancionador se va a mantener como está, con infracciones leves, graves y muy graves

Aunque deberemos de esperar a la aprobación definitiva de la LOPD, entrada en vigor que se quiere hacer coincidir con la plena eficacia del RGPD, el 25 de mayo de 2018, pero las sanciones, en el caso de muy graves pueden llegar hasta 20 millones de euros, ya que son las cuantías previstas en los artículos 83, apartados 4, 5 y 6.

Tal y como está redactado el Proyecto, hay un elevado grado de indefinición en la concreción de las cuantías de las sanciones, ya que, aunque se anuncia una voluntad por la Agencia Española de Protección de Datos de no imponer sanciones cuantiosas, la letra del RGPD no establece eso, y, en esta materia, se agradecería por la Ley española un elevado grado de concreción.

Además, conforme al artículo 76.4 del Proyecto LOPD, será objeto de publicación en el Boletín Oficial del Estado toda sanción que sea superior a un millón de euros cuando el infractor sea una persona jurídica y la autoridad competente sea la Agencia Española de Protección de Datos. Y ello, junto con la necesidad de dar noticia de las brechas de seguridad a los afectados, es algo que puede afectar bastante al prestigio de las personas jurídicas y entidades, por lo que conviene tener todo bien previsto y documentado.

En conclusión

Se impone una nueva normativa en materia de protección de datos, que quiere ser mucho más preventiva en los que refiere al respecto al derecho de protección de datos de carácter persona y que supone un cambio de modelo mucho más complejo y especializado. Confiar en Navas & Cusí Abogados no solo evita ser sancionado con multas de hasta 20 millones, sino que garantiza un elevado índice de calidad y transparencia en el cumplimiento de esta nueva normativa de protección de datos.

Funciona con WordPress & Tema de Anders Norén