Seleccionar página
Publicado en el BOE el régimen sancionador e inspección para protección de datos

Publicado en el BOE el régimen sancionador e inspección para protección de datos

El 30 de julio se ha publicado en el BOE el régimen sancionador y cómo será la inspección para protección de datos. El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, en el BOE, contiene las especificaciones para las infracciones y sanciones de adaptar esta normativa europea que entró en vigor el pasado 25 de mayo.

A continuación os contamos que novedades aporta este Real Decreto Ley que ya es de aplicación desde el día 31 de julio:

Se regula la Inspección en materia de protección de datos

El Capítulo I de la norma está dedicado a definir el ámbito y personal competente para realizar la actividad de investigación e inspección en relación a la nueva normativa europea.

Se estipula que esta labor la realice la Agencia Española de Protección de Datos. Los funcionarios que realicen las actividades de investigación tendrán la consideración de agentes de la autoridad.

Podrán requerir todos los datos y documentación necesarios, incluso examinarlos en el lugar donde se procesen, así como inspeccionar tanto los equipos físicos, como lógicos. Siembre, obviamente, conforme a las normas procesales y solicitando autorización judicial previa cuando sea necesario.

Quiénes podrán ser sancionados 

Podrán ser considerados como sujetos responsables frente a una infracción contra el Reglamento Europeo 2016/279 y Ley de LOPD:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los anteriores no establecidos en la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas que supervisen los códigos de conducta de LOPD.

Una novedad importante es que excluye al Delegado de Protección de Datos del régimen sancionador. Sin embargo las empresas y sus responsables del tratamiento sí podrían verse afectados en caso de cometerse una infracción de este tipo.

Nuevo Régimen Sancionador en materia de protección de datos

Las infracciones son las establecidas en el nuevo Reglamento Europeo 2016/279, en el artículo 83. Lo que precisa el nuevo RDL es su prescripción:

  1. Las infracciones relativas a los derechos de los interesados, consentimiento, o transferencias de datos (que podrían ser sancionadas con multas administrativas de hasta 20.000.000 euros o un 4% sobre la facturación anual) prescribirán a los 3 años.
  2. Las infracciones como el incumplimiento de las obligaciones del responsable y encargado, o de los organismos de certificación (que recibirían una sanción de 10.000.000 o el 2% sobre su facturación anual), prescribirían a los 2 años.

La iniciación del procedimiento sancionador interrumpirá la prescripción. Y si el expediente estuviese paralizado por motivos ajenos al infractor, volvería a iniciarse el plazo de prescripción.

Así mismo, se especifican el plazo para prescripción de las sanciones por la aplicación del RGPD:

  • Las sanciones iguales o inferiores a 40.000 euros prescriben en 1 año.
  • Las sanciones entre 40.001 y 300.000 euros prescriben a los 2 años.
  • Las sanciones de más de 300.000 euros lo harán a los 3 años.

Cómo será el procedimiento en caso de una infracción

El procedimiento se iniciará con una reclamación. Antes de iniciar el trámite, se pondrán en contacto con el Delegado de Protección de datos o con el responsable, y éste deberá dar respuesta a la reclamación en el plazo de un mes.

Si dicha reclamación se ha planteado ante la AEPD, el organismo decidirá si se admite a trámite. Si se admite, podrá haber una fase de investigación. El procedimiento tendrá una duración máxima de 9 meses desde que se decide iniciar el procedimiento.

En el caso de que transcurra dicho plazo, se producirá su caducidad y por tanto, se archivarán las actuaciones.

Tras ser notificada la reclamación a trámite, habrá un plazo de 6 meses desde esa fecha para resolver el procedimiento.

También indican que las reclamaciones podrán ser inadmitidas para aquellos casos en que el responsable del tratamiento hubiese adoptado las medidas correctivas que le hubiesen indicado desde la Agencia Española de Protección de Datos, siempre que no se haya causado un perjuicio al afectado.

En el caso de que la AEPD considere que los hechos son graves podrá ordenar el bloqueo de los datos e incluso su inmovilización.

 

¿Te gustaría saber cómo afecta el nuevo Reglamento de protección de datos a tu empresa?

Inscríbete a nuestro curso online «Ley de Protección de Datos 2018. Reglamento y nueva ley» y aprende todo lo necesario para conocer esta nueva normativa y qué debes revisar en tu empresa.

¡Apúntate ya!

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

Comienza la cuenta atrás para la entrada en vigor de la nueva normativa en materia de Protección de Datos, este cambio afectará a todas las empresas y su forma de trabajar. Pero, ¿qué ocurre con las asesorías y abogados que se encargan de hacer los trámites para ellas? ¿Cómo debe adaptarse un despacho profesional al Reglamento Europeo de Protección de Datos?

¿Por qué es urgente la adaptación de un despacho a la RGPD? Fundamentalmente porque gestionan información con datos personales relevantes e información sensible de clientes. Además, el hecho de ya estar adaptados, dará más tranquilidad a las empresas que trabajan con éste.

En este artículo os ofrecemos algunos consejos para ir adaptando vuestra actividad al nuevo Reglamento:

Elaborar un registro de actividades

Un primer paso recomendable es elaborar un registro de actividades que contenga toda la información sobre el despacho: descripción de su actividad, quiénes sois, que tipo de actividades y datos manejáis, qué tratamientos de datos hacéis y cómo se gestiona todo en relación a vuestros clientes.

Así mismo, se deberán enumerar todas las medidas de seguridad que vuestra empresa va a adoptar.

En la web de la Agencia Española de Protección de Datos existe un test que te ayudará a realizar un primer diagnóstico sobre el tratamiento de los datos que hace tu empresa y posibles mejoras.

Revisar todas las cláusulas en documentación

Seguramente tu despacho ya tenga en sus emails y documentos cláusulas específicas destinadas a cumplir con la normativa actual de Protección de Datos.

Es aconsejable elaborar un listado de toda la documentación que se genera en el despacho, tanto impresa, como digital y actualizar toda esta documentación incluyendo las nuevas referencias informativas y cláusulas que exigen los artículos 13 y 14 del Reglamento.

Los contratos de todo tipo se ven afectados por esta normativa y deberán incluir cláusulas específicas. Así que también toca revisarlos.

Y por supuesto, si tenéis página web y utilizáis diferentes aplicaciones, tendréis que incluir consentimientos expresos. Recordamos que ya no servirá suponer la inacción como consentimiento, ahora hay que realizar una acción informativa para todos vuestros usuarios.

 

Análisis de riesgos y evaluación de impacto

Deberás realizar un análisis de los puntos de riesgo frente a la protección de datos y cuáles son las medidas a implementar para evitarlos o reducirlos. Igualmente, se deberán contemplar los mecanismos y procedimientos de notificación en caso de que se produzca una brecha de seguridad en el despacho.

Actualmente existe un alto riesgo para toda aquella documentación que se almacena online, que es susceptible de ser víctima de hackers. Si lo utilizas, asegúrate de que cumple unos estándares de seguridad y que el servicio esté encriptado para su protección.

También hay que corregir los hábitos respecto al uso y almacenamiento de datos, servidores, routers, creando un protocolo para velar por la seguridad de toda la documentación impresa, el procedimiento para su destrucción, etc..

En caso de incidencia, con el nuevo Reglamento, tu despacho estará obligado por el principio de responsabilidad activa a demostrar que ha tomado todas las medidas necesarias para evitarlo. Por eso es fundamental que conserves justificantes y registros de todas las acciones realizadas para este fin.

Una acción necesaria es informar a tus clientes sobre las repercusiones de la nueva normativa y los posibles riesgos. A partir de la entrada en vigor también necesitarás que te firmen un consentimiento inequívoco, no tácito, sobre el uso que vas a dar a sus datos (esto se aplicará a tus clientes y a sus trabajadores).

Lo ideal es conservar un justificante o recibí para poder acreditarlo posteriormente. Puedes leer nuestro artículo sobre cómo afecta el RGPD a las pymes.

El el caso de que trabajes con terceros, que te presten un servicio para tus clientes, debes asegurarte que presten un servicio adecuado, puedes solicitar un certificado de cumplimiento de la normativa.

 

¿Qué ocurre con la documentación que tengo que conservar?

Muchos estaréis pensando en la cantidad de datos y documentos que tenéis sobre las empresas, contratos, nóminas, etc.. existen obligaciones legales para la conservación de la mayoría de documentos, puesto que tienen que estar a la disposición de las diferentes autoridades frente a posibles requerimientos.

Es imprescindible informar previamente a los clientes sobre estas obligaciones y sus plazos. Este plazo puede ser de 4 a 10 años, e incluso hasta por 10 años, por prevención de blanqueo de capitales. El plazo variará según el tipo de datos. Según el artículo 8, es admisible que los datos se puedan conservar durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica, o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado.

Por ejemplo, si un cliente solicita que cancelemos sus datos porque ya no va a contratar nuestros servicios, pero todavía nos debe facturas, no podremos borrar sus datos. En estos casos, los datos se quedarán «bloqueados» y no se podrán usar para ninguna finalidad, a la espera del pago.

Una vez que ya no sean necesarios, deberán ser cancelados, según establece el artículo 4.

¿Tengo que contratar a un Delegado de Protección de Datos?

Esta nueva figura que no siempre será obligatoria, dependerá del tipo de empresa y los datos que ésta maneje.

Será obligatorio para todas las empresas que realicen un tratamiento de datos de naturaleza especial (afiliación sindical, datos referentes a la salud, etc..).

También para aquellas que trabajen con datos que requieran una observancia habitual y sistemática de interesados a gran escala, por ejemplo si realizas campañas de email o manejas datos a través de tu web de un número considerable de usuarios.

Puedes ampliar información sobre las empresas obligadas a tener el Delegado aquí. En el caso de que tu despacho esté obligado, puedes optar por contratar a alguien en plantilla o a una empresa externa.

Los despachos de abogados deberán contar con la figura del Delegado siempre que por las actividades que realicen sean sujetos obligados de la Ley de Prevención de Blanqueo de Capitales.

Aunque no estés obligado a tener un Delegado, sí tendrás que designar siempre una persona responsable de privacidad, aunque ya no exista la obligación de comunicar ficheros, esta será la encargada de velar por el cumplimiento de esta normativa en el seno de la empresa.

Formación para adaptarse a un gran cambio

Los despachos profesionales son sin duda uno de los negocios más afectados por el nuevo Reglamento de Protección de Datos, por el alto volumen de datos que manejan y su naturaleza.

Por este motivo, tu plantilla debe estar formada, para poder realizar un tratamiento de los datos según la nueva normativa y evitar puntos de riesgo.

Además, la formación se contempla como una de las vías para reforzar las medidas tomadas por la empresa, y demostrar que ha cumplido con el principio de responsabilidad activa.

Nuestro centro de formación ha diseñado diferentes acciones formativas para ayudarte en esta transición:

Curso sobre la Ley de Protección de Datos 2018. Reglamento y nueva normativa. Duración 40 horas.

Curso sobre el nuevo Reglamento Europeo de Protección de Datos. Duración: 20 horas.

Curso de Delegado de Protección de Datos en el RGPD, Certificado por SGS. Duración: 180 horas.

 

Sin duda, son muchos frentes los que abarcar en esta transición. Puedes realizar todas las gestiones tú mismo, o contratar a una empresa experta para que realice el servicio de implantación. Si optas por esta última opción, comprueba previamente su experiencia, si disponen de seguro de responsabilidad civil, o realizan un seguimiento y mantenimiento.

 

Normativa importante que afecta a las empresas y entra en vigor en 2018

Normativa importante que afecta a las empresas y entra en vigor en 2018

Ya estamos a punto de terminar el año, y con la vista puesta en el próximo, que promete ser un ejercicio lleno de cambios y nueva legislación (Recordamos que la semana pasada el Gobierno aprobó el plan anual normativo 2018 con 287 normas que quiere sacar adelante). Por eso hoy queremos hacer un resumen de normativa importante que afecta a las empresas y que ya sabemos que entra en vigor en 2018:

Ley de autónomos

La Ley 6/2017, de 24 de octubre, de Reformas Urgentes del Trabajo Autónomo, ya es de aplicación desde el pasado 25 de octubre, no obstante, hay medidas que no entraban en vigor hasta enero de 2018, entre ellas:

  • Ampliación de la tarifa plana de 50 euros para los nuevos autónomos.
  • Reducción del recargo por ingresos fuera de plazo.
  • Deducción por gastos de suministro cuando desarrolle su actividad en su domicilio habitual.
  • Deducción por gastos de manutención con límite diario de 26,67 € (48,08 € si es el extranjero).

Si deseas ampliar información sobre las novedades de la Ley de Autónomos, puedes hacerlo aquí.

Nueva Ley de Protección de Datos

El Gobierno ya ha aprobado el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, cuya entrada en vigor está prevista para el 25 de mayo de 2018. Hasta esa fecha, las empresas deberán adaptarse para cumplir con las nuevas directrices.

Entre ellas, destacar que desaparece el consentimiento tácito, será necesario obtener una afirmativa expresa por parte del usuario y se van a regular situaciones en las que existe interés público (vídeo-vigilancia, listas Robinson,..).

Tener en cuenta la inminente llegada de esta norma es fundamental para las empresas, ya que la misma contempla sanciones muy elevadas para aquellas que la incumplan. Te lo contamos todo en nuestro artículo «Incumplir la Ley de Protección de Datos tendrá elevadas sanciones en 2018».

La Ley de Contratos del Sector Público

Parece que ya tenemos fecha para la entrada en vigor de la nueva Ley, el 9 de marzo de 2018. El texto recoge novedades interesantes para las empresas que trabajan habitualmente con la Administración:

Suprimirá la posibilidad de contratación sin publicidad, introduce la obligación de facturar de forma electrónica y la posibilidad de pago directo de la Administración a los subcontratistas, entre otras. Puedes conocer más detalles sobre la norma en «La nueva Ley de Contratos limita a 60 días el plazo para el pago de facturas».

Una reforma laboral que afectaría a los nuevos contratos.

Según ha adelantado Fátima Báñez, para 2018 quieren modificar las modalidades de contratos actuales, simplificándola en 3 modelos: contrato indefinido, temporal con indemnización creciente y contrato de formación.

El nuevo contrato temporal permitiría elevar la indemnización gradualmente hasta equipararla al indefinido. Los trabajadores incrementarían su derecho a indemnización de forma que, al finalizar el periodo máximo de contratación, fuese de 20 días por año trabajado.

La propuesta incluye incentivos para las empresas que opten por la contratación indefinida y penalizaciones para aquellas que abusen del contrato temporal, el llamado bonus/malus.

Además, Empleo adelanta que esta reforma iría acompañada de una serie de incentivos para la transformación de contratos de formación en indefinidos y contratos de prácticas.

Así mismo, se contempla la flexibilización del contrato de formación y aprendizaje y un complemento salarial de 430 euros para todos aquellos jóvenes de Garantía Juvenil que sean contratados mediante esta modalidad.

A día de hoy, todas estas medidas están siendo negociadas con los diferentes agentes sociales, tratando de obtener el consenso que le dé la solvencia para presentarlas. Hay que decir que Empleo ya ha intentado sacar alguna de ellas durante 2017 sin mucho éxito, porque le han faltado los apoyos necesarios. Habrá que ver qué pasa en esta ocasión.

 

Otras normas previstas para 2018:

 

  • La nueva Ley Hipotecaria se espera también para el primer semestre de 2018. El consejo de Ministros ya ha aprobado el texto, que pretende reforzar la transparencia de los contratos hipotecarios, reducir las comisiones que pagan los clientes y transponer la directiva europea en materia hipotecaria a nuestro ordenamiento.

 

  • La Ley de Procedimiento Administrativo Común, a pesar de que ya ha entrado en vigor, hacemos memoria y vemos que algunas medidas se retrasaban hasta 2018. Según la Disposición final séptima, «las previsiones relativas al registro electrónico, registro electrónico de apoderamientos, registro de empleados públicos habilitados, punto de acceso general electrónico de la administración y archivo único electrónico producirán efectos a los dos años de la entrada en vigor de la Ley». Tendremos que esperar y ver cómo asume estos cambios la Administración, os iremos informando.

 

  • Los cambios introducidos en la normativa de la ITV entrará en vigor el 20 de mayo de 2018. La Ley introduce nuevas exigencias para los propietarios de los vehículos destinados a detectar posibles fraudes y manipulaciones, y controles para las emisiones contaminantes. Algo positivo es que, a partir de esa fecha, se reconocerá el certificado emitido por otro país de la UE en los cambios de titularidad de vehículos.

 

Entre las 287 normas previstas (9 con rango de Ley Orgánica, 38 Leyes Ordinarias y 240 Real Decretos), también se incluye la aprobación de un esquema de resolución extrajudicial de conflictos financieros, modificaciones en el mercado de valores y cambios en la Ley del Impuesto de Sociedades.

En nuestro blog te iremos desgranando todas las modificaciones que se vayan produciendo sobre estas y otras normas.

 

Más noticias de nuestro blog que te pueden interesar:

Cómo tramitar las nuevas bonificaciones de la Ley de Autónomos

¿Puede el autónomo contratar a su cónyuge?

Las pymes ya pueden seleccionar personal de forma gratuita a través del Programa EJCP

Así es la nueva bonificación adicional de contrato de formación y aprendizaje

 

 

 

Fuentes: ElConfidencial, Expansión. Freepick

Incumplir la Ley de Protección de Datos tendrá elevadas sanciones en 2018

Incumplir la Ley de Protección de Datos tendrá elevadas sanciones en 2018

En Noviembre se aprobó por el Gobierno el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que traerá novedades en el próximo año para las empresas, que tienen como plazo máximo hasta el 25 de mayo para adaptarse. Incumplir la Ley de Protección de Datos tendrá elevadas sanciones en 2018, éstas podrían ascender hasta los 20 millones de euros.

Esta nueva normativa se trata de una transposición de una directiva europea (Reglamento UE 2016/679 del Parlamento Europeo y Consejo, de 27 de abril) y afectará a las empresas y autónomos que manejen datos personales de clientes para sus estrategias comerciales.

Asociaciones y administraciones públicas también deberán acatar la citada regulación.

 

Novedades que recoge la Ley de Protección de Datos

Con la nueva Ley, se amplían los derechos de los usuarios, a continuación resumimos los cambios más destacados:

  • Desaparece el consentimiento tácito, a partir de mayo de 2018 será necesaria una afirmativa expresa por parte de la persona. Recordamos que este consentimiento hasta el momento implica que los datos pueden ser usados, excepto si se manifiesta una negativa de forma expresa.
  • Se permitirá que los herederos accedan a los datos de las personas fallecidas para su supresión o rectificación.
  • Se reduce la edad para el consentimiento de tratamiento de datos personales, hasta 13 años.
  • En caso de inexactitud de los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas necesarias.
  • Habrá supuestos en los que exista una prevalencia del interés legítimo del responsable del tratamiento de los datos en el cumplimientos de ciertos requisitos, como por ejemplo en los sistemas de información crediticia.
  • Se regulan las situaciones en las que existe un interés público, como los sistemas de vídeo-vigilancia o listas Robinson.
  • Se crea una nueva figura: el delegado de protección de datos, que mantendrá relación directa con la Agencia Española de Protección de Datos, en representación de su entidad.
  • La citada agencia (AEPD) se constituye como una autoridad independiente vinculada al Gobierno a través del Ministerio de Justicia.

 

El delegado de protección de datos en la empresa

Como adelantábamos, la nueva norma establece la figura del delegado de protección de datos en el seno de la empresa. Este delegado podrá ser una persona física o jurídica.

Entre sus funciones, destaca la relación que deberá mantener con la Agencia Española de Protección de Datos en nombre de la empresa y custodiar los datos de los clientes.

Para determinados supuestos será fundamental la existencia del delegado, así como probar que éste ha adoptado todas las medidas necesarias conforme a la nueva normativa.

 

Nuevas sanciones por incumplimiento de la nueva Ley de Protección de Datos

Infringir la nueva normativa puede suponer multas de hasta el 4% sobre el volumen de facturación anual, con tope de 20 millones de euros. Es decir, la multa podrá ascender hasta 20 millones de euros.

Las empresas que no se adapten a la nueva normativa de LOPD, se arriesgan a multas millonarias, suponiendo incluso el cierre para algunas de ellas, por la elevada cuantía de las sanciones.

Según un estudio realizado por Sophos, en España, un 80% de las pymes desconoce esta nueva normativa y el sistema de sanciones previsto.

Siendo éstas la mayor parte de las empresas que componen nuestro tejido empresarial nacional, es un dato preocupante.

Todavía estás a tiempo para adaptar tu empresa a la nueva Ley de Protección de Datos, existe un plazo de adaptación, que finaliza el 25 de mayo de 2018, con la entrada en vigor de la norma. Así que ahora, toca hacer los deberes, para proteger a tu empresa.

Ir al contenido