Principales novedades del Reglamento Europeo de Protección de Datos

-
El Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679 de 27 de abril de 2016) aprobado el pasado año 2016 y que resultará de aplicación directa en los Estados miembro desde mayo del año 2018, tiene por objeto la renovación y sustitución de la normativa reguladora de toda la UE en materia de protección de datos.

Este nuevo Reglamento, que pasa a sustituir a la Directiva 95/46/CE, supone un paso adelante en el refuerzo del derecho a la protección de los datos de los ciudadanos de la Unión, teniendo por uno de sus fundamentos la armonización de la diversa normativa interna de los Estados en esta materia.

PRINCIPALES NOVEDADES

Ámbito de aplicación: el ámbito de aplicación territorial del Reglamento se extiende. Además de su aplicación al tratamiento de datos en el contexto de las actividades de establecimientos de responsables o encargados localizados en la UE, el Reglamento será de aplicación al tratamiento de datos por a entidades no establecidas en la UE relacionados con:
  • ·         La oferta de bienes o servicios
  • ·    El control de su comportamiento (por ejemplo a través del seguimiento mediante cookies)

Deber de información reforzado: la información que debe proporcionarse sobre el tratamiento de los datos es más extensa que la que prevé la actual Ley de Protección de Datos (LOPD). Los artículos 13 y 14 del Reglamento detallan la información que debe facilitarse al interesado.

Principio de accountability: Se establece una obligación de responsabilidad proactiva, la cual exige a las organizaciones la adopción de medidas y mecanismos que garanticen y permitan demostrar el cumplimiento de las disposiciones reglamentarias. Esta exigencia se materializa en la adopción de políticas de protección de datos adaptadas a las circunstancias y características de la organización, estando implementadas y funcionando en la práctica. Asimismo el Reglamento exige a las organizaciones tener en cuenta la protección de datos desde el momento del diseño de sus productos y servicios (privacy by design) y a que, por defecto solo sean tratados los datos personales mínimos que sean necesarios para alcanzar el fin legítimo perseguido (privacy by default).

Nuevos derechos de los ciudadanos: además de los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) se establecen nuevos derechos, entre los que cabe numerarse:
  • ·         El derecho al olvido
  • ·      Derecho a la limitación del tratamiento dentro del derecho de cancelación (ahora de supresión).
  • ·       Derecho a la oposición del profiling, esto es la segmentación de perfiles en base a los datos, dentro del derecho de oposición.


Registro de las actividades de tratamiento interno: Salvo que resulte de aplicación alguna de las excepcionalidades previstas por el Reglamento (por ejemplo, que la empresa tenga menos de 250 empleados) éstas deberán llevar a cabo un Registro Interno y por escrito de las actividades de tratamiento que lleven a cabo.

Introducción de los PIAs (Privacy Impact Assessments): se exige la realización de evaluaciones de impacto de carácter previo para aquellos tratamientos que supongan un riesgo significativo para los derechos de las personas. El propio Reglamento recoge algunos supuestos en los que éstas evaluaciones serán obligatorias:
1.    Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
2.    Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1(datos relativos al origen étnico o racional, opiniones políticas, convicciones religiosas, tratamiento de datos genéticos y biométricos), o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10,
3.    Observación sistemática a gran escala de una zona de acceso público
Cuando del resultado de la evaluación se deduzca un alto riesgo, deberá consultarse con la Autoridad de Control antes de llevar a cabo el tratamiento.

Introducción del Data Protection Officer (DPO): Al igual que en otras áreas en las que se designa un responsable que asegure el cumplimiento normativo de la empresa (compliance Officer) el Reglamento establece la figura obligatoria del DPO. De esta forma, la empresa deberá designar un DPO (interno o externo) cuando:
  • ·         Las actividades principales del responsable consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados y se realicen a gran escala
  • ·         Las actividades principales del responsable consistan en el tratamiento a gran escala de categorías especiales de datos (p.e., datos sanitarios)

Principio One Stop Shop: bajo determinadas circunstancias, permite a la Autoridad de Control del lugar en el que se encuentre el establecimiento principal de un responsable o encargado actuar como autoridad de control principal en tratamientos de datos transfronterizos y asumir competencias de coordinación de procedimientos relativos a infracciones. Sin embargo, este principio no excluye completamente la competencia de las Autoridades de Control locales respecto a los tratamientos efectuados en sus correspondientes territorios.

Las multas económicas se incrementan respecto a los rangos establecidos en la LOPD y pueden alcanzar (i) hasta 10.000.000 de euros o hasta 2% del volumen de negocios mundial; o (ii) hasta 20.000.000 EUR o hasta 4% del volumen de negocios mundial. Asimismo, se reconoce la posibilidad de que los interesados deleguen en asociaciones y otras entidades sin ánimo de lucro la posibilidad de interponer reclamaciones en su nombre en materia de protección de datos.

 Flujos transfronterizos: Se intenta paliar los riesgos derivados de que los datos personales trascienden cada vez más las fronteras de los países por la rápida evolución tecnológica y la globalización por lo que han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino. 

Comentarios

Publicar un comentario

Entradas populares de este blog

Aportaciones de socios y devolución de prima de emisión. Análisis de la Consulta Vinculante V1978-16, de 9 mayo de 2016

-
En la cuestión planteada en este caso ante la Subdirección General de Impuestos sobre la Renta de las Personas Jurídicas, la Junta de socios de una sociedad decide dotar de mayor liquidez a la empresa realizando una aportación a la cuenta 118 "aportaciones de socios o propietarios", contemplada en el RDL 1515/2007 (PGC de PYMES). Dicha aportación fue realizada con el objeto de que pudiera ser reembolsada a los socios, siempre que así lo acordaran en Junta. A finales del año en que se realiza la aportación uno de los socios vende su participación a los demás. Al cabo del tiempo, los socios acuerdan el reembolso de las participaciones, no descartando futuras aportaciones posteriormente reembolsables. Las cuestiones que se plantean en la Consulta son las siguientes: 1)  Impuesto sobre Sociedades De acuerdo con la Ley 27/2014 (Ley del Impuesto Sociedades) la base imponible se calculará mediante la aplicación de los ajustes de la LIS al resultado contable calculado...
Leer más

Concepto de "materia delictual o cuasi-delictual" en el Reglamento UE 1215/2012

-
El Reglamento UE 1215/2012 (Bruselas I bis) determina la competencia judicial en materia civil y mercantil en el ámbito de la Unión Europea. Este Reglamento (vigente en todos los Estados miembro de la UE a excepción de Dinamarca) contiene reglas de competencia judicial internacional, estableciendo diferentes foros de competencia en el seno de la Unión para cuestiones referentes a materia civil y mercantil.  Junto con el foro general del domicilio del demandado (art.4.1 Reglamento) y el foro cuasi-general de la sucursal (art.7.5 Reglamento) encontramos una serie de foros de competencia especiales (secciones 2 a 7 del Reglamento) en razón de la materia.   Pues bien, el Reglamento Bruselas I bis, al igual que hacen el Convenio de Lugano o nuestra Ley Orgánica del Poder Judicial (LOPJ), establece un foro especial en materia de obligaciones extracontractuales. La aplicación de este foro esta en primer término condicionada a que el domicilio del demandado se encuentre en...
Leer más

El artículo 314 Ley Mercado Valores como medida anti-elusoria

-
El anterior artículo 108 de la Ley del Mercado de Valores, en vigor desde el año 1989, establecía una exención fiscal a la transmisión de valores salvo en aquellos casos en que se producía una transmisión de valores de una sociedad cuyo activo estaba compuesto en un 50% o más por bienes inmuebles, siempre que el adquiriente pasaba a ostentar el control de la sociedad como consecuencia de la transmisión. Cuando se daba esta situación, la exención no se aplicaba y la operación se gravaba como si se tratase de una venta de un inmueble. De esta manera, la ley buscaba evitar aquellas situaciones en las que se interponía una sociedad para evitar la tributación de la transmisión de inmuebles por ITPyAJD (modalidad Transmisiones Patrimoniales Onerosas) Con la Ley 7/2012 este precepto legal sufrió una importante modificación, pasando a su redacción actual en el art.314 de la Ley Mercado Valores. De esta forma, con la nueva redacción del artículo, se establece la sujección y no exención a I...
Leer más

La plusvalía municipal. Notas características

-
El Impuesto sobre el Incremento del Valor de los Terrenos de Naturaleza Urbana (IIVTNU), más conocido como "plusvalía municipal", es un tributo competencia de las entidades locales que se encuentra regulado por el Real Decreto Legislativo 2/2004, por el que se aprueba el Texto Refundido de la Ley Reguladora de las Haciendas Locales (LRHL), ley aplicable en todo el territorio español, sin perjuicio de los regímenes forales de Navarra y la Comunidad Autónoma del País Vasco. Dicha ley establece un marco de los recursos de los que pueden financiarse las entidades locales, dentro de los cuales se encuentran, además de las tasas, precios públicos y contribuciones especiales, una serie de tributos. Dentro de estos últimos se encuentra el IIVTNU, tributo local de carácter potestativo (a diferencia de impuestos como el IBI, el IAE y el Impuesto sobre Vehículos de Tracción Mecánica) Este tributo se devengará en el momento en que se produzca la transmisión (onerosa o lucrativa) o la con...
Leer más

Exención del art.7.p) LIRPF y régimen de excesos. Aspectos generales

-
El art.7.p) Ley del Impuesto sobre la Renta de las Personas Físicas (LIPRF) prevé un régimen de exención para los rendimientos del trabajo percibidos por trabajos efectivamente realizados en el extranjero. Ésta exención esta sujeta a la concurrencia de una serie de requisitos: Que dichos trabajos se realicen para una empresa o entidad no residente en España o un establecimiento permanente radicado en el extranjero .  En particular, cuando la entidad destinataria de los trabajos esté vinculada con la entidad empleadora del trabajador o con aquella en la que preste sus servicios, se entenderán que los trabajos se han realizado para la entidad no residente cuando de acuerdo con lo previsto en el apartado 5 del artículo 16 del Texto Refundido de la Ley del Impuesto sobre Sociedades pueda considerarse que se ha prestado un servicio intragrupo a la entidad no residente porque el citado servicio produzca o pueda producir una ventaja o utilidad a la entidad destinataria. ...
Leer más