TOP

OCHO CONDUCTAS POR LAS QUE UN DIRECTIVO PUEDE ACABAR EN PRISIÓN

Los tribunales están empezando a considerar como delitos ciertos comportamientos que hasta ahora se sancionaban como faltas administrativas. Expansión.


Los tribunales están empezando a considerar como delitos ciertos comportamientos que hasta ahora se sancionaban como faltas administrativas. Aumenta así la responsabilidad penal de los empresarios.
El “siempre se ha hecho así” o “total, si sólo es un contrato” no servirá como atenuante para algunas conductas no poco habituales que se dan en algunos centros de trabajo. En los últimos años y cada vez de forma más creciente, se han tipificado como delitos comportamientos que hasta ahora estaban siendo sancionados simplemente como faltas por los juzgados de lo social o por la Inspección de Trabajo.
Montse Rodríguez, directora del área laboral de BDO Abogados, advierte de que muchos directivos aún no son conscientes de este cambio, ya que, en bastantes ocasiones, “son los propios jueces los que están pidiendo al Ministerio Fiscal que entre de oficio para analizar si hay delito penal en los casos que tienen entre manos”.
Estas conductas pueden comportar responsabilidad penal tanto para la empresa como para los directivos, que pueden acabar en la cárcel si no implantan las medidas necesarias a través de un programa de cumplimiento normativo para evitar este tipo de comportamientos en el seno de su empresa.
“Las responsabilidades penales no son asegurables, por lo que muchos directivos están asustándose ante las posibles consecuencias de este cambio de criterio para ser juzgados por la vía penal”, alerta Ricardo Balansó, director del área de procesal de BDO Abogados en Barcelona.
Acoso en el trabajo
El acoso en cualquiera de sus modalidades –moral, sexual o por razón de sexo– es una de las conductas con las que más tienen que lidiar los abogados. Además de los posibles castigos económicos para la empresa –que podrían minorizarse con un plan de prevención y un protocolo claro antiacoso–, esta conducta puede ser denunciada a través de la vía penal, una estrategia que, a veces, es usada como medida de presión. Hay que tener en cuenta que no sólo cabe la posibilidad de una pena de cárcel de hasta dos años, sino que existe un grave daño reputacional.
Fraude a la Seguridad Social
Eludir el pago de las cuotas de la Seguridad Social, disfrutar de deducciones a las que no se tiene derecho o contar con falsos autónomos como parte de la plantilla normal son sólo algunos ejemplos de acciones que pueden poner a un directivo en peligro.
Además del pago de la deuda con su recargo correspondiente y las sanciones, la compañía se puede ver inmersa en un proceso penal, que no paraliza el procedimiento administrativo para la liquidación y cobro de la deuda, salvo que el juez lo decida previa prestación de garantía. En los casos más graves –aquellos que superan los 120.000 euros–, un directivo podría enfrentarse a una pena de prisión de dos a seis años.
Connivencia de prestaciones
Que un trabajador y su jefe se pongan de acuerdo para rescindir su contrato y que así pueda cobrar el paro o que la salida de un empleado sea justo dos años antes de jubilarse para conseguir el mismo objetivo son dos conductas que la legislación considera como infracciones muy graves, que tienen consecuencias tanto para el empresario como para el trabajador.
En el peor de los casos y además de las sanciones administrativas, el empresario podría enfrentarse a una pena de prisión de dos a seis años, si el importe defraudado supera los 50.000 euros. Bien es cierto que la legislación contempla el tipo penal atenuado cuando los hechos, a la vista del importe defraudado, de los medios empleados y de las circunstancias personales del autor, no revistan especial gravedad.
Imposición de condiciones inferiores
Aquellos empresarios que engañen a sus trabajadores o abusen de alguna situación de especial necesidad para imponerles unas condiciones laborales inferiores a las que refleja su contrato o el convenio colectivo se pueden llegar a enfrentar, en los casos más graves, a prisión de seis meses a seis años y una multa de seis a 12 meses.
Contratación de trabajadores extranjeros
Tener empleados sin permiso de trabajo puede ser considerado una infracción muy grave en materia de extranjería que puede deparar sanciones de hasta 100.000 euros por trabajador y el cierre del establecimiento hasta cinco años.
Sin embargo, también puede tener consecuencias penales cuando, como indica el director de procesal de BDO Abogados en Barcelona, “se manifiesta una irregularidad absoluta sin ninguna voluntad de arreglar la situación de sus trabajadores”. En estos casos, el delito es único aunque haya varios trabajadores sin permiso de trabajo y la pena de prisión puede ascender hasta los cinco años.
Discriminación grave
Tratar a un trabajador de manera desigual por razones de sexo, edad, orientación sexual o religión puede hacer a un empresario que tenga que desembolsar hasta 187.515 euros, además de indemnizarlo por daños y perjuicios y declarar su despido como nulo en el caso de que lo hayan echado de la empresa.
“Esta conducta también puede tener consecuencias penales en los casos en los que haya un requerimiento previo o una sanción administrativa y que la empresa haga caso omiso”, subraya Balansó, que explica que en estos casos la pena puede ser de seis meses a dos años de prisión y una multa de 12 a 24 meses.
Impedir o limitar la libertad sindical o el derecho de huelga
No permitir que los trabajadores se unan a un sindicato o elijan representantes legales tiene consecuencias para el empresario, pero también cuando coaccione a su plantilla para no participar en una huelga ante la amenaza de despido. “Este derecho tiene una doble vertiente, ya que también existe el de no hacer huelga, por lo que impedir a un trabajador que acceda a un centro de trabajo también se puede considerar una falta”, explica la directora de laboral de BDO Abogados.
Por este motivo, las consecuencias penales pueden también sufrirlas los compañeros de trabajo, quienes pueden ser castigados con prisión de hasta tres años o multa de 18 a 24 meses si coaccionan a otras personas a iniciar o continuar una huelga. El directivo puede sufrir el mismo castigo si también existen coacciones.
Incumplimiento en materia de prevención de riesgos laborales
Aunque no velar por la prevención de los riesgos laborales puede dar con un empresario en la cárcel de seis meses a tres años de prisión, este delito es muy casuístico y es importante valorar caso por caso, ya que también existe la posibilidad de conseguir una atenuación de la pena cuando un juez considere que el accidente se ha producido por una imprudencia.
 

GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMAR

La Agencia Española de Protección de Datos (en adelante, AEPD) ha elaborado un documento, a modo de guía, para facilitar a los responsables de tratamiento el cumplimiento de la obligación de informar a los interesados.

La Agencia Española de Protección de Datos (en adelante, AEPD) ha elaborado un documento, a modo de guía, para facilitar a los responsables de tratamiento el cumplimiento de la obligación de informar a los interesados.
A continuación, ofrecemos un resumen con los aspectos más destacados de dicha guía1.
1.- NUEVOS ASPECTOS SOBRE LOS QUE INFORMAR
La Ley Orgánica 15/1999, de Protección de Datos (LOPD) establecía que, en el momento de solicitar datos personales, debíamos informar al interesado de:
-La existencia de un fichero, finalidad y destinatarios de la información.
-Obligatoriedad o no de facilitar respuesta y sus consecuencias.
-Ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición).
-Identidad y datos de contacto del responsable del tratamiento.
El RGPD añade nuevos requisitos2 con la finalidad de mejorar el cumplimiento del principio de transparencia:
ü Facilitar los datos de contacto del DPO (Delegado de Protección de Datos), cuando esta figura exista dentro de la organización.
-Base jurídica o legitimación para el tratamiento.
-Plazos o criterios de conservación de la información.
-Existencia de decisiones automatizadas3 o elaboración de perfiles.
-Previsión de realizar transferencias internacionales de datos.
-Derecho a presentar reclamación ante las Autoridades de Control.
-Origen y categorías de los datos (solo cuando éstos no hayan sido recabados directamente del interesado)
El responsable deberá poder acreditar que la obligación de informar ha sido satisfecha.
2.- EN QUE MOMENTO SE DEBE INFORMAR
-Cuando los datos se recaban directamente del interesado, hay que informar cuando se soliciten los datos y con carácter previo a la recogida o registro de los datos.
-Cuando los datos se recaban a través de terceros (por cesión legítima o porque provengan de fuentes accesibles al público) será necesario cumplir con los siguientes requisitos:
· Informar antes de un mes desde que se obtuvieron los datos personales.
· Antes o en la primera comunicación con el interesado.
· Antes de que los datos, en su caso, se comuniquen a otros destinatarios.
NO es necesario informar:
-Si el interesado ya dispone de toda la información.
-En los casos en los que los datos provienen de terceros:
· Si la comunicación resulta imposible o supone un esfuerzo desproporcionado.
· El registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros.
· Cuando los datos deban seguir siendo confidenciales en base a un deber legal de secreto.
3.- MODOS DE INFORMAR
El procedimiento para informar se deberá adaptar al medio de recogida de la información. A modo de ejemplo, en el momento de recogida de datos, se podrán utilizar los siguientes medios para informar:
-Formularios en papel o formularios web.
-Entrevista telefónica.
-Registro en aplicaciones móviles.
También será posible utilizar el correo postal, la mensajería electrónica o notificaciones emergentes en servicios y aplicaciones cuando debamos informar al interesado sobre datos ya disponibles o sobre tratamientos adicionales.
La información deberá prestarse con un lenguaje claro y sencillo, de forma concisa, transparente, inteligible y de fácil acceso.
4.- INFORMACIÓN POR CAPAS
Las Autoridades de Protección de Datos, conscientes del hecho de que la aplicación del RGPD conlleva una mayor exigencia de información, recomienda establecer un método de información por capas o niveles consistente en:
1. Presentar información básica y resumida en un primer nivel. Se deberá presentar en el mismo momento y en el mismo medio en que se recogen los datos.
2. Un segundo nivel que contenga la información detallada y completa. Se elegirá un medio más adecuado para su presentación, comprensión y, en su caso, archivo.
La información se podrá presentar a modo de epígrafes (responsable, finalidad, legitimación, destinatarios, derechos y, en su caso, procedencia) con el objetivo de que los interesados puedan acceder a la información más relevante de forma rápida y simplificada.
4.1.- PRIMERA CAPA. INFORMACIÓN BÁSICA
Según ha manifestado la AEPD, la forma preferente en la que se ha de presentar la información básica es en forma de tabla (en un formato similar al de las tablas de información nutricional alimentaria). La tabla debe quedar dentro del “campo de visión” del interesado y estar claramente identificada con un título del tipo “Información básica sobre protección de datos”.
En esta primera capa se deberá presentar información sintética sobre:
· Identidad del responsable del tratamiento
· Descripción sencilla de los fines del tratamiento
· Base jurídica del tratamiento
· Previsión o no de cesiones y transferencias internacionales
· Ejercicio de derechos
Si, por cuestiones de diseño, no es posible que la tabla se sitúe en el lugar donde el interesado deba manifestar su conformidad, será posible incorporar una nota con remisión al lugar donde se puede encontrar dicha tabla informativa.
4.2.- SEGUNDA CAPA. INFORMACIÓN ADICIONAL
La información presentada en la segunda capa debe incluir los detalles de la información resumida y añadir la información adicional que no se ha presentado en la primera capa.
La segunda capa debe ser completa; es decir, no se puede omitir información por el hecho de que ésta se haya ya incluido en la información básica.
En concreto, se deberá facilitar la siguiente información:
-Identidad y datos de contacto (dirección postal y electrónica si se dispone de ella) del Responsable.
-Datos de contacto del DPO (dirección postal y electrónica si se dispone de ella), si procede.
-Finalidades detalladas del tratamiento incluyendo el plazo de conservación de los datos o, cuando no sea posible, los criterios que se utilizan para delimitar este plazo.
En este apartado se informará también de la existencia, en su caso, de decisiones automatizadas, incluida la elaboración de perfiles.
-Legitimación sobre la que se basa el tratamiento, disponiendo de las siguientes posibilidades:
· Ejecución de un contrato. En este caso se hará constar una referencia al contrato para que no quepa ambigüedad sobre éste.
· Cumplimiento de una obligación legal. En este caso se hará constar la norma específica con rango de Ley que impone la obligación a tratar los datos.
· Misión de interés público o ejercicio de Poderes Públicos (Sector Público principalmente). En este caso se hará constar la norma con rango de Ley que confiere los poderes públicos o califica la misión como de interés público.
· Interés legítimo del Responsable o de un tercero. Se deberán explicar cuál es dicho interés. La AEPD sugiere, además, incluir un resumen de la ponderación de la legitimidad frente a los intereses, derechos y libertades fundamentales del interesado.
· Consentimiento del interesado. Si la finalidad principal está legitimada por alguna de las bases jurídicas anteriores y alguna finalidad requiera consentimiento, será necesario hacer constar ambas legitimaciones.
-Obligación o no del interesado a facilitar los datos y, en su caso, consecuencias de no facilitarlos.
-Destinatarios de la información en el caso de que se tenga previsto ceder o comunicar legítimamente los datos personales. Si están claramente determinados, se facilitará la identidad concreta y si no es posible, se dará información sobre las categorías de destinatarios.
La AEPD recomienda también informar de la existencia de encargados de tratamiento, especialmente cuando se trate de transferencias internacionales de datos.
En el caso de transferencias internacionales, se deberá informar también de la existencia o ausencia de decisión de adecuación de la Comisión respecto al país de destino de la información. Si el responsable basa la transferencia en garantías adecuadas (tales como normas corporativas vinculantes, códigos de conducta o mecanismos de certificación) se informará de los medios para obtener acreditación de dichas garantías.
-Derechos que asisten a los interesados
· Acceso.
· Rectificación o supresión.
· Limitación del tratamiento.
· Portabilidad de datos.
Se deberá informar claramente sobre el procedimiento para ejercitarlos, poniendo a disposición del interesado modelos o formularios y especificando la forma de ponerse en contacto con el responsable para formular la solicitud.
También se deberá informar de la posibilidad de retirar el consentimiento al tratamiento de datos que se pudiera haber otorgado con anterioridad, así como de la posibilidad de presentar reclamaciones ante la Autoridad de Control.
-Procedencia de los datos. Solo se incluirá cuando los datos personales no se han obtenido directamente del interesado. Cuando proceda incluir esta información, se comunicará la fuente de donde proceden los datos y las categorías de datos que se van a tratar.
Algunos ejemplos de cómo se puede presentar la segunda capa informativa al interesado:
-Información adicional en papel: en el reverso del formulario, anexo o separata que se entregue al interesado, así como carteles, paneles, trípticos… de los que se pueda solicitar copia para conservar.
-Información adicional electrónica: hipervínculos, documento disponible para su descarga o adjunto a un mensaje electrónico dirigido al interesado.
Madrid, febrero de 2017.
Helas Consultores, S.L.

HELAS CONSULTORES, S.L.: especialistas en Consultoría y Auditoría centrándose nuestra actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.

LAS ADMINISTRACIONES PÚBLICAS NO PAGARÁN MULTAS Y SOLO SERÁN "APERCIBIDAS" SI VULNERAN LA LEY DE PROTECCIÓN DE DATOS

La autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar. ElDiariocv.es 26 jun 2017

Cuando los “responsables o encargados” de las administraciones públicas cometiesen alguna infracción contra la protección de datos, desde las más graves a las más leves, “la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”.
El anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), al que ha tenido acceso eldiario.es, prevé de esta forma, en su artículo 77.2 que el Gobierno, las comunidades autónomas, los ayuntamientos, los organismos públicos, las corporaciones de derecho públicos, las fundaciones del sector público y las universidades no paguen nada cuando vulneren la norma. Solo serán objeto de “apercibimiento” y, en todo caso, se iniciarán “acciones disciplinarias”, según el procedimiento que resulte de aplicación en cada administración.

El anteproyecto, que el Ministerio de Justicia envió la semana pasada al Consejo de Ministros, recoge en sus artículos 72 a 74 una relación de sanciones muy graves, graves y leves, en su mayor parte incluidas en el Reglamento de Protección de Datos de la Unión Europea, al que la legislación española debe adaptarse, y que pueden acarrear hasta 20 millones de euros de multa o alcanzar el 4% de la facturación de la empresa implicada. No afectarán a las instituciones públicas.
El anteproyecto de la LOPD establece también el nombramiento del responsable de la Agencia Española de Protección de Datos, que cambia su nombre de director a presidente, pero seguirá siendo nombrado por el Gobierno, un aspecto que ha sido objeto de numerosas críticas hasta ahora.
Así, el anteproyecto dice, en su artículo 49.1, que el presidente de la Agencia Española de Protección de Datos, cuyo estatus será asimilado al de los secretarios de Estado, "ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en su desempeño". Pero a continuación indica que "será nombrado por el Gobierno, a propuesta del ministro de Justicia, mediante real decreto entre profesionales de reconocida competencia con conocimientos y experiencia acreditados para el desempeño de sus funciones".
Entre las novedades en la composición del consejo consultivo de la Agencia destaca la incorporación de un representante de los profesionales de protección de datos también "designado por el ministro de Justicia".
La futura ley orgánica, que debe entrar en vigor antes de que, en mayo de 2018, sea de aplicación el Reglamento de Protección de Datos en toda la Unión Europea, crea la figura de los delegados de protección de datos en colegios profesionales, centros educativos y universidades, prestadores de servicios por internet, supervisores y auditores, entidades financieras, aseguradoras, sociedades de inversión, compañías eléctricas, entidades responsables de ficheros sobre solvencia económica y patrimonial, empresas de publicidad y prospección comercial, centros sanitarios, emisores de informes comerciales sobre personas y empresas, operadores del juego electrónico, y empresas de seguridad privada.
El delegado de protección de datos, según el anteproyecto, "actuará como interlocutor  del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos".
Como se había anunciado, la futura ley recoge aspectos del reglamento de desarrollo de la anterior norma orgánica de 1999 e introduce el tratamiento de datos de personas fallecidas por parte de sus herederos, excluye el consentimiento tácito en el uso de datos y reduce de 14 a 13 años la edad para ese consentimiento, que tiene que ser expreso y afirmativo.
Además de regular la transparencia en la información que ofrecen los bancos de sus créditos y de los sistemas de exclusión publicitaria, el anteproyecto incluye el tratamiento de datos con fines de videovigilancia. En este último aspecto, se prevé que las imágenes y datos "serán suprimidos en el plazo máximo de un mes desde su captación salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones". En el caso de que las imágenes hayan sido captadas por fuerzas policiales, el tratamiento "se regirá por su legislación específica y supletoriamente por el Reglamento" de la UE y la propia ley orgánica.
Además de regular los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición en relación con el tratamiento de datos, la futura ley prevé la obligación de bloqueo para que queden "a disposición exclusiva del tribunal, el ministerio fiscal u otras administraciones públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas".
En relación con el derecho de acceso a datos, el anteproyecto establece en su artículo 23.2 que "se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema  de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. La comunicación del sistema al afectado permitirá denegar su solicitud de acceso". Y añade: "Cuando el afectado elija un medio distinto al que se le ofrece asumirá los riesgos y los costes desproporcionados que su elección comporte". La redacción sugiere que todo el que no se maneje bien con la tecnología digital quedará marginado.

GUÍA DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA RESPONSABLES DE TRATAMIENTO

La Agencia Española de Protección de Datos (en adelante, AEPD) ha elaborado un documento, a modo de guía en la aplicación del Reglamento General de Protección de Datos.


La Agencia Española de Protección de Datos (en adelante, AEPD) ha elaborado un documento, a modo de guía y orientado a responsables de tratamiento, para facilitar que éstos puedan conocer el impacto que va a tener la aplicación del Reglamento General de Protección de Datos (en adelante RGPD) en la forma en la que tratan datos así como las medidas que deben adoptar para que puedan adaptar paulatinamente sus procesos a la nueva normativa.
A continuación, ofrecemos un resumen con los aspectos más destacados de dicha guía . 
1.- INTRODUCCIÓN
El RGPD es una norma de aplicación directa que no requiere transposición a los ordenamientos jurídicos nacionales. Por tanto, el responsable de tratamiento debe tener muy en cuenta que la norma de referencia es el citado Reglamento y no las nacionales. No obstante, el propio RGPD contempla la posibilidad de que la normativa nacional incluya precisiones o desarrollos en ciertas materias. En el caso de España, según ha manifestado la AEPD, esta posibilidad se contemplará en la ley que, en un futuro, sustituya a nuestra actual LOPD.
No obstante, el RGPD contiene directrices similares a las que ya figuraban en la Directiva 95/46 y en las normas nacionales que la trasponen; por tanto, partimos de la base de que quien actualmente cumple con la LOPD dispone de una buena base de partida hacia una correcta aplicación del RGPD.
El RGPD introduce nuevas obligaciones para los responsables de tratamiento basadas, principalmente, en 2 pilares:
• El principio de responsabilidad proactiva: es la necesidad de que el responsable de tratamiento aplique medidas técnicas y organizativas para garantizar y demostrar que el tratamiento de datos que realiza es conforme al RGPD. En pocas palabras, se exige al responsable de tratamiento una actitud consciente, diligente y proactiva.
• El enfoque de riesgo: la aplicación de las medidas dirigidas a garantizar el cumplimiento del RGPD debe adaptarse a las características de los responsables de ficheros teniendo en cuenta la naturaleza, ámbito, contexto, fines del tratamiento y riesgo para los derechos y libertades de las personas.
2.- BASES DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS
Siguiendo las directrices de la Directiva 95/46, el RGPD establece, igualmente, que todo tratamiento de datos necesita apoyarse en una base que lo legitime, es decir:
? Consentimiento.
? Relación contractual.
? Interés vital de interesado o terceros.
? Obligación legal para el responsable.
? Interés público o ejercicio de poderes públicos.
? Intereses legítimos prevalentes del responsable o de terceros a los que se comuniquen datos.
Es fundamental, por tanto, documentar e identificar claramente la base legal sobre la que se desarrolla el tratamiento. Cuando proporcionemos la información al interesado relativa al tratamiento de sus datos, debemos incluir expresamente la base legal que legitima dicho tratamiento.
Del mismo modo, el responsable del tratamiento deberá, en su caso, especificar y documentar los intereses legítimos en que se fundamentan ciertos tratamientos (por ejemplo, determinadas transferencias internacionales).
Por otro lado, el RGPD determina expresamente que, en los casos en los que la legitimación al tratamiento se base en el consentimiento del interesado, éste ha de ser siempre inequívoco, entendiéndose como el que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. El RGPD no permite formas de consentimiento tácito o por omisión. No obstante, será posible otorgar un consentimiento inequívoco, si bien de forma implícita cuando este consentimiento se pueda deducir de una acción del interesado. A modo de ejemplo: cuando se continúa navegando por una web (con la primera capa informativa activada) se entiende que el usuario acepta que se utilicen cookies.
Por otro lado, se contemplan situaciones donde el consentimiento, además de inequívoco, debe ser explícito: tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.
Todos los consentimientos recabados con anterioridad a la entrada en vigor del RGPD deberán ser revisados para verificar que se recabaron mediante manifestación o acción afirmativa.
3.- TRANSPARENCIA E INFORMACIÓN A LOS INTERESADOS
Hasta ahora, la normativa local exigía que la información que se facilitaba a los interesados sobre el tratamiento de sus datos debía prestarse de modo expreso, preciso e inequívoco. El RGPD prevé que cualquier tipo de información que se facilite al interesado debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo con independencia de los conocimientos que éste pueda tener de la materia.
Las nuevas cláusulas informativas, que deberán facilitarse por escrito, deberán incluir todos los requisitos establecidos en el artículo 5 LOPD más:
? Base jurídica del tratamiento.
? Intención de realizar transferencias internacionales.
? Datos del DPO, si lo hubiera.
? Elaboración de perfiles.
4.- DERECHOS DE LOS INTERESADOS
Además de los “tradicionales” derechos ARCO, el RGPD contempla nuevos derechos. Los procedimientos y formas para el ejercicio de derechos deberán ser sencillos, visibles y accesibles. Se requiere también posibilitar la presentación de solicitudes por medios electrónicos.
Así mismo, será posible solicitar un canon por la tramitación de ejercicios de derechos cuando se trate de solicitudes manifiestamente infundadas o excesivas (porque sean, por ejemplo, repetitivas). Este canon se limitará exclusivamente a compensar los costes administrativos.
En cuanto a los plazos, se dispone de 1 mes para informar sobre cualquier actuación derivada de la petición, incluida la no tramitación de la solicitud por considerarse que no proceda. El plazo de respuesta (en caso de admitir la solicitud) se podrá ampliar a 2 meses cuando dichas solicitudes sean especialmente complejas.
1. Derecho de acceso: El RGPD reconoce el derecho del interesado a obtener una copia de los datos personales objeto del tratamiento si bien, se podrá facilitar un acceso remoto a un sistema seguro para ofrecer al interesado un acceso directo a sus datos personales.
Cuando se trate una gran cantidad de información sobre un interesado se podrá pedir que se concrete la información sobre la que solicita el derecho de acceso.
2. Derecho al olvido: es la consecuencia de la aplicación del derecho al borrado de los datos personales en el entorno de Internet. Si se ejercita este derecho y se hubieran hecho públicos los datos personales, el responsable deberá adoptar medidas técnicas para informar a otros responsables sobre la solicitud de borrado.
3. Limitación del tratamiento: el interesado solicita que no se apliquen a sus datos personales alguna de las operaciones de tratamiento que se están llevando a cabo sobre ellos. No debe confundirse con el bloqueo de datos conforme a la LOPD ya que la limitación del tratamiento es un derecho del interesado. En concreto se puede solicitar:
? Si el interesado solicita la rectificación u oposición y mientras que el responsable determina si procede la solicitud.
? Si el tratamiento de datos es ilícito (lo que supondría el borrado automático de datos) pero el afectado se opone a dicho borrado.
? Cuando los datos ya no son necesarios pero el interesado solicita que, en vez de que se borren, se limite su tratamiento para que estén accesibles en caso de deber formular algún tipo de reclamación.
Si los datos están “limitados”, éstos solo se podrán tratar:
? Con el consentimiento del interesado.
? Para la tramitación de reclamaciones.
? Para proteger los derechos de otra persona (física o jurídica).
? Por razones de interés público importante.
4. Portabilidad:  se estructura como el derecho que tiene todo interesado a recibir los datos personales que le incumban y que haya facilitado a un responsable del tratamiento y a transmitirlos a otro responsable sin que lo impida el responsable al que se los hubiera facilitado. La información que se ha de facilitar al interesado se le ofrecerá en un formato “estructurado, de uso común y lectura mecánica”. El ejercicio de este derecho implica que los datos personales se transmiten de un responsable a otro sin necesidad de que pasen por el interesado, siempre que esto sea técnicamente posible. No obstante, la portabilidad de datos se configura también, según ha manifestado el Grupo de Trabajo del artículo 29, como un derecho a recibir los datos que son tratados por el responsable y almacenarlos para uso personal adicional en un dispositivo privado, sin transmitirlo a otro responsable.
Es un derecho limitado, que solo se puede ejercer:
? Para tratamientos automatizados.
? Cuando el tratamiento esté legitimado por consentimiento o por contrato.
? Cuando se solicita respecto de los datos que el propio interesado ha proporcionado al responsable y los derivados de la propia actividad del interesado.
5.- RELACIONES RESPONSABLE-ENCARGADO
El RGPD establece nuevas obligaciones:
? Tanto responsables como encargados de tratamiento deberán mantener un registro de actividades de tratamiento
? El encargado de tratamiento deberá determinar las medidas de seguridad a aplicar en los tratamientos que se realizan por cuenta del responsable
? Responsables y encargados deberán designar un DPO cuando esto sea necesario.
Para demostrar que un encargado de tratamiento ofrece las garantías exigidas por el RPGD, éste se podrá adherir a códigos de conducta o certificarse conforme a los esquemas que están previstos en el RGPD.
Por su parte, el responsable tendrá que adoptar medidas apropiadas para garantizar y demostrar que su encargado de tratamiento realiza dicho tratamiento conforme al RGPD.
El contrato de encargo de tratamiento debe contener, además de lo ya contemplado en el artículo 12 de la actual LOPD:
? Objeto, duración, naturaleza y finalidad del tratamiento
? Tipo de datos y categoría de interesados
? Asistencia al responsable, si es posible, en la atención de ejercicio de derechos.
Los contratos que hayan sido formalizados antes del 25 de mayo de 2018 deberán revisarse para adaptarse a los nuevos requisitos. Según ha manifestado la AEPD, no se considerarán válidas las remisiones genéricas a los artículos correspondientes del RGPD.
6.- MEDIDAS DE RESPONSABILIDAD ACTIVA
Se trata de una serie de medidas dirigidas a garantizar y poder demostrar que los tratamientos de datos son conformes al RGPD.
1. Análisis de riesgo: las medidas de responsabilidad se adoptarán teniendo en cuenta el riesgo que el tratamiento pueda suponer para los derechos y libertades de los interesados. De este modo, algunas medidas solo se aplicarán cuando el tratamiento suponga un alto riesgo y en otros casos las medidas deberán modularse en función del nivel y tipo de riesgo.
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen para establecer las medidas a aplicar. El tipo de análisis a realizar tendrá en cuenta:
? Los tipos de tratamiento.
? Naturaleza de los datos.
? Número de interesados afectados.
? La cantidad y variedad de tratamientos que se lleven a cabo dentro de una misma organización.
Las grandes organizaciones podrán llevar a cabo la valoración de su riesgo con alguna de las metodologías de análisis de riesgo ya existentes.
Por su parte, las organizaciones de menor tamaño o con tratamientos poco complejos podrán realizar su análisis basado en una reflexión, mínimamente documentada, sobre las implicaciones del tratamiento en los derechos y libertades de los interesados. Los aspectos mínimos a tener en consideración serán:
? Si se tratan datos sensibles.
? Se manejan datos de una gran cantidad de interesados.
? Se realizan elaboraciones de perfiles.
? Se cruzan datos de interesados con otros disponibles en otras fuentes.
? Si los datos se van a utilizar, además de para la finalidad principal, para otro tipo de finalidades.
? Si se trata gran cantidad de datos, incluido análisis masivo tipo big data.
? Si se utilizan técnicas tipo geolocalización, videovigilancia a gran escala o algunas aplicaciones del Internet de las Cosas .
2. Registro de actividades de tratamiento. Deberá contener:
? Datos del contacto del responsable y del DPO si existiera.
? Finalidades de cada tratamiento.
? Categoría de interesados y de datos personales tratados.
? Transferencias internacionales de datos.
Las organizaciones de menos de 250 trabajadores están exentas de mantener este registro, salvo que el tratamiento que realicen pueda suponer un riesgo para los derechos y libertades de los interesados o se manejen categorías especiales de datos o datos de condenas e infracciones penales.
Un punto de partida para la elaboración de este registro son los ficheros que actualmente tienen notificados las organizaciones. Se deberá ampliar detallando las operaciones que se realizan en cada conjunto de datos. También será posible elaborar el registro partiendo de las finalidades de tratamiento (gestión de clientes, gestión de recursos humanos …)
3. Protección de datos desde el diseño y por defecto. El responsable debe tener en cuenta el concepto de protección de datos desde el momento en que se diseña un tratamiento. Es un concepto de responsabilidad proactiva.
Se trata de tomar medidas organizativas y técnicas desde el principio para garantizar que los tratamientos cumplen con el RGPD y que solo se traten los datos necesarios (cantidad, extensión, conservación y accesibilidad).
4. Medidas de seguridad. Se deberán establecer en función de los riesgos detectados en el análisis previo y teniendo siempre en cuenta el coste de la técnica, de su aplicación, naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades del interesado.
El esquema de medidas de seguridad establecido en el actual Reglamento de Desarrollo de la LOPD dejará de ser válido en mayo de 2018, si bien, según ha manifestado la AEPD, podrán seguirse aplicando ciertas medidas reflejadas en este texto si los resultados del análisis de riesgos previo determinan que las medidas ya implantadas son las más adecuadas.
5. Notificación de violaciones de seguridad. Son los incidentes que deriven en destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a dichos datos. Se tendrá constancia de una violación de seguridad cuando hay certeza de que ésta se ha producido y se conoce su naturaleza y alcance. Todas las violaciones de seguridad deberán estar debidamente documentadas.
Es obligatorio notificar a la autoridad de protección de datos cuando se produzca una violación de seguridad a menos que ésta no suponga un riesgo para los derechos y libertades de los interesados. Se debe realizar sin dilación indebida y, siempre que sea posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Se deberá notificar:
? Naturaleza de la violación.
? Categoría de datos y de interesados afectados.
? Medidas adoptadas para solventar la quiebra.
? Medidas adoptadas para paliar los posibles efectos negativos sobre los interesados, si procediera.
Cuando la violación de seguridad pueda suponer un alto riesgo  para los derechos y libertades de los interesados, será obligatoria su notificación al interesado sin dilación indebida para permitir que pueda tomar medidas para protegerse de las consecuencias de dicha violación de seguridad; es decir, que el afectado pueda reaccionar tan pronto como sea posible. En cualquier caso, la notificación deberá incluir recomendaciones sobre las medidas que el interesado puede tomar para hacer frente a dichas consecuencias.
Esta notificación no será necesaria cuando se hubieran tomado medidas apropiadas con anterioridad a la violación de seguridad (por ejemplo, cifrado de datos) o cuando se tomen medidas a posteriori que garanticen que el alto riesgo no se materialice. Tampoco se notificará cuando esto suponga un esfuerzo desproporcionado; en este último caso se deberá sustituir por medidas alternativas.
La AEPD ha señalado que el actual canal para notificación de quiebras de seguridad para operadores de servicios de comunicaciones electrónicas, accesible a través de la Sede Electrónica de la AEPD, se adaptará para su uso como canal de comunicación de violaciones de seguridad. Por su parte, el Grupo de Trabajo del Artículo 29 también está preparando un formulario de comunicación de notificaciones para armonizar criterios.
6. Evaluación del impacto. El RGPD establece un contenido mínimo de estas evaluaciones y la AEPD ha manifestado que adaptará la Guía que, sobre este aspecto, publicó en 2014 .
Las evaluaciones se deberán realizar con carácter previo a la puesta en marcha de los tratamientos que impliquen un alto riesgo para los derechos y libertades de los interesados. Si, como consecuencia de este estudio se identifica un alto riesgo que no se pueda mitigar, el responsable deberá consultar con la autoridad de protección de datos.
Se consideran tratamientos que conllevan un alto riesgo:
? Elaboración de perfiles para tomar decisiones que produzcan efectos jurídicos o les afecten significativamente de modo similar
? Tratamientos a gran escala de datos sensibles: teniendo en cuenta el número de interesados afectados, volumen y variedad de datos tratados, duración o permanencia del tratamiento y extensión geográfica del tratamiento.
? Observación sistemática a gran escala de zonas de acceso público.
Por otro lado, las autoridades de protección de datos tienen encomendada la confección de listas adicionales de tratamientos que requieran evaluaciones de impacto, así como listas de tratamientos que no necesitarán de estas evaluaciones. También está prevista la publicación de herramientas para determinar la necesidad de realizar evaluaciones del impacto.
Ya que el RGPD se basa en un principio de responsabilidad activa, estos listados no eximen al responsable de realizar el correspondiente análisis de riesgos como buena práctica cuando se pretendan poner en marcha nuevas operaciones de tratamiento de datos.
7. Delegado de Protección de Datos (DPO). Será obligatorio en los siguientes casos:
? Autoridades y organismos públicos
? Cuando se realicen tratamientos que requieran observación habitual y sistemática  de interesados a gran escala.
? Tratamiento a gran escala de datos sensibles.
El DPO deberá disponer de cualificación profesional y para ello deberá contar con conocimientos jurídicos y técnicos aplicados al tratamiento de datos. Debe disponer de total autonomía y reportará al nivel superior de la organización donde desarrolle sus funciones. Se trata de una figura a la que se dotará de todos los recursos necesarios para el desarrollo de dichas funciones. El propio RGPD dispone de un catálogo exhaustivo de funciones a asumir.
Su nombramiento y datos de contacto se harán públicos y se comunicarán a las autoridades de supervisión pudiendo tratarse tanto de personas físicas como jurídicas externas a la organización.
La AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta útil para evaluar candidatos a DPO. Las certificaciones se otorgarán por certificadoras acreditadas previamente por la ENAC (Entidad Nacional de Acreditación)
7.- TRANSFERENCIAS INTERNACIONALES DE DATOS
En lo que se refiere a transferencias internacionales de datos, el RGPD sigue las líneas de la directiva 95/46, de la LOPD y de su Reglamento de Desarrollo. No obstante, será necesario tener en cuenta:
? Si ya se realizaban transferencias basadas en una decisión de adecuación de la Comisión, se podrán seguir realizando siempre que no sean sustituidas o derogadas.
? Del mismo modo, las cláusulas tipo para los contratos (CCT) seguirán siendo válidas hasta que no se sustituyan o deroguen. Se añaden como instrumentos para ofrecer garantías las Normas Corporativas Vinculantes, códigos de conducta, esquemas de certificación y cualquier cláusula contractual modelo que se apruebe por las autoridades. En estos casos, no se requerirá autorización de las autoridades para llevar a cabo la transferencia.
? Las autorizaciones concedidas teniendo como base garantías contractuales seguirán siendo válidas hasta que las autoridades no las revoquen.
? Las garantías sobre la protección que recibirán los datos en destino las debe ofrecer el exportador.
? Será posible realizar transferencias a terceros países sin nivel adecuado de protección cuando sea necesario para satisfacer intereses legítimos imperiosos del responsable y siempre y cuando la transferencia no sea repetitiva y afecte solo a un número determinado de interesados. En cualquier caso, la transferencia deberá comunicarse a la autoridad de protección de datos.
8.- TRATAMIENTOS DE DATOS DE MENORES
Cuando se realice tratamiento de datos en el ámbito de la oferta directa de servicios de la sociedad de la información, el consentimiento de menores solo será válido a partir de los 16 años.
No obstante, el RGPD da la posibilidad de regular la edad de consentimiento a cada estado miembro, siempre que ésta no sea inferior a los 13 años. Actualmente es límite en España está situado en 14 años por lo que es probable que la norma que sustituya a la LOPD regule este aspecto.
Los responsables deberán hacer “esfuerzos razonables” para verificar que, en caso de menores, han sido los padres o tutores los que han otorgado el consentimiento.
Por último, la Guía presenta dos listas de verificación (una completa y otra simplificada) para que responsables y encargados puedan empezar a evaluar cuál es su situación ante el nuevo RGPD. Las listas están basadas en preguntas que hacen referencia a todos los aspectos anteriormente descritos.

Madrid, febrero de 2017.
Helas Consultores, S.L.







HELAS CONSULTORES, S.L.: especialistas en Consultoría y Auditoría centrándose nuestra actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.

CONDENA A PERSONA JURÍDICA POR DELITO FISCAL

Acusación por delito fiscal agravado por razón de cuantía de IVA, los acusados deben de pagar 4,9 millones de euros. Blog: En Ocasiones Veo Retos, 19 dic 2017

La sentencia 710/2016 de la Audiencia Provincial de Madrid, Sección 30ª, de 13-X, ratifica el acuerdo entre la Fiscalía, Abogacía del Estado y las defensas, por el que se retira acusación frente a dos personas físicas, y se condena a una persona física y otra jurídica, por un delito fiscal agravado por razón de la cuantía por el IVA de 2012.
Dos días antes del juicio los dos finalmente acusados ingresan la friolera de casi 4’9 millones de euros.
La Fiscalía rebaja la pena para la persona física a 6 meses de prisión, aplicando la atenuante de reparación del daño como muy cualificada, mientras que la Abogacía del Estado, tal vez por hacer la gracia y poner en riesgo acuerdos por motivos ininteligibles, pide un año de prisión (fuese a 6 meses o a 1 año, con la responsabilidad civil abonada no iba a ingresar en prisión el encausado de ninguna de las maneras). La gracia obligó a celebrar prueba, imponiendo finalmente la Audiencia la pena interesada por la Fiscalía. Y es que va siendo hora de que la Abogacía del Estado revise sus sui generis protocolos de conformidad, porque no pocas veces la Fiscalía tiene un acuerdo con la defensa, se niega la Abogacía del Estado y el órgano finalmente absuelve, haciendo bueno el dicho de que más vale pájaro en mano que ciento volando.
En cuanto a la persona jurídica, se le impone una multa de la mitad de lo defraudado, 2’4 millones de euros. Sin embargo, se aprecian algunos problemas de individualización de la pena:
Respecto a la postura de la Fiscalía, aplicándose el art. 310 bis Cp (véase f. 5 y 6 de la sentencia), esto hubiese conllevado que se acusase originalmente pidiendo del doble al cuádruple de multa (310 bis b Cp en la redacción de la LO 5/2010, vigente en el momento de cometerse los hechos y mantenida con la LO 1/2015).
Para las personas jurídicas sólo se preveía como atenuante simple la reparación del daño (31 bis 4 c Cp en la redacción de la LO 5/2010). Se ha aplicado, dentro de la legalidad, aunque con suma generosidad, la rebaja de dos grados que permitiría excepcionalmente el 66 bis Cp en relación con el 66. 1. 2º Cp. Otro tanto se puede decir de la pena finalmente impuesta de 9 meses y 1 día de privación de beneficios e incentivos fiscales y de Seguridad Social.
En cuanto a la defensa:
Sin perjuicio de que se ha aplicado la atenuante de reparación, existe otra opción que en este caso no se ha explorado: la aplicación efectiva de planes de cumplimiento normativo (31 bis 4 d Cp en su redacción de la LO 5/2010). En el caso del FC Barcelona, asunto cuestionable y mucho en la exoneración de toda persona física, la multa pedida por la Fiscalía era de 22 millones y la implementación posterior al delito de programas efectivos lo ha dejado en 5’5 millones, con lo que contratar a profesionales experimentados acaba siendo muy rentable para la empresa que en principio ha sido poco o nada diligente.