31
Ene

Participamos en el Curso Superior de Protección de Datos de la ETJ Law & Business School

Durante el próximo 2 de abril, participaremos con la ponencia «Los sujetos intervinientes: deberes y responsabilidad. Régimen de Infracciones y Sanciones» en el Curso Superior de Protección de Datos de la Escuela de Técnica Jurídica Law & Business School, perteneciente a la Universidad Rey Juan Carlos.

Dentro de la ponencia que impartirá Fernando Ramos Suárez, Socio Fundador en DPO&itlaw, se abordarán temas como:

  • El responsable del tratamiento: posición, deberes, responsabilidad.
  • El encargado del tratamiento: contrato de encargado del tratamiento y posibilidad de subcontratación
  • Usuarios: deberes de los usuarios.
  • Régimen de infracciones y sanciones.

 

Más información:

www.etj.es

 

12
Ene

Los mediadores de seguros y la normativa de protección de datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

 

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

 

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

 

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

 

12
Ene

Empresas de transporte y mensajería, ¿encargados o responsables del tratamiento?

Aunque la distinción entre Responsable y Encargado del tratamiento en materia de protección de datos parezca clara, en la práctica no ocurre así en todos los casos. Uno de dichos ámbitos en donde más debate ha suscitado dicha distinción, ha sido en el sector del transporte y mensajería. En la prestación de estos servicios, el papel de la empresa de transporte respecto de los datos del destinatario del servicio no queda bien definido, pudiendo actuar como Responsable del dato personal del destinatario o como Encargado del tratamiento de sus clientes que utilizan dicho servicio.

Sobre este aspecto se ha pronunciado la Agencia Española de Protección de Datos (AEPD) en varios Informes. En concreto, podemos destacar un Informe del Gabinete Jurídico en el que la consultante, una empresa de transporte de documentos, requiere para prestar sus servicios los datos del cliente, los datos de origen y de destino que deben ser comunicados por los clientes. La consultante entiende que actúa en su propio nombre en la prestación del servicio de transporte, sin embargo, algunos clientes solicitan formalizar un contrato de Encargado del tratamiento para la actividad del transporte.

Según la AEPD, lo esencial es que el Encargado actúa en nombre y por cuenta del Responsable en el tratamiento de los datos, de modo que la ley estipula la ficción jurídica de que, dado que el encargado no decide los fines y medios del tratamiento, la cesión de datos que en realidad se realiza mediante el encargo, no es tal jurídicamente.

En el sector del transporte y mensajería es importante distinguir, por un lado, los datos personales que vayan dentro del sobre transportado, a los cuales el transportista no tiene acceso, y por otra parte los datos personales de remitente y destinatario, que son los imprescindibles para la ejecución del servicio contratado.

Entiende la AEPD que en estos casos no se produce una actuación como Encargado del tratamiento, sino que se incorporan los datos personales recabados para sus propios fines, y es la empresa quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, no existiría un encargo del tratamiento sino una cesión de datos, ya que los datos transmitidos son incorporados en la base de datos de la entidad receptora (empresa de mensajería) para que esta proceda a su tratamiento para los fines que le son propios hasta su entrega al destinatario.

Por tanto la cesión a una empresa de mensajería de los datos personales mínimos imprescindibles para la remisión del envío postal sería posible aun no mediando consentimiento de los afectados, siempre que la entidad-cesionario los utilice única y exclusivamente para el pleno cumplimiento de sus obligaciones de transporte, remisión y entrega del envío y no para otros fines. En este sentido, la AEPD también considera acertado la posición del intermediario que asumía el ICO Inglés, que concluye que el prestador del servicio postal no sería ni Responsable ni Encargado del tratamiento para los clientes que usen sus servicios, ya que es un mero intermediario, y no decide sobre los fines o medios del tratamiento de los datos personales incluidos dentro del sobre que se le ha confiado.

A pesar de aceptar la posición de intermediario, la AEPD concluye que las empresas de transporte y mensajería no son Encargados del tratamiento, por lo que no requerirán de un contrato de encargo respecto de los datos personales contenidos en el sobre. Sin embargo, sí que serán Responsables del tratamiento de los datos personales que se le ceden (datos del remitente y del destinatario) para hacer llegar el sobre a destino.

Además, la ley parece establecer unas obligaciones específicas en materia de protección de datos al operador postal que no casan bien con la figura del Encargado del tratamiento. En este sentido, la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, establece unas obligaciones respecto del envío, que incluye tanto la confidencialidad de su contenido, en un sentido amplio, como la protección de los datos personales que se han confiado al operador postal para la realización de su labor. Si fuera un verdadero Encargado del tratamiento dichas obligaciones de protección de datos habría que imponérselas al remitente, que sería quien le ha realizado el encargo de transportar el documento al destinatario.

En conclusión, tanto de los principios generales que se derivan de la normativa de protección de datos como de los preceptos propios de la normativa postal, concluye la AEPD que las empresas de transporte y mensajería no serían un Encargado del tratamiento respecto del remitente, sino que son Responsables del tratamiento de los datos personales de remitente y destinatario que se le han confiado para el ejercicio de su tarea. En consecuencia, será recomendable por parte de las empresas usuarios de los servicios de mensajería informar en las correspondientes cláusulas de información con los clientes, proveedores y trabajadores, de la posible existencia de dichas cesiones de sus datos a empresas de mensajería o trasporte, de forma que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y cancelación según lo dispuesto en el RGPD y la LOPDGDD ante las correspondientes empresas de mensajería o transporte.

 

Alina Nastasache
Abogada TIC DPO&itlaw
alinastasache@dpotilaw.com

10
Ene

España a la cola en la Regulación de las Criptomonedas en Europa.

El pasado 10 de enero de 2020 terminaba el plazo de transposición de la  5ª Directiva (UE) 2018/843 relativa al Blanqueo de Capitales por la que se regula a los Proveedores de servicios de Cambio de Monedas Virtuales. En su artículo 4 se establece el 10 de enero como fecha límite para que los Estados Miembros adapten sus disposiciones legales, reglamentaria y administrativas para dar cumplimiento a lo establecido en la directiva.

En España, por el momento ni el SEPBLAC ni el Banco de España se han pronunciado sobre supervisión del Sector de las Criptomonedas o Activos Virtuales. Actualmente no se permite el Registro del Representante de Prevención de los Proveedores de Servicios de Monedas o Activos Virtuales, alegando que no se encuentran dentro del ámbito de aplicación de la Normativa Española de Blanqueo de Capitales (art. 2 de la Ley 10/2010 de Prevención de Blanqueo).

Sin embargo, en la 5ª Directiva ya se prevé la inclusión de los Exchagers o Plataformas de Cambio de Monedas Virtuales dentro del ámbito de aplicación de la Cuarta Directiva de Blanqueo 4AMLD modificando o incluyendo los siguientes artículos:

  1. Se incluye dentro del artículo 2 de la Directiva relativo a las entidades obligadas los siguientes apartados:
    1. letra «g)» Los proveedores de servicios de cambio de monedas virtuales por monedas fiduciarias.
    2. letra «h)» Los Proveedores de servicios de custodia de monederos electrónicos, que define como: una entidad que presta servicios de salva­ guardia de claves criptográficas privadas en nombre de sus clientes, para la tenencia, el almacenamiento y la transferencia de monedas virtuales.
  2. Se incluye dentro de las definiciones del artículo 3 el punto 18) relativo a las Monedas Virtuales, las cuales son definidas como: representación digital de valor no emitida ni garantizada por un banco central ni por una autoridad pública, no necesariamente asociada a una moneda establecida legalmente, que no posee el estatuto jurídico de moneda o dinero, pero aceptada por personas físicas o jurídicas como medio de cambio y que puede transferirse, almacenarse y negociarse por medios electrónicos.
  3. Por otro lado en el artículo 47 relativo a la Supervisión establece que Los Estados miembros garantizarán que los proveedores de servicios de cambio de monedas virtuales por monedas fiduciarias y los proveedores de servicios de custodia de monederos electrónicos estén registrados

Podemos por tanto concluir, que España está obligada a modificar la normativa relativa al Blanqueo de Capitales para incluir dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales, habiendo concluido ya el plazo marcado por la 5ª Directiva AML el pasado 10 Enero de 2020 (art. 4 de la directiva). Si bien, se vislumbra que existirá un retraso considerable para la modificación de dichas normas, al menos sí vemos necesario un pronunciamiento al respecto de la Autoridad competente (Banco de España o SEPBLAC) sobre el Sector de las Monedas o Activos Virtuales y evitar así el vacío legal existente en el sector.

Como abogados de Proveedores de servicios del Sector Cripto, consideramos que es vital tener claras las reglas de juego en España y evitar,  que las entidades financieras españolas cierren sus puertas al Sector Cripto por considerar la actividad como una actividad financiera de riesgo reputacional, pese a que cumplan de forma voluntaria con la Normativa de Prevención de Blanqueo de Capitales Española. Entendemos por tanto necesario, que el Banco de España o  el SEPBLAC, (la Unidad de Inteligencia Financiera y Autoridad Supervisora Española en materia de Prevención de Blanqueo de Capitales), se posicione de forma similar a como lo han hecho sus homólogos Europeos, como por ejemplo, la Financial Conduct Authority (FCA) de Reino Unido quién comunicó el pasado viernes 10 de enero que será la Autoridad Supervisora del Sector Cripto, o la Austrian Financial Market Authority (FMA) que también aseguró el pasado jueves 9 de enero que será Autoridad Reguladora de las Monedas Virtuales. Otros países europeos como Francia van ya por delante  regulando el Sector Cripto a través de Autorité des Marchés Financiers (AMF), quién desde abril de 2019 ha regulado la actividad de los Proveedores de Servicios de Activos Digitales y publicado desde el 20 de diciembre las nuevas normas que les afectan. En algunos Estados Europeos, aunque todavía no han aprobado las normas si se han pronunciado, como el caso de Holanda que ha establecido que las empresas que regulen servicios de cambio de monedas virtuales deberán registrarse en el Banco Central Holandés, o Alemania que a pesar de no haber transpuesto la directiva, sí ha regulado y permitido al sector financiero comprar y vender monedas virtuales y somete a la obtención de la correspondiente autorización a los Proveedores de servicios de Activos Virtuales a través de la Federal Financial Supervisory Authority (BaFin).

Por otro lado, podemos concluir que la Directiva nace incompleta, ya que su ámbito de aplicación es necesario ampliarlo a cualquier proveedor de servicios de Activos Virtuales y no sólo de Monedas Virtuales, como bien apuntó la GAFI con la publicación el pasado 21 de junio de 2019 de la Guía para los Proveedores de Servicios de Activos Virtuales , «Los activos virtuales y los servicios financieros relacionados tienen el potencial de estimular la innovación financiera y la eficiencia y mejorar la inclusión financiera, pero también crean nuevas oportunidades para que delincuentes y terroristas blanqueen sus ganancias o financien sus actividades ilícitas. Esta Guía ayudará a los países y a los proveedores de servicios de Activos Virtuales a comprender sus obligaciones de lucha contra el blanqueo de dinero y la financiación del terrorismo, y a aplicar eficazmente los requisitos del GAFI a medida que se aplican a este sector»

Es necesario por tanto, ampliar el ámbito de aplicación de la 5ª Directiva e incluir a los Activos Virtuales, también llamados criptoactivos o tokens, los cuales actualmente pueden ser utilizados como medio de pago, inversión o transferencia de valor.

Con la reciente constitución del Gobierno Español (enero 2020) deberemos ser pacientes para ver las modificaciones correspondientes en la normativa de prevención de Blanqueo de Capitales Española y me temo que más aún para la creación del Registro correspondiente de Proveedores de Servicios Cambio de monedas o Activos Virtuales.

 

Fernando Mª Ramos Suárez
Socio Director DPO&itlaw, S.L.
Mail: fernandoramos@dpoitlaw.com
tt. @fernandoramosTI

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies