31
Mar

Suiza reduce su umbral de identificación en exchangers, tras la finalización del plazo de transposición de la 5ª Directiva sobre Prevención del Blanqueo de Capitales europea.

El pasado 10 de enero finalizó el plazo concedido a los Estados Miembros para transponer la 5ª Directiva (UE) 2018/843 relativa al Blanqueo de Capitales, que supone una importante novedad, la inclusión dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales, es decir, pasan a ser sujetos obligados de prevención de blanqueo de capitales.

¿Qué implica que sean sujetos obligados? Supone que deben cumplir con las obligaciones que marca la normativa en materia de blanqueo de capitales, es decir, deben cumplir con las obligaciones de identificación, de información, y de establecer medidas de control interno. Entre otras cuestiones, destaca la obligación de identificar a quienes realicen transacciones por más de 1.000 euros. Suiza, de forma similar a los países europeos, a optado por incluir dichas obligaciones de identificación formal.

El 1 de enero de 2020 Suiza adoptó la Ley de Servicios Financieros y la Ley de Instituciones financieras, que obligan a la Autoridad de Supervisión del Mercado Financiero (FINMA) a aprobar disposiciones de implementación en materia financiera.

Así, a través de la Ordenanza contra el lavado de dinero (AMLO-FINMA) Suiza ha reducido los valores de umbral de identificación del cliente en las transacciones de cambio de criptomonedas de CHF 5.000 a CHF 1.000, aproximadamente 1.060 USD. FINMA llevará a cabo una consulta sobre el reglamento de seguimiento hasta el 9 de abril de 2020.

Con esta disposición, Suiza reconoce que existen mayores riesgos de blanqueo de capitales en las transacciones con criptomonedas, tal y como hacen constar en un Comunicado de Prensa publicado el 7 de febrero de 2020.

De esta manera, Suiza se une a la lista de países europeos que han regulado la actividad de los activos digitales, entre los que se encuentran Francia, Holanda y Alemania.

Por su parte, España continúa sin transponer la 5ª Directiva y, por tanto, sin regular la actividad de las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales.

Ante la falta de cumplimiento de la transposición de la 5ª Directiva en el plazo establecido, la Comisión Europea ha abierto expediente a varios países, entre los que se encuentra España, instando a su urgente regulación “teniendo en cuenta la importancia de estas normas para el interés colectivo de la UE», según han informado las autoridades comunitarias.

Alina Nastasache
Consultor en Derecho TIC y Protección de Datos
alinastasache@dpotilaw.com

20
Mar

La tecnología en la crisis sanitaria del coronavirus: ¿Cómo se realiza el tratamiento de los datos personales?

Tras la declaración del Estado de Alarma el 14 de marzo, la lucha para frenar el coronavirus (COVID-19) se refuerza en España con la primera herramienta tecnológica en formato web: www.coronamadrid.com, que pronto contará con una versión APP en IOS y Android que se denominará COVIDAPP.

Se trata de una plataforma que lanzó la Comunidad de Madrid, el principal foco de infección en España, y que permite realizar una autoevaluación del estado de salud de los ciudadanos (mayores de 16 años) en función de sus síntomas, facilitando instrucciones y recomendaciones sobre el COVID-19. De esta manera se pretende ayudar a evitar el actual colapso del sistema sanitario y las líneas de atención telefónicas de la Comunidad de Madrid.

Uno de los aspectos que más preocupa o inquieta con este tipo de plataformas es el tratamiento de los datos de carácter personal que nos solicitan para poder acceder o, en este caso, realizar la autoevaluación.

Entre los datos que se recogen (nombre y apellidos, número de teléfono móvil -incluye un proceso de verificación de identidad con el teléfono móvil-, DNI / NIE, fecha de nacimiento, correo electrónico, dirección completa y código postal y género), parece que el más controvertido desde que se hizo pública la plataforma es la geolocalización. Si acudimos a la Política de Privacidad de la plataforma, nos indica que “en el momento de la realización de las autoevaluaciones, se guardará tu localización GPS, siempre bajo tu autorización, para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento”.

Según continúa explicando la Política de Privacidad de la plataforma, estos datos son estrictamente necesarios por razones de interés público ante la actual pandemia del COVID-19.

Ante la creciente preocupación por el tratamiento de los datos personales durante la crisis del coronavirus, el pasado 12 de marzo, la AEPD se pronunció al respecto a través de un informe, estableciendo que la recogida de los datos personales cuya finalidad sea salvaguardar los intereses esenciales en el ámbito de la salud está legitimado tanto por motivos de interés público como por la protección de los intereses vitales del interesado u otras personas físicas, tal y como determina el artículo 6.1. e) y d) del RGPD.

En la misma línea, el 16 de marzo emitió el Comité Europeo de Protección de Datos una declaración sobre el tratamiento de datos personales, en la que recuerda que las normas de protección de datos no deben obstaculizar las medidas adoptadas por la pandemia del coronavirus, siempre que estas sean necesarias, apropiadas y proporcionadas.

Ante una situación de crisis como la que estamos atravesando, no solo en España sino en el resto de los países, ya sea en mayor o menor medida, se hacen necesarias actuaciones que pueden limitar la esfera de nuestra vida privada para asegurar y garantizar bienes jurídicos superiores, en este caso el derecho a la vida y a la salud colectiva, por lo que las normas de protección de datos no pueden ser una barrera para salvaguardar estos derechos, siempre que sean proporcionadas y adecuadas respecto a una situación tan excepcional como la actual.

Por último, debemos actuar con precaución ante la proliferación de numerosas páginas web y apps no oficiales que ofrecen servicios de autoevaluación respecto al coronavirus, suplantando en ocasiones al Ministerio de Sanidad, como ha podido constatar la AEPD, que ha advertido del riesgo de proporcionar datos personales a estas plataformas.

No debemos olvidar que, en ningún caso, estas plataformas pueden sustituir al servicio médico o de atención de urgencias o de prescripción de tratamiento farmacológicos, y que solamente pretenden ofrecer una orientación a los ciudadanos y evitar el colapso del sistema sanitario.


Alina Nastasache
Consultor en Derecho TIC y Protección de Datos

18
Mar

FUNDAE ¿responsable o encargado del tratamiento?

FUNDAE, la Fundación Estatal para la Formación en el Empleo, es una fundación del sector público estatal encargada de coordinar la ejecución de las políticas públicas en materia de formación profesional. Se encuentra regulada en la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral, y desarrollada a su vez por el Real Decreto 694/2017, de 3 de julio.

Actualmente cualquier empresa española puede optar a un crédito formativo a través de FUNDAE, el cual procede de la recaudación de la cuota de Formación Profesional que la empresa realiza a la Seguridad Social. Por tanto, en los supuestos en los que la empresa necesite realizar cursos de formación a sus empleados podría beneficiarse de la impartición de los mismos gestionando el pago de los mismos a través de FUNDAE. El sistema empleado para pagar a la empresa por dichos cursos es través de las correspondientes bonificaciones en los seguros sociales que realiza la empresa a la Seguridad Social.

En todo este proceso de gestión de los cursos de formación existe un tratamiento de datos personales de los trabajadores de la empresa, por lo que debemos identificar las partes implicadas en el mismo, identificando quién es el Titular de los Datos, el Responsable, y en su caso el Encargado del Tratamiento o Cesionario de los datos.

En el funcionamiento de la FUNDAE  debemos diferenciar cuatro participantes:

  • Administración Pública: ente que subvenciona a través de descuentos en seguros sociales de la empresa los importes realizados mediante formación subvencionada.
  • FUNDAE. encargada de coordinar la ejecución de las políticas públicas en materia de formación profesional
  • Empresas externas: antes denominadas entidades organizadoras, que se encarga de todas las gestiones y comunicaciones oficiales. No es obligatorio realizarlo a través de estas empresas, aunque sí es lo más común en la formación vía FUNDAE, ya que las mismas se encuentran especializadas es su gestión ahorrando tiempo y dinero a las empresas que quieran utilizar esta fórmula formativa. La gestión de estos cursos de formación por empresa externas debe materializarse en la firma de un convenio de encomienda de la formación, o adherirse a uno ya existente.
  • Empresa bonificada: Es la que recupera parte (o toda) de la cantidad invertida en la formación de sus trabajadores, a través de bonificaciones en los seguros sociales. Es la Responsable de los datos personales obligado por tanto al cumlpimiento de la normativa de Protección de Datos. ,

En todo este proceso son múltiples las comunicaciones de datos entre los distintos actores, incluyendo entre otros los datos identificativos de los trabajadores como los relativos al sexo, edad, nivel de estudios, categoría profesional y minusvalía. Estos datos son fundamentales y deben ser aportados por la empresa para poder inscribir a sus trabajadores a los cursos de formación subvencionados, con la finalidad de prestar el servicio, así como demostrar la asistencia a los mismos. Efectivamente, durante los cursos se debe justificar la asistencia mediante la firma del trabajador, autenticándose con el DNI para la identificación del alumno.

Para analizar desde el punto de vista de la protección de datos todos estos procesos de comunicación de datos por parte de la Empresa a los terceros intervinientes, debemos de analizar en primer lugar la justificación o legitimación en el tratamiento, la cual podemos incluir en el art. 6.1 c) del RGPD:

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

Así, podremos identificar la posición que asume cada participante en el tratamiento de datos;

  • El trabajador: dado que es la persona que realiza el curso de formación no cabe duda que ocupa la posición del titular de los datos personales o interesado.
  • La empresa bonificada: será considerada el Responsable del Tratamiento, ya que es quien determina las finalidades y los medios del tratamiento.
  • Las Empresas Externas: La dificultad viene a la hora de determinar el papel de las empresas externas en el tratamiento de los datos personales que maneja en las funciones que tiene encomendadas. Podría pensarse que nos encontramos ante un Encargado del Tratamiento de los datos aportados por la empresa bonificada, ya que podría decirse que trata los datos personales pertenecientes a los tratamientos efectuados por el Responsable, con la finalidad de prestarle un servicio. Existe un acceso a datos, pero sus obligaciones van más allá de cumplir instrucciones de la empresa bonificada, por lo que, entendiendo que su actividad no se limita  la mera prestación de un servicio, tenemos que considerar que la empresa externa es también Responsable del Tratamiento y por tanto se configuraría como un Cesionario de los datos cuyo tratamiento viene legítimado por el mencionado art. 6.1 C) del RGPD. Esta posición es la defencida por la AEPD en un un informe antiguo (Informe 0143/2010), pero cuya fundamentación jurídica puede seguir siendo perfectamente aplicable.
  • FUNDAE. De forma similar los datos de los trabajadores cedidos por la empresa bonificada o por la empresa externa a la FUNDAE se encuentran igualmente amparados en el art. 6.1 c) del RGPD. Por otro lado, y en relación al papel que desempeña FUNDAE con la Administración acudiendo al informe del año 2009, Informe 0649/2009, en el que se hace referencia directa a otro informe, de 28 de mayo de 2003, se establece de una forma clara y directa la condición de encargada del tratamiento respecto de los datos de la Administración Pública, que es quien decide sobre la finalidad, contenido, y uso del tratamiento, ejerciéndose las funciones en cumplimiento de la gestión encomendada a FUNDAE.

Por lo tanto, entendemos que no es necesario que la empresa bonificada firme un contrato de encargado del tratamiento con la empresa externa que gestiona la formación subvencionada o con la propia FUNDAE, ya en ambas situaciones nos encontramos ante una cesión o comunicación de datos, legitimada por el art.6.1 c) del RGPD.



Borja Pérez-Enciso Ramos
Consultor Protección de Datos
DPO&itlaw Valladolid


2
Mar

El marco regulatorio básico de los drones en España

El incidente ocurrido el pasado mes de febrero en el aeropuerto de Barajas, en el que se llegó a cerrar el espacio aéreo por la presencia de un dron no autorizado, ha vuelto a poner el punto de mira en el marco regulatorio de los drones.

Como ha ocurrido en muchos otros campos, los drones se desarrollaron originalmente con fines militares, pero las mejoras tecnológicas permitieron crear drones cada vez más pequeños, ligeros y asequibles, lo que acercó el mundo del dron recreativo al gran público. Sin embargo, en los últimos tiempos los gobiernos se han dado cuenta de los diversos problemas que el uso privado de los mismos puede causar. Aunque se pueden enumerar muchos y de diversos tipos, como pueden ser los relacionados con el uso del espacio aéreo, el riesgo de accidentes o de violación de la intimidad o la problemática que generan los distintos plug-ins que se pueden acoplar a ellos, incluso explosivos o inhibidores de frecuencia, en este artículo nos centraremos en la nueva normativa europea que trata de regular los requisitos que deben reunir tanto el aparato como el piloto.

Las normas europeas de referencia en la actualidad son los recientes Reglamento Delegado (UE) 2019/945 de la Comisión y el Reglamento de Ejecución (UE) 2019/947, que modifican el anterior Reglamento (UE) 2018/1139 (que establece las normas comunes en el ámbito de la aviación civil) y buscan garantizar una utilización segura de los drones de forma uniforme en todo el territorio de la Unión Europea. Sin embargo, todavía queda mucho camino por andar en este ámbito, y la prueba es que la Agencia Europea de Seguridad en la Aviación (EASA, por sus siglas en inglés), ya ha dicho que propondrá una nueva modificación a esta normativa durante el primer trimestre de 2020; apenas medio año después de la publicación del Reglamento de Ejecución y medio año antes de que sea plenamente aplicable (el 1 de julio de 2020).

Ya antes de éstas, en España se promulgó el Real Decreto1036/2017, que regula “la utilización civil de las aeronaves pilotadas por control remoto” y modifica tanto el anterior Reglamento del Aire como el Reglamento de Circulación Aérea para incluir menciones expresas a los drones.

En futuros artículos ahondaremos más en el contenido de estas normas. Por el momento, es más interesante conocer de modo general cuáles son las características generales que rigen este sector. Existen varias cuestiones esenciales a las que hay que prestar atención.

Los requisitos del piloto

En primer lugar, debemos dejar claro que la normativa actual sólo impone la obligación de sacarse una licencia a quienes pretenden desempeñar una actividad profesional en esta materia. Deberán recibir una habilitación de la EASA, tener un seguro de responsabilidad civil específico para aeronaves y estar en posesión de los certificados de piloto de RPAS y el médico en vigor. Desde luego, aunque el piloto cumpla con todos estos requisitos seguirá necesitando distintos certificados y licencias para volar en determinados espacios. En esta infografía de ENAIRE se explica de forma resumida (apartado de profesionales):

https://www.enaire.es/servicios/drones/normas_basicas_para_volar_drones.

Sin embargo, esto no significa que el piloto recreativo no tenga obligaciones. Quienes quieran volar un dron por hobby deberán respetar las siguientes obligaciones:

  • No volar de noche o con condiciones meteorológicas adversas.
  • No volar a menos de 8 km de ningún aeropuerto o aeródromo.
  • No volar dentro de las zonas de espacio aéreo controlado o donde se realicen vuelos a baja altura.
  • No volar por encima de los 120 metros de altura.
  • No volar sobre edificios ni aglomeraciones de personas.
  • Tener siempre el dron a la vista cuando está en el aire. En este sentido, se permite que no sea el piloto, personalmente, quien tenga contacto visual directo con el aparato, pero deberá haber como mínimo un observador que sí lo tenga y que tenga contacto constante con el operador, ya sea mediante radio u otro medio. Es lo que se denomina “alcance visual aumentado” (o EVLOS).
  • Cumplir con la normativa de Protección de Datos, con especial mención a la toma de fotografías o vídeos de personas cuando no le esté permitido hacerlo.
  • Llevar un acompañante cuando se vuele un dron con gafas FPV.
  • Cuando el piloto sea menor de edad, deberá estar acompañado de un adulto.

No obstante, la normativa se flexibiliza un poco para los drones más pequeños, siempre que se cumplan ciertas condiciones.

Por ejemplo, se podrá volar sobre edificios y zonas en las que haya mucha gente siempre que el dron pese menos de 250 gramos y no supere los 20 metros de altura, y también se admite el vuelo nocturno cuando los drones pesen menos de 2 kg y vuelen por debajo de los 50 metros.

Finalmente, desde ENAIRE recomiendan tener un seguro a terceros, ya que el piloto deberá responder de los daños causados por su dron.

Los requisitos del dron

En este caso, la norma de referencia es el Reglamento Delegado (UE) 2019/945 de la Comisión, ya que recoge los requisitos técnicos y operativos que deben reunir los drones para poder volar de forma segura. En ella se distinguen los SANT (Sistemas de Aeronave No Tripulada) que pueden ser considerados como juguete conforme a la Directiva 2009/48/CE y los que se consideran aeronaves “con todas las de la ley”.

Los requisitos técnicos de los drones se encuentran regulados en los Anexos del Reglamento Delegado, dividiéndose en distintas clases, de la Clase 0 a la Clase 4, en función de características como su peso, velocidad máxima, altitud máxima de vuelo, alcance máximo de la señal o el diseño y fines del producto.

Por otro lado, el artículo 40 del citado Reglamento recoge cuáles serán los drones que deban recibir una certificación específica por sus especiales condiciones; requerirán dicho certificado los drones que cumplan con, al menos, una de las siguientes condiciones:

En cualquier caso, todos estos requisitos afectan más a los productores y comercializadores de drones. El usuario sólo deberá asegurarse de que el producto que adquiere tenga los logos y otras marcas que garanticen que cumple con la normativa europea.

Por último, el ya mencionado artículo 8 del Real Decreto 1036/2017 exige que los drones (también los de uso no profesional) cuenten con una placa identificativa ignífuga en la que consten tanto los detalles de su fabricación como los de su operador o piloto, y el artículo 16 refuerza la obligación que tiene éste de garantizar un mantenimiento apropiado del dron.[JS1] 

¿Dónde se puede volar un dron de forma segura?

Las condiciones generales de la utilización del espacio aéreo en este ámbito están reguladas en el Capítulo III del Real Decreto, y realmente se centra en muchas de las cuestiones que ya hemos comentado en el apartado relativo a los requisitos del vuelo legal.

Para quien tenga curiosidad por conocer las zonas donde se puede volar, en la página www.drones.enaire.es se puede consultar un mapa interactivo en el que figuran los lugares en los que no está permitido el vuelo de drones tanto para uso recreativo como profesional. En él se distinguen distintas “capas”, que se refieren a distintos límites relacionados con el vuelo de aeronaves pilotadas por control remoto, y que van desde prohibiciones totales a restricciones únicamente al vuelo fotográfico.

Además, en caso de que se quiera profundizar más en el mundo de los drones y su regulación, recomendamos la página web de la EASA (https://www.easa.europa.eu) para todo lo relacionado con la normativa europea, ya que en sus infografías, vídeos y guías se encuentra todo el material actualizado que se pueda necesitar; para ahondar en la normativa relevante en el ámbito español, la principal fuente de información oficial la encontramos en la Agencia Española de Seguridad Aérea (www.seguridadaerea.gob.es), junto con la web de ENAIRE (www.enaire.es).

D. Jorge Somolinos
Consultor Legal Junior

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies