Blog - DPO & it law

3
Dic

DPO&it Law patrocinador del III Congreso Nacional de Compliance | Thomson Reuters

DPO&it Law junto con si partner Gobercom, patrocinarán el próximo Congreso Nacional de Compliance | Thomson Reuters

III Congreso Nacional de Compliance | Thomson Reuters

INTRODUCCIÓN

Tras el éxito de las dos primeras ediciones, se convoca el III Congreso Nacional de Compliance con el objeto de congregar a los principales actores relacionados con el presente y futuro de la función de Compliance, consolidándose como referente para todos los profesionales interesados en dicho ámbito y contribuyendo a la difusión de las tendencias e interpretaciones más novedosas relacionadas con Compliance de nuestro país.
El III Congreso Nacional de Compliance brinda la oportunidad de conocer todas las novedades de manos de profesionales de primer orden vinculadas con ellas, ayudando a formarse una idea no sólo de la dimensión actual de la función de Compliance sino, especialmente, de los siguientes pasos que seguirán produciéndose.

OBJETIVO

Conocer las mejores prácticas en el campo de Compliance a través de sus responsables directos en empresas de distintos sectores.
Conocer el punto de vista de jueces y fiscales en cuanto a la aplicación del Código Penal en las empresas.
Compartir experiencias con otros responsables de Compliance (networking).
Conocer las opiniones de los reguladores sobre los requisitos del buen gobierno corporativo.

DESTINATARIOS

Compliance officer, Directores de Compliance, Administradores, Secretarios del Consejo, Letrados Asesores, Miembros de la Comisión de Auditoría, Responsables de los Servicios Jurídicos internos, Responsables de Control Interno, Responsables de Auditoría Interna, personas con obligaciones de supervisión y control en el seno de la empresa.

 

Puede descargar nuestro Data Sheet desde aquí 

GuardarGuardar

GuardarGuardar

GuardarGuardar

GuardarGuardar

26
Nov

DPO&it Law citado en el diario Expansión : ¿Sobrevivirán los notarios al desarrollo del ‘blockchain’?

El notariado europeo ha iniciado una discusión pública sobre los efectos de la aplicación de la cadena de bloques en su actividad. El colectivo cree que, a corto plazo, esta tecnología no cambiará su modelo.

Bitcoin, blockchain o las criptodivisas son actualmente trending topics que acaparan la atención de operadores jurídicos e institucionales, pendientes de las numerosas aplicaciones que de ellas puede hacerse en el sector legal. A esta tendencia le acompaña que la criptodivisa se ha revalorizado más del 700% en un año y que las mayores entidades financieras del mundo -principales clientes de los despachos de abogados- llevan años desarrollando la tecnología de la cadena de bloques. Por último, y aunque la UE asegura que no es el momento, ya valora una futura regulación.

Vehículo para suplir la falta de seguridad jurídica

Probado con éxito en países donde la seguridad jurídica es deficiente, el ‘blockchain’ ha servido para que organizaciones vinculadas con Naciones Unidas y ONG puedan eliminar las barreras de administraciones poco supervisadas como las de Ghana, Honduras o Georgia. “El problema del funcionario corrupto se evita de esta manera y se consigue una mayor seguridad en las transacciones. Afortunadamente, esto no es algo que suceda en los países de la UE”, indica Fernando Ramos, abogado de la firma DPO IT Law. Sin que sea necesario llegar a una situación como la descrita, en Europa también se han hecho experimentos con el ‘blockchain’. Suecia y Suiza han digitalizado registros de la propiedad y acciones inmobiliarias utilizando esta tecnología, por ejemplo.
El blockchain fue una de las inquietudes que sobrevolaron, junto a la herencia e identidad digital y el comercio electrónico, la celebración del Congreso Europeo del Notariado celebrado en Santiago de Compostela hace unas semanas. Los notarios europeos analizaron y debatieron allí sobre la influencia de la cadena de bloques en su función y si ésta puede convertirse en una amenaza real.

Si bien concluyeron que esta tecnología tiene pocas posibilidades de plantear a corto plazo un cambio de modelo en la función notarial, reconocían que en el futuro “ciertas funciones notariales, como la del registro de datos, pueden llegar a verse afectadas si se desarrollase con garantías”. Para Carmelo Llopis, notario de Valencia y uno de los representantes del Consejo General del Notariado para esta cuestión en Santiago, “tal y como sucedió con la aparición de la tecnología de la firma electrónica, esto puede convertirse en una oportunidad para los notarios españoles más que en una amenaza”. Llopis asegura que quienes se verán amenazados serán los profesionales anglosajones cuya función, “al contrario que sucede en España, no añade valor al proceso, porque no hay una actuación de validación de Derecho y se quedan en el puro registro de datos de una transacción”.

Desde el Notariado avanzan que el blockchain es una herramienta que por sí sola no puede ir más allá de realizar registro de datos. No obstante, “combinado con inteligencia artificial y con computación cuántica, en un siguiente paso, sí debería aportar algo más, y eso es lo que estamos investigando”.

Validación

En el mismo sentido, Javier González Granado, notario en Formentera y una de las principales voces jurídicas de España especializadas en el blockchain, indica que “la validación de copias electrónicas de documentos serán el primer aspecto que se desarrolle utilizando la tecnología de cadena de bloques. Pero hasta que no se regule será complicado que prosperen iniciativas en este sentido porque son los gobiernos y los organismos quienes ponen las principales trabas. El bitcoin está considerado actualmente como una oportunidad para el blanqueo de capitales”.

El notario, que ha participado como experto en el desarrollo de la red multisectorial de cadena de bloques Alastria -antes conocida como Lyra- vinculada a despachos como Roca Junyent, Grant Thornton o Garrigues, ve “poco probable” que datos tan relevantes queden en manos de un sistema no controlado y que choca directamente con el mundo de la regulación.

Para González Granado será distinto si la regulación de las criptomonedas llega al ámbito europeo. Entonces, “utilizar una red centralizada o descentralizada para gestionar estos datos pasará a ser únicamente una cuestión de resultados y de eficiencia económica”, concluye.

Registro inmutable

Sobre la base de la cadena de bloques se pueden desarrollar tantas aplicaciones como se quiera, asegura el abogado Alejandro Gómez de la Cruz. “Su función principal es la transmisión de un valor entre dos intervinientes. Produce un registro inmutable de datos que se logra por el consenso de la mitad de los ordenadores que contienen una copia de esa transacción. Suplirá la función de la certeza de que algo ha ocurrido, pero no la de reconocer si lo que ha ocurrido es cierto o falso, es decir, la de dar fe de que las partes dicen ser quiénes son realmente y elevarlo a público”, indica este emprendedor, que actualmente se encuentra inmerso en el desarrollo de Initial Coin Offering (ICO, por sus siglas en inglés), un vehículo para financiar el desarrollo de nuevos protocolos para el lanzamiento de criptomonedas.

De la Cruz lamenta que “la invasión de la tecnocracia que vivimos nos lleve a pensar que la tecnología va a suplirlo todo. La tecnología tiene importancia y utilidad y, en el caso de la certificación de datos, afectará más a los terceros de confianza que a los notarios. La función notarial deberá estar ahí para garantizar que cualquier operación que se efectúa se ajusta a derecho y cumple la ley”.

Una alternativa a la firma digital

La creación de una red de blockchain europea está en la mira de todos. La principal duda sobre este proyecto de futuro es, para los notarios, cómo debe configurarse. Utilizar íntegramente el servicio público con sus combinaciones telemétricas plantea, o puede llegar a plantear ciertas dudas sobre la seguridad. Comparado con el actual sistema de firma digital el principal riesgo está en la custodia de los datos porque “no podemos confiar los datos de los ciudadanos y de las empresas a un sistema en el que no estamos seguros de que es 100% fiable”, indica Llopis. González Gallardo amplía estas dudas puesto que, si el blockchain deja de ser público, “en nada se diferenciaría de la red privada virtual con la que operamos en España y que cuenta con una tecnología muy segura”. Esta red, que opera a través de Ancert y que este año cumple quince años de su creación, ha permitido asentar 15 millones de firmas y ha creado un índice único que tiene ‘parametrizados’ todos los datos de las operaciones notariales desde el año 2004 y datos de más de 2.200 millones de sociedades que trabajan en la prevención del blanqueo de capitales.

 

Vía Expansión

26
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos (actualizado)

Tras la publicación el pasado 10 de Noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, desde DPO&itlaw, hemos pasado a documento Word el Proyecto de Reforma LOPD y comparado con el anterior documento publicado en la Consulta Pública.
Publicamos en DPO&itlaw en Documento word el Proyecto de Reforma LOPD en dos versiones:

 

 

Versión Completa en Word con hipervínculos en el índice y con control de cambios respecto a la última versión del Ministerio de Justicia.

 

Versión Completa en Word con hipervínculos en el índice.

 

Esperamos sea de utilidad

20
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos  que adaptará la normativa de protección de datos española al Reglamento General de Protección de datos RGPD 2016/679 el cual introducen determinados derechos y obligaciones para la regulación del derecho fundamental a la protección de datos. Estas novedades del RGPD las podéis ver en nuestro área RGPD que estamos habilitando en  DPO&itlaw para una mejor comprensión del mismo.
 
Podéis acceder al Proyecto de Ley Publicado por el Ministerio de justicia a través del siguiente enlace.
Está prevista su aprobación para antes de mayo del 2018, y que por tanto coincida con la aplicación directa del RGPD, la cual está prevista para el 25 de mayo de 2018.
Estaremos expectantes al desarrollo y debate del Proyecto de Ley en el Parlamento, y os iremos informando de todas las novedades.
5
Oct

Sobre el buen gobierno corporativo

Entre febrero de 2009 y febrero de 2010, la OCDE emitió tres informes evaluando las causas de la grave crisis financiera sufrida y poniéndolas en consonancia con los principios de Buen Gobierno que desde el año 1999 se habían establecido en el seno de esta organización internacional.

Entre las principales debilidades detectadas por este organismo en las entidades financieras con mayor impacto en la crisis, se establecieron cuatro:

a) Las retribuciones
b) La gestión de los Riegos
c) Las Prácticas del consejo de administración
d) El ejercicio de los derechos de los accionistas

De aquellos barros vienen los lodos en los que hoy en día nos movemos en relación con entidades financieras a las que ha habido que rescatar con dinero público. En este sentido, la errónea y temeraria política de retribuciones de los miembros del consejo de administración de entidades rescatadas, está sentando en el banquillo a administradores que, en plena crisis y eludiendo en algunos casos los mecanismos de control de sus decisiones, optaron por atribuirse bonus sobre beneficios por los que ahora responden en vía penal. Los delitos que se les imputa son los de apropiación indebida y/o administración desleal.

Este ultimo delito es atribuible a las prácticas del consejo de administración que han sido señaladas como uno de los puntos débiles en las entidades que más han ahondado en la crisis. Por otra parte la deficitaria gestión de los riesgos se intenta paliar en el futuro con la Ley de Sociedades publicada en el 2014 que hace de esta obligación (la gestión del riesgo, incluidos los fiscales), una atribución indelegable del consejo en las sociedades cotizadas.

Para terminar, la vulneración del ejercicio del derecho inherente a los socios-auténticos propietarios de la empresa-sigue siendo perseguido por los Tribunales en sus vertientes civil y penal. Entre estos derechos está el de aprobar la cualificación que deben tener los miembros del órgano que gestiona su patrimonio, esto es el consejo de administración y el perfil, aptitudes, integridad, independencia y compromiso de los que lo integran.

Iñigo Gómez
Director General Gobercom

(fuente: Web Gobercom)

2
Oct

IV. Terceros intervinientes y los códigos de conducta y certificación (III)

  1. EL DELEGADO DE PROTECCIÓN DE DATOS

La figura del Delegado de Protección de Datos viene recogida en los art. 37 a 39 y en el considerando 97.

Artículo 37: Designación del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que:
    1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
    2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
    3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 (Tratamiento de categorías especiales de datos personales)y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).
  2. Un grupo empresarial podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento.
  3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único Delegado de Protección de Datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
  4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un Delegado de Protección de Datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El Delegado de Protección de Datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
  5. El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 (Funciones del Delegado de Protección de Datos).
  6. El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
  7. El responsable o el encargado del tratamiento publicarán los datos de contacto del Delegado de Protección de Datos y los comunicarán a la autoridad de control.

Artículo 38: Posición del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  2. El responsable y el encargado del tratamiento respaldarán al Delegado de Protección de Datos en el desempeño de las funciones mencionadas en el artículo 39 (Funciones del Delegado de Protección de Datos), facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  4. Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
  5. El Delegado de Protección de Datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  6. El Delegado de Protección de Datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 39: Funciones del Delegado de Protección de Datos

  1. El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
    1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
    2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
    3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 (Evaluación de impacto relativa a la protección de datos);
    4. cooperar con la autoridad de control;
    5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 (Consulta previa), y realizar consultas, en su caso, sobre cualquier otro asunto.
  2. El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

  1. Alcance

La designación de un Delegado de Protección de datos es obligatoria para el responsable y encargado de tratamiento en los supuestos en los que:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Es necesario, por tanto, tener la condición de autoridad u organismo público o realizar actividades a gran escala de monitorización o de observación habitual y sistemática de los interesados, o de categorías especiales de datos o aquellos relativos a condenas o infracciones penales. Es importante, por tanto, resaltar que nuevamente se incorpora el concepto gran escala, es decir, no sólo deben de existir tratamientos de categorías especiales de datos o tratamientos sistemáticos habituales del interesado, si no que los mismos deben de ser realizados a gran escala.

Por tanto, al igual que en la Evaluación de Impacto, es necesario realizar una mención al considerando 91 para tratar de esclarecer que se entiende por gran escala según el RGPD:

(91)….las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

En este sentido los tratamientos a nivel local, aunque se realicen a través de tratamientos sistemáticos habituales o de categorías especiales de datos, no supondrán la obligación de designación de un Delegado de Protección de Datos ya que los mismos no se producen a nivel regional, nacional o supranacional.

No obstante, el principio de Accountability o Responsabilidad Proactiva demanda la existencia de un órgano de control que vele por el cumplimiento del RGPD en la empresa u organización, siendo por tanto recomendable encomendar dichos trabajos de verificación y supervisión del cumplimiento a una Persona física u órgano colegiado que se encargará de la eficaz implantación del RGPD dentro de la organización o empresa. A este respecto, llama la atención la referencia que se realiza en el art. 47.2 h) relativo al contenido de las normas corporativas vinculantes:

  1. h) las funciones de todo Delegado de Protección de Datos designado de conformidad con el artículo 37 (Designación del delegado de protección de datos), o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;

Consideramos por tanto, que si bien no es necesario su nombramiento y por tanto no sancionable su designación es recomendable su existencia como órgano de supervisión del cumplimiento del RGPD en la organización o empresa.

En los supuestos de grupos empresariales se podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento. Igualmente, en el caso de autoridades u organismos públicos, se podrá designar un único Delegado de Protección de Datos para varias autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD. Así mismo podrá ser externalizado o formar parte de la plantilla del responsable o encargado. Sus datos de contacto deberán ser publicados y comunicados a la Autoridad de Control competente. A este respecto conviene señalar que no necesariamente se deben publicar el nombre y apellidos del Delegado de Protección de Datos bastando identificar los datos de contacto del mismo.

 

  1. Contenido

En el art 38 de RGPD se establece la Posición del Delegado de Protección de Datos

  • Debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le deberán facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  • No puede recibir instrucciones en lo que respecta al desempeño de dichas funciones.
  • No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
  • Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  • Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para cualesquiera cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
  • Estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  • Podrá desempeñar otras funciones y cometidos, debiendo garantizarse que las mismas no den lugar a un conflicto de intereses.

Respecto a las funciones del Delegado de Protección de Datos el art. 39 del RGPD señala que las funciones mínimas serán:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les conforme al RGPD, así como de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en RGPD y de otras disposiciones o políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 


  • El Delegado de Protección de Datos será obligatorio en los supuestos de autoridades y organismos públicos, y en los supuestos de tratamiento a gran escala de datos para actividades de tratamientos sistemáticos habituales o tratamientos de categorías especiales de datos.
  • Puede ser externalizado.
  • Debe tener conocimientos especializados en Derecho y en la práctica de Protección de Datos
1
Oct

¿Se puede acceder al correo electrónico de un trabajador despedido?

Cuando un trabajador es despedido en la empresa nos surgen una serie de cuestiones y preguntas respecto al acceso a la información que gestionaba dicho trabajador en nombre de la empresa….

¿puedo acceder a los correos electrónicos que envió y recibió desde su ordenador?
¿puedo acceder a los archivos que almacenó en la gestión de su trabajo?
¿puede acceder la persona que le sustituye a las carpetas e información que gestionaba?
¿qué debo de hacer con su cuenta de correo electrónico creada?
¿si accedo a sus mensajes de correo electrónico estoy cometiendo un delito?

Vamos a intentar responder a estas cuestiones que nos surgen en el día a día de la empresa y esclarecer en la medida de lo posible dichos accesos a la información del trabajador.

El acceso a la información del trabajador y en concreto el acceso al correo electrónico del trabajador es un asunto bastante controvertido, ya que parece que los propios tribunales se contradicen entre sí (Sala de los Social y Sala de lo Penal del Tribunal Supremo).

La Sala de lo Social del Tribunal Supremo en su sentencia de 26 de septiembre y 6 de octubre de 2011 establece que cuando la comunicación es el objeto mismo de la prestación laboral y se ha prohibido su uso para fines personales, el empresario está facultado para acceder a la información de sus trabajadores sin su consentimiento y sin necesidad de demandar la correspondiente autorización judicial, pues la actuación del trabajador se encuentra en el ámbito empresarial y no personal, y por tanto no cuenta con ninguna expectativa de confidencialidad. Así se confirma por la Sentencia del Tribunal Constitucional 170/2013 que establece que el secreto de las comunicaciones no queda vulnerado si existe una prohibición expresa previa del uso privado o personal de la cuenta de correo electrónico corporativo facilitada al empleado. Dicha necesidad de información previa se deduce también de reciente sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos de Estrasburgo que el pasado 5 de septiembre de 2017, en la que se concede el amparo a un trabajador por el acceso sin previo aviso de la empresa al correo electrónico del trabajador.

Por otro lado la Sala de lo Penal del tribunal Supremo 2844/2014 establece que en el caso de los correos electrónicos del trabajador sin abrir, rige el secreto de las comunicaciones del art. 18.3 de la Constitución  Española, no así respecto de aquellos correos ya leídos o abiertos, los cuales efectivamente rige lo establecido por la Sala de los Social, es decir, podrán monitorizarse y controlar su contenido siempre y cuando se haya prohibido el uso de los mismos para cuestiones personales y se haya informado de la posibilidad de monitorización y control a través de normativa interna en la empresa.

Por tanto, respondiendo a las preguntas antes comentadas la empresa podrá acceder a aquella información del trabajador que se encuentre en el ámbito empresarial y no personal, siempre y cuando:

• Se establezca internamente y se regule el uso de los medios tecnológicos.
• Se informe previamente que existe un control empresarial de dichos medios
• Se prohíba expresamente el uso para fines personales.
• La medida de control es proporcional (idónea, necesaria y proporcional, es decir no existe otra medida menos invasiva para dicho control).

Estas medidas garantizarán al empresario la posibilidad de control, y por tanto que no exista en la empresa una expectativa de confidencialidad sobre dicha información por parte de los trabajadores.

Sin embargo, todavía nos surgen determinadas preguntas:

¿pero qué ocurre con el correo electrónico del trabajador despedido?
¿debo de eliminar la cuenta?
¿puedo revisar los correos que le envían tras el despido?

La normativa de protección de datos establece que el dato de carácter personal (la cuenta de correo electrónico es un dato de carácter personal) debe ser cancelado cuando deje de ser útil para la finalidad en la que se recabó. La cancelación conforme al art. 5 b) del Reglamento desarrollo de la LOPD implica

el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Esto significa, que si el dato personal deja de ser útil para la finalidad en la que fue recabado (despido o baja voluntaria), deberá ser bloqueado por la empresa. En estos casos, conforme a la normativa de protección de datos el correo electrónico debería ser cancelado, o bloqueado, es decir sólo se puede tratar el mismo para ponerlo a disposición de jueces, tribunales  y autoridades competentes por la posible responsabilidad de la empresa surgida con el ex trabajador.

En estos supuestos lo que normalmente suele hacer la empresa, es incluir un mensaje de respuesta automático programado por un tiempo prudencial para dicha cuenta de correo electrónico. De esta manera, cuando se produce el envío de correos electrónicos a la dirección de correo electrónico del ex trabajador se indica con un correo automático de respuesta que la dirección de correo electrónico ha causado baja en la empresa y que la nueva dirección de correo electrónico con la que se deben de poner en contacto es aquella identificada como la persona o departamento que le sustituye.

Sin embargo, pueden existir determinados supuestos excepcionales (puestos de relevancia estratégica para la empresa o despidos conflictivos), en los que la empresa necesita saber por cuestiones de negocio o empresariales si ha existido dicha comunicación de clientes o terceros con el ex trabajador, y por tanto lo que se suele realizar en estos casos es, además de incluir el mensaje de respuesta automática, redirigir el correo electrónico que recibía el ex trabajador a otra cuenta de correo (generalmente el responsable de departamento o superior jerárquico). En estos casos excepcionales, entendemos que los correos electrónicos recibidos en ningún caso podrán ser abiertos, ya que conforme a la Sala Penal del Tribunal Supremo se estaría infringiendo el derecho fundamental al secreto de las comunicaciones. Además, conforme a la normativa de protección de datos, los mismos deberían ser bloqueados y puestos a disposición de las autoridades en atención a las distintas responsabilidades que pudieran surgir del tratamiento. Por tanto, dichos correos recibidos y no abiertos, deberán en todo caso ser bloqueados y únicamente permitir el acceso a los mismos a los jueces, tribunales y autoridades administrativas, ya que el acceso a los mismos podría ser constitutivo de un delito del art. 197 del Código Penal con condenas de prisión de 1 a 4 años y multa de 12 a 24 meses.

 

Fernando Mª Ramos Suárez

Socio Director DPO&itlaw

fernandoramos@dpoitlaw.com

 

25
Sep

Gobercom, partner tecnológico para las soluciones de Compliance Penal

DPO & It Law tiene un nuevo partner tecnológico para la definición de soluciones y prestación de servicios de Compliance PENAL. Gobercom es una consultora especializada en la implementación de planes de prevención de responsabilidad penal en las empresas, creada en 2014 por profesionales con más de 20 años de experiencia en compliance penal en multinacionales americanas y en España.

25
Sep

IV. Terceros intervinientes y los códigos de conducta y certificación (II)

EL ENCARGADO DE TRATAMIENTO

La figura del encargado de tratamiento viene recogida en el art. 4.8, 28 y 29 y considerando 81 del RGPD.

Artículo 4: Definiciones

  1. “encargado del tratamiento” o “encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

Artículo 28: encargado del tratamiento

  1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
  2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
  3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
    1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
    2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
    3. tomará todas las medidas necesarias de conformidad con el artículo 32 (Cooperación con la autoridad de control);
    4. respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
    5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
    6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 (Seguridad del tratamiento) a 36 (Consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
    7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
    8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

  1. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  2. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 (Códigos de conducta) o a un mecanismo de certificación aprobado a tenor del artículo 42 (Certificación) podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
  3. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 (Certificación) y 43. (Organismo de certificación).
  4. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, (Procedimiento de comité) apartado 2.
  5. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63 (Mecanismo de coherencia).
  6. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
  7. Sin perjuicio de lo dispuesto en los artículos 82, (Derecho a indemnización y responsabilidad) 83 (Condiciones generales para la imposición de multas administrativas) y 84, (Sanciones) si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 29: Tratamiento bajo la autoridad del responsable o del encargado del tratamiento

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

 

  1. Alcance

Tanto el considerando 81 como el propio art. 28.1 nos avanza que los encargados de tratamiento deben de ser cualificados y que por tanto el responsable está obligado a elegir exclusivamente a aquellos encargados de tratamiento que puedan garantizar el cumplimiento del RGPD respecto del tratamiento que lleven a cabo por cuenta del responsable.

Por tanto, todo encargado de tratamiento debe de reunir conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD, incluida la seguridad del tratamiento.

La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación puede servir como elemento para demostrar el cumplimiento de las obligaciones por parte del responsable de elección de un encargado de tratamiento cualificado. En la práctica, esta medida va a suponer una verdadera carrera por la certificación o aprobación de códigos de conducta que permitan demostrar o cualificar a los encargados de tratamiento y por tanto garantizar el cumplimiento del RGPD. Se prevé, por tanto, que aquellos encargados de tratamiento que cumplan con las respectivas certificaciones o códigos de conducta tendrán menos barreras de entrada en la prestación de servicios a responsables de tratamiento, ya que con la obtención de dichas certificaciones estarán cumpliendo indirectamente con la obligación del responsable de contratar con un encargado de tratamiento cualificado.

  1. Contenido

La prestación de los servicios con acceso a datos por parte de un encargado deberá regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable el cual deberá constar por escrito, inclusive en formato electrónico.

Si bien nuestra normativa ya preveía la redacción de este contrato entre responsable y encargado, el RGPD establece prácticamente las mismas obligaciones que nuestra normativa establecía en cuanto contenido que debía ser incluido en dichos contratos. El contrato de encargado de tratamiento por tanto deberá hacer mención expresa a los siguientes contenidos:

  1. Objeto.
  2. Duración.
  3. Naturaleza y finalidad del tratamiento.
  4. Tipo de datos personales.
  5. Categorías de datos personales tratados.
  6. Interesados afectados.
  7. Obligaciones y derechos del responsable del tratamiento.
  8. Obligación del encargado de tratar los datos únicamente siguiendo instrucciones del responsable las cuales deberán estar documentadas.
  9. Establecer imponer el deber de confidencialidad de todas personas que accedan a los datos de carácter personal en la prestación de los servicios.
  10. Garantizar el cumplimiento de las medidas de seguridad conforme el art. 32 del RGP.
  11. En los supuestos de contratación de subencargados del tratamiento será necesaria la autorización del responsable que podrá ser:
    • Una autorización específica para la subcontratación identificando por tanto al subencargado.
    • Una autorización general, debiendo en este caso informar al responsable sobre la incorporación de encargados o sustitución de existentes con el objeto de que el mismo pueda oponerse a dichos cambios.
  1. Asistencia al responsable en ejercicio de derechos y en el cumplimiento de las obligaciones marcadas por los art. 33 a 36 del RGPD (Violación de Seguridad, Evaluaciones de impacto y Consulta Previa).
  2. Establecer a elección del responsable la devolución o destrucción datos, suprimiendo las copias existentes salvo que se requiera la conservación de datos en virtud del Derecho de la Unión o de los Estados miembros.
  3. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28, es decir las propias del encargado, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable u otro auditor autorizado por dicho responsable.

Por último, se establece también la posibilidad por parte de la Comisión y las Autoridades de Control nacionales de desarrollar contratos modelo para regular y fijar este tipo de relaciones.


  • El responsable está obligado a elegir exclusivamente a aquellos encargados de tratamiento que puedan garantizar el cumplimiento del RGPD.
  • En los supuestos de autorizaciones generales para la subcontratación el responsable se podrá oponer a la inclusión de nuevos subencargados.
  • El encargado está obligado a facilitar la información necesaria para garantizar el cumplimiento de sus obligaciones, incluidas las auditorías e inspecciones realizadas por el responsable o un tercero.
21
Sep

IV. Terceros intervinientes y los códigos de conducta y certificación (I)

TERCEROS INTERVINIENTES Y LOS CÓDIGOS DE CONDUCTA Y CERTIFICACIÓNCORRESPONSABLES Y REPRESENTANTES NO ESTABLECIDOS EN LA UE

  • Corresponsables

La figura del Corresponsable viene recogida en el art. 26, 82.3-5 y considerandos 79 y 146 del RGPD.

Artículo 26: Corresponsables del tratamiento

  1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado) y 14, (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
  2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
  3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.

Artículo 82: Derecho a indemnización y responsabilidad

  1. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
  2. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

El RGPD establece la posibilidad de que exista un tratamiento conjunto de datos de carácter personal, siempre y cuando los responsables del tratamiento determinen conjuntamente los objetivos o finalidades del tratamiento y establezcan los medios necesarios para el mismo. Se pueden dar por ejemplo estos supuestos en la recogida de datos realizada por Grupos Empresariales.

Serán por tanto corresponsables del tratamiento y deberán determinar de forma transparente y de mutuo acuerdo, qué responsabilidad ostentan cada uno en cumplimiento de las obligaciones que marca el RGPD. Para ello, deberán formalizar un acuerdo, en el que se expresen dichas obligaciones y en particular, en el que se indique la forma en la que los interesados serán informados, así como el punto de contacto para ejercitar el derecho de acceso. Dicho acuerdo o un resumen del mismo deberá estar a disposición de los interesados.

Con independencia del establecimiento de un único punto de contacto para el ejercicio de los derechos, lo interesados podrán ejercitar sus derechos frente a cualquiera de los responsables del tratamiento.

Por otro lado y en relación con las posibles responsabilidades que surgen respecto a los daños y perjuicios causados a los interesados, el art. 82 apartado 3 establece que el responsable o encargado de tratamiento no será responsable si demuestra su fala de culpabilidad respecto al daños causado, y por otro lado el art.82 apartado 5, establece que aquel corresponsable que haya pagado una sanción o indemnización de daños y perjuicios podrá reclamar a los demás corresponsables la parte proporcional en función de las responsabilidades asumidas por cada responsable. Se establece por tanto la posibilidad del interesado de reclamar a cualquiera de los corresponsables, los cuales deberán responder por la totalidad con independencia de que con posterioridad puedan repetir contra los demás corresponsables por la parte proporcional en función de la responsabilidad asumida.

El RGPD establece por tanto la completa responsabilidad de los Corresponsables, de tal manera que el interesado puede ejercer sus derechos frente o contra cualquiera de los responsables, asumiendo los mismos la indemnización o reparación del daño con independencia de que fueren o no responsables del mismo. Estos derechos del interesado implican por parte de los corresponsables un análisis y estudio previo del grado de responsabilidad que deberán asumir en los supuestos en los que traten datos personales de forma conjunta, ya que deberán responder ante cualquier demanda o solicitud de indemnización de daños y perjuicios producidos por el ellos mismos o por terceros responsables del tratamiento o corresponsables.

 

  1. Representantes

La figura del Representante viene recogida en el art. 4, 27, y considerando 80.

Artículo 4: Definiciones

  1. “representante”: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 (Representantes de responsables o encargados del tratamiento no establecidos en la Unión), represente al responsable o al encargado en lo que respecta a sus respectivas 0obligaciones en virtud del presente Reglamento;

Artículo 27: Representantes de responsables o encargados del tratamiento no establecidos en la Unión

  1. Cuando sea de aplicación el artículo 3, (Ámbito territorial) apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.
  2. Esta obligación no será aplicable a:
    1. el tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, (Tratamiento de categorías especiales) apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, (Condenas e infracciones) y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
    2. las autoridades u organismos públicos.
  3. El representante estará establecido en uno de los Estados miembros en que estén los interesados y cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.
  4. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.
  5. La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

 

  1. Alcance

La obligación de la designación de un representante surge para aquellos responsables o encargados de tratamiento no establecidos en la UE pero que realicen tratamiento de datos personales de interesados que residan en la UE y cuyas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios a dichos interesados, o en el control de su comportamiento, es decir para toda empresa extranjera que ofrezcan bienes o servicios a residentes Europeos, o simplemente estudie el control de su comportamiento en la Unión Europea. (Ver pág. 11 Unidad 1, 3.3 Ámbito Territorial).

No seré necesaria dicha designación:

  • A las autoridades y organismos públicos.
  • Al tratamiento ocasional siempre y cuando el mismo no suponga:
    • Un tratamiento a gran escala de datos personales de categoría especial o de condenas e infracciones penales.
    • Que sea improbable que el tratamiento entrañe riesgo para los derechos y libertades de las personas físicas.
  1. Contenido

El Representante podrá establecerse en cualquier de los Estados miembros en los que se encuentren los interesados y cuyos datos personales son tratados, bien para la oferta de bienes y servicios o bien para el estudio del comportamiento.
Entre sus funciones se encargarán fundamentalmente la atención de las consultas de cualquier Autoridad de Control y así como de los interesados sobre cualquier asunto relativo al tratamiento de datos.

 

La designación deberá constar por escrito según lo establecido en el considerando 80, y con independencia de las funciones que ostenta de cooperación con las autoridades de control o de consulta éstas últimas o de los interesados, se podrán ejercitar acciones contra el propio responsable o el encargado. Así mismo, se establece expresamente por el considerando 80 que el representante podrá ser objeto de sanción o de medidas coercitivas en supuestos de incumplimiento por parte del responsable o del encargado, siendo por tanto recomendable en los acuerdos de designación el establecimiento de fuertes cláusulas de indemnización en el supuesto de sanción por el incumplimiento del responsable o encargado.

 


  1. Los corresponsables deberán establecer por escrito el acuerdo en el que se identifique la responsabilidad de cada uno, debiendo facilitar copia o resumen el mismo a los interesados.
  2. Cualquier de los corresponsables podrá responder de los daños y perjuicios causados, pudiendo con posterioridad repetir contra los mismos por la parte proporcional de responsabilidad que corresponda a cada uno.
  3. La designación de Representante es obligatoria para aquellos responsables o encargados no establecidos en la UE cuyas actividades de tratamiento estén relacionadas con ofertas de bienes o servicios a residentes europeos o estudios en el control de su comportamiento.
  4. El Representante podrá ser responsable de los incumplimientos del responsable o encargado.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies