1. ASPECTOS LEGALES DE LA TRANSFORMACIÓN DIGITAL
Novedades y cambios
Manuel Alonso Porri – Socio Departamento TMT JAUSAS
2. 2
Departamento TMT
Compliance
Contratación
Digital Business /
E-Commerce
E-entertainment
Nuestros servicios de compliance buscan adecuar los procesos corporativos a la
regulación, con el objetivo de asegurar la elusión de sanciones, especialmente en
materia de protección de datos y servicios de la sociedad de la información.
• Outsourcing de servicios,
productos y plataformas (IT
services).
• Contratos de desarrollo y
distribución de software.
• Contratos de conectividad,
hosting, housing, backups,
SLA, etc.
• Contratación SaaS.
• Contratación Cloud.
Los negocios online tienen una
serie de particularidades que
nuestro equipo TIC conoce bien,
lo que garantiza a nuestros
clientes una aproximación eficaz,
especialmente en proyectos de
alta sofisticación.
Las obras audiovisuales y
destinadas al entretenimiento
exigen un profundo conocimiento
de la propiedad intelectual, la
tecnología y el entorno
multimedia.
Nuestro equipo cuenta con una
experiencia de décadas de
asesoramiento a este sector tan
particular.
Ciberseguridad
La Ciberseguridad es un ámbito multidisciplinar de servicios profesionales, con
causa en la explosión de incidentes de intrusión a los sistemas de información
corporativos, y con grave impacto económico y reputacional.
3. 3
Marco normativo aplicable
Protección de datos
• Antes del 25/05/2018:
• Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos
de Carácter Personal.
• Real Decreto 1720/2007, de 21 de
diciembre de desarrollo de la LOPD.
• A partir del 25/05/2018:
• Reglamento 2016/679 del
Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la
protección de las personas físicas
en lo que respecta al tratamiento de
datos personales y a la libre
circulación de estos datos (RGPD).
• Proyecto de Ley Orgánica de
Protección de Datos de Carácter
Personal.
Servicios de la sociedad de la
información
• Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la
información y de comercio
electrónico.
Propiedad Intelectual e Industrial
•Real Decreto Legislativo 1/1996, de 12
de abril, por el que se aprueba el texto
refundido de la Ley de Propiedad
Intelectual, regularizando, aclarando y
armonizando las disposiciones legales
vigentes sobre la materia.
•Ley 17/2001, de 7 de diciembre, de
Marcas
4. Los textos legales que deben estar presentes en un Sitio Web en el cual se
comercializan productos son:
Aviso Legal y Condiciones General de la Contratación.
Política de Privacidad.
Política de cookies.
Respecto todos ellos, existe un mínimo de información básica que un prestador
de servicios de la sociedad de la información debe facilitar y que desarrollaremos
a continuación.
4
Regulación e-commerce
5. AVISO LEGAL
1. Denominación social, Número de Identificación Fiscal (NIF), domicilio y dirección de correo electrónico,
así como cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un
teléfono o un número de fax.
2. Datos de inscripción, en el caso de que la empresa esté registrada en el Registro Mercantil o en
cualquier otro registro público.
3. Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos
de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.
4. Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos
electrónicamente.
5. En los casos de que su actividad esté sujeta a autorización previa o ejerza una profesión regulada,
deberá informar a los usuarios sobre los siguientes aspectos:
Si ejerce alguna profesión regulada (abogado, médico, arquitecto, ingeniero), los datos básicos
que acrediten su derecho a ejercer dicha profesión (colegio profesional al que pertenece, número
de colegiado, título académico, Estado de la Unión Europea en que se expidió el título académico
y, en su caso, la correspondiente homologación).
Si su actividad estuviera sujeta a autorización administrativa, los datos de la autorización de que
disponga y los identificativos del órgano encargado de su supervisión.
5
Regulación e-commerce
6. CONDICIONES GENERALES DE CONTRATACIÓN
1. Información general del Sitio Web
2. Acceso al Sitio Web y necesidad de registro si lo hubiere
3. Normas de utilización del Sitio Web
4. Contenidos y servicios enlazados a través del Sitio Web
5. Propiedad intelectual e industrial
6. Procedimiento de compra de productos y/o servicios
7. Los medios técnicos que pone a su disposición para identificar y corregir los errores en la
introducción de los datos, antes de confirmarlos.
8. Información sobre el precio de los productos, indicando si incluye o no los impuestos
aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de
normas autonómicas aplicables.
9. La política de devoluciones de producto.
10.El ejercicio del derecho de desistimiento del Usuario.
11.La posibilidad de realizar quejas o reclamaciones por parte del Usuario.
12.La responsabilidad y garantías del empresario respecto los productos y/o servicios que
comercializa.
6
Regulación e-commerce
7. POLÍTICA DE PRIVACIDAD
1. Identificación del Responsable del Fichero y de su DPO.
2. Datos de carácter personal tratados.
3. Finalidades del tratamiento de datos personales y plazo de
conservación.
4. Base jurídica del tratamiento.
5. Destinatarios.
6. Ejercicio de derechos.
7. Posibilidad del interesado de presentar cualquier reclamación ante la
autoridad competente.
7
Regulación e-commerce
8. POLÍTICA DE COOKIES
Se deberá informar sobre el uso de cookies y obtener el consentimiento del usuario antes de instalar
una cookie en su ordenador, ya sea ésta propia o de terceros.
Si la página web utiliza cookies (analíticas, publicidad, publicidad comportamental) hace falta:
1. Informar de forma clara y completa al usuario
2. Obtener su consentimiento
La información al usuario tiene que ser clara y completa sobre los usos de las cookies, sobre la
finalidad y cómo revocar el consentimiento y eliminarlas.
Para la obtención del consentimiento del usuario se puede hacer bien por la aceptación de los
"términos y condiciones de uso de la página web" o de la "política de privacidad", bien a través del
formato de "información por capas" considerando obtenido el consentimiento del usuario si, a pesar
de que este no manifiesta expresamente su consentimiento al uso de las cookies, continúa
utilizando la página web.
8
Regulación e-commerce
10. 10
Nuevo marco normativo
El nuevo marco normativo que nos encontraremos, será el siguiente:
Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE:
Reglamento general de protección de datos o RGPD.
Anteproyecto Ley Orgánica de Protección de Datos, modificación de la LOPD actual para
adaptarla al RGPD. En el punto que se encuentra en la mayoría de su articulado se remite al
RGPD.
¿Desaparición del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos?.
11. Para entonces todos los responsables de fichero
deberán estar adecuados al RGPD.
Previamente a su aplicación, los responsables,
deberían adecuar determinados aspectos de su
actividad.
Como por ejemplo, revisar la manera de
recabar el consentimiento de los titulares de
datos.
11
Entrada en vigor y
aplicación del RGPD
Entrada en vigor y aplicación.
El RGPD entró en vigor el 25 de mayo de 2016 pero por vacatio legis para facilitar la
adaptación será exigible hasta dos años después, el 25 de mayo de 2018. Hasta
entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre
ellas la española, siguen siendo plenamente válidas y aplicables.
12. Ámbito de aplicación material y territorial
El Reglamento se aplicará:
Al tratamiento total o parcialmente automatizado de datos personales, así como al
tratamiento no automatizado de datos personales contenidos o destinados a ser
incluidos en un fichero EXCEPCIONES
Como hasta ahora a responsables o encargados de tratamiento de datos
establecidos en la Unión Europea, y se amplía a responsables y encargados no
establecidos en la UE siempre que realicen tratamientos derivados de una oferta de
bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una
monitorización y seguimiento de su comportamiento.
Entonces, ¿A USTEDES LES APLICA?
12
Ámbito de aplicación del
RGPD
13. 13
Principales novedades del
RPGD
1. Aumento de la cuantía de las sanciones
LOPD
RGPD
900 a
40.000 €
Infracció
n leve
Hasta
10.000.000
€ o el 2 %
del
volumen de
negocio
anual
global del
ejercicio
financiero
anterior
LOPD
RGPD
40.001 a
600.000 €
Infracció
n grave o
muy
grave
Hasta
20.000.000 €
o el 4 % del
volumen de
negocio
anual global
del ejercicio
financiero
anterior
14. 2. Principio de responsabilidad activa.
La responsabilidad activa se basa en la prevención por parte de las organizaciones
que tratan datos, mediante la adopción de medidas que aseguren razonablemente
que están en condiciones de cumplir con los principios, derechos y garantías que el
RGPD establece. Para ello, el RGPD prevé una batería completa de medidas:
Protección de datos desde el diseño
Protección de datos por defecto
Medidas de seguridad
Mantenimiento de un registro de tratamientos
Realización de evaluaciones de impacto sobre la protección de datos
Nombramiento de un delegado de protección de datos
Notificación de violaciones de la seguridad de los datos
Promoción de códigos de conducta y esquemas de certificación.
14
Principales novedades del
RPGD
15. 3. Registro de actividades de tratamiento
Los responsables y encargados del tratamiento tienen que llevar un registro de las
actividades de tratamiento que lleven a cabo. Este registro debe contener, respecto
de cada actividad, la información que establece el artículo 30 del RGPD.
Esta información incluye cuestiones como:
Nombre y datos de contacto del responsable y, en su caso,
corresponsable, así como del Delegado de Protección de Datos si
existiese.
Finalidades del tratamiento.
Descripción de categorías de interesados y categorías de datos personales
tratados.
Transferencias internacionales de datos.
Cuando sea posible, plazos previstos para la supresión de los datos.
Cuando sea posible, una descripción general de las medidas técnicas y
organizativas de seguridad.
15
Principales novedades del
RPGD
16. 4. Evaluaciones de impacto (EIPD)
Cuando sea probable que un tratamiento, especialmente si se utilizan las nuevas
tecnologías, por su naturaleza, alcance, contexto o finalidades, suponga un riesgo alto
para los derechos y libertades de las personas físicas, el responsable debe hacer una
evaluación del impacto de las operaciones de tratamiento en la protección de datos
personales antes de iniciar el tratamiento.
La necesidad de realizar una evaluación de impacto y su contenido
El RGPD contiene una lista indicativa de tres supuestos en que se considera que los
tratamientos conllevan un alto riesgo:
Elaboración de perfiles sobre cuya base se tomen decisiones que
produzcan efectos jurídicos sobre los interesados o que les afecten
significativamente de modo similar.
Tratamiento a gran escala de datos sensibles.
Observación sistemática a gran escala de una zona de acceso público.
16
Principales novedades del
RPGD
17. 5. Delegado de protección de datos (DPD, en inglés DPO)
El Reglamento introduce la figura del delegado de protección de datos, que podrá formar
parte de la plantilla del responsable o encargado o actuar en el marco de un contrato de
servicios. Será necesario designar un delegado de protección de datos en los casos
siguientes:
Cuando el tratamiento lo realice una autoridad u organismo público (excepto
juzgados y tribunales). En este caso, se podrá designar un único delegado
de protección de datos para diversas de estas autoridades u organismos.
Cuando el tratamiento requiera la observación habitual y sistemática de
interesados a gran escala.
Cuando el tratamiento tenga por objeto categorías especiales de datos
personales o datos relativos a condenas o infracciones penales.
17
Principales novedades del
RPGD
18. 6. Medidas de seguridad
El RGPD no establece un listado de las medidas de seguridad concretas ello implica tener que
hacer un análisis de los riesgos asociados a cada tratamiento, este análisis debería dar
respuesta a las siguientes preguntas:
¿Se tratan datos sensibles?
¿Se tratan datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos con una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo
tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a
geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las
cosas?
Cuanto mayor fuera el número de respuestas afirmativas mayor sería el riesgo que podría
derivarse del tratamiento.
18
Principales novedades del
RPGD
19. 7. Obtención del consentimiento.
El Reglamento pide que el consentimiento, con carácter general, sea libre, informado,
específico e inequívoco.
Consentimiento ha de ser explícito en algunos casos, como puede ser para autorizar el
tratamiento de datos sensibles.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes
recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó
su consentimiento. Por ello, es importante revisar los sistemas de registro del
consentimiento para que sea posible verificarlo ante una auditoría.
19
Principales novedades del
RPGD
CONSENTIMIENTO TÁCITO
20. 7.1. Deber de información al paciente.
Es toda aquella información previa que deberá facilitarse a los pacientes para el
tratamiento de sus datos. Dicha información debe ser la siguiente:
Identidad y datos de contacto del responsable.
Datos de contacto del DPO.
Todas las finalidades del tratamiento a que se destinan los datos y la base jurídica
del tratamiento.
Destinatarios (cesiones de datos).
Plazo de conservación.
Posibilidad de ejercer sus derechos de acceso, rectificación, supresión, limitación,
oposición y portabilidad sobre sus datos personales.
Derecho a presentar una reclamación ante la AEPD.
La existencia de decisiones automatizadas (elaboración de perfiles).
Transferencias internacionales.
CONSECUENCIA revisar la manera de recabar el consentimiento de interesados.
20
Principales novedades del
RPGD
21. 7.2. Obtención del consentimiento.
El consentimiento debe darse mediante un acto afirmativo, especialmente en el
caso de pacientes de los cuales es necesario obtener el consentimiento explícito
de éstos.
El consentimiento debe darse para cada una de las diferentes finalidades de
tratamiento.
Por ejemplo: si además de tratar los datos de un cliente para prestarle el
servicio se le quiere enviar publicidad de los servicios de la Compañía, se
deberá obtener el consentimiento de dicho cliente mediante acto afirmativo. Si
además se quieren ceder sus datos a otras empresas del grupo para esta
misma finalidad, se deberá obtener también el consentimiento del cliente.
La solicitud de consentimiento se presentará de tal forma que se distinga claramente
de los demás asuntos.
El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
21
Principales novedades del
RPGD
22. 22
Conclusiones
1. Existen aspecto legales importantes a tener en cuenta.
2. Para tener un Sitio Web de e-commerce necesitaremos unos textos
legales básicos.
3. 25 de mayo de 2018 - fecha de aplicación del RGPD y fecha a partir
de la cual las autoridades pueden exigir su cumplimiento. La
protección de datos no es una materia pasajera, cada vez va a más.