Prevención de Blanqueo de Capitales y Protección de Datos Personales

Publicado en Blog
by
Martes, 21 Enero 2020
Visto 122 veces

Cada día son más las normas sectoriales afectadas por la protección de datos de carácter personal, llegando a alcanzar desde el sector sanitario, protección de menores, publicidad, videovigilancia hasta la prevención del fraude, entre otros. En ocasiones han sido tratadas en nuestro Blog algunas de estas materias (como aquí, aquí o aquí), pero queremos centrar esta publicación en el análisis de la relación que guardan la normativa en materia de Prevención de Blanqueo de Capitales y las normas de Protección de Datos Personales.

Para ello, enfocaremos nuestra atención exclusivamente en la normativa que se encontraba vigente a fecha de 25 de mayo de 2018, resultando ya exigible el Reglamento Europeo de Protección de Datos (RGPD) y aquella que resulta aplicable a día de hoy:

Por lo tanto, analizamos a continuación los principios y derechos en materia de protección de datos que se encuentran regulados en esta normativa específica, así como los cambios que ha introducido la quinta Directiva en materia de prevención de blanqueo de capitales a este respecto.  

 Principios y Derechos  Ley 10/2010  Directiva 2018/843
 Principio de información El artículo 32.3 contempla la exención al deber de informar al interesado, haciendo referencia en este caso a la ya derogada Ley Orgánica 15/1999.

No realiza ningún pronunciamiento respecto a la exención a informar al interesado.

Habrá que atender a la transposición de la Directiva al ordenamiento jurídico español, para conocer si el legislador mantiene la exención prevista en la Ley 10/2010, haciendo en este caso remisión al RGPD, en lugar de la LOPD 15/1999. 

 Legitimación El artículo 32 determina que no es preciso el consentimiento del afectado para el tratamiento de los datos de carácter personal contenidos en los mencionados ficheros.  La modificación del artículo 43 introduce que el tratamiento de datos personales en virtud de la presente Directiva a fines de prevención del blanqueo de capitales y la financiación del terrorismo se considerará de interés público. Entendemos por tanto que este tratamiento estará legitimado conforme al artículo 6.1 e) RGPD.
 Plazo de conservación El artículo 25 indica que los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la presente ley.  No introduce cambios al respecto, al mantener en el artículo 40 que la prórroga máxima del período de conservación de cinco años no excederá de un período de cinco años adicionales. Así, el plazo actual de diez años establecido en la normativa española, se mantiene dentro de los límites mínimo y máximo ahora fijados por la Directiva.
 Derechos de los interesados El artículo 32.3. contempla que no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

No realiza modificaciones al respecto, por lo que podemos interpretar que el contenido del Considerando 46 de la cuarta Directiva a este respecto, continuará siendo aplicable, entendiendo la remisión realizada a la Directiva 95/46/CE al RGPD.

Sin perjuicio de todo lo anterior, consideramos merecedor de un estudio más específico, el ámbito de aplicación subjetivo de la Ley 10/2010 y los cambios introducidos por la Directiva 2018/843 a este respecto. ¿Por qué nos interesa esta cuestión en especial?

Sanciones AEPD: brechas de seguridad y medidas de seguridad. Datos sindicales.

Publicado en Blog
by
Viernes, 10 Enero 2020
Visto 165 veces

En nuestra última publicación del blog (ver aquí), hemos analizado los informes mensuales emitidos por la Agencia Española de Protección de Datos (AEPD), respecto a las notificaciones de brechas de seguridad que ha recibido hasta el mes de noviembre del ya pasado año 2019. De tal análisis, hemos concluido que, de las 1296 notificaciones de brechas de seguridad recibidas, sólo 79 se llegaron a trasladar a la Subdirección General de Inspección de Datos para el esclarecimiento de los hechos y que, no obstante, se llegaron a archivar la mayor parte de las actuaciones, al haberse analizado tanto la diligencia de responsables y encargados, como las medidas que han sido aplicadas para evitar los posibles incidentes de seguridad (principio de responsabilidad proactiva).

La AEPD vuelve a reafirmarse en esta postura en una reciente resolución (PS/00305/2019), en la que, por el contrario, impone una sanción a una entidad la cual ha sufrido una brecha de seguridad, por considerar en este caso, que se ha producido una infracción del artículo 32 del Reglamento  General Europeo de Protección de Datos (RGPD), al no haberse aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En concreto, la brecha de seguridad a la que nos referimos consistió, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas. Este incidente tuvo lugar en la sede uno de los sindicatos más representativos, que se situaba dentro del edificio de la empresa, y le ocurrió precisamente a un Delegado de sección sindical, que por tal condición, tenía acceso a la oficina, y cuya propiedad de los pendrives ostentaba. Por ello, pese a que se trate de un trabajador de la empresa, la información no se ha visto afectada dentro de sus funciones como trabajador, sino como Delegado Sindical.

En primer lugar, debemos hacer referencia a que la empresa ha alegado que, la pérdida de los dispositivos de almacenamiento no ha sido en ningún caso consecuencia de una actitud negligente por su parte puesto que, la comunicación de los datos a los sindicatos está legitimada en el artículo 6.1 c) del RGPD, siendo el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical). Además, hace hincapié en que, en dicha remisión, se han guardado todas las medidas de seguridad necesarias y que, de todas formas, ella no tiene ninguna potestad para decidir acerca de cómo tratar los datos, ni les da instrucciones a los sindicatos acerca de cómo tratar los mismos, puesto que precisamente se trata de una comunicación y no de un acceso a datos por cuenta de un tercero, propio de una relación responsable – encargado del tratamiento.

No obstante, pese a las alegaciones formuladas por la entidad y, tratarse de dos responsables del tratamiento totalmente independientes la AEPD ha sancionado únicamente a la empresa, considerando a ésta la única responsable de la infracción, resultando curiosa esta decisión de la AEPD a la hora de sancionar únicamente a la entidad, principalmente por no justificar o entrar a valorar sus alegaciones, y determinar realmente quien es el responsable del tratamiento en este caso, máxime cuando la brecha ha sido notificada tanto por la empresa como por el sindicato.

En segundo lugar, respecto a la imposición de la multa administrativa en sí misma, la AEPD en virtud del artículo 83.2 del RGPD y atendiendo al caso concreto, ha tenido en cuenta dos factores agravantes y uno atenuante a la hora de determinar la cuantía de la misma:

Página 1 de 152

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal