Las empresas deben garantizar la eficiencia de su política de protección datos

Las empresas deben garantizar la eficiencia de su política de protección datos

La Sala III del Tribunal Supremo ha concluido que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultado, aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.

Puedes consultar la sentencia

En sentencia de la que ha sido ponente el magistrado Diego Córdoba, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).

Leer Más

Regulación del tratamiento de los datos personales de contacto de las personas físicas que presten servicios en una persona jurídica

Se establece que, salvo prueba en contrario, se presumirá amparado en lo dispuesto en el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumpla con una serie de requisitos.

El art. 19.1 de la LOPD-GDD/2018 autoriza el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica.

Se establece, por tanto, una presunción iuris tantum que puede ser destruida mediante la correspondiente prueba que permita desvirtuar esa presunción.

El art. 88 del Reglamento 2016/679/UE, de 27 de abril regula el tratamiento de los datos personales en el ámbito laboral y, en su apartado primero dispone que:Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.

Requisitos de la autorización para el tratamiento de los datos

Los requisitos a los que queda sometida la autorización para el tratamiento de estos datos de carácter personal son que:

  • Se trate de datos de contacto de personas físicas (o empresarios individuales).

Puesto que el art. 6.1.f) del RGPD al que se remite el art. 19.1 de la LOPD-GDD/2018 establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Así, el art. 19.2 de la LOPD-GDD/2018 establece que:La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

  • El tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  • La finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

En este sentido, el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril , al que se remite el art. 19.1 de la LOPD-GDD/2018 , establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Datos de contacto de las personas físicas que prestan servicios en una persona jurídica

El art. 19.1 del LOPD-GDD/2018 se refiere a los “datos de contacto de las personas físicas” como supuesto en el que, en determinados casos y concurriendo determinadas condiciones, su tratamiento está permitido.

Téngase en cuenta que Considerando 14 del Reglamento de Protección de Datos señala que “la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales” y que “el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.

Ni el Reglamento 2016/679/UE, de 17 de abril, ni la LOPD-GDD/2018 determinan lo que ha de entenderse por esos “datos de contacto”.

El Reglamento hace uso en repetidas ocasiones de la expresión “datos de contacto” pero siempre referida al responsable o al encargado del tratamiento de datos personales y sin que, en momento alguno (ni en el art. 4 del Reglamento 2016/679/UE, de 27 de abril , ni en ningún otro lugar) se ofrezca una definición de este concepto.

Desde un sentido práctico (y finalístico) hay que entender por “datos de contacto” aquellos que permiten comunicarse con una determinada persona física por lo que, y en primer lugar, habrán de estar asociados al nombre de esa persona.

Por otra parte, y como datos que puedan recibir la calificación de “datos de contacto” serán aquellos que puedan cumplir con esa finalidad, como son:

  • El domicilio o direcciones físicas
  • El número de teléfono
  • La dirección de correo electrónico

Así como cualesquiera otro dato que pudiera permitir entra en contacto con una persona física.

Los datos que no cumplan con esta finalidad, los que por su propia naturaleza no se correspondan con este fin, no quedarán cubiertos por la autorización que confiere el art. 19.1 de la LOPD-GDD/2018.

¿Cómo afecta a mi empresa el Compliance Penal? Cumplimiento normativo de las personas jurídicas

Compliance PenalLa reforma del Código Penal vigente desde julio de 2015, insta a las personas jurídicas a dotarse de un Programa de Compliance para eximirse de una eventual responsabilidad penal por delitos cometidos por miembros de su organización. ¿Cuándo una persona jurídica es responsable? Dice el art. 32 bis 2 del Código Penal que las personas jurídicas serán penalmente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.

LÍMITES DE ESTA RESPONSABILIDAD: el artículo 31 bis 2 del Código Penal establece que la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
2.ª La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.
3.ª Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y
4.ª No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano de control al que se refiere la condición 2.ª

En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.
Ahora bien, la norma penal aclara que en las personas jurídicas de pequeñas dimensiones, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración (entendiendo que son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada).

Si el delito fuera cometido por las personas indicadas en la letra b) del apartado 1 (es decir quienes, estando sometidos a la autoridad de quienes ostentan facultades de organización y control dentro de la persona jurídica han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso), la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.
En este caso resultará igualmente aplicable la atenuación prevista en el párrafo segundo del apartado 2 de este artículo.

Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:

1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Ojo porque este modelo de organización y gestión es preceptivo para todo tipo de empresas. Para gigantes como Volkswagen, que como persona jurídica está siendo investigada por la Audiencia Nacional por delitos de estafa y vulneración del medioambiente, pero también para pequeñas y medianas empresas que pueden verse involucradas en actos delictivos cometidos por sus integrantes.