Fiscal, Fiscal News

AUDRIA newsletter mayo 2018


Aspectos más destacados del nuevo Reglamento General de Protección de
Datos

En pocos días se pondrá en marcha el nuevo
Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de
2016 y será aplicable a partir del 25 de mayo de 2018 en la Unión Europea (UE).
Si bien esta nueva norma será de aplicación a partir de esta fecha en todos los
Estados Miembros, sin necesidad de transposición, es necesario que los
ordenamientos nacionales se actualicen, siempre sin contradecir lo dispuesto en
el RGPD. En este sentido, el pasado mes de noviembre, el Consejo de Ministros,
remitió a las Corte General el Proyecto de Ley Orgánica de Protección de Datos,
que tiene por objeto adaptar nuestra legislación nacional al Reglamento (UE)
2016/679 del Parlamento Europeo y, por tanto, sustituir a la actual Ley
Orgánica 15/1999.

Los auditores en el ejercicio de nuestra profesión procesamos de manera
habitual datos personales de nuestros clientes o empleados, como por ejemplo,
su D.N.I., su domicilio particular, su situación familiar, su nivel de ingresos
o su número de teléfono, por lo que deberemos realizar un análisis de riesgos
con el fin de establecer las medidas que sean necesarias para garantizar los
derechos y libertades de las personas y revisar nuestros procedimientos para
asegurarnos el cumplimiento de las nuevas disposiciones antes del 25 de mayo.
 


ASPECTOS MÁS
DESTACADOS DEL NUEVO RGPD


1.- OBTENCIÓN DEL
CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS

El consentimiento debe darse mediante un acto afirmativo claro que refleje
una manifestación de voluntad libre, específica, informada, e inequívoca del
interesado de aceptar el tratamiento de datos de carácter personal que le
conciernen, como una declaración por escrito, inclusive por medios
electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla
de un sitio web en internet, escoger parámetros técnicos para la utilización de
servicios de la sociedad de la información, o cualquier otra declaración o
conducta que indique claramente en este contexto que el interesado acepta la
propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas
ya marcadas o la inacción no deben constituir consentimiento.
El consentimiento debe darse para todas las actividades de tratamiento
realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios
fines, debe darse el consentimiento para todos ellos.

2.- DERECHOS DE LOS
INTERESADOS. INFORMACIÓN Y ACCESO A LOS DATOS PERSONALES

El RGPD otorga a las personas físicas derechos sobre sus datos personales y
establece fórmulas y mecanismos para solicitar y, en su caso, obtener de forma
gratuita, el acceso a los datos personales y su rectificación o supresión, así
como el ejercicio del derecho de oposición. El responsable del tratamiento
también debe proporcionar medios para que las solicitudes se presenten por
medios electrónicos, en particular cuando los datos personales se tratan por
medios electrónicos. El responsable del tratamiento está obligado a responder a
las solicitudes del interesado sin dilación indebida y a más tardar en el plazo
de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

En concreto, se les debe informar, entre otras, de las siguientes cuestiones:

  • La identidad y los datos de contacto del responsable y, en su caso, de su representante
  • Los datos de contacto del delegado de protección de datos, en su caso
  • Los fines del tratamiento a que se destinan los datos personales
  • El plazo durante el cual se conservarán los datos personales
  • El derecho a solicitar al responsable del tratamiento el acceso a los datos personales y su rectificación, supresión, o limitación u oposición a su tratamiento, así como el derecho a la portabilidad de los datos
  • La existencia del derecho a retirar el consentimiento en cualquier momento
  • El derecho a presentar una reclamación ante una autoridad de control (Agencia Española de Protección de Datos)

Derecho de acceso del
interesado

El interesado (la persona física identificable) tendrá derecho a obtener del
responsable del tratamiento confirmación de si se están tratando o no datos
personales que le conciernen y, en tal caso, derecho de acceso a los datos
personales, los fines del tratamiento; las categorías de datos personales de
que se trate, los destinatarios a los que se comunicaron o serán comunicados
los datos personales, el plazo previsto de conservación de los datos
personales, el derecho a solicitar del responsable la rectificación o supresión
de datos personales, el derecho a presentar una reclamación ante una autoridad
de control. Cuando los datos personales no se hayan obtenido del interesado,
cualquier información disponible sobre su origen, la existencia de decisiones
automatizadas, incluida la elaboración de perfiles, etc.

Derecho de rectificación

El interesado tendrá derecho a obtener del responsable del tratamiento la
rectificación de los datos personales inexactos que le conciernan. Teniendo en
cuenta los fines del tratamiento, el interesado tendrá derecho a que se
completen los datos personales que sean incompletos, inclusive mediante una
declaración adicional.

Derecho de supresión (“derecho al olvido”)

El interesado tendrá derecho a obtener del responsable del tratamiento la
supresión de los datos personales que le conciernan. El responsable estará
obligado a suprimir los datos personales cuando dichos datos ya no sean
necesarios en relación con los fines para los que fueron recogidos, el
interesado retire el consentimiento en que se basa el tratamiento, los datos
personales hayan sido tratados ilícitamente, los datos personales deban
suprimirse para el cumplimiento de una obligación legal establecida en el
Derecho de la Unión o de los Estados miembros, etc.

Derecho a la limitación del tratamiento

El interesado tendrá derecho a obtener del responsable del tratamiento la
limitación del tratamiento de los datos cuando se cumpla alguna de las
siguientes condiciones:

  • cuando el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.
  • cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
  • cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones, etc.

Cuando el tratamiento
de datos personales se haya limitado en virtud del apartado anterior, dichos
datos solo podrán ser objeto de tratamiento, con excepción de su conservación,
con el consentimiento del interesado o para la formulación, el ejercicio o la
defensa de reclamaciones.

Derecho a la portabilidad de los datos

El interesado tendrá derecho a recibir los datos personales que le incumban,
que haya facilitado a un responsable del tratamiento, en un formato
estructurado, de uso común y lectura mecánica, y a transmitirlos a otro
responsable del tratamiento sin que lo impida el responsable al que se los
hubiera facilitado.

Derecho de oposición

El interesado tendrá derecho a oponerse en cualquier momento, por motivos
relacionados con su situación particular, a que datos personales que le
conciernan sean objeto de un tratamiento, incluida la elaboración de perfiles.
El responsable del tratamiento dejará de tratar los datos personales, salvo que
acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre
los intereses, los derechos y las libertades del interesado, o para la formulación,
el ejercicio o la defensa de reclamaciones. Cuando el interesado se oponga al
tratamiento con fines de mercadotecnia directa, los datos personales dejarán de
ser tratados para dichos fines.

Derecho a la Transparencia de la información

El responsable del tratamiento tomará las medidas oportunas para facilitar al
interesado toda información relativa a sus datos personales y al tratamiento,
en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje
claro y sencillo, en particular cualquier información dirigida específicamente
a menores (niños en la terminología del RGPD). La información será facilitada
por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
Cuando lo solicite el interesado, la información podrá facilitarse verbalmente
siempre que se demuestre la identidad del interesado por otros medios.

3.- EVALUACIÓN DEL
IMPACTO DEL TRATAMIENTO DE DATOS PERSONALES

En aquellas organizaciones en las que sea probable que las operaciones de
tratamiento entrañen un alto riesgo para los derechos y libertades de las
personas físicas, debe incumbir al responsable del tratamiento la realización
de una evaluación de impacto relativa a la protección de datos (EIPD), que
evalúe, en particular, el origen, la naturaleza, la particularidad y la
gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta
cuando se decidan las medidas adecuadas que deban tomarse con el fin de
demostrar que el tratamiento de los datos personales es conforme con el Reglamento.
Si una (EIPD) evaluación de impacto relativa a la protección de datos muestra
que las operaciones de tratamiento entrañan un alto riesgo que el responsable
no puede mitigar con medidas adecuadas en términos de tecnología disponible y
costes de aplicación, debe consultarse a la autoridad de control antes del
tratamiento. El análisis y la gestión de riesgos son procedimientos que
permiten a las organizaciones hacer un diagnóstico sobre los riesgos para los
tratamientos de datos personales y, en ocasiones, aportar información
suficiente para decidir si es necesario o no llevar a cabo una Evaluación de
Impacto en Protección de Datos. La AEPD dispone de Guías de Análisis de Riesgo
y Evaluación de Impacto en la Protección de Datos Personales.

4.- VIOLACIÓN DE LA
SEGURIDAD DE LOS DATOS PERSONALES

En caso de violación de la seguridad de los datos personales, el
responsable del tratamiento la notificará a la autoridad de control competente,
a más tardar 72 horas después de que haya tenido constancia de ella, a menos
que sea improbable que dicha violación de la seguridad constituya un riesgo
para los derechos y las libertades de las personas físicas. Si la notificación
a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir
acompañada de indicación de los motivos de la dilación.

5.- DELEGADO DE
PROTECCIÓN DE DATOS

Según el RGPD, las empresas y los terceros que procesen datos personales en
su nombre deberán designar un delegado de protección de datos (DPD) siempre
que:

  • se trate de una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial,
  • las actividades principales de la empresa o el tercero consistan en la
        observación de interesados a gran escala; o
  • sus actividades principales consistan en el tratamiento a gran escala de datos personales sensibles, tales como datos relativos a condenas o infracciones penales.

El proyecto de Ley
Orgánica de Protección de Datos (en tramitación), amplía la lista de entidades
que deberán nombrar un Delegado de Protección de Datos. El DPD ha de ser
nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su
conocimiento de la legislación y la práctica de la protección de datos. Aunque
no debe tener una titulación específica, en la medida en que entre las
funciones del DPD se incluya el asesoramiento al responsable o encargado en
todo lo relativo a la normativa sobre protección de datos, los conocimientos
jurídicos en la materia son sin duda necesarios, pero también es necesario
contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo
en materia de tecnología aplicada al tratamiento de datos o en relación con el
ámbito de actividad de la organización en la que el DPD desempeña su tarea.

La AEPD en colaboración con la Entidad Nacional de Acreditación, disponen de un
sistema de certificación de profesionales de protección de datos como
herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de
DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. La
certificación no será un requisito indispensable para el acceso a la profesión,
será sólo una opción a disposición de responsables y encargados para facilitar
la selección de los profesionales.
No es imprescindible que el DPD sea empleado directo, sino que puede desempeñar
esta función en el marco de un contrato de servicios y puede desarrollar su
función a tiempo parcial o completo. Los datos de contacto del DPD deben
hacerse públicos y deberán ser comunicados a las autoridades de supervisión
competentes.

6.- REGISTRO DE LAS
ACTIVIDADES DE TRATAMIENTO

Las organizaciones que habitualmente realicen tratamiento de datos de
riesgo para la privacidad de los interesados o traten datos sensibles, deberán
llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener entre otras cuestiones,
información relativa a los datos de contacto del responsable, los fines del
tratamiento, una descripción de las categorías de datos personales, los destinatarios
de los datos, los plazos previstos para la supresión, las medidas técnicas y
organizativas de seguridad adoptadas.

Estas obligaciones no se aplicarán a ninguna empresa ni organización que emplee
a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar
un riesgo para los derechos y libertades de los interesados, no sea ocasional,
o incluya categorías especiales de datos personales tales como, origen étnico,
opciones políticas o religiosas, afiliación sindical, datos relativos a la
salud o datos relativos a la vida sexual o las orientación sexuales de una
persona física, datos personales relativos a condenas e infracciones penales,
etc.

7.- PROTECCIÓN DE
DATOS DESDE EL DISEÑO Y POR DEFECTO

Este principio define la necesidad de que el responsable del tratamiento
aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el Reglamento. Este concepto
requiere que las organizaciones analicen qué datos tratan, con qué finalidades
lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de
este conocimiento deben determinar de forma explícita la forma en que aplicarán
las medidas que el RGPD prevé, asegurándose de que esas medidas son las
adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los
interesados y ante las autoridades de supervisión. Este tipo de medidas
pretenden reflejar el enfoque de responsabilidad proactiva. Se trata de
implementar medidas de protección de datos desde el mismo momento en que se
diseña un tratamiento, un producto o servicio que implica el tratamiento de
datos personales.

El responsable del tratamiento aplicará las medidas técnicas y organizativas
apropiadas al objeto de garantizar que, por defecto, solo sean objeto de
tratamiento los datos personales necesarios para cada uno de los fines
específicos del tratamiento. Esta obligación se aplicará en relación a la
cantidad de datos tratados, la extensión del tratamiento, los periodos de
conservación y la accesibilidad a los datos.

8.- SANCIONES

La entrada en vigor del Reglamento General de Protección de Datos (RGPD),
incrementará de forma significativa las sanciones derivadas de su
incumplimiento.
A modo de ejemplo, podemos decir que serán objeto de sanción (entre otras), las
siguientes conductas:

  • No atender los derechos de los interesados (acceso, rectificación, oposición, portabilidad, derecho al olvido, etc.)
  • Las cesiones de datos a terceros sin consentimiento del interesado
  • El tratamiento de datos para fines distintos a los autorizados
  • Ignorar las violaciones de las medidas de seguridad
  • Etc.

Dependiendo del artículo del Reglamento General
de Protección de Datos que haya sido vulnerado, las infracciones se
sancionarán, con multas administrativas que van de los 10 millones a los 20
millones de euros como máximo o, tratándose de una empresa, de una cuantía
equivalente al 2 % ó al 4% como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Además de las multas administrativas, el reglamento contempla que las sanciones
puedan implicar también la prohibición del tratamiento de datos o la suspensión
de las transferencias internacionales de datos.


¿Es
obligatoria la asistencia de los administradores a la Junta General?

La Ley de Sociedades de Capital establece de
forma imperativa que los administradores deberán asistir a las juntas
generales, sin establecer cuáles serían las consecuencias de su falta de
asistencia. Los Tribunales rechazan la posibilidad de que los administradores
puedan ser representados válidamente por otras personas en su condición de
tales (sí podrían ser representados, en su caso como socios), porque la
asistencia de los administradores a las juntas forma parte de las competencias
orgánicas, que no son delegables.

En la práctica, son
frecuentes las consultas sobre la posibilidad de que los administradores
asistan a las juntas representados por otras personas (otros administradores o
terceros), así como sobre los efectos que podría tener la ausencia de los
administradores sobre la propia validez de la junta y en otros ámbitos, como el
de las eventuales responsabilidades que podrían surgir.

Asistencia a la Junta

La Ley de Sociedades de Capital establece de forma imperativa que los
administradores deberán asistir a las juntas generales. Dicho deber encuentra
su justificación en que en la junta se desarrollan funciones esenciales para el
correcto desenvolvimiento de la sociedad. En primer lugar, la función
controladora o fiscalizadora que tiene la junta general respecto del propio
órgano de administración, que difícilmente puede tener lugar si los
administradores están ausentes. En segundo lugar, es en la junta general donde
puede ejercitarse una de las facetas del derecho de información de los socios
cuya cumplimentación corresponde a los administradores, por lo que su
inasistencia puede imposibilitar el ejercicio del derecho de información en
dicho acto.

La asistencia de los administradores forma parte de sus competencias orgánicas
y no puede ser objeto de delegación. Que el socio pueda ser representado no
implica que el administrador, en cuanto tal, también pueda serlo.

El Tribunal Supremo rechaza (por ejemplo, en su sentencia de 19 de abril de
2016) la posibilidad de que los administradores puedan ser representados
válidamente por otras personas en su condición de tales (sí podrían ser
representados, en su caso como socios), porque la asistencia de los
administradores a las juntas forma parte de las competencias orgánicas, que no
son delegables.

Por lo tanto, es importante que se asegure de que el administrador (o todos los
administradores si hay más de uno) asiste a la junta. El administrador está
obligado a asistir a las juntas y debe hacerlo personalmente, no pudiendo ser
representado por un tercero.

¿Qué consecuencias
tiene su ausencia en Juntas?

Los tribunales consideran que si el administrador no asiste a la junta y su
presencia era necesaria para que los socios pudieran ejercer su derecho de
información, dicha junta puede ser anulada.

El Tribunal Supremo, en su sentencia de 19 de abril de 2016, establece, como
regla general, que la ausencia de los administradores no debe conllevar la
nulidad de la junta, pues, sin perjuicio de las responsabilidades que podrían
derivarse del incumplimiento de su deber, los administradores podrían limitarse
a no asistir a las juntas para impedir la expresión de la voluntad de los
socios (o incluso su propia separación por acuerdo de la junta).

Como excepción a la regla general, el TS considera que, cuando como
consecuencia de la ausencia de todos los administradores, quede completamente
cercenado el derecho de información de los socios (aspecto fáctico a enjuiciar
caso por caso), entonces sí cabe declarar la nulidad de la junta.

Por tanto, si el administrador no asiste a la próxima junta, algún socio podría
intentar impugnarla alegando que no pudo solicitarle aclaraciones o
informaciones sobre las cuentas y que, por tanto, no ha podido votar con la
información necesaria, Para evitar ese riesgo, dejen constancia de la presencia
de todos los administradores en el acta de la reunión, y recojan la firma de
todos ellos.

Pueden ponerse en
contacto con este despacho profesional para cualquier duda o aclaración que
puedan tener al respecto.


Cataluña.
Ayudas y Subvenciones

Cataluña. Ayudas y
subvenciones para empresas y Pymes

Para las empresas y
PYMES relacionamos a continuación una lista de ayudas, subvenciones y
financiación en Cataluña
que pueden resultar de interés para el impulso de
nuevas ideas y la promoción de nuevos proyectos empresariales.

  1. Subvenciones para proyectos de fomento de la economía circular.

Boletin Oficial de la Generalitat de Catalunya

Núm. de boletín:7609

Fecha de publicación: 30/04/2018

Plazo: sin determinar

Organismo oficial: Agencia de Residuos de Cataluña

http://dogc.gencat.cat/es/pdogc_canals_interns pdogc_resultats_fitxa/index.html? action=fitxa&documentID=815865&language=ca_ES&newLang=es_ES


Ayudas y
Subvenciones

Ayudas y subvenciones para empresas y pymes

Para las empresas y
PYMES relacionamos a continuación una lista de ayudas, subvenciones y
financiación a nivel estatal
que pueden resultar de interés para el impulso
de nuevas ideas y la promoción de nuevos proyectos empresariales.

  1. Subvenciones
        públicas para la ordenación de los flujos migratorios laborales de
        trabajadores migrantes para campañas agrícolas de temporada y su inserción
        laboral.

Boletin Oficial del
Estado
Núm. de boletín:89
Fecha de publicación: 12/04/2018
Plazo: sin determinar
Organismo oficial: Ministerio de Empleo y Seguridad Social
http://www.boe.es/boe/dias/2018/04/12/pdfs/BOE-A-2018-4981.pdf

  1. Ayudas
        para el programa de impulso al sector del videojuego C-003/2018

Boletín Oficial del
Estado
Núm. de boletín:99
Fecha de publicación: 24/04/2018
Plazo: 25/05/2018
Organismo oficial: Ministerio de Energía, Turismo y Agenda Digital
http://www.boe.es/boe/dias/2018/04/24/pdfs/BOE-B-2018-23941.pdf

  1. Ayudas
        para la concesión de subvenciones para la creación y funcionamiento de
        grupos operativos supra-autonómicos en relación a la Asociación Europea
        para la Innovación en materia de productividad y sostenibilidad agrícolas
        (AEI-Agri) en el marco del Programa Nacional de Desarrollo Rural
        2014-2020, para el año 2018.

Boletín Oficial del
Estado
Núm. de boletín:98
Fecha de publicación: 23/04/2018
Plazo: 12/05/2018
Organismo oficial: Ministerio de Agricultura y Pesca, Alimentación y Medio
Ambiente
http://www.boe.es/boe/dias/2018/04/23/pdfs/BOE-B-2018-23696.pdf

  1. Subvenciones
        destinadas a fomentar la cooperación regional en I+D (Programa FEDER
        INTERCONECTA), en el marco del Plan Estatal de Investigación Científica y
        Técnica y de Innovación 2017-2020

Boletín Oficial del
Estado
Núm. de boletín:95
Fecha de publicación: 19/04/2018
Plazo: 5/06/2018
Organismo oficial: Ministerio de Economía, Industria y Competitividad
http://www.boe.es/boe/dias/2018/04/19/pdfs/BOE-B-2018-22851.pdf

  1. Subvenciones
        para la ejecución de proyectos de obras y servicios de interés general y
        social, generador de empleo estable y garantía de rentas del programa de
        fomento de empleo agrario para el ejercicio 2018.

Boletín Oficial del
Estado
Núm. de boletín:103
Fecha de publicación: 28/04/2018
Plazo: 28/05/2018
Organismo oficial: Ministerio de Empleo y Seguridad Social
http://www.boe.es/boe/dias/2018/04/28/pdfs/BOE-B-2018-24653.pdf

Nexia EMEA
Regional Meeting 2018


Del 17 al 20 del
pasado mes de abril tuvo lugar en Atenas el Nexia EMEA Regional Meeting 2018

Leave a Reply

Your email address will not be published. Required fields are marked *