Al usar este sitio acepta el uso de cookies propias y de terceros para análisis, contenido personalizado y publicidad. Cerrar Más información
Derecho.com Productos y Servicios Jurídicos: Contratos Libros Legislación

+ Responder tema
Resultados 1 al 9 de 9

Vista híbrida

  1. #1
    Junior Member
    Fecha de ingreso
    22 mar, 19
    Mensajes
    10

    Protección de datos y dos establecimientos en Unión Europea

    Hola.

    Yo y una amiga que conocí en mi experiencia de Erasmus vamos a iniciar una actividad de comercialización de productos con una tienda virtual con dos establecimientos, uno en Madrid y otro en Amsterdam. Estoy dando forma a la sección de privacidad de la página web y rellenando uno por uno los apartados me encuentro con que hay que poner la dirección del tratamiento de datos personales.

    Lo que hemos decidido es poner la dirección de Amsterdam, porque según tengo entendido, los Países Bajos tienen una legislación y manejo más favorable de datos personales en cuanto a pequeños negocios y actividades personales, y se trata de facilitar las cosas.

    No obstante, quiero preguntar y rematar bien el tema.

    Gracias.

  2. #2
    Junior Member
    Fecha de ingreso
    26 dic, 11
    Mensajes
    16
    Desde luego no estamos hablando de una entidad mercantil con registro legal en Madrid y una filial en los Países Bajos, sino de una actividad profesional o empresarial de pequeña envergadura, así que deberías especificar el domicilio que hiciste constar en la declaración censal correspondiente a su alta.

    En segundo lugar, el domicilio correspondiente al tratamiento de datos personales no se puede "decidir" como tú lo expones, sino que viene impuesto de forma muy precisa por el RGPD, dependiendo de que se trata del responsable o encargado del tratamiento, que además difieren entre sí.

    En tercer lugar, me sorprende mucho tu comentario sobre el supuesto carácter "más favorable" de la legislación neerlandesa en materia de protección de datos, que no concuerda con la realidad ni en cuanto a "pequeños negocios y actividades" ni en ninguna otra cuestión dentro de esta parcela legal, sino más bien en completa contraposición con el modelo perfilado en detalle e impuesto finalmente por la nueva legislación desarrollada desde el mencionado RGPD 2016/679. No tiene ningún sentido. El tratamiento legal de esta cuestión es exactamente el mismo en toda la Unión Europea.
    José Manuel Rosón Bravo

  3. #3
    Junior Member
    Fecha de ingreso
    22 mar, 19
    Mensajes
    10
    No sé qué es la declaración censal de la que hablas. Esto es un pequeño negocio de dos personas que nos estamos buscando la vida, (tienes razón), y estamos empezando, montando la web y poniendo en marcha el tema de protección de datos. Es una tienda virtual con registro, catálogo, etc. Luego ya se verá como se da de alta y lo demás.

    Mi socia estudió Derecho en su pais (Eslovaquia) y me ha dicho que en Países Bajos es más fácil el tema de protección de datos. Lo dirá por algo.

  4. #4
    Junior Member
    Fecha de ingreso
    26 dic, 11
    Mensajes
    16
    La declaración censal es el modelo 036 de alta, modificación y baja en el censo de empresarios, profesionales y retenedores en el que debes hacer constar, entre otros datos, el domicilio legal de la actividad de cara a la Agencia Tributaria. Si es que la actividad se encuentra localizada en Madrid.

    --------------

    En cuanto al domicilio del responsable del tratamiento que debes hacer constar, has de tener en cuenta que depende de cómo tengáis pensado organizaros en cuanto a la condición de responsable y encargada del tratamiento; realidades bien distintas en cuanto funciones, responsabilidades y, en este caso, determinación del establecimiento.

    Su determinación está perfectamente perfilada en el considerando 36 del RGPD, que impone que el establecimiento principal de un responsable del tratamiento en la Unión debe ser el lugar de su "administración central en la Unión, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales se tomen en otro establecimiento del responsable en la Unión, en cuyo caso, ese otro establecimiento debe considerarse el establecimiento principal".

    Este considerando impone además "criterios objetivos" y la implicación de un "ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables".

    Puesto que esa es la naturaleza jurídica del responsable del tratamiento.

    No se trata de indicar un domicilio al capricho o conveniencia del interesado, sino el que efectivamente concuerde con tales actividades de gestión, hasta el extremo de establecer también una clara distinción entre las mismas y las efectivas de tratamiento de datos, pudiéndose realizar en el mismo u otro lugar, indicando expresamente que "La presencia y utilización de medios técnicos y tecnologías para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en sí mismas, establecimiento principal y no son, por lo tanto, criterios determinantes de un establecimiento principal".

    Seguidamente, y por lo que respecta a las actividades de tratamiento por parte del encargado, lo identifica con "el lugar de su administración central en la Unión o, si careciese de administración central en la Unión, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Unión".

    Y también el establecimiento principal del responsable del tratamiento en cuestiones que impliquen al responsable y al encargado.

    No es cuestión baladí porque son tales criterios los que fundamentan la competencia de la autoridad de control en cuanto a actuaciones, procedimientos y depuración de responsabilidades.

    Con todo, tenéis que decidir cuál de las dos va a ser la responsable del tratamiento, o si las dos; y cuál la encargada del tratamiento, si la hubiere. Si, llegado el caso, ambas fueseis responsables del tratamiento con dos establecimientos, tú en Madrid y tu socia en Amsterdam, tendríamos que estar a lo impuesto por el artículo 4-16 a) del RGPD («establecimiento principal»), literalmente:

    "en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;"

    Y habría que estar a quién tomo la decisión sobre tales o cuales fines y los medios del tratamiento con poder para hacerlos efectivas.

    Si una de las dos hace funciones de responsable del tratamiento y la otra de encargada, debería hacerse constar la identificación y dirección del establecimiento de la segunda en función de los criterios expuestos anteriormente.

    Todas cuestiones relevantes para la determinación de la competencia de la autoridad de control en su caso. Así, te indico que el artículo 66-1 de la actual LOPD 3/2018 establece la necesidad de "Determinación del alcance territorial", imponiendo a la Agencia Española de Protección de Datos "con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir".

    El párrafo segundo normaliza el supuesto de falta de competencia como sigue:

    "2. Si la Agencia Española de Protección de Datos considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia Española de Protección de Datos notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación. (...)".

    --------------

    Por otro lado, no sé qué habrá estudiado tu socia ni dónde, pero puedo asegurarte que todo lo referente a datos personales ha sufrido un profundo proceso de reforma desde la publicación y entrada en vigor del RGPD en toda la Unión Europea, superándose una situación anterior que efectivamente ofrecía diferencias entre legislaciones dentro del espacio europeo.

    Quizás se refiere a esos contrastes, que son ya pasado. Te lo aseguro.
    José Manuel Rosón Bravo

  5. #5
    Junior Member
    Fecha de ingreso
    22 mar, 19
    Mensajes
    10
    Gracias Don José Manuel. Se nota que controlas el tema. Y sí, es cierto, le he enseñado el post que has colocado a mi amiga y me comenta que sí, que la legislación que me comentó ya no existe y que ahora está la Ley de 16 de mayo de 2018 que lo ha cambiado todo. Supongo que como en España.

  6. #6
    Junior Member
    Fecha de ingreso
    26 dic, 11
    Mensajes
    16
    En España tenemos la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que supone una adaptación nacional del RGPD, que, a su vez, se plantea como un esfuerzo para superar el fallido intento armonizador que supuso la Directiva 95/46/CE del Parlamento y del Consejo de 1995, que dio lugar a una diversidad de sistemas normativos con diferente tratamiento y protección de los derechos de los ciudadanos en toda la Unión Europea.

    Seguramente es a esto a lo que se refería tu amiga eslovaca.

    Es una situación que debía ser tratada y superada, sobre todo teniendo en cuenta el devenir de la problemática transfronteriza de flujo y protección de datos personales derivado de la evolución tecnológica y el consiguiente desarrollo de la sociedad de la información en los últimos veinte años.

    Tanto la ley neerlandesa que citas como la española que yo te referencio son un reflejo de la revisión de las bases legales del modelo europeo de protección de datos impuesta por el RGPD, que determina una unificación y armonización de criterios y principios por razones de coherencia interna dentro del espacio europeo, asegurando al mismo tiempo la necesaria comprensión para los ciudadanos sujetos a cada sistema normativo nacional.

    Con todo, no tiene sentido la búsqueda de una localización "más favorable" para el tratamiento de protección de datos dentro de la Unión Europea, ya que ello es incompatible precisamente con la propia naturaleza de la situación actual.

    El propio RGPD impone en su considerando 14 que:

    "La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. (...)"

    Y en su párrafo segundo:

    "Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. (...)"

    Para que todo ello pueda tener una aplicación y protección práctica efectiva, se establece un criterio unificador de sistemas coercitivos y punitivos a fin de evitar las especialidades y diversificación del período anterior. Literalmente, el considerando 11:

    "La protección efectiva de los datos personales en la Unión exige (...) que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes."

    Es más, el mismo RGPD establece claramente la necesidad de un desarrollo normativo en imposición del nuevo marco normativo que supone, tanto en lo relativo a normativa penal como administrativa.

    Así, el considerando 149 habilita la posibilidad para los Estados miembros de la Unión Europea de "(...) establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límites. Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento."

    Y el considerando 150: "A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas. (...)".

    Imponiendo después diversos criterios para la misma coherencia y armonización en su aplicación a empresas e individuos según la realidad y particularidades de cada Estado.

    Tal criterio armonizador prevé incluso la realidad de ordenamientos jurídicos con particularidades incompatibles con la aplicación práctica del RGPD en cuanto la imposición de multas administrativas. Específicamente Dinamarca y Estonia, que no contemplan tales sanciones. El considerando número 151 establece la posibilidad de que sean los tribunales penales daneses los que impongan sanciones pecuniarias, y que sea la autoridad de control letona la que haga lo propio en el marco de un juicio de faltas, en busca de "un efecto equivalente a las multas administrativas impuestas por las autoridades de control. (...) En todo caso, las multas impuestas deben ser efectivas, proporcionadas y disuasorias".

    El RGPD lo regula de este modo en el párrafo 9 del artículo 83 ("Condiciones generales para la imposición de multas administrativas"):

    "Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. (...)"

    E igualmente el artículo 84, regulador de las sanciones:

    "1. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias. (...)".

    Finalmente, y en previsión de que tales adecuaciones no tengan lugar o sean insuficientes con el consiguiente resultado contrario al criterio armonizador y de coherencia apuntado, la propia LOPD 3/2018 impone en punto III de su preámbulo la necesidad de una intervención por parte del derecho interno de los Estados "(...) tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento del reglamento de que se trate. Así, el principio de seguridad jurídica, en su vertiente positiva, obliga a los Estados miembros a integrar el ordenamiento europeo en el interno de una manera lo suficientemente clara y pública como para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios ciudadanos, en tanto que, en su vertiente negativa, implica la obligación para tales Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo. De esta segunda vertiente se colige la consiguiente obligación de depurar el ordenamiento jurídico. (...)".

    Cita este mismo punto del preámbulo la necesidad de eliminar cualquier norma interna incompatible con el derecho de la Unión Europea, citando las sentencias Tribunal de Justicia de 23 de febrero de 2006, asunto Comisión vs. España; de 13 de julio de 2000, asunto Comisión vs. Francia; y de 15 de octubre de 1986, asunto Comisión vs. Italia, que imponen su eliminación "mediante disposiciones internas de carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban modificarse".

    Todo ello como base de la necesidad de una nueva ley para la aplicación nacional de los principios y articulado del RGPD.

    Con lo cual, cualquier norma, neerlandesa o de cualquier otro Estado miembro de la Unión Europa que difiera del sistema impuesto por el nuevo reglamento sería ilegal dentro del sistema jurídico europeo y su aplicación o posibles efectos sujetos a nulidad.
    José Manuel Rosón Bravo

  7. #7
    Junior Member
    Fecha de ingreso
    22 mar, 19
    Mensajes
    10
    Hemos leído tus respuestas. No creíamos que íbamos a recibir semejante atención de nadie. Había preguntado cosas en otros foros, pero nunca me lo habían respondido así. Se ve que eres un profesional de primera.

    Vamos a hablar sobre el tema y discutir lo que más nos convenga.

    Muchas gracias!!!!

  8. #8
    Junior Member
    Fecha de ingreso
    22 mar, 19
    Mensajes
    10
    Hola de nuevo.

    Se nos ha ocurrido poner la actividad en Marruecos, que está fuera de la Unión Europea. ¿Habría problema?

  9. #9
    Junior Member
    Fecha de ingreso
    26 dic, 11
    Mensajes
    16
    ¿Ahora es en Marruecos? Entiendo que queréis escapar de la normativa europea.

    En cualquier caso, lo mejor es que abras otro hilo con otro título para no complicar éste con otro tema distinto.
    José Manuel Rosón Bravo

CONSULTA A UN ABOGADO

Si necesitas más información y quieres contactar directamente con un abogado, indica el motivo y pulsa el botón "Contactar".

Concertar una visita Pedir un presupuesto Contactar con un abogado

Etiquetas para este tema

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •