La legislación en materia de protección de datos establece una serie de obligaciones, entre las que destacan:
- Inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD).
Con carácter enunciativo y no limitativo, las empresas de inversión tendrán que declarar los ficheros:
- Empleados (en caso de tenerlos)
- Clientes (datos de inversión de los clientes-situación financiera, objetivos,…-)
- Blanqueo de capitales
- Solvencia patrimonial (en caso de tener registro de este tipo)
- Documento de Seguridad en el que se recogen todas las medidas y procedimientos a adoptar para garantizar la seguridad de los datos.
- Contratos de encargados de tratamiento a firmar con todos los prestadores de servicios.
- Realización de auditorías cada dos años, determinada por el nivel medio de seguridad de los datos, establecido por la Ley 15/1999.
Las sanciones de la AEPD varían en función de la gravedad de las infracciones cometidas, la intencionalidad, la reiteración, entre otros. Siendo la cuantía de las mismas:
- Infracciones leves: de 900 a 40.000 euros:
- No remitir a la AEPD las notificaciones previstas en la Ley
- No solicitar la inscripción de los ficheros correspondientes
- No informar a los afectados acerca del tratamiento de sus datos personales
- No cumplimiento del art. 12 LOPD (Trasmisión de datos, contrato de encargado de tratamiento)
- Infracciones graves: de 40.001 a 300.000 euros:
- Crear ficheros públicos sin autorización
- Tratar datos sin recabar el consentimiento de los afectados
- Incumplimiento del art. 4 LOPD
- Vulneración del art. 10 LOPD (Deber de secreto)
- Impedimento u obstaculización del ejercicio de los derechos ARCO
- Incumplimiento del resto de los deberes de notificación o requerimiento del afectado
- No cumplir con las medidas de seguridad exigidas para ficheros, equipos, locales o programas
- No atender a los requerimientos o apercibimientos de la AEPD o no presentar la documentación o información solicitada por ella
- Obstrucción de la labor inspectora
- Comunicar o ceder datos sin legitimación
- Infracciones muy graves: de 300.001 a 600.000 euros:
- Recogida de datos de forma engañosa o fraudulenta
- Tratar o ceder los datos de los arts. 7.2,7.3,7.5 LOPD
- No cesar en tratamiento ilícito de los datos a pesar de contar con un apercibimiento del Director de AEPD
Transferencia internacional de datos a países que no cuentan con un nivel de seguridad equiparable sin contar con la autorización del Director de la AEPD.