Obligaciones en materia de protección de datos para empresas de inversión

    La legislación en materia de protección de datos establece una serie de obligaciones, entre las que destacan:

    • Inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD).

    Con carácter enunciativo y no limitativo, las empresas de inversión tendrán que declarar los ficheros:

      • Empleados (en caso de tenerlos)
      • Clientes (datos de inversión de los clientes-situación financiera, objetivos,…-)
      • Blanqueo de capitales
      • Solvencia patrimonial (en caso de tener registro de este tipo)
    • Documento de Seguridad en el que se recogen todas las medidas y procedimientos a adoptar para garantizar la seguridad de los datos.
    • Contratos de encargados de tratamiento a firmar con todos los prestadores de servicios.
    • Realización de auditorías cada dos años, determinada por el nivel medio de seguridad de los datos, establecido por la Ley 15/1999.

    Las sanciones de la AEPD varían en función de la gravedad de las infracciones cometidas, la intencionalidad, la reiteración, entre otros. Siendo la cuantía de las mismas:

    • Infracciones leves: de 900 a 40.000 euros:
      • No remitir a la AEPD las notificaciones previstas en la Ley
      • No solicitar la inscripción de los ficheros correspondientes
      • No informar a los afectados acerca del tratamiento de sus datos personales
      • No cumplimiento del art. 12 LOPD (Trasmisión de datos, contrato de encargado de tratamiento)
    • Infracciones graves: de 40.001 a 300.000 euros:
      • Crear ficheros públicos sin autorización
      • Tratar datos sin recabar el consentimiento de los afectados
      • Incumplimiento del art. 4 LOPD
      • Vulneración del art. 10 LOPD (Deber de secreto)
      • Impedimento u obstaculización del ejercicio de los derechos ARCO
      • Incumplimiento del resto de los deberes de notificación o requerimiento del afectado
      • No cumplir con las medidas de seguridad exigidas para ficheros, equipos, locales o programas
      • No atender a los requerimientos o apercibimientos de la AEPD o no presentar la documentación o información solicitada por ella
      • Obstrucción de la labor inspectora
      • Comunicar o ceder datos sin legitimación
    • Infracciones muy graves: de 300.001 a 600.000 euros:
      • Recogida de datos de forma engañosa o fraudulenta
      • Tratar o ceder los datos de los arts. 7.2,7.3,7.5 LOPD
      • No cesar en tratamiento ilícito de los datos a pesar de contar con un apercibimiento del Director de AEPD

    Transferencia internacional de datos a países que no cuentan con un nivel de seguridad equiparable sin contar con la autorización del Director de la AEPD.