fr

Examen du marché

Cet article n'est pas un avis juridique.

Protection des données personnelles en Espagne

Demo

Les sociétés Fintech situées en Espagne ou, dans certaines circonstances, les sociétés opérant sur le marché espagnol à partir de territoires situés en dehors de l'UE, sont soumises à la réglementation sur la protection des données dans la mesure où elles accèdent et traitent des données personnelles soit en tant que contrôleurs de données, soit en tant que prestataires de services. (c'est-à-dire les processeurs de données traitant des données pour le compte de leurs clients). Depuis le 25 mai 2018, la principale règle de protection des données en Espagne est le Règlement général sur la protection des données (Règlement (UE) 2016/679) (RGPD), qui est directement applicable dans tous les États membres de l'UE. Ce nouveau cadre juridique apporte certains avantages, tels que l'unification des règles de protection des données dans toute l'UE, ce qui pourrait aider les fintechs locales à s'étendre à d'autres États membres de l'UE et pourrait faciliter la tâche des fintechs de territoires autres que l'Espagne qui sont conformes au RGPD. pour lancer leurs services sur le marché espagnol.1

Nonobstant ce qui précède, au niveau national et en plus du GDPR, certaines réglementations locales en matière de protection des données s'appliquent en Espagne. En particulier, en décembre 2018, une nouvelle loi générale sur la protection des données a été adoptée : la loi fondamentale espagnole 3/2018 sur la protection des données et les garanties des droits numériques (LOPDGDD). LOPDGDD a formellement abrogé les précédentes réglementations nationales sur la protection des données incompatibles avec le RGPD et adapté les réglementations locales pour les rendre conformes au RGPD. L'objectif principal de la LOPDGDD est de fournir une réglementation spécifique de la protection des données dans divers domaines qui ne sont pas expressément couverts par le RGPD ou qui sont soumis au RGPD, mais pour lesquels les États membres sont autorisés à réglementer davantage. Par conséquent, le traitement de certaines données (par exemple, l'inclusion des données du débiteur dans les dossiers généraux de crédit) est réglementé en détail dans la LOPDGDD. En outre, la LOPDGDD a approuvé un nouvel ensemble de droits des citoyens concernant les nouvelles technologies, connus sous le nom de "droits numériques". Cet ensemble de nouveaux droits numériques peut avoir un impact sur l'activité de certaines entreprises fintech, comme les droits numériques accordés aux employés concernant l'utilisation d'outils informatiques par les employeurs à des fins de surveillance du lieu de travail ou l'utilisation de systèmes de géolocalisation.1

Le gouvernement espagnol a également tenté de renforcer ces droits numériques en approuvant en 2021 la Charte des droits numériques de l'Espagne, qui, bien que n'ayant pas un caractère juridique ou contraignant, fournit la base et fixe les critères de la future réglementation dans ce domaine. affaires en Espagne.1

Enfin, les critères de l'Agence espagnole de protection des données, qui est l'une des autorités de protection des données les plus actives de l'UE, doivent également être pris en compte. En 2021, l'Agence espagnole de protection des données a considérablement augmenté le montant des amendes infligées par rapport aux années précédentes.1

En ce qui concerne les possibilités des entreprises FinTech d'exercer des activités de profilage (c'est-à-dire le traitement de données personnelles, y compris le profilage et, dans certains cas, la prise de décisions automatisées affectant des personnes), ces activités sont régies par le RGPD et certaines recommandations de la loi espagnole sur la protection des données Agence . En général, les activités de profilage dans le cadre du RGPD doivent être fondées sur des motifs légitimes légitimes, principalement l'existence d'une obligation légale (par exemple, d'évaluer ou de prévenir la fraude), le consentement sans équivoque ou explicite des personnes ou l'existence d'un intérêt légitime. L'interprétation de l'Agence espagnole de protection des données de l'intérêt légitime comme base légitime pour les entreprises menant des activités de profilage a été très restrictive dans le passé (par exemple, elle ne couvre pas le profilage effectué à l'aide de données de deuxième ou de tiers). En outre, les entreprises fintech doivent respecter des obligations de fournir des informations supplémentaires et assurer la transparence lors du profilage. De plus, si les technologies d'intelligence artificielle (IA) sont utilisées pour le profilage, les entreprises fintech doivent tenir compte des directives sur l'IA émises par l'Agence espagnole de protection des données et des exigences en matière d'audit du traitement des données personnelles à l'aide de l'IA. D'autres garanties supplémentaires sont introduites, telles que des droits d'opposition renforcés ou la nécessité d'une évaluation de l'impact sur la vie privée.2

Enfin, dans un registre différent, certaines de ces activités de profilage peuvent être réalisées sur des données anonymes ou pseudonymisées. Si tel est le cas, les entreprises fintech doivent tenir compte du fait que l'Agence espagnole de protection des données a publié plusieurs lignes directrices et livres blancs pour les processus d'anonymisation et de pseudonymisation.3

Plateformes fintech étrangères sur le marché espagnol

Fintech en Espagne

Fintech dans d'autres pays

On vous présente

Avocats en technologie financière en Espagne

Kristina Berkes

Kristina Berkes

Participation en tant qu'avocat dans des fonds de capital-risque d'investissement, réalisation d'opérations de fusion-acquisition dans le domaine de l'informatique, support pour iGaming et actifs commerciaux

Silvia Calls

Silvia Calls

Nous travaillons pour les petites et moyennes entreprises internationales, les start-ups et les entreprises de télécommunications

Denis Polyakov

Denis Polyakov

Services juridiques complets pour les entreprises sur le droit des sociétés, le droit fiscal, la législation sur les crypto-monnaies, les activités d'investissement

Remarques
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/spain
  2. http://www.aepd.es/sites/default/files/2021-01/requisitos-auditorias-tratamientos-incluyan-ia.pdf
  3. http://www.aepd.es/media/guias/guia-orientaciones-procedimientos-anonimizacion.pdf