it

Revisione del mercato

Questo articolo non è una consulenza legale.

Protezione dei dati personali in Spagna

Demo

Le società Fintech con sede in Spagna o, in determinate circostanze, le società che operano nel mercato spagnolo da territori al di fuori dell'UE, sono soggette alle normative sulla protezione dei dati nella misura in cui accedono e trattano i dati personali in qualità di responsabili del trattamento o in qualità di fornitori di servizi (vale a dire responsabili del trattamento dei dati che elaborano dati per conto dei propri clienti). Dal 25 maggio 2018, la principale norma sulla protezione dei dati in Spagna è il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (GDPR), che è direttamente applicabile in tutti gli Stati membri dell'UE. Questo nuovo quadro giuridico offre alcuni vantaggi, come l'unificazione delle norme sulla protezione dei dati in tutta l'UE, che potrebbe aiutare le fintech locali ad espandersi in altri Stati membri dell'UE e potrebbe rendere più facile per le fintech di territori al di fuori della Spagna conformi al GDPR. per lanciare i propri servizi sul mercato spagnolo.1

Nonostante quanto sopra, a livello nazionale e in aggiunta al GDPR, in Spagna si applicano alcune normative locali sulla protezione dei dati. In particolare, a dicembre 2018 è stata adottata una nuova legge generale sulla protezione dei dati: la Legge fondamentale spagnola 3/2018 sulla protezione dei dati e le garanzie dei diritti digitali (LOPDGDD). LOPDGDD ha formalmente abrogato le precedenti normative nazionali sulla protezione dei dati che erano incompatibili con il GDPR e adattato le normative locali per renderle conformi al GDPR. Lo scopo principale del LOPDGDD è quello di fornire una regolamentazione specifica della protezione dei dati in varie materie che non sono espressamente coperte dal GDPR o sono soggette al GDPR, ma per le quali gli Stati membri sono autorizzati a regolamentare ulteriormente. Pertanto, il trattamento di alcuni dati (ad esempio, l'inclusione dei dati del debitore nelle pratiche di credito generali) è disciplinato in dettaglio nella LOPDGDD. Inoltre, il LOPDGDD ha approvato una nuova serie di diritti dei cittadini in materia di nuove tecnologie, noti come "diritti digitali". Questo insieme di nuovi diritti digitali può avere un impatto sull'attività di alcune società fintech, come i diritti digitali concessi ai dipendenti in merito all'uso di strumenti informatici da parte dei datori di lavoro a fini di monitoraggio del luogo di lavoro o l'uso di sistemi di geolocalizzazione.1

Il governo spagnolo ha anche cercato di rafforzare questi diritti digitali approvando nel 2021 la Carta dei diritti digitali della Spagna, che, sebbene non di natura legale o vincolante, fornisce le basi e stabilisce i criteri per le future normative in questo settore. affari in Spagna.1

Infine, dovrebbero essere presi in considerazione anche i criteri dell'Agenzia spagnola per la protezione dei dati, che è una delle autorità per la protezione dei dati più attive nell'UE. Nel corso del 2021, l'Agenzia spagnola per la protezione dei dati ha aumentato significativamente l'importo delle ammende inflitte rispetto agli anni precedenti.1

Per quanto riguarda le possibilità delle società FinTech che svolgono attività di profilazione (vale a dire il trattamento dei dati personali, compresa la profilazione e, in alcuni casi, l'adozione di decisioni automatizzate che interessano le persone), queste attività sono disciplinate dal GDPR e da alcune raccomandazioni della Protezione dei dati spagnola Agenzia. In generale, le attività di profilazione ai sensi del GDPR devono basarsi su motivi legittimi legittimi, principalmente l'esistenza di un obbligo legale (ad esempio, per valutare o prevenire le frodi), il consenso inequivocabile o esplicito delle persone fisiche, o l'esistenza di un interesse legittimo. L'interpretazione dell'interesse legittimo da parte dell'Agenzia spagnola per la protezione dei dati come base legittima per le società che svolgono attività di profilazione è stata molto restrittiva in passato (ad esempio, non copre la profilazione effettuata utilizzando dati di seconda o terza parte). Inoltre, le società fintech devono rispettare gli obblighi di fornire informazioni aggiuntive e garantire trasparenza durante la profilazione. Inoltre, se le tecnologie di intelligenza artificiale (AI) vengono utilizzate per la profilazione, le società fintech dovrebbero tenere conto delle linee guida sull'IA emesse dall'Agenzia spagnola per la protezione dei dati e dei requisiti per l'audit del trattamento dei dati personali tramite l'IA. Vengono introdotte altre salvaguardie aggiuntive, come il rafforzamento dei diritti di opposizione o la necessità di una valutazione dell'impatto sulla privacy.2

Infine, a diversa nota, alcune di queste attività di profilazione possono essere svolte su dati anonimi o pseudonimizzati. In tal caso, le società fintech dovrebbero tenere conto del fatto che l'Agenzia spagnola per la protezione dei dati ha pubblicato diverse linee guida e white paper per i processi di anonimizzazione e pseudonimizzazione.3

Piattaforme fintech estere nel mercato spagnolo

Fintech in Spagna

Fintech in altri paesi

Ti presentiamo

Avvocati in Tecnologie Finanziarie in Spagna

Kristina Berkes

Kristina Berkes

Partecipazione come avvocato a fondi di venture capital, conducendo operazioni di M&A nel campo dell'IT, supporto per iGaming e asset aziendali

Silvia Calls

Silvia Calls

Lavoriamo per piccole e medie imprese internazionali, start-up e società di telecomunicazioni

Denis Polyakov

Denis Polyakov

Servizi legali completi per le imprese in materia di diritto societario, diritto tributario, legislazione sulle criptovalute, attività di investimento

Appunti
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/spain
  2. http://www.aepd.es/sites/default/files/2021-01/requisitos-auditorias-tratamientos-incluyan-ia.pdf
  3. http://www.aepd.es/media/guias/guia-orientaciones-procedimientos-anonimizacion.pdf