Toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones.

Según el Reglamento (UE) 910/2014 relativo  a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, firma electrónica es “los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante [firmante es la persona física que crea una firma electrónica] para firmar”

Sí, el Reglamento (UE)  910/2014 distingue entre firma electrónica, firma electrónica avanzada y firma electrónica cualificada.

La firma electrónica avanzada es aquella que cumple con los siguientes requisitos:

  1. Estar vinculada al firmante de manera única;
  2. Permitir la identificación del firmante;
  3. Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
  4. Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

La firma electrónica cualificada, es “una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica”. 

Es decir, se trata de una firma electrónica que se crea mediante “un equipo o programa informático configurado” que se utiliza para crear firmas electrónicas y está basado en un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza (“un prestador de servicios de confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la cualificación”) y que cumple con los requisitos  de los certificados cualificados de firma electrónica (recogidos en el Anexo I del Reglamento (UE) 910/2014  relativo  a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Según el Reglamento (UE) 910/2014, el certificado de firma electrónica es “una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona”.

Según el Reglamento (UE) 910/2014 relativo  a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, el certificado cualificado de firma electrónica es “un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo I” del Reglamento.

Según el Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, un documento electrónico es “todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual”.

El documento electrónico será soporte de:

  • Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.

  • Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.

  • Documentos privados.

Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

Según la definición que recoge la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, la factura electrónica es un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor.

Si. Debe recordarse que si se ha realizado de la forma legalmente prevista y respetando el contenido mínimo que debe contener cualquier factura (sea electrónica o no) tiene plena eficacia.

  • NOTIFICACIÓN DE LOS FICHEROS a la Agencia Española de Protección de Datos antes de la creación de los mismos. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.
  • RESPETO A LOS PRINCIPIOS establecidos por la normativa: principio de calidad de los datos, respetar el derecho de información en la recogida de los datos, obtención del consentimiento del afectado,
  • IMPLANTAR MEDIDAS DE SEGURIDAD: se deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas se recogerán en un DOCUMENTO DE SEGURIDAD.
  • ATENDER LOS DERECHOS de los interesado o afectados.
  • Realización de AUDITORÍA DE SEGURIDAD: A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

El RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción
del Reglamento tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

Además se establecen en el RGPD las siguientes sanciones / multas:

  • Hasta los 10 millones de euros  o un 2% del volumen del negocio total anual global del ejercicio financiero anterior cuando no se adopten las medidas de seguridad necesarias o cuando no se haya nombrado un Delegado de Protección de Datos y fuera obligatorio.
  • Hasta 20 millones de euros o 4% del volumen del negocio total anual global del ejercicio financiero anterior cuando se vulneren los derechos de los interesados o por incumplir los principios básicos del tratamiento de datos.

Según el RGPD, entre las cantidades de 10 millones o 20 millones y los porcentajes del 2 y 4 % se elegirá la multa de mayor cuantía.

Por su parte, la Ley Orgánica de Protección y Garantías de los Derechos Digitales 3/2018 (LOPD-GDD), establece la clasificación de infracciones desde las leves (prescriben al año, art.74 LOPD-GDD), pasando por las graves (prescriben a los 2 años, art.73 LOPD-GDD), hasta las muy graves (prescriben a los tres años, art. 72 LOPD-GDD).

Es probable que su organización cuente con ficheros tales como el de nóminas de sus trabajadores (aunque cuente con el servicio externo de una asesoría, la responsabilidad del fichero es de la organización), clientes, proveedores, currículums, etc, siendo por tanto aplicable la vigente normativa de protección de datos personales.