Continúan en aumento las reclamaciones ante la AEPD
Marzo 2024
La Agencia Española de Protección de Datos (AEPD) ha presentado su Memoria anual en la que hace balance de las acciones llevadas a cabo a la largo del año 2023.
La AEPD destaca en nota de prensa el elevadísimo incremento de las reclamaciones presentadas. En 2023, el número ha sido de 21 590 reclamaciones, lo que supone un incremento de un 43 % respecto a 2022 y un 55 % más que en 2021. Esta situación pone de manifiesto que la magnitud de los datos personales objeto de tratamiento y la evolución constante de las tecnologías que se utilizan para su tratamiento evidencian un aumento cuantitativo y cualitativo de la preocupación de los ciudadanos.
Además, la Agencia pone en valor el sistema de los traslados, dado que la principal vía de resolución de reclamaciones durante el año anterior ha pasado por su traslado al responsable o encargado del tratamiento que, en un número significativo de casos, permite obtener una respuesta satisfactoria para el ciudadano en una media de tres meses.
Las reclamaciones planteadas con mayor frecuencia por los ciudadanos en 2023 corresponden a recepción de publicidad no deseada, servicios de internet, videovigilancia, comercio, transporte y hostelería, y las relacionadas con entidades financieras.
De mayor interés para los responsables y encargados del tratamiento es la información sobre la imposición de sanciones, cuyo importe ha ascendido a 29.817.410 euros. Pero especialmente relevantes son los criterios que se desgranan en los argumentos vertidos en las resoluciones y sobre todo los confirmados por los Tribunales.
En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia que resume en su Memoria, queremos resaltar la consideración que se hace de la tarjeta SIM de un teléfono como dato de carácter personal. La tarjeta SIM almacena el IMSI, que es el código de identificación en la red de comunicaciones móviles celulares y es fundamental para identificar al abonado. En cuanto alguien introduce la SIM en un terminal y lo enciende, el IMSI va a ser accedido e intercambiado con la red. También delimita la Sala en otra ocasión lo que se consideran familiares vinculados al fallecido a la hora de solicitar el acceso a su historia clínica, habiendo de entenderse tanto el cónyuge como los hermanos y los ascendientes y descendientes del primer grado, más no el resto de los familiares.
En cuanto a la jurisprudencia del Tribunal de Justicia de la Unión Europea, en sus sentencias analiza el contenido de la contestación al derecho de acceso para indicar que la información sobre a quiénes se han comunicado los datos personales solo puede referirse a categorías de destinatarios en el caso en que todavía no fuese posible identificarlos, en otro caso habrá que aportar su identidad real. Igualmente aclara que el derecho a obtener una copia de los datos personales no se refiere a una descripción de los datos, sino a un extracto documental o de bases de datos, o a documentos completos.
También es interesante el número de brechas de datos personales notificadas, que asciende a más de 2.000, de las que 16 se trasladaron a la Subdirección de Inspección de Datos por requerir una investigación en mayor profundidad. Además, en 30 de ellas se obligó al responsable a comunicar el hecho a los afectados.
Como una de sus iniciativas más innovadoras resalta el desarrollo de propuestas para garantizar el tratamiento de los neurodatos en el marco de la normativa reguladora del derecho fundamental a la protección de datos personales, ante la ausencia de una regulación específica sobre esta materia. La AEPD considera necesario promover el reconocimiento normativo de los cinco neuroderechos propuestos en el ámbito internacional: identidad personal, libre albedrío, privacidad mental, acceso equitativo y protección contra los sesgos.
Empresas, Administraciones Públicas y Colegios Profesionales podrán comprobar la inexistencia de antecedentes en el Registro Central de Delincuentes Sexuales y de Trata de Seres Humanos
Abril 2024
La Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, introduce una regulación específica en relación a la certificación negativa del Registro Central de Delincuentes Sexuales, ahora denominado Registro Central de Delincuentes Sexuales y de Trata de Seres Humanos, por la que quien pretenda el acceso y ejercicio de cualesquiera profesiones, oficios y actividades que impliquen contacto habitual con personas menores de edad, debe acreditar mediante la aportación de una certificación negativa del Registro el no haber sido condenado por sentencia firme por cualquier delito contra la libertad e indemnidad sexuales tipificados en el título VIII de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, así como por cualquier delito de trata de seres humanos tipificado en el título VII bis del Código Penal.
Hasta ahora, las empresas y Administraciones Públicas que diesen ocupación o tramitasen un procedimiento para acceder a dichas profesiones debían solicitar a los interesados la certificación, puesto que eran estos los que podían a su vez solicitarla al Registro. Esto llevaba a la situación de que el certificado era solicitado al principio de la relación profesional, si bien en el curso de la misma podía tener lugar la comisión de delitos de cuya existencia no eran conscientes las entidades, generándose un riesgo para las personas menores de edad.
El Real Decreto 407/2024, de 23 de abril, modifica el Real Decreto 1110/2015, de 11 de diciembre, por el que se regula el Registro para que siempre que no se trate de información reservada a Jueces y Tribunales, y previo consentimiento expreso de la persona interesada o de su representante, pueda informar de datos contenidos en el Registro a Administraciones Públicas y Colegios Profesionales, y emitir certificación negativa a solicitud de empresas y entidades, incluidas las de voluntariado.
Es necesario, por tanto, el consentimiento expreso del interesado, aunque la normativa exija realizar tal comprobación, dado que en caso de no contar con el consentimiento siempre puede expedirse a instancias de la persona interesada y ser aportado por ella.
Además, la consulta debe ser necesaria para la contratación o el ejercicio de la relación laboral o actividad o responder a un procedimiento para acceder a las profesiones, actividades u oficios mencionados o para su ejercicio. Hay que tener en cuenta que quedará constancia de la identidad del solicitante y que corresponde a la persona encargada del Registro realizar auditorías periódicas para verificar que los accesos producidos se corresponden con las finalidades previstas.
En todo caso es de aplicación la normativa de protección de datos, RGPD y LOPDGG, siendo la finalidad del tratamiento la de contribuir a la protección de las personas menores de edad contra la explotación y las agresiones sexuales.
Deberán las entidades analizar el tratamiento desde la perspectiva de dicha regulación y establecer protocolos para designar a la persona o personas encargadas de realizar las solicitudes, disponer la periodicidad de las consultas, recabar los consentimientos necesarios y determinar plazos adecuados de conservación.
¿Por qué el 11 de enero dejamos de poder rechazar gratuitamente las cookies en muchas páginas web?
Enero 2024
El 11 de enero nada cambió sobre la normativa de cookies ni las interpretaciones vertidas por las autoridades de control, sin embargo, como si todas las entidades se hubiesen puesto de acuerdo, aparecieron en muchas páginas web, especialmente de periódicos, revistas, noticias y artículos, un botón en el que nos daban la opción de rechazar las cookies pagando por el acceso. Hasta ese momento, aunque en la mayoría de casos no existía el botón de rechazar, sí podías llegar a alcanzarlo si pinchabas el de configuración y sorteabas las distintas trampas de posiciones y colores de los botones que a veces te llevaban por error a acabar aceptando todas las cookies.
¿Qué pasó entonces el 11 de enero? El pasado 11 de julio al Agencia Española de Protección de Datos (AEPD) publicó su tercera versión de la Guía sobre el uso de las cookies. Es cierto que, si ahora descargamos la Guía, veremos que tiene fecha de enero de 2024, pero esta actualización solo ha incorporado un anexo que remite a la Guía de uso de cookies para herramientas de medición de audiencia, que sí es una novedad de este mes.
Volvamos a la Guía de julio de 2023 y la adaptación que supuso a las Directrices sobre patrones engañosos publicadas por el Comité Europeo de Protección de Datos en febrero de 2023. Aunque el criterio mantenido por la AEPD era permitir la existencia de un botón de aceptación y otro de configuración en los banner que ofrecían a los usuarios y usuarias la posibilidad de gestionar su consentimiento a la instalación de cookies, con la nueva Guía se hace necesario contar al menos con un botón de aceptación y otro de rechazo que estén igualmente accesibles; es decir, ya no es posible disimular el botón de rechazo dejándolo para un momento posterior dentro de la configuración. Mientras había sido así, parece que la mayor parte de las personas debían aceptar las cookies quizá por la pereza de tener que dar algún paso más allá y aparentemente no llegó a generar más problemas.
Ante la obligación de instalar el botón de rechazo al mismo nivel que el de aceptación y quizá espoleados por el uso desde noviembre de 2023 de la opción pay or ok por parte de META, muchos proveedores de contenidos han recurrido a un párrafo de la Guía que ya figuraba en las Guías anteriores, pero al que se le han ido añadiendo requisitos actualización tras actualización. Actualmente, figura así: Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
Y ahora es cuando se resuelve el misterio: el 11 de enero se cumplieron los seis meses de periodo transitorio que la AEPD estableció para la adaptación a los nuevos criterios de la Guía, y quienes se encuentran en la situación de perder los ingresos obtenidos con la publicidad al exponerse a un rechazo masivo de la instalación de cookies con las nuevas facilidades han optado por compensar esa pérdida añadiendo a la opción del rechazo el consecuente pago o suscripción, puesto que no están obligados a ofrecer sus contenidos de forma gratuita. El reto está en determinar si realmente las alternativas son equivalentes y si la remuneración es adecuada o nos encaminamos a convertir la privacidad en un lujo reservado a los que puedan permitírselo. Mientras, esperamos el próximo pronunciamiento por parte del CEPD acerca de los modelos de consentimiento o pago.
La AEPD impide temporalmente a Worldcoin seguir tratando datos personales en España
Febrero 2024
Se trata de una medida cautelar que la AEPD puede imponer de acuerdo con el artículo 66.1 del RGPD. Excepcionalmente, cuando la autoridad de control considere que es urgente intervenir para proteger los derechos y las libertades de interesados puede adoptar este tipo de medidas por un periodo de validez no superior a tres meses.
Si bien, según indica la compañía, el objetivo de Worldcoin es altruista, y pretende conseguir registrar el iris de toda la población mundial para evitar suplantaciones de identidad, lo cierto es que lleva a cabo el tratamiento de datos biométricos a cambio de los que ofrece criptomonedas como recompensa. El tratamiento de este tipo de datos conlleva elevados riesgos, y recientemente la propia AEPD, siguiendo las directrices del Comité Europeo de Protección de Datos ha endurecido su postura respecto al tratamiento de datos biométricos con fines de control de accesos y registro laboral, por lo que la preocupación por este tipo de actividades es consecuente con la línea de interpretación adoptada. Por otra parte, desde que Worldcoin empezó dichas actividades en España, la AEPD ha recibido varias reclamaciones denunciando, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento.
Por estos motivos ha exigido el cese en la recogida y tratamiento de categorías especiales de datos personales así como el bloqueo de los ya recopilados, para prevenir la posible cesión de datos a terceros y salvaguardar del derecho fundamental a la protección de datos personales.
Imagen de <a href="https://www.freepik.es/foto-gratis/reconocimiento-facial-collage-identificacion-personal_96363994.htm#query=escaner%20iris&position=2&from_view=keyword&track=ais&uuid=610a755a-587a-4400-a542-032a78541bb8">Freepik</a>
Sistema de verificación de la edad de la AEPD
Diciembre 2023
La Agencia Española de Protección de Datos (AEPD) ha querido poner de manifiesto que es técnicamente posible proteger a los menores del acceso a contenidos inadecuados a la vez que se garantiza el anonimato de los adultos en su navegación por internet. La idea es que, si existen formas de cumplir, la AEPD puede exigir ese cumplimiento, aunque las pruebas realizadas no se consideran una solución única, sino una forma de incentivar que cada uno encuentre sus propias soluciones.
Se ha puesto el foco en páginas de pornografía y de violencia extrema, pero también sería aplicable a sitios de juego, redes sociales con contenidos de todo tipo, páginas de compras que venden artículos como tabaco o alcohol, etc.
Se parte de la base de que la protección del menor en internet no puede tener como objetivo verificar su edad o someterlo a vigilancia y seguimiento. Además, en la práctica, las medidas se aplican a toda persona que acceda a estos contenidos, también adultas, por lo que deben protegerse igualmente sus derechos fundamentales.
En la medida en que estos sistemas supongan tratamiento de datos personales, este debe estar legitimado, ser idóneo, necesario y proporcionado, pero no se puede entender la verificación de la edad y la protección del interés superior del menor como base jurídica para un tratamiento adicional de sus datos. También se pretende desmontar la idea de utilizar el derecho a la protección de datos como excusa para no implantar medidas.
Los sistemas empleados actualmente plantean una serie de riesgos: falta de idoneidad porque no haya certidumbre sobre la verificación, inferencia de la identidad real de la persona usuaria, vinculación de su actividad en diferentes servicios, detección de menores de edad, recopilación excesiva de datos, falta de transparencia para quien accede o para los titulares de la patria potestad que influye en la toma de decisiones, etc.
La intervención de terceros de confianza, que podría considerarse una opción adecuada, también presenta riesgos, ya que no están libres de la intervención de autoridades judiciales, servicios de inteligencia, brechas de datos personales, futuros cambios normativos, cambios en su accionariado, etc.
Se trata de emplear la edad como un atributo de forma que se utilicen sistemas que impidan que un menor pueda ser localizado a través de internet, garanticen el anonimato de los usuarios adultos, minimicen los datos tratados o desvelados a terceros y velar por que las familias sean partícipes de los criterios para proteger a los menores.
El sistema que plantea la AEPD se compone de un Decálogo de principios de verificación de la edad y protección de personas menores de edad ante contenidos inadecuados, y las pruebas demuestran cómo cumplir de manera efectiva y eficiente con el Decálogo. Para ello, se presentan tres vídeos prácticos y una nota técnica con los detalles del proyecto. Con fines divulgativos se ha publicado también una infografía que resume los principios del Decálogo y recoge los riesgos de los sistemas que se están empleando actualmente.
Para poder implantarlo es necesario, por tanto, un mecanismo de verificación de la edad y unas políticas de calificación de sitios y contenidos en función de la edad. Estas políticas se deben implantar haciendo efectiva la calificación, es decir, etiquetando los sitios y contenidos determinados, y se deben ejecutar por los distintos agentes, lo que incluye también a buscadores, empresas de telefonía móvil, fabricantes de dispositivos, etc.
Puede sorprender que el sistema deba ser anónimo para el acceso a páginas en las que va a ser necesario identificarte, por ejemplo, para realizar una compra, si bien se entienden como dos tratamientos distintos, por lo que la acreditación del acceso debe ser independiente del tratamiento de datos realizado para otros propósitos legítimos.
A criterio de la AEPD, las pruebas realizadas demuestran que existen opciones que evitan la exposición del menor, los incumplimientos normativos, los riesgos y amenazas detectados en las soluciones actuales disponibles en el mercado, que además pueden ser transparentes, auditables y que no precisan del desarrollo de nuevos proveedores de identidad digital distintos a los ya establecidos en Europa. También que es posible desarrollar soluciones para distintos dispositivos y sistemas operativos respetando la neutralidad tecnológica.
Expertos de distintos sectores no lo tienen tan claro y ponen el foco en la escasa información sobre las pruebas, la posible aparición de un mercado negro de certificados, las dificultades en la clasificación de los contenidos o problemas relacionados con el desplazamiento de las personas de unos países a otros.
Se endurece la interpretación de los requisitos necesarios para el tratamiento de datos biométricos con fines de control de presencia
Noviembre 2023
El pasado 23 de noviembre la AEPD ha publicado una nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
Lo primero que aborda la Guía es la condición de dato personal que a veces se ha puesto en duda respecto a los patrones biométricos en que se almacenan este tipo de datos: una plantilla biométrica con propósito de identificación o autenticación es un dato personal per se y un identificador único.
La guía se refiere a distintos tipos de control, ya sea en el entorno laboral, para el registro de la jornada u otros fines laborales, o para otras finalidades que no se enmarcan en la relación laboral. En general son tratamientos cuya finalidad no es la de tratar datos biométricos, y por tanto existen distintas alternativas para conseguir esas mismas finalidades.
Partiendo de esta premisa, se pone de manifiesto la necesidad de tener en cuenta el principio de minimización, ya que estas alternativas equivalentes y menos intrusivas deben ser valoradas detenidamente, e incluso se han de explorar opciones que no sean solo tecnológicas. También respecto a la elección de la tecnología hay que tener en cuenta la minimización, puesto que, en muchos casos, simplemente porque la tecnología lo permite y es asequible, estos productos recogen mucha más información de la que es realmente necesaria para la finalidad del tratamiento, o con mucho más detalle. Por eso es necesario seleccionar y/o configurar el sistema para adecuarlo a las necesidades concretas del tratamiento, y evaluar que no hay recogida de datos innecesarios.
A continuación se resalta el hecho de que el tratamiento requiere un variado conjunto de operaciones que no termina con la recogida del patrón biométrico, y que además este tipo de datos son susceptibles de ser utilizados con otros propósitos diferentes, cada uno de los cuales debe tener en cuenta el cumplimiento de todos los principios que exige el RGPD.
En todo caso, lo esencial, y sin lo que no sería posible seguir adelante con el planteamiento de un tratamiento de este tipo, es contar con una excepción a la regla general del artículo 9.1 del RGPD que prohíbe el tratamiento de categorías especiales de datos.
Mientras que inicialmente se consideró que dicha prohibición se aplicaba solo a los tratamientos dirigidos a la identificación, la Guía, siguiendo las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), sobre el uso de reconocimiento facial en el ámbito de las fuerzas de orden público (26 de abril de 2023), la extiende también a los supuestos de tratamientos de datos biométricos dirigidos a la autenticación o verificación de la persona con respecto al patrón previamente establecido para la misma.
También hay que tener en cuenta que el desarrollo tecnológico está permitiendo extraer cada vez más detalles de los rasgos biométricos de una persona. Por ejemplo, algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea, que también pueden ser categorías especiales de datos.
Al analizar las distintas circunstancias que levantan la prohibición, y en contra de la interpretación mantenida hasta hace poco, especialmente respecto al registro de la jornada laboral, las conclusiones son demoledoras:
• En la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo.
• En una relación laboral, al existir desequilibrio de poder, el consentimiento no sería libre, pero se podría dar si su negativa no tiene consecuencias adversas y eso significaría contar con una alternativa. Sin embargo, al contar con una alternativa, el tratamiento de datos biométricos no sería esencial y por tanto no superaría el requisito de necesidad exigido para tratamientos de alto riesgo; aunque al referirse también al artículo 5.1 plantea dudas sobre la posibilidad de contar con alternativas en otros tipos de tratamiento.
En el improbable caso, si nos basamos en los argumentos expuestos, de haber conseguido levantar la prohibición, la Guía especifica que es necesario analizar si dicho tratamiento se pretende desplegar en el marco de al menos una de las condiciones enumeradas el art. 6.1 del RGPD.
Pero, además, un tratamiento de control de presencia se podría implementar por parte del responsable como un proceso automatizado basado en un sistema biométrico sin intervención humana que produzca efectos jurídicos sobre el interesado o le afecte significativamente de modo similar, regulados en el artículo 22 del RGPD. Por ejemplo, cuando un sistema que controle el acceso al lugar deniegue dicho acceso por motivos técnicos y, al impedir el acceso, y sin posibilidad de intervención humana, tenga un impacto de forma automática sobre la persona, ya sea sobre el trabajador en su salario o en su empleo, entre otros.
Analizados los requisitos establecidos en dicho artículo, se concluye que, en el caso de que se plantee el control de presencia como un tratamiento en el que hay decisiones automatizadas sin una intervención humana con la competencia para revertir la decisión, no se podría utilizar un proceso de identificación o autenticación biométrica.
Otro de los requisitos es que se realice una gestión del riesgo (art. 24.1 RGPD) y desde el diseño y por defecto (art. 25 RGPD) se apliquen las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD; pero en caso de alto riesgo, deberá superar favorablemente una Evaluación de Impacto para la Protección de Datos (EIPD) que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta.
A este respecto, para que un tratamiento se pueda considerar idóneo, ha de permitir cumplir con la finalidad última del tratamiento con unos niveles adecuados de calidad, teniendo en cuenta que no hay tratamiento que esté libre de errores ni de posibilidad de fraude.
Para que sea necesario tienen que valorarse las circunstancias por las que ya no es posible utilizar los sistemas de registro de presencia que se estaban empleando o que emplean otras entidades equivalentes; y se debe justificar que el empleo de otros sistemas existentes, como tarjetas, certificados, claves, sistemas contact-less, etc., que evitan el tratamiento de categorías especiales de datos, no son adecuados. El sistema ha de ser esencial para satisfacer el cumplimiento de la finalidad de registro de presencia y no solo lo más adecuado o rentable.
Con relación a la superación de la evaluación de la proporcionalidad en sentido estricto, hay que realizar una evaluación del nivel de intrusismo en los derechos y libertades del interesado, estimando entre otros la naturaleza de la injerencia o cómo se limitan o se ponen en riesgo los derechos y libertades; el alcance/extensión del tratamiento; el contexto en que la medida deberá aplicarse o la naturaleza de la actividad objeto de la medida; si pueden aparecer «intrusiones colaterales», incluso injerencias en la intimidad de personas distintas a los sujetos directamente afectados por la medida.
Por último, se recuerdan las medidas mínimas que ya se indicaban en la Guía La protección de datos en las relaciones laborales y la necesidad de valorar los riesgos de que se produzcan brechas de seguridad.
A medida que la tecnología ha sido más asequible, este tipo de tratamientos se han desplegado de forma masiva en el ámbito empresarial, por lo que muchos responsables del tratamiento se van a ver obligados a replantear sus sistemas.
La AEPD cuenta con un asistente virtual que ayuda a responder dudas sobre protección de datos
Octubre 2023
Una forma rápida y sencilla de resolver las preguntas más frecuentes en materia de protección de datos y privacidad.
La página web de la AEPD ya contaba con una sección de preguntas frecuentes dividida en distintas secciones (derechos, laboral, publicidad no deseada, solvencia patrimonial, videovigilancia, salud, etc.).
Con esta iniciativa se complementa el sistema tradicional de preguntas realizadas a través de la sede electrónica o por teléfono y está especialmente dirigida a las personas con diversidad funcional auditiva.
El acceso a la ayuda interactiva se encuentra en la portada de la web de la Agencia. Las novedades más destacadas son:
• El mecanismo de ayuda se divide en once secciones temáticas que resuelven las dudas sobre los temas más relevantes, en lenguaje sencillo y directo.
• No requiere certificado electrónico, ni identificación del usuario.
• Funciona las 24 horas todos los días.
• Permite la conexión directa con un agente en horario laboral (de lunes a viernes de 9:00 a 17:30 horas).
Además, se puede valorar la respuesta ofrecida.
Novedades respecto a la gestión de las cookies
Julio 2023
La AEPD ha publicado una nueva guía de cookies para adaptar los criterios establecidos en guías anteriores a los últimos pronunciamientos del CEPD (Comité Europeo de Protección de Datos), concretamente el informe adoptado por el grupo de trabajo creado en el seno de este organismo para analizar los banners de cookies. Se trata nuevamente de orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), aunque es necesario ser conscientes de la existencia de una propuesta de Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), que regulará la protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos, y que previsiblemente supondrá nuevos cambios.
No hay duda de que, a día de hoy, las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación.
La guía, como ya hacían versiones anteriores, recuerda que en caso de recabar datos personales a través de las cookies es necesario cumplir la normativa de protección de datos y repasa los tipos de cookies que se encuentran excluidas del cumplimiento de las obligaciones que recoge, aunque por transparencia recomienda informar de forma genérica sobre ellas.
Se describen los distintos tipos de cookies en atención a los criterios ya conocidos, especificando que en el caso de las cookies propias el responsable es el editor y en las de terceros una entidad distinta del editor. Cuando se describen las cookies de preferencias, se añaden más ejemplos de características que pueden ser seleccionadas por el usuario, además del idioma, como la moneda en las transacciones, el tamaño de la fuente o el contraste de color para mejorar la legibilidad, y se especifica que estas cookies pueden quedar exentas si dichas características han sido previamente seleccionadas incluso aunque no sean de sesión, pero siempre que no se utilicen para otros fines ni para elaborar un perfil del usuario.
El cambio más relevante en la guía es la obligatoriedad de incluir junto al botón de ACEPTAR un botón específico para RECHAZAR las cookies desde la primera capa informativa, mientras que en versiones anteriores era posible optar por este botón o uno que permitiese la configuración o simplemente un botón de aceptar siempre que se incluyese un enlace al panel de configuración. Ahora es necesario incluir las tres opciones en la primera capa informativa; así, se incluirá un botón o mecanismo equivalente, similar al de aceptación, con las palabras «Rechazar cookies», «Rechazar» o textos similares, para rechazar el uso de cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado). La opción para rechazar las cookies deberá ofrecerse, por tanto, en la misma capa y al mismo nivel que la opción para aceptarlas y el mecanismo empleado al efecto (botón u otro) deberá ser similar, sin remitir al usuario a otra capa o lugar diferente para realizar esa acción. Como buena práctica, la posibilidad de configurar deberá evitarse si solo se usan un tipo de cookies y el usuario únicamente puede aceptarlas o rechazarlas.
La función que cumple cada mecanismo debe ser evidente para el usuario, y respetar lo siguiente:
• No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
• No se podrá empujar claramente al usuario a aceptar las cookies.
• El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
Estas previsiones también se trasladan a los ejemplos que se incluyen en la guía para solicitar el consentimiento en el caso de menores de 14 años.
Por último, mencionar respecto a la transparencia que se recogen nuevamente las expresiones que no se consideran válidas, pero que resaltamos porque todavía aparecen frecuentemente en banners y políticas, como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación», o frases como «podemos utilizar sus datos personales para ofrecer servicios personalizados» para referirse a cookies publicitarias comportamentales. También deben evitarse términos como «puede», «podría», «algún», «a menudo», y «posible».
Nuevo marco de privacidad para las transferencias internacionales de datos de la UE a EE. UU.
Julio 2023
Desde que la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 16 de julio de 2020, conocida como Sentencia Schrems II, supuso la anulación del Escudo de Privacidad para las transferencias internacionales de datos personales a los EE.UU. debido a los problemas relacionados con las posibilidades de acceso a los datos por parte de las agencias norteamericanas y la falta de mecanismos para que los ciudadanos europeos pudieran reclamar el respeto a sus derechos, las relaciones entre las empresas que requerían llevar a cabo estas transferencias se habían complicado, debiendo recurrir a otros mecanismos de garantía regulados en el artículo 46 del RGPD que en muchos casos no conseguían solventar estos mismos problemas.
Esta situación ha llevado, en ocasiones, a que las entidades europeas se decantasen por servicios que garantizasen el alojamiento de los datos en servidores ubicados en la UE para evitar las dudas que provocaban la seguridad de este tipo de transferencias y la posibilidad de incumplir los requisitos necesarios para que fuesen acordes a la normativa.
La adopción de una nueva Decisión de Adecuación por parte de la Comisión Europea de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de los datos personales con arreglo al marco de privacidad de datos UE-EE.UU. viene a poner fin, quien sabe si temporalmente, a esta situación, al contener en su anexo el denominado EU-US Data Privacy Framework (DPF). Se trata, como en las ocasiones anteriores, de un sistema de autocertificación por el cual las empresas norteamericanas se comprometen al cumplimiento de unos principios en el tratamiento de datos personales acordes al nuevo marco de privacidad.
De esta forma, las transferencias internacionales de datos realizadas a partir del 10 de julio desde la UE a organizaciones de los EE. UU. incluidas en la «Data Privacy Framework List», mantenida y puesta a disposición del público por el Departamento de Comercio de los Estados Unidos se considera que cuentan con un nivel adecuado de protección y no tendrán que recurrir a otros sistemas de protección regulados en el mencionado artículo 46. La lista incluye a las entidades que mantienen activa la certificación bajo este nuevo marco de privacidad.
Sin embargo, estas garantías se deberán seguir empleando en el caso de que las entidades importadoras no se encuentren en la mencionada lista, si bien al evaluar la eficacia del instrumento de transferencia del artículo 46 del RGPD elegido (como las cláusulas contractuales tipo o las normas corporativas vinculantes), los exportadores de datos deberán tener en cuenta la evaluación realizada por la Comisión en la Decisión de Adecuación, y las salvaguardas ya adoptadas podrían facilitar su uso.
En cuanto a los mecanismos de recurso con los que cuentan con los interesados si consideran que la organización estadounidense en cuestión no cumple los requisitos de la Decisión de Adecuación, en primer lugar, se recomienda recurrir a la propia entidad estadounidense, tal y como se haría en el caso en que el tratamiento se realizase por una entidad de la UE. En el supuesto de violaciones cometidas por agencias de inteligencia norteamericanas, los interesados disponen de un mecanismo de reparación ante las autoridades estadounidenses competentes, al que pueden hacer presentando una reclamación ante su autoridad nacional de protección de datos. Dicha autoridad lo trasladará al Comité Europeo de Protección de Datos, que a su vez lo tramitará ante las autoridades pertinentes en EE. UU. La autoridad de protección de datos deberá, además, asegurarse de que el interesado recibe información sobre el procedimiento de tramitación y su resultado.
La primera revisión de la Decisión de Adecuación tendrá lugar un año después de su entrada en vigor para verificar si todos los elementos se han aplicado plenamente y son efectivos en la práctica, y deberá establecerse cuál será la periodicidad de las posteriores revisiones, que al menos se realizarán cada cuatro años.
Derecho de los usuarios a no recibir llamadas no solicitadas
Junio, 2023
La fecha y los motivos de una consulta a mis datos personales sí, la identidad de quien consulta, en principio, no
Junio, 2023
La APED ha publicado una circular en la que fija los criterios que aplicará en relación con el artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones (LGT).
Así, hasta el 29 de junio, fecha en la que entra en vigor la modificación operada en la ley, se podían recibir llamadas comerciales si el usuario no se había opuesto a ellas. A partir de esa fecha es necesario el consentimiento u otra base de legitimación de las previstas en el RGPD y son estos últimos casos los que trata de clarificar la circular.
Lo primero que se concreta es que resulta de aplicación a todos los responsables del tratamiento que realicen llamadas comerciales, con independencia del sector al que pertenezcan, al tratarse de una normativa referida a los derechos de los consumidores y usuarios.
También que la otra posible base de legitimación es la existencia de un interés legítimo, respecto al que ya se indicaba en la LGT que, dado su carácter excepcional, deberá ser objeto de interpretación restrictiva, descartando como base de legitimación la existencia previa de una relación contractual al no ser una finalidad necesaria para su ejecución.
En cuanto a las llamadas comerciales realizadas a números generados de forma aleatoria, estas sí, solo pueden realizarse con el consentimiento previo del usuario. La empresa no puede realizarlas basándose en su interés legítimo, ya que en este caso no es posible valorar la prevalencia sobre el derecho de los usuarios al no haber datos personales. También las llamadas automáticas realizadas sin intervención humana o mensajes de fax, puesto que quedan fuera del ámbito de aplicación de la circular.
Respecto al uso de los números que figuran en las guías de abonados también opera el consentimiento expreso del interesado, sin embargo, sí pueden emplearse los que figuren en las guías o en instrumentos similares de personas físicas que presten servicios en personas jurídicas o de empresarios individuales y de profesionales liberales si la oferta está dirigida a la empresa o relacionada con la actividad empresarial o profesional correspondiente tal y como establece el artículo 19 de la LOPDGDD.
En otro caso la empresa debe justificar su interés legítimo, para lo que se facilita la aplicación de los criterios de ponderación estableciendo una presunción por la que prevalece el interés legítimo del responsable siempre que el usuario hubiese tenido una relación previa con la empresa habiendo adquirido sus productos o servicios y, además, los productos ofrecidos por la empresa deben ser similares a los que se hubieran contratado con anterioridad, tal y como ya estaba regulado en la Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI) respecto al envío de comunicaciones comerciales por vía electrónica.
Esta posibilidad solo se refiere a las llamadas de la misma empresa con la que se hubiera tenido esa relación y no a otras entidades, aunque pertenezcan a su mismo grupo empresarial. Además, si la relación contractual ya no está en vigor y el usuario no ha realizado ninguna otra solicitud o interacción con la empresa durante el último año, no será aplicable la presunción al considerar que no existe expectativa razonable.
En todo caso estas circunstancias operan como presunción, pero esto no impide que la empresa documente su propia ponderación especificando los motivos por los que considera que sus intereses prevalecen sobre los derechos de los afectados, que deberá justificar ante la AEPD en caso de requerimiento.
La circular recuerda que en caso de aplicar esta base de legitimación es necesario realizar una consulta previa a los sistemas de exclusión publicitaria que pudieran afectar a su actuación para excluir a los interesados que hubiesen manifestado su oposición o negativa al mismo.
Además, deberá haberse informado al interesado del tratamiento y de su derecho de oposición a más tardar en la primera comunicación. Respecto al principio de transparencia se indican como garantías adicionales que al inicio de cada llamada, se informe sobre la identidad del empresario, y si procede, la identidad de la persona por cuenta de la cual se efectúa la llamada, la finalidad comercial de la misma y la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas comerciales no deseadas. Las llamadas pueden ser llamadas como evidencia.
También se menciona como garantía que cualquier manifestación inequívoca del usuario contraria a la recepción de dichas llamadas deba entenderse como revocación del consentimiento o, en su caso, ejercicio del derecho de oposición, debiendo atenderse inmediatamente.
El Tribunal de Justicia de la Unión Europea ha interpretado el artículo 15 del RGPD en este sentido, si bien deja un margen a la ponderación de derechos (Asunto C-579/21 (Pankki S) de 22 de junio de 2023).
El Tribunal de Justicia delimita los límites del derecho de acceso de un interesado que se plantean cuando la información se refiere a las personas que han accedido a sus datos y estas son empleadas del responsable del tratamiento.
Lo primero que se resuelve es que, aunque el tratamiento se realizó en el año 2013, antes del 25 de mayo de 2018, fecha en la que el RGPD empezó a ser aplicable, la solicitud de ejercicio del derecho de acceso fue posterior a esta fecha y al tratarse el contenido de este derecho de un aspecto procedimental que no afecta al tratamiento previamente desarrollado, es aplicable en los términos en que está recogido en el RGPD, norma de aplicación en el momento de la solicitud.
Argumenta a continuación respecto al derecho de acceso el Tribunal que este tiene por objeto garantizar, en favor del interesado, la transparencia de los modos de tratamiento de los datos personales, transparencia sin la cual este no podría apreciar la licitud del tratamiento de sus datos ni ejercer otros derechos que le son reconocidos.
Las consultas a datos personales constituyen un tratamiento y como tal confiere al interesado el derecho a que se le comunique la información relacionada con esas operaciones:
• La fecha de esas consultas permite confirmar que el tratamiento se ha desarrollado en un determinado momento, lo que puede ser necesario para verificar su licitud.
• El propio artículo 15 se refiere a los fines del tratamiento como parte de la información que debe ser facilitada, así que deberá especificarse también cuál era el motivo de las consultas.
• Si bien artículo 15 del RGPD indica que debe facilitarse información sobre los «destinatarios» de los datos, que los empleados del responsable del tratamiento no pueden considerarse destinatarios en el sentido especificado en dicho artículo cuando traten datos personales bajo la autoridad de dicho responsable y de conformidad con sus instrucciones.
• Facilitar el registro de accesos para cumplir con el requisito de entregar al interesado «una copia de los datos personales objeto de tratamiento», no sería posible al incluir la identidad de los empleados que han accedido a los datos, puesto que el ejercicio del derecho de acceso no debe afectar negativamente a los derechos y libertades de terceros.
Concluye el Tribunal diciendo que, aunque saber quiénes han accedido a los datos puede facilitar que el interesado verifique la licitud del tratamiento, también puede poner en riesgo los derechos y libertades de los trabajadores que han realizado los accesos. Esto no puede suponer una negativa a entregar toda la información, sí deberán facilitarse las fechas y motivos.
También puede darse el caso, en que conocer la identidad de las personas sea determinante para saber si el resto de la información (fechas y finalidades) es veraz y esto afecte a la licitud del tratamiento, y es en esos supuestos, y otros en que puedan plantearse dudas, cuando el Tribunal abre la mano hacia la ponderación de derechos, apelando finalmente al recurso ante la autoridad de control.
¿Hasta dónde llega la protección de datos de las personas jurídicas?
Mayo 2023
El hecho de que las personas jurídicas no estén contempladas en el ámbito de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) no significa que queden desamparadas, incluso tienen reconocido en nuestro ordenamiento jurídico el derecho al honor, pero no es posible tratar de retorcer la normativa para llegar a una solución que no es la pretendida por el legislador.
Así lo ha establecido el Tribunal Supremo en su Sentencia núm. 547/2023 de la Sala tercera de 4 de mayo de 2023 (rec.1200/2022). Todo parte de la solicitud de una periodista a la Departamento de Trabajo, Asuntos Sociales y Familias de la Generalitat de Cataluña, sobre sanciones impuestas a residencias para mayores ubicadas en Cataluña en un determinado periodo de tiempo comprendiendo, el nombre de cada residencia sancionada, el motivo de la sanción, el importe de la sanción y su fecha.
La negativa del citado Departamento a facilitar dicha información fue reclamada por la solicitante ante la Comisión de Garantía del Derecho de Acceso a la Información Pública (GAIP) que estimó parcialmente la reclamación. Ante dicha circunstancia una Fundación cuyos datos se encontraban en el listado que habría sido facilitado a la periodista recurrió ante el Tribunal de Justicia de Cataluña, que anuló parcialmente la resolución del GAIP en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, se excluyese su identificación, es decir su nombre, la del establecimiento de que es titular y su ubicación geográfica, debiendo adoptarse adicionalmente las medidas necesarias para que, en caso de haberse facilitado dicha información, no se hiciese uso de la misma.
No se pudo llegar a esa conclusión sin obviar el conjunto normativo que regula la protección de datos de carácter personal, protección a la que se refiere el artículo 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, que prevé el consentimiento del afectado o la existencia de una norma con rango de ley cuando el acceso a la información pública incluyese datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor.
De esta forma la Sala fija la interpretación de los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, estableciendo como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infractor solo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.
Considera, por tanto, errónea la interpretación del TSJ de Cataluña que extiende la aplicación de la normativa de la protección de datos a las personas jurídicas, esto es, las considera titulares del derecho a la protección de datos, sin fundamento legal que lo permita.
Aumenta la duración máxima del procedimiento sancionador y otras novedades en la LOPDGG
Mayo 2023
El pasado 9 de mayo se publicó en el BOE una modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Por una parte, la publicación el 4 de marzo de una nueva corrección de errores del RPGD en el Diario Oficial de la Unión Europea había hecho necesario adaptar la norma española para que el apercibimiento pasase a ser considerado como una medida de naturaleza no sancionadora incluida entre los poderes correctivos de las autoridades de control. De esta forma, el apartado 2 del artículo 77 indica ahora que «la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido», y lo que antes eran sanciones se incluyen como procedimientos de apercibimiento a efectos de su publicidad en el artículo 50 de la ley.
Respecto a las relaciones de los interesados con la AEPD, se añade una disposición adicional por la que esta podrá establecer modelos de presentación de reclamaciones ante la misma en todos los ámbitos en los que tenga competencia, que se publicarán en el BOE y en su sede electrónica y serán de uso obligatorio para los interesados, independientemente de que estén obligados o no a relacionarse electrónicamente con las administraciones públicas, al cabo de un mes de su publicación.
Pero lo más relevante son las modificaciones introducidas en los plazos de tramitación de los procedimientos, ya que el plazo de las actuaciones previas de investigación aumenta de doce a dieciocho meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la AEPD actúe por propia iniciativa, y de nueve a doce meses el plazo en que se producirá la caducidad del procedimiento en caso de una posible vulneración de la normativa de protección de datos y por tanto el archivo de actuaciones.
También se especifican distintos supuestos en los que se pueda llegar al archivo de las actuaciones, por ejemplo, después de transcurrido el plazo de tres meses con el que cuenta la AEPD para notificar al reclamante la admisión o inadmisión a trámite de una reclamación sin que lo hubiese notificado, clarificando que el transcurso del plazo por sí mismo no excluye tal posibilidad. Esto es así puesto que podrían archivarse las actuaciones, incluso con posterioridad a la admisión a trámite, si el responsable o encargado del tratamiento demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable y no se hubiesen iniciado actuaciones previas de investigación u otro de los procedimientos regulados en la ley.
Por su parte, la notificación sobre la admisión a trámite podría remitir a un número de expediente previo y la dirección web donde se publicará la resolución correspondiente cuando los hechos de una nueva reclamación guarden identidad sustancial con los que sean objeto de unas actuaciones previas de investigación o de un procedimiento sancionador ya iniciado.
Y en cuando a su inadmisión, podría tener lugar si, como consecuencia de la remisión de la reclamación previa a la resolución sobre su admisión o inadmisión por la AEPD dirigida al responsable o al encargado del tratamiento, estos demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable.
Se favorecen además los mecanismos de mediación al incluir entre los destinatarios de esas actuaciones de remisión al organismo que asuma las funciones de resolución extrajudicial de conflictos a los efectos previstos en los artículos 37 y 38.2 de la ley.
Por último, otro punto que queremos resaltar es la introducción de la posibilidad de realizar actuaciones de investigación mediante sistemas digitales siempre que garanticen una transmisión y recepción seguras, así como la autoría, autenticidad e integridad de las evidencias que se recaben, como videoconferencia u otro medio similar.
Protección de datos en los sistemas internos de información en el marco de la ley de protección del denunciante
Febrero 2023
El próximo 13 de marzo entrará en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
La ley tiene dos objetivos claros:
• Proteger a los informantes frente a las represalias que pudieran sufrir.
• Fortalecer y fomentar la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público.
La información deberá haber sido conocida en un contexto laboral o profesional, lo que abarca no solo a trabajadores actuales de la entidad (por cuenta propia o ajena, becarios o voluntarios), sino a los que lo han sido o van a serlo (porque estén en periodo de formación, selección o negociación) y también a los de sus proveedores, contratistas o subcontratistas; e igualmente a accionistas o personas pertenecientes a órganos de administración. La protección se extiende además a personas relacionadas con los informantes por tratarse de sus representantes legales o personas que les presten apoyo en el marco de la organización, compañeros, familiares e incluso personas jurídicas en las que la persona informante tuviese relación o participación significativa.
La protección por tanto es amplia, pero siempre referida al contexto laboral y profesional y relativa a las materias mencionadas en su artículo 2, en el que la inclusión de acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave abre un importante abanico de posibilidades.
La norma contempla dos tipos de sistemas de información: interno y externo, estando estos últimos gestionados por la novedosa Autoridad Independiente de Protección del Informante, A.A.I. o por las autoridades u órganos autonómicos que se creen con dichas funciones.
Centrándonos en el sistema interno de información, que deberá ser implantado por un gran número de entidades del sector público y privado, tiene como objetivo que la entidad u organismo sea el primero en conocer la posible irregularidad. Debe garantizar la confidencialidad, contar con un responsable del sistema, una política que sea adecuadamente difundida y un procedimiento de gestión donde se establezcan las garantías de protección.
Este sistema tiene como cauce preferente de comunicaciones el canal interno de información, denominado interno por contraposición al externo que gestiona la A.A.I., pero en realidad debe tratarse de un canal abierto que pueda emplearse desde fuera de la entidad si tenemos en cuenta los colectivos que deben poder emplearlo. Por este motivo, lo más útil es que sea accesible desde la página web de la entidad, tal y como recomienda la norma, junto con otra información, cuya difusión resulta obligada, sobre el propio uso del canal y los principios esenciales del procedimiento de gestión. Como el requisito es que se ponga a disposición de forma clara y accesible, la ley se decanta por una sección separada y fácilmente identificable en la página web.
Aquí es donde cobra relevancia la protección de datos personales, en la creación de un canal de denuncias, del que muchas entidades ya disponen y que en ese caso deberá integrarse en el sistema de información y adaptarse a la actual normativa si es empleado para realizar comunicaciones incluidas en su ámbito de aplicación. También es posible emplearlo para recibir otro tipo de comunicaciones, que en ese caso no se encontrarán amparadas por las garantías de protección que exige la ley.
La norma identifica como responsable del tratamiento de datos personales del sistema de información al órgano de administración u órgano de gobierno del organismo o entidad, pero como también permite compartir recursos para la gestión del sistema interno de información remite con ese fin a la formalización de los acuerdos de corresponsabilidad regulados por el RGPD.
Por su parte, si se acude a un tercero externo para que lleve a cabo la gestión del sistema de información, considerada a estos efectos como la recepción de informaciones, este tendrá la condición de encargado del tratamiento, lo que, como ya sabemos no excluye la responsabilidad del responsable del tratamiento, pero que además no permitirá atribuirle la responsabilidad del responsable del sistema, nueva figura creada por la ley.
Este canal debe ser seguro y permitir comunicar la información por escrito, verbalmente (documentándolo mediante grabación o transcripción) o de ambas formas. En todo caso, el modo o modos de comunicación elegidos deben cumplir la normativa de protección de datos para los casos en que las denuncias no sean anónimas, por lo que deberá estar prevista la forma en que se va a informar sobre el tratamiento que se va a realizar, así como en su caso advertir de la grabación si este es medio elegido y, adicionalmente, de la existencia de canales externos de información y de que la identidad del informante será reservada y no se comunicará a las personas a las que se refieren los hechos ni a terceros. En todo caso, independientemente del medio elegido o que se usen ambos, si el informante lo solicita puede presentar la comunicación mediante reunión presencial que deberá celebrarse en un plazo máximo de 7 días, por lo que también deberá preverse esta vía de recogida de datos.
La ley prevé las causas de legitimación del tratamiento, pero solo aplican a datos personales que sean pertinentes para el tratamiento de una información específica, por lo que todos aquellos que no lo sean o recogidos por accidente deberán suprimirse sin dilación y en el caso de no ser necesarios y referirse a categorías especiales de datos ni siquiera se permite su registro. También determina la supresión de la información su falta de veracidad, salvo que esta suponga un ilícito penal, e igualmente serán eliminadas comunicaciones relativas a otras conductas no contempladas en el ámbito de aplicación de la ley.
Aunque el canal debe permitir la presentación y tramitación de denuncias anónimas, y en ese caso no se pueden recabar datos orientados a dicha identificación, también puede participar en el proceso el informante, que tiene derecho a obtener un acuse de recibo en un periodo máximo de 7 días (siempre que esto no le ponga en riesgo), y con el que debe estar prevista la posibilidad de comunicación así como de solicitarle más información.
El acceso al sistema queda restringido al responsable del sistema, el delegado de protección de datos, el encargado del tratamiento si lo hubiera y los responsables de recursos humanos y servicios jurídicos, pero estos últimos únicamente en atención a la adopción de medidas disciplinarias o legales en relación con los hechos. Pueden participar en el tratamiento otras personas cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Se debe preservar la confidencialidad de los datos relativos a personas afectadas o terceros que se mencionen. Además, la identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora, previa comunicación al informante explicando los motivos, salvo que esto comprometa la investigación o el procedimiento judicial.
En cuanto a la conservación de los datos, solo pueden permanecer en el sistema el tiempo necesario para decidir si se inicia la investigación y como máximo 3 meses, ampliables a otros 3 según complejidad, y las comunicaciones a las que no se ha dado curso solo pueden constar de forma anonimizada. Sin embargo, la ley contempla el mantenimiento por parte del responsable del sistema de un libro registro de las informaciones recibidas y las investigaciones internas, que mantendrá a disposición de la autoridad judicial competente en caso de requerimiento. Los datos derivados de las investigaciones se conservarán durante el periodo de tiempo necesario para cumplir la ley, pero en ningún caso por un periodo superior a 10 años.
Además, los interesados pueden ejercitar sus derechos reconocidos por la normativa de protección de datos, pero, si la persona a la que se refieren los hechos ejercita su derecho de oposición, se presume que existen motivos legítimos imperiosos que legitiman el tratamiento.
El personal debe recibir formación en esta materia y en todo caso tener conocimiento de que, si recibe comunicaciones fuera del canal establecido, deber remitirlas inmediatamente al responsable del sistema, así como de su carácter confidencial, cuyo quebranto está tipificado como infracción muy grave.
Aunque inicialmente estaba prevista la designación de un delegado de protección de datos en todos los casos en fuese obligatorio disponer de un sistema interno de información, finalmente se ha limitado la obligación a las autoridades independientes que se constituyan.
Por último, independientemente del régimen sancionador propio de la normativa de protección de datos, la ley establece el suyo en el que la potestad sancionadora corresponde a la A.A.I. en el que se contemplan como infracciones muy graves la vulneración de la garantía de anonimato o del deber de secreto sobre cualquier aspecto relacionado con la información.
El Tribunal Supremo se pronuncia sobre el uso de grabaciones con cámara oculta como prueba en un despido
Julio, 2022
El caso se refiere a la validez como prueba en el despido de una empleada del hogar de una grabación, donde se observa a la empleada manipulando y tratando de abrir sin éxito una caja fuerte, realizada con cámara oculta, dirigida a zona concreta del dormitorio de la vivienda y colocada a raíz de la constatación de un robo previamente denunciado a la Policía.
Insiste la Sentencia en que se trata de examinar la validez probatoria de la videovigilancia efectuada en un juicio por despido, a la vista de la carga de la prueba que corresponde al empresario y la consiguiente necesidad de poder aportar medios pertinentes de prueba, y no de otras consecuencias que la conducta empresarial puede tener desde la perspectiva más amplia de la legislación de protección de datos en su conjunto.
No deja de ser, en todo caso significativo, ya que el derecho a la protección de datos personales es un derecho fundamental, si bien, como nos recuerda la Sentencia remitiéndose a lo indicado por el Tribunal Constitucional «el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los poderes públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución» (STC 292/2000). Es decir, una ponderación de la proporcionalidad de la medida adoptada puede excluir la vulneración de este derecho fundamental.
En este caso, la prueba se considera válida a pesar de la ausencia total de información, información que exige la normativa de protección de datos cuando se realiza un tratamiento de datos personales, como es el caso de la videovigilancia; si bien se llama la atención sobre las significadas diferencias entre un sistema de videovigilancia permanente y un sistema de videovigilancia instalado ad hoc ante la existencia de fundadas sospechas, considerando que mientras la obligación de información puede modularse en el segundo caso, resultaría difícilmente justificado y desproporcionado en el primero.
No cabe la aplicación en el supuesto al que se refiere la Sentencia de la excepción doméstica al no estar completamente desconectada en este caso de la actividad profesional, dado que la consecuencia directa del tratamiento es el despido de la trabajadora y la grabación se produce durante su jornada.
Sin embargo, se tiene en cuenta a efectos de la ponderación, en este caso, el alcance de la cantidad previamente sustraída (30.000 euros, además de monedas y billetes antiguos y algunas joyas); que la cámara únicamente enfocaba al armario en el que estaba instalada la caja fuerte, sin que lo hiciera sobre ningún otro punto de la habitación ni del hogar familiar; la gran vulnerabilidad de la empleadora; y el hecho de que no es fácil imaginar con qué otra prueba podrían acreditarse dichos incumplimiento y autoría, que la empleadora está obligada a probar en el juicio por despido.
Se plantea, en todo caso, que se trata de un supuesto excepcional y singular y que solo excepcionalmente se podrá prescindir del distintivo informativo. Además, se tiene en cuenta que el posible incumplimiento de la legislación de protección de datos tiene otras consecuencias y otras posibles protecciones, que no se agotan en el debate sobre la validez de la prueba de videovigilancia en un proceso por despido, pudiendo recurrir ante la AEPD o a otros medios del derecho civil, administrativo o penal para la protección de la vida privada en el contexto de la videovigilancia en el lugar de trabajo.
Alcance de la implantación de la figura del Delegado/a de Protección de Datos (DPD)
Septiembre, 2022
Según información publicada por la Agencia Española de Protección de Datos (AEPD), a 2 de septiembre de este año 95.736 entidades habían procedido a notificar la designación de un DPD. De esa cifra, solo 8.895 de esas notificaciones correspondían a entidades públicas, lo que resulta llamativo teniendo en cuenta que, de acuerdo con el artículo 37 del RGPD, las autoridades y organismos públicos tienen obligación de designar esta figura.
Otro dato interesante es que esos responsables del tratamiento son asesorados y supervisados por unos 11.000 DPD. Un reparto equitativo arrojaría un resultado de entre 8 y 9 entidades por cada DPD, lo que según el tamaño o la intensidad y complejidad de los tratamientos podría ser asequible. También hay que considerar el respaldo que pueda tener la función dentro de la estructura de la empresa o en un grupo de empresas: si adicionalmente existen comités, departamentos de privacidad o protección de datos, responsables en las distintas áreas, apoyo del área jurídica o técnica según los perfiles... Pero lo que resulta sorprendente es que algunos de ellos, incluso sin olvidar que la figura puede ser una persona jurídica con un nutrido equipo de profesionales detrás, están notificados como DPD de más de 5.000, 7.000 o incluso 12.000 responsables del tratamiento.
Esto lleva a pensar en la posible existencia del DPD fantasma, pero también en que es probable que muchas de esas notificaciones no correspondan a responsables del tratamiento con obligación de designar DPD y simplemente se realiza la notificación por una cuestión de imagen o porque responde a ofertas de «todo incluido» sin un análisis previo de las necesidades del responsable del tratamiento, y que puedan no estar sustentadas a la larga en un desarrollo suficiente de las funciones que el RGPD asigna al DPD. A estos efectos conviene recordar que, incluso aunque no sea obligatorio, el DPD designado debe cumplir con todas las funciones establecidas por la normativa.
Esta situación ha llevado a la AEPD a anunciar un cambio en su forma de actuar en adelante, lo que podría suponer el requerimiento en el curso de la tramitación de reclamaciones de los informes del DPD que sustenten las decisiones adoptadas por el responsable del tratamiento, pudiendo considerar como una agravante en caso de iniciarse un procedimiento sancionador el hecho de que el responsable del tratamiento se hubiese apartado de las recomendaciones del DPD.
También resulta curioso constatar el escaso éxito hasta la fecha del esquema de certificación de la AEPD para Delegados de Protección de Datos, respecto al que hay que tener en cuenta que existen otras certificaciones y que no es obligatorio estar certificado para ejercer funciones de DPD ni ser notificado como tal a la autoridad de control. De hecho el número de profesionales certificados se reducía en junio a 844. En todo caso se esperan nuevos cambios y mejoras en el esquema, y consideramos que estar en posesión de esta u otras certificaciones no deja de ser una garantía más que puede ayudar a los responsables del tratamiento a la hora de proceder a la designación de esta figura.
Nueva herramienta de ayuda para decidir si es necesaria la notificación de una brecha de seguridad
Octubre, 2022
La Agencia Española de Protección de Datos (AEPD) ya había desarrollado una herramienta similar con objeto de complementar la reflexión de los responsables del tratamiento o sus delegados de protección de datos a lo hora de decidir si es necesario comunicar una brecha de seguridad a los interesados.
Esta primera herramienta ya podía dar una idea de si era necesaria la notificación de la brecha a la AEPD, puesto que, en caso de arrojar como resultado que fuera preciso comunicarla a los interesados, significaba que el nivel de riesgo para los derechos y libertades de las personas, al ser alto, ya superaba el requerido para realizar la notificación a la AEPD. Sin embargo, en caso de no ser así, esto no excluía necesariamente la notificación a la autoridad de control, que aplica en caso de existir un riesgo probable.
El Reglamento General de Protección de Datos establece la obligación que tienen los responsables que tratan datos personales de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que hayan tenido constancia de la misma, salvo que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas.
La herramienta es útil, por tanto, para los responsables, encargados o personas que les asesoran, especialmente teniendo en cuenta el breve plazo con que se cuenta para realizar la notificación. Pero también para la propia autoridad de control, puesto que puede ver reducido el volumen de comunicaciones recibidas que eran innecesarias y que pueden responder a un exceso de celo de los responsables al preferir, ante la duda, realizar la notificación a exponerse a una sanción adicional por no hacerlo. La AEPD estima un número aproximado de 1500 notificaciones recibidas al año, que deben ser valoradas por su personal, por lo que es conveniente evitar en lo posible dedicar recursos a tareas .
La herramienta es gratuita y no graba la información que los responsables vuelcan en ella, por lo que su uso en ningún caso va a comportar requerimiento alguno por parte de la AEPD.
La AEPD además advierte de que, en el caso de que una persona responsable utilice Asesora Brecha y arroje como resultado que debe notificar la brecha de datos a la autoridad de control, deberá hacerlo sin dilación indebida. Sin embargo, el que la herramienta arroje un resultado negativo no excluye sin más la responsabilidad del notificante, puesto que se trata de una ayuda y en última instancia es el responsable del tratamiento el que debe tomar la decisión valorando todos los elementos a su alcance para determinar el riesgo.
La actuación de las asociaciones en defensa de los consumidores en el marco del RGPD
Abril, 2022
El Tribunal de Justicia de la Unión Europea (Sentencia en el asunto C-319/20 Meta Platforms Ireland) se ha pronunciado sobre la posibilidad de que dichas asociaciones puedan ejercitar acciones con independencia de la vulneración concreta del derecho a la protección de los datos personales de un interesado y sin un mandato conferido a tal fin.
El Tribunal reconoce que, aunque el RGPD ha desarrollado una armonización de las legislaciones nacionales de los Estados miembros en materia de protección de datos, deja en algunas de sus disposiciones un margen de apreciación que les permite desarrollar normas complementarias siempre que no sean contrarias a los requisitos establecidos y a los objetivos del RGPD.
Una asociación en defensa de los consumidores está, por tanto, comprendida en el concepto de «entidad con legitimación activa» con arreglo al RGPD en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos de los consumidores. Reconoce el Tribunal que la infracción de normas relativas a la protección de los consumidores o a las prácticas comerciales desleales puede estar vinculada a la infracción de normas en materia de protección de datos personales.
Así, no es necesario para ejercer una acción de representación identificar, previamente y de forma individual, a la persona concretamente afectada por el tratamiento de datos o alegar una vulneración concreta de los derechos que confieren las normas en materia de protección de datos.
De esta forma, el Tribunal de Justicia no se opone a normas nacionales que contemplen el ejercicio de acciones de representación contra la vulneración de derechos conferidos por el RGPD en el marco de regulaciones en defensa de los consumidores o de lucha contra prácticas comerciales desleales o la prohibición del uso de condiciones generales nulas, en la medida en que las prácticas llevadas a cabo infringiendo dichas normas supongan un tratamiento de datos que pueda afectar a los derechos que el RGPD confiere a las personas físicas identificadas o identificables.
La AEPD publica una nueva guía dirigida a profesionales del sector sanitario
Junio, 2022
Aunque aclara que la guía está principalmente orientada a la actividad profesional a título individual de dichos profesionales también puede ser tenida en cuenta por aquellos que desarrollen su actividad en centros sanitarios.
Especialmente reseñable es que la Guía dedica una sección a determinar quién es el responsable del tratamiento en cada caso, ya que será el centro sanitario, en la medida en que decida sobre los datos que se recaban, fines y medios, independientemente de que las decisiones en materia sanitaria las tome el profesional, cuestión que muchas veces no queda suficientemente clara y es esencial para evitar problemas cuando llega el fin de la relación establecida entre las partes.
En todo caso hay que distinguir los supuestos en que el centro sanitario contrata la prestación de servicios de un profesional de aquellos en que este alquila un espacio para prestar por su cuenta los servicios haciendo uso de las instalaciones del centro. Incluso casos en los que se combinan ambas opciones requiriendo hacer una distinción entre los pacientes correspondientes a cada una de las partes.
No se descartan tampoco casos de corresponsabilidad en los que varios profesionales o un profesional y un centro sanitario sí comparten la determinación de los fines o los medios del tratamiento.
Dedica también la Guía un amplio apartado a las posibilidades de acceso a las historias clínicas, tanto a nivel interno (personal médico, administrativo, con funciones de control o auditoría) en el que se diferencia entre algunas finalidades (gestión asistencial, fines docentes, de investigación) como ante solicitudes de terceros (tribunales, autoridades sanitarias o administrativas).
Siempre es interesante en este tipo de guías revisar el apartado dedicado a situaciones específicas, en este caso relacionadas con la posible comunicación de datos a terceros, como la llamada a los pacientes en consulta, la información intercambiada en mostradores de admisión, la autenticación a la hora de cambiar o anular una cita, la atención telefónica cuando se solicitan datos de salud o el número de habitación, o la información que se puede incluir en un justificante a acompañantes de pacientes ingresados.
Esta iniciativa se suma a la publicación de un apartado específico dedicado a la salud en el menú de Áreas de actuación de su página web www.aepd.es.
La Audiencia Nacional remarca los límites a la prohibición del uso privado del email corporativo
Julio, 2022
En sentencia de 22 de julio de 2022 (SAN 3645/2022) la AN se pronuncia sobre si la notificación realizada de forma unilateral por una empresa a sus trabajadores relativa al uso de equipos informáticos y correos corporativos vulnera el art. 87.3 de la LO 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Tras años de jurisprudencia, con más o menos vaivenes, sobre la posibilidad de acceso por parte del empresario a equipos y correos electrónicos corporativos facilitados a los trabajadores para el desempeño de sus funciones y su uso de carácter privado por parte de estos, podíamos llegar a la conclusión de que la clave inicial estaba en la información facilitada a los trabajadores, lo que era determinante para valorar la existencia o no de una expectativa de privacidad por su parte, cuya eliminación completa solo podía conseguirse mediante una prohibición sin matices.
Aún con esto la cosa no es tan sencilla, ya que llegado el caso ya concreto de un despido derivado del abuso o cuya causa se hubiese detectado o corroborado a partir del mencionado acceso había que tener en cuenta, tal y como desglosaba el Tribunal Europeo de Derechos Humanos, una serie de factores:
a) el grado de intromisión del empresario;
b) la concurrencia de legítima razón empresarial justificativa de la monitorización;
c) la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo;
d) el destino dado por la empresa al resultado del control;
e) la previsión de garantías para el trabajador.
La Sentencia mencionada no entra a valorar el contenido de la comunicación más allá de que establece criterios de utilización de dispositivos digitales facilitados por la empresa a su personal, sino que falla que es contraria al artículo 87.3 de la LOPDGDD por no haber contado en su elaboración con la representación legal de los trabajadores (RLT) declarando la nulidad de la notificación.
Veremos las consecuencias que esto tiene en caso de despido y el peso que pueda tener la valoración del resto de factores si estas políticas llegasen a considerarse nulas en caso de que no habiendo contado con la RLT en su elaboración no se hubiese subsanado este requisito a raíz de la entrada en vigor de la LOPDGDD.
Lo que sí parece es que la participación de la RLT y la necesaria, por este motivo, revisión de los criterios previamente establecidos alejará más aún aquellas políticas rígidas basadas en la prohibición, en todo caso insuficientes cuando después de su aprobación y notificación se iban desdibujando al compás de los usos sociales y la ausencia real de control.
El nuevo Esquema Nacional de Seguridad apuesta por la ciberseguridad
Mayo, 2022
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, que deroga la norma anterior de 2010, actualiza las medidas contempladas para abordar la progresiva transformación digital de las administraciones públicas y las amenazas de ciberseguridad.
Desde el año 2010 el incremento de ciberataques, que además son cada vez más sofisticados, ha mantenido en guardia a los expertos en seguridad, llegando a convertir la ciberseguridad en una especialidad con entidad propia. Esto se suma a la cada vez mayor dependencia de las tecnologías de la información y las comunicaciones y la interconexión entre los distintos sistemas, lo que aumenta el impacto que puede tener una incidencia de seguridad y la consecuente paralización de los servicios tanto desde el punto de vista social como desde el del ejercicio de los derechos y libertades de los ciudadanos.
Posteriormente a la publicación del ENS, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, amplió su ámbito de aplicación a todo el sector público: administraciones públicas que se relacionen entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos.
Por su parte, la disposición adicional primera la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, prescribe la implantación de las medidas de seguridad del ENS a las entidades del sector público y a las del sector privado que colaboren con estas en la prestación de servicios públicos que involucren el tratamiento de datos personales; y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales establece que deben aplicar las medidas del ENS las autoridades competentes respecto al tratamiento de datos personales regulado en dicha norma.
Este progresivo «contagio» de las medidas del ENS queda ahora contemplado en el ámbito de aplicación de la norma vigente, estableciendo la obligación de que los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación del real decreto contemplen todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS. Esta cautela se extiende también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
A partir de su publicación en el año 2010, el esquema debía desarrollarse y perfeccionarse manteniéndose actualizado permanentemente, actualización que han hecho necesaria tanto los avances normativos en marco europeo y nacional como la evolución de las amenazas, nuevos vectores de ataque y mecanismos de respuesta.
Una novedad es que se añade el «perfil de cumplimiento específico» o la capacidad para adaptar los requisitos del ENS a la realidad de ciertos colectivos o tipos de sistemas basándose en la semejanza que presentan multiplicidad de entidades o servicios en atención a los riesgos a que están expuestos, lo que hará más fácil y eficaz su implantación. A partir de ese perfil y la declaración de aplicabilidad inicial se podrán suprimir o incluir medidas, aumentar o disminuir su grado de exigencia o sustituirlas por medidas compensatorias.
El anterior ENS estaba constituido por unos principios básicos y unos requisitos mínimos para garantizar la seguridad de la información y los servicios prestados por las administraciones públicas. Los principios se mantienen y perfilan añadiendo el de vigilancia continua.
Se detalla, además, la figura del responsable del sistema, que, si bien ya aparecía en la norma anterior, no estaba definida y no se encontraba entre las figuras recogidas a efectos de la diferenciación de responsabilidades.
En cuanto a los requisitos mínimos se mantienen elevando a categoría algunas cuestiones que ya se contemplaban como medidas de seguridad y con cambios en la terminología.
Se articula un protocolo de actuación de respuesta a incidentes de seguridad en torno al CCN-CERT teniendo también en cuenta las notificaciones de organizaciones del sector privado que presten servicios a entidades públicas, que se recibirán a través de INCIBE-CERT.
Por su parte, la modificación del marco táctico y operativo en el que se desenvuelven las ciberamenazas y sus correlativas salvaguardas ha obligado a actualizar el elenco de medidas de seguridad del anexo II, con objeto de añadir, eliminar o modificar controles y subcontroles, al tiempo que se incluye un nuevo sistema de referencias más moderno y adecuado, sobre la base de la existencia de un requisito general y de unos posibles refuerzos, alineados con el nivel de seguridad perseguido. Se añade una nueva familia de medidas del marco operacional: servicios en la nube.
En cuanto al eslabón más débil, el ENS encomienda al CCN y al Instituto Nacional de Administración Pública el desarrollo de programas de sensibilización, concienciación y formación, dirigidos al personal de las entidades del sector público.
La disposición transitoria única fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación del real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.
Desde luego, para algunas entidades esta norma supone realmente una oportunidad de actualización, y quizá para otras suponga el impulso que necesitaban para abordar de una vez por todas su implementación tantas veces postergada.
La protección de datos en el Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
Marzo, 2022
Con su aprobación se incorporará al Derecho español la Directiva (UE) 2019/1937, de 23 de octubre de 2019 en la que se concretan las directrices dirigidas a establecer en los Estados miembros normas comunes que aseguren la protección efectiva de aquellas personas que informan de infracciones del Derecho de la Unión Europea.
Considera la Directiva que la colaboración ciudadana a la hora de facilitar aquellas informaciones que puedan ayudar a la investigación y consiguiente persecución de conductas ilegales, ha de ser debidamente regulada y protegida, asentando en la sociedad la conciencia de que debe perseguirse a quienes quebrantan la ley, de que no se van a tolerar los amedrentamientos por parte de los infractores y que no deben consentirse ni silenciarse los incumplimientos. Para ello, se regula la creación de canales internos y externos de comunicación cuya configuración deberá satisfacer ciertas exigencias, entre ellas la confidencialidad.
En el ámbito privado estarán obligadas a configurar un sistema interno de información todas aquellas empresas que tengan más de cincuenta trabajadores. En los grupos de empresas será la sociedad dominante la que decida la organización de los canales de comunicación. Con relación al sector público, la ley ha extendido en toda su amplitud la obligación de contar con canales internos de informaciones. Además, se obliga a contar con un sistema interno de informaciones a todos los partidos políticos, sindicatos, organizaciones empresariales, así como a las fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación.
La ley procede también a la implementación de un canal externo cuya llevanza corresponde a la Autoridad Independiente de Protección del Informante con la posible implementación de canales equivalentes por parte de las comunidades autónomas con competencia limitada a su territorio.
Suponen por tanto estas obligaciones el tratamiento de datos de carácter personal sujetos al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), cuyo artículo 24 ya regulaba la creación y mantenimiento de sistemas de información internos. Sin embargo, se ve necesario completar dichas previsiones y extenderlas también a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y a los supuestos de revelación pública.
En cuanto a legitimación, como no podía ser de otra forma, la norma huye del consentimiento: cabe el cumplimiento de una obligación legal cuando sea obligatorio disponer de un sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos al amparo de la existencia de un interés público cuando no lo sea o el tratamiento se lleve a cabo en el ámbito de la revelación pública.
Algo que va a complicar la operativa actual es que los canales internos deberán contemplar la posibilidad de comunicación escrita, pero también verbal, por teléfono, mensajería de voz o reunión presencial, por lo que habrá que prever la posibilidad de grabar las comunicaciones realizadas por estos medios e informar adecuadamente a los interesados; y en caso de conservar la comunicación documentalmente mediante una transcripción ofrecer la posibilidad de comprobar, rectificar y aceptar mediante su firma la transcripción del mensaje. Además, deben compaginarse estas obligaciones con la posibilidad de presentar comunicaciones anónimas, ante las cuales se complica que los informantes puedan disfrutar, por ejemplo, de su derecho a recibir acuse de recibo, así como a que se les informe de las acciones u omisiones que se les atribuyen, y a ser oídos en cualquier momento, salvo que abandonasen o pusiesen en riesgo su anonimato.
Se añadirían dos elementos al contenido de la información dirigida al informante tal y como está regulado por la normativa de protección de datos: uno es que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros; y el otro, los canales externos de información a los que se puede dirigir ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea
No es una novedad que en el caso en que el canal sea gestionado por un tercero, este tendrá la consideración de encargado del tratamiento, si bien lo recomendable es que se mantenga en el ámbito de la gestión interna, para lo que habrá que establecer un adecuado equilibrio con la necesaria independencia con la que deberá contar.
Respecto al ejercicio de derechos, se contempla la existencia de motivos legítimos imperiosos que legitiman continuar el tratamiento en caso de que la persona investigada ejerza el derecho de oposición, y nunca será objeto del derecho de acceso a datos el de la identidad del informante. Además, se limita la posibilidad de comunicación de dicha identidad solo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma.
Se establece en el anteproyecto qué figuras tendrán acceso al sistema de comunicación interno, aunque deja abierta la posibilidad de añadir a otras personas cuando resulte necesario para la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Más llamativo resulta que se exija a las entidades obligadas a disponer de un sistema interno de comunicaciones, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, así como las que en su caso se constituyan, que cuenten con un delegado de protección de datos, cuya competencia abarcará no solo el sistema de información, sino también el resto de tratamientos de datos realizados por la entidad. En muchos casos se puede tratar de entidades privadas que hasta ahora no tenían dicha obligación, lo que previsiblemente supondrá nuevos quebraderos de cabeza en empresas de pequeño tamaño.
La AEPD aprueba el primer código de conducta sectorial desde la entrada en vigor del Reglamento de Protección de Datos
Febrero, 2022
La Agencia Española de Protección de Datos (AEPD) ha aprobado el «Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia» promovido por Farmaindustria.
Es el primero aprobado desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD). En él se regula cómo deben aplicar la normativa de protección de datos los promotores de estudios clínicos con medicamentos y las Organizaciones de investigación por contrato (CRO) que decidan adherirse al mismo.
Tanto el RGPD como la LOPDGDD realizan una importante apuesta por el establecimiento de sistemas de autorregulación que vengan a completar el contenido de sus disposiciones, adaptándolas a las especialidades de los tratamientos desarrollados por un determinado sector de actividad y completando así el régimen impuesto con carácter general por la citada normativa. Estos códigos constituyen un elemento de autorregulación voluntario, pero deben ser aprobados por la autoridad de control.
FARMAINDUSTRIA es la Asociación Nacional Empresarial de la Industria Farmacéutica establecida en España. Agrupa a más de un centenar de Laboratorios Asociados, que representan la práctica totalidad de las ventas de medicamentos de prescripción en España. Este nuevo código de Farmaindustria sustituye y adecúa el anterior de 2009 a la actual normativa y se espera que sirva para fortalecer la investigación clínica y la farmacovigilancia y solventar las dudas que plantea el tratamiento de datos de carácter personal en este entorno.
El objeto del Código de Conducta es establecer las reglas que rijan el tratamiento de datos personales de los sujetos de ensayos clínicos, pacientes y profesionales sanitarios que se lleve a cabo con ocasión de la realización de una investigación clínica, y en el cumplimiento de las obligaciones de farmacovigilancia establecidas en la normativa reguladora de los medicamentos.
En el código se clarifican en el ámbito de la investigación científica los roles de los distintos intervinientes en el tratamiento, especificando que el promotor de la investigación y el centro sanitario o investigador principal tendrán la condición de responsables de sus respectivos tratamientos, correspondiendo a cada uno de ellos las obligaciones derivadas de su actividad, sin que quepa apreciar la existencia de responsabilidad solidaria entre ellos por los incumplimientos que cometiera la otra parte. Además, se hace hincapié en la necesidad de separar la información de protección de datos de la información al paciente conforme a la normativa de ensayos clínicos, y se regula el tratamiento de datos por parte de promotores únicamente de datos codificados en la idea de que no es necesario en este caso el tratamiento de datos sin codificar.
En materia de farmacovigilancia, se mantiene la diferenciación entre el tratamiento de los datos personales identificativos y codificados. Se establece un protocolo uniforme de farmacovigilancia diferenciando los distintos canales a través de los cuales puede recibirse la notificación y el sujeto que la realice, incluyendo como novedad el supuesto en que la información referida a un acontecimiento adverso fuera conocida a través de las redes sociales.
El código de conducta establece el régimen de supervisión y control de sus disposiciones, incluyendo:
• La naturaleza, composición, estructura y funciones del Órgano de Gobierno del Código de Conducta (OGCC).
• El régimen sancionador aplicable a los adheridos al Código.
• El procedimiento de resolución extrajudicial de controversias, tanto cuando las mismas procedan de una reclamación de un afectado como cuando se inste la actuación del Órgano de Gobierno por la Agencia Española de Protección de Datos.
El artículo 9 de la LOPD no establece una obligación de resultado respecto a las medidas de seguridad, sino de medios
Febrero, 2022
El Tribunal Supremo reconoce la exigencia de implantar medidas de seguridad como una obligación de medios, pero estos deben adecuarse al estado de la técnica.
Esta es la conclusión que se puede extraer de la sentencia de 15 de febrero en la que se recurre la sentencia de la Audiencia Nacional (AN) que desestimó el recurso interpuesto contra una sanción de la AEPD por infracción del artículo 44.3h de la LOPD a una empresa de telefonía. No podemos perder de vista que en el momento de los hechos aún estaba en vigor dicha norma y que la normativa actual ha traído cambios relevantes en materia de seguridad, pero ya entonces el artículo 9 de la LOPD hacía referencia a los riegos a los que están expuestos los datos de carácter personal, y la Directiva 95/46/CE hablaba de riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
La empresa vendía dispositivos de telefonía en la tienda y ofrecía in situ su financiación mediante la cumplimentación de un formulario que debía ser firmado físicamente por el solicitante y era tramitado a través de una aplicación. Uno de los requisitos obligatorios para cursar la solicitud era disponer de una dirección de correo electrónico a la que se enviaría copia del contrato y las condiciones generales.
Se reconoce como un hecho no controvertido que fallaron las medidas de seguridad y los contratos de financiación de 14 particulares que contenían datos personales -nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante- se enviaron a un tercero ajeno a la relación contractual.
La causa probable fue que una de las trabajadoras de la tienda a la hora de rellenar el formulario de solicitud de financiación de algunos clientes incluyó una dirección de correo inventada creyéndola inexistente al referirse a la provincia donde se encuentra sita la tienda, con la única intención de no ver bloqueado el procedimiento de financiación, dado que el sistema técnico diseñado no le permitía continuar con el contrato de financiación si no se introducía una dirección de correo electrónico.
Se exponen en la sentencia las diferencias entre las obligaciones de resultado, en las que existe un compromiso consistente en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto; y las obligaciones de medios, en las que el compromiso que se adquiere es el de adoptar medios técnicos y organizativos idóneos y suficientes, así como desplegar una actividad diligente en su implantación y utilización que tiendan a conseguir el resultado esperado.
En el primer caso, la empresa respondería ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, y en el segundo bastaría con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable, es decir, también respondería ante esa falta de diligencia, aunque tuviese las medidas implantadas.
Se menciona en la sentencia que en este segundo caso la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado, sin embargo, se omite una referencia expresa al riesgo y sí se menciona la necesidad de implantar medidas de nivel básico, de acuerdo con los niveles de seguridad vigentes en ese momento.
Adicionalmente, el TS recuerda que las personas jurídicas responden por la actuación de sus empleados o trabajadores.
Se argumenta que el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. También que el estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email (doble opt-in), condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.
Reconoce la propia sentencia que el sistema de verificación del correo electrónico conocido como "doble opt-in" consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad. ¿Es esto realmente necesario cuando el proceso se está realizando en persona, que puede por tanto identificarse con su documento de identidad, teniendo en cuenta que los datos facilitados directamente por el interesado se consideran exactos de acuerdo con el artículo 8.5 del RDLOPD entonces vigente?
Continúa la sentencia indicando que se trata de un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y/o las condiciones de privacidad antes de recibir cualquier tipo de comunicación. ¿Es esto realmente necesario cuando el interesado está físicamente en el lugar y firma un documento de solicitud en el que se le puede facilitar dicha información, sin perjuicio de enviarla adicionalmente al correo electrónico que igualmente queda reflejado en la solicitud?
Por último, indica que este sistema evita que los documentos vayan a una dirección equivocada. En definitiva, se trata de comprobar que la información recogida es correcta y veraz. ¿No sería posible hacer esto indicando al interesado que revise que sus datos son correctos antes de firmar y tramitar la solicitud? ¿Tiene sentido que a una persona que está presencialmente en la tienda se le haga cumplimentar un trámite a través de un medio técnico que no está empleando en ese momento y podría no tener accesible? ¿Por qué tendría que aceptar las condiciones con un sistema a distancia si está físicamente en el lugar?
La sentencia de la Audiencia Nacional recurrida considera además que la empresa incumplió su obligación de comprobar de forma fehaciente, [...] la
veracidad de la documentación aportada por los clientes. ¿Es esto posible respecto a toda la información aportada?, ¿también sería necesario hacer una llamada para ver si responde esa persona y verificar que su teléfono es un dato veraz?, ¿es proporcionado respecto a los datos de contacto facilitados previa identificación para la compra de un teléfono móvil realizada presencialmente?
A la hora de realizar el actualmente necesario análisis de riesgos nos preguntaríamos: ¿es probable que una persona que se identifica presencialmente facilitando sus datos y su documento de identidad para contratar dé una dirección de correo electrónico falsa o de un tercero desconocido?, ¿con qué objeto?, ¿y en caso de tratarse de una suplantación de identidad empleando un documento de identidad robado, el hecho de enviar un correo para comprobar que es aceptado a una dirección que no corresponde al auténtico titular sino al suplantador, permitiría detectar el fraude?
Puesto que en el momento de los hechos aún no estaba en vigor el RGPD, las medidas de seguridad no debían responder obligatoriamente a una evaluación de riesgos, pero si hubiese sido así, ¿se habría contemplado el riesgo de que una empleada habiendo recibido formación en protección de datos y seguridad inventase un dato pensando que no existía y por tanto no se trataba de un dato de carácter personal para forzar el sistema y la probabilidad de que habiendo hecho esto el correo electrónico resultase real? Parece bastante improbable.
Sin embargo, a pesar de las dudas planteadas sobre la idoneidad de la medida y sin tener en cuenta la probabilidad de que se materializase la amenaza, la sentencia concluye que puesto que existían unas medidas técnicas disponibles la empresa debería haberlas adoptado. No se tiene en cuenta si realmente tienen sentido en el caso de una contratación en persona o en qué medida podía dicha medida paralizar la operación, por cuánto tiempo ni con qué consecuencias.
Parece más razonable que se hubiesen contemplado la posibilidad de que algún comprador no dispusiese de correo electrónico y habilitar un sistema paralelo que permitiese recibir la documentación en su domicilio o en persona sin necesidad de enviarla al correo electrónico, sin embargo, la idea que se transmite es que si no se adoptan todas las medidas posibles existentes en cada momento siempre se mantendrá la incertidumbre de que un error lleve a considerar la infracción de la normativa por incumplimiento de medidas de seguridad. ¿Qué valor tendrá en el caso de producirse una brecha de seguridad el análisis de riesgos realizado?
Dice la sentencia que el hecho de que fuese la actuación negligente de una empleada habiéndose implantando unas determinadas medidas de seguridad no exime a la empresa de responsabilidad, ya que estaba obligada a controlar que no se burlaban las medidas de seguridad existentes para registrar los datos de los usuarios, sin embargo, la incorporación de una dirección de correo electrónico no parece que fuese una medida de seguridad, sino una forma de poner a disposición del interesado la documentación ya firmada sin necesidad de facilitársela en papel. ¿Podía la empresa realmente controlar dicho uso?
Renovación de cargos en la Agencia Española de Protección de Datos
Diciembre, 2021
Después del anuncio el pasado 21 de octubre de los candidatos propuestos por los principales partidos españoles para renovar los cargos de presidencia y adjuntía de la AEPD, surgió la polémica respecto a que no se había respetado el nuevo procedimiento recogido en el Estatuto de la AEDP aprobado por Real Decreto 389/2021, de 1 de junio, solo unos meses antes.
La actual directora de la AEPD permanece en funciones en dicho cargo desde julio de 2019, cuando finalizó el periodo de cuatro años para el que fue elegida, por lo que es urgente normalizar la situación del organismo para que se puedan afrontar con seguridad y garantías los nuevos retos que se plantean en protección de datos, en los que la participación de la AEPD es indispensable.
Ante la denuncia de diferentes colectivos, el mes pasado se publicó en el BOE la orden por la que se convoca el proceso selectivo para la designación de la Presidencia y de la Adjuntía a la Presidencia de la AEPD. De esta forma se inicia la vía para respetar los requisitos exigidos en dicha selección, que deberán permitir acreditar respecto a los candidatos y candidatas que se presenten que se trata de personas de reconocida competencia profesional, en particular en materia de protección de datos, sobre la base del mérito, la capacidad, la competencia y la idoneidad, entre los que se pueden recoger las capacidades legales de la persona candidata, la experiencia profesional, la capacidad de desarrollar el trabajo o los conocimientos técnicos, en particular referidos al ámbito de protección de datos.
Ya se ha hecho pública la lista de candidatos admitidos, así que solo nos queda esperar que se complete el proceso del que seguro saldrán elegidas las personas más adecuadas para los cargos.
Instrucción de la AEPD respecto a su función consultiva
Noviembre, 2021
La AEPD recibe constantes consultas por parte de interesados, responsables del tratamiento y profesionales de la privacidad que buscan aclarar diversos aspectos relacionados con el tratamiento de datos personales, tanto en cuento al ejercicio de sus derechos como al cumplimiento de la normativa en aspectos que pueden ser interpretables.
Transcurridos más de cinco años desde la entrada en vigor del RGPD, recordemos que hubo un margen de dos años hasta que fue de aplicación, la AEPD ha querido poner orden delimitando claramente el alcance de sus funciones en materia consultiva.
Por un lado se apoya en la intensa labor realizada estos años con la publicación de diferentes guías y herramientas que pueden ayudar a los responsables y profesionales de diversos sectores a la hora de adecuar diferentes tipos de tratamientos, y en el hecho de que sus funciones son fundamentalmente de supervisión, lo que hace que deba mantener una postura de imparcialidad incompatible con el asesoramiento individualizado y las consultas de carácter particular.
Por otro pone el foco en el principio de responsabilidad proactiva y la obligación de los responsables del tratamiento de adoptar las decisiones que consideren más adecuadas atendiendo a los riesgos que se puedan derivar del tratamiento para los derechos y libertades de los interesados, además de recurrir al asesoramiento y supervisión de los delegados de protección de datos cuando este sea necesario o recomendable.
Por último, la AEPD siempre ha seguido como criterio el no responder las consultas de despachos de abogados o consultores que se dedican precisamente a resolver este tipo de cuestiones para sus clientes.
De esta forma se establecen cuatro supuestos en que la AEPD puede ser consultada:
a) Se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria.
b) Se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos.
c) La AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva.
d) Se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
En todo caso la AEPD aclara que esto no afectará al normal funcionamiento y operatividad del canal específico de atención y consulta que tiene implantado para menores, que continuará prestando sus servicios en las condiciones en las que se viene realizando.
Principios básicos en protección de datos a la hora de implantar un canal de denuncia Octubre, 2021
Falta poco para que se cumpla el plazo para trasponer a nuestro ordenamiento jurídico la DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
El plazo dado por la norma a los Estados miembros finaliza el 17 de diciembre de 2021 y, aunque previsiblemente en el caso de España no se cumplirá, no hay duda de que más tarde o más temprano los canales de denuncia se convertirán en una herramienta indispensable para descubrir y prevenir este tipo de infracciones y proteger el bienestar de la sociedad.
La importancia de la protección de los denunciantes es clave para que estos mecanismos funcionen adecuadamente, pero no debemos olvidar que suponen un tratamiento de datos de carácter personal y, por tanto, junto al principio de la confidencialidad hay que tener en cuenta el resto de obligaciones que deben acompañar a todo tratamiento. La AEPD nos lo recuerda haciendo hincapié en los siguientes aspectos:
Informar a los trabajadores
Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.
Respetar el principio de proporcionalidad y limitación de la finalidad
Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.
Protección de los datos del denunciante
La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.
Limitación del acceso a la información
El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.
Conservación y eliminación de los datos
Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.
Derechos de protección de datos
Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante. El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.
Carta de derechos digitales, a la vanguardia internacional en la protección de los derechos de la ciudadanía
Julio, 2021
Ese es objetivo del Gobierno y con ese fin publica la Carta de derechos digitales sentando las bases de derechos novedosos relacionados con la inteligencia artificial o el uso de algoritmos. La Carta no tiene carácter normativo, sino que su objetivo es reconocer los nuevos retos de aplicación e interpretación que la adaptación de los derechos al entorno digital plantea y garantizar una digitalización humanista, que ponga a las personas en el centro.
Vivimos en una sociedad digital de cuyos entornos, dispositivos y servicios dependemos más cada día. En este contexto, no se trata necesariamente de descubrir derechos digitales pretendiendo que sean algo distinto de los derechos fundamentales ya reconocidos o de que las nuevas tecnologías y el ecosistema digital se erijan por definición en fuente de nuevos derechos, sino de perfilar los más relevantes en el entorno y los espacios digitales o describir derechos instrumentales o auxiliares de los primeros.
Los nuevos escenarios, contextos y conflictos a que da lugar la generalización en el uso de estas tecnologías deben resolverse mediante la adaptación de los derechos y la interpretación sistemática del ordenamiento jurídico. Además, resalta el documento en sus consideraciones previas que se trata de situaciones y escenarios que no se limitan a Internet.
Uno de los principios en los que se sientan las bases de la Carta es el cumplimiento normativo desde el diseño, que incorpora el análisis de la regulación aplicable vigente desde el inicio del proceso de desarrollo tecnológico.
la Carta incluye seis categorías principales de derechos: derechos de libertad; derechos de igualdad; derechos de participación y de conformación del espacio público; derechos del entorno laboral y empresarial; derechos digitales en entornos específicos y derechos de garantías y eficacias.
Además, nace con un triple objetivo: descriptivo, prospectivo y asertivo. Descriptivo de los contextos y escenarios digitales determinantes de conflictos entre los derechos, valores y bienes de siempre, pero que exigen nueva ponderación. Prospectivo al anticipar futuros escenarios que pueden ya predecirse. Asertivo en el sentido de revalidar y legitimar los principios, técnicas y políticas que, desde la cultura misma de los derechos fundamentales, deberían aplicarse en los entornos y espacios digitales presentes y futuros.
Con el precedente de los derechos digitales reconocidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el recientemente aprobado Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, la Carta se plantea además como un marco de referencia para la acción de los poderes públicos que nos permita desenvolvernos en el entorno digital aprovechando y desarrollando todas sus potencialidades y oportunidades y conjurando sus riesgos.
Nueva herramienta para identificar los factores de riesgo presentes en un tratamiento
Junio, 2021
Los responsables de tratamientos se enfrentan habitualmente a dificultades a la hora de determinar el nivel de riesgo de un tratamiento concreto, especialmente en el momento de valorar si es necesario o no realizar una evaluación de impacto relativa a la protección de datos. La AEPD ofrece una nueva ayuda EVALUA_RIESGO RGDP.
Se trata de una herramienta sencilla, fácil de utilizar, y en formato Excel. Si bien no incorpora todos los posibles factores de riesgo asociados a cualquier tratamiento, puesto que corresponde al responsable identificar los que son específicos del tratamiento que va a realizar para incorporarlos en la evaluación, sí incluye un catálogo amplio de factores relacionados con la finalidad, el ámbito, la naturaleza y el contexto del tratamiento, que nos puede ayudar para no olvidar elementos que deben ser tenidos en cuenta en la valoración global y que considerados de forma aislada podrían llevarnos a subestimar el riesgo.
Como resultado emite un informe con una evaluación mínima del riesgo intrínseco, que si es necesario debe ser ajustada por el responsable. Además, permite indicar el nivel de mitigación del riesgo una vez implantadas las medidas que el responsable ha decidido adoptar para obtener una valoración del riesgo residual. Por supuesto, esto no sustituye a la realización de un análisis de riesgos o una EIPD, pero sí constituye un apoyo.
Adicionalmente la AEPD ha publicado una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto que incorpora, manteniendo la línea ya iniciada en las guías anteriores elaboradas sobre estas mismas materias, las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, y sirve como recopilatorio de la experiencia acumulada en estos años desde la aplicación del RGPD.
Es de agradecer que se ponga el acento en esta nueva guía en la idea de que la gestión del riesgo para los derechos y libertades no está orientada a gestionar el riesgo para la organización derivado de un incumplimiento normativo, superando la distinción que realizaba en su primera guía de dos dimensiones de los riesgos para los derechos y libertades de las personas físicas, entre las que consideraba los riesgos asociados al cumplimiento de los requisitos regulatorios e incluso remitía al listado de cumplimiento normativo que tiene publicado en su página web. Actualmente, indica la guía que es una interpretación errónea entender el enfoque de riesgos del RGPD como una forma de reemplazar los requisitos de cumplimiento normativo mediante controles o medidas técnicas y organizativas.
Actualización de las cláusulas contractuales tipo
Junio, 2021
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Estas transferencias pueden realizarlas responsables y encargados del tratamiento sin autorización de la autoridad de control en determinados supuestos. Uno de ellos es contar con cláusulas tipo de protección de datos adoptadas por la Comisión.
La Comisión Europea ha publicado el pasado 4 de junio las nuevas cláusulas contractuales tipo, que además de sustituir a las anteriores adaptándolas al RGPD pretenden poder enmarcar un abanico de transferencias:
· de responsable a responsable (R-R);
· de responsable a encargado (R-E);
· de encargado a responsable (E-R) y
· de encargado a encargado (E-E).
Las nuevas cláusulas incorporan los principios de «accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II, que declaró la nulidad del Privacy Shield. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo.
También deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente. Las cláuslas contractuales vigentes hasta ahora quedarán derogadas a partir del 27 de septiembre de 2021, aunque los contratos celebrados con anterioridad con arreglo a dichas Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones del tratamiento que regulan no cambien y las garantías se sigan considerando adecuadas.
Decisiones de adecuación para las transferencias internacionales al Reino Unido
Junio, 2021
A raíz del Brexit todo un conjunto de relaciones entre la Unión Europea y el Reino Unido asentadas sobre la base de su pertenencia al club de los hasta entonces 28 países miembros debieron ser minuciosamente revisadas, entre ellas, los intercambios de datos, que de pronto adquirían la condición de transferencias internacionales de datos.
Desde ese momento los flujos de datos entre el Espacio Económico Europeo y el Reino Unido se han estado rigiendo por un régimen provisional incluido en el acuerdo comercial que estaba próximo a vencer.
No debemos olvidar que mientras ha sido parte de la UE, el Reino Unido ha estado sujeto a la normativa europea de protección de datos, la Directiva 95/46/CE inicialmente y el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 en el momento de la ruptura, por lo que el marco de principios y derechos en el que ambas partes han desarrollado sus relaciones no podía diferir mucho a pesar de esta. Sin embargo, esta situación no tiene por qué mantenerse necesariamente en el tiempo, por lo que además adecuar la situación jurídica de los intercambios al nuevo contexto, se prevé un seguimiento de la evolución jurídica del Reino Unido en adelante.
De esta forma, la Comisión Europea (CE) ha adoptado el 28 de junio dos decisiones de adecuación para las transferencias de datos personales a Reino Unido, con objeto de que la información pueda circular libremente como hasta ahora sin necesidad de otras garantías ni la autorización por parte de las autoridades de control.
Se trata de dos decisiones de adecuación: una al amparo del reglamento general de protección de datos y otra para la directiva sobre protección de datos en el ámbito penal.
Se incluye, además y por primera vez, la llamada «cláusula de extinción» en caso de futuras divergencias entre Bruselas y Londres, según ha expresado la Comisión. Esto supone que las decisiones expirarán automáticamente cuatro años después de su entrada en vigor y deberán ser renovadas, lo cual solo podrá suceder si el Reino Unido sigue garantizando un nivel adecuado de protección de datos. Aun así, durante los cuatro años, la Comisión podría intervenir en cualquier momento si el Reino Unido se desvía del nivel de protección actualmente vigente.
Se publica la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
Mayo, 2021
Ya pocos lo recordarán, pero junto con el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), se publicó una directiva, la 2016/680, también de 27 de abril, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
Mientras que el RGPD era de aplicación directa, la directiva debía ser transpuesta a nuestro ordenamiento jurídico, sin embargo, se fueron superando los plazos con los que contaba España para informar sobre las medidas adoptadas para su transposición, así como los de requerimiento por parte de la Comisión exhortando a adoptar dichas medidas. Finalmente, unos días después de ser aprobado el proyecto de ley orgánica para su transposición, España fue condenada por no haber realizado la transposición ni informado sobre las medidas adoptadas para ello a 15.5 millones de euros a tanto alzado y una multa coercitiva diaria de 89.548,20 euros por cada día de retraso en la transposición.
La publicación de esta ley viene a poner fin a esta situación y regula la actuación de autoridades competentes, que quedan delimitadas en su artículo 4, respecto al tratamiento de datos personales con los citados fines, si bien si esas mismas autoridades realizan tratamientos de datos con otros fines quedan sujetas al RGPD.
Aunque la regulación transita de forma paralela por los mismos caminos que el RGPD, ya en sus principios podemos detectar dos diferencias sustanciales, puesto que no se hace referencia a la transparencia y el principio de seguridad vuelve a tener esa denominación, que da una idea más completa de todos sus componentes.
Su artículo 7 nos viene a recordar la necesaria colaboración que requiere este tipo de tratamientos y la falta de transparencia, de ahí la ausencia mencionada anteriormente, ante el interesado con el fin de evitar poner en riesgo la actividad investigadora. Por otra parte, al tratarse de un ámbito más acotado de tratamiento, a diferencia del RGPD, sí se establecen plazos concretos de conservación, así como periodicidad en la verificación de si la conservación sigue siendo procedente.
Otra especialidad respecto a la regulación general es la determinación de los colectivos que pueden resultar afectados: personas que se presume pueden haber cometido o colaborado en la comisión de una infracción, personas condenadas o sancionadas, víctimas o afectados y terceros involucrados; igualmente la distinción entre datos basados en hechos de aquellos que puedan ser apreciaciones personales.
Además de las previsibles especificidades en materia de ejercicio de derechos, los responsables cuentan como todos con la obligación de tener un registro de actividades de tratamiento, pero adicionalmente deben mantener registros de operaciones cuando se realicen en sistemas de tratamiento automatizados, al menos de las siguientes: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión, y en el caso de consulta y comunicación poder determinar quién ha hecho qué, cuándo y para quién.
En materia de seguridad se establece un marco más claro de medidas, siempre basadas en un análisis de riesgos previo, pero dirigidas a los siguientes controles: en el acceso a los equipamientos, los soportes de datos, el almacenamiento, los usuarios, el acceso a los datos, la transmisión, la introducción, el transporte, el restablecimiento, la fiabilidad e integridad. En todo caso el registro de operaciones se convierte en medida necesaria y clave de todo marco de seguridad.
El delegado de protección de datos, obligatorio salvo en el caso de tratamiento de datos con fines jurisdiccionales, cumple al igual que en el régimen general las necesarias funciones de asesoramiento y supervisión. Además se regula en qué casos y con qué condiciones pueden realizarse transferencias internacionales de datos, que en todo caso deberán tener como destinatarias otras autoridades competentes y para los fines regulados en la norma. Las sanciones, cuando son económicas, pueden alcanzar el millón de euros.
Además de introducir modificaciones en distintas normas, entre ellas la propia LOPDGDD, la ley incluye en la Sección 2 de su Capítulo II la regulación del tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad, hasta ahora recogido en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos, que completaría la nueva regulación en lo que no resulte contrario a su contenido.
¿Anonimización o seudonimización?
Abril, 2021
El RGPD nos trajo junto con nuevas obligaciones y derechos, nuevos conceptos, como la seudonimización. Antes de eso caminábamos de forma imprecisa entre términos como disociación o codificación que muchas veces se intentaban hacer pasar como anonimización en la idea de huir de la aplicación de la normativa.
A pesar de la claridad con la que el RGPD establece la distinción entre datos anonimizados y seudonimizados, para hacer caer definitivamente a estos últimos en las garras de la normativa, aún hay mucha confusión con estos conceptos y generalmente se cree que para anonimizar es suficiente con eliminar el nombre y apellidos de los interesados.
La AEPD ha publicado un documento en el que recoge de forma sencilla y directa 10 malentendidos relacionados con la anonimización que nos pueden ayudar a establecer una distinción clara y saber cuándo es de aplicación o no la normativa.
Cuestiones como que el cifrado no es anonimización o que esta no es permanente, dado que los recursos informáticos y las nuevas tecnologías disponibles para que se pueda lograr la reidentificación de datos van evolucionando, y datos que actualmente pueden ser considerados anónimos con técnicas que pueden estar por llegar pueden volver a ser identificables. También que la aplicación de sistemas utilizados por otros con éxito podrían no ser útiles si cambia el contexto o los datos a los que se refiere el tratamiento.
En definitiva, un documento interesante a tener en cuenta.
Nuevo portal web del CGPJ como autoridad de control en materia de protección de datos
Enero, 2021
El Consejo General del Poder Judicial es la autoridad de control en materia de protección de datos en los tratamientos jurisdiccionales. El artículo 236 nonies de la Ley Orgánica del Poder Judicial (LOPJ) así lo establece.
Para desarrollar las funciones que le corresponden, en 2017 se constituyó en el Consejo General del Poder Judicial el denominado Comité de Protección de Datos, integrado por tres vocales del órgano de gobierno de los jueces y representantes de los diferentes órganos técnicos del CGPJ.
Es decir, aunque equivocadamente presentásemos una reclamación relativa al tratamiento de datos personales por parte de un juzgado o tribunal ante la Agencia Española de Protección de Datos, esta daría traslado al CGPJ para su resolución.
Con ocasión de la celebración, el 28 de enero, del Día Europeo de la Protección de Datos, que se celebra para dar a conocer a los ciudadanos sus derechos y responsabilidades en materia de protección de datos y privacidad, el CGPJ ha lanzado su portal web como uno de los apartados a los que se puede acceder desde su sitio web:
En este apartado podemos encontrar, normativa, formularios, preguntas frecuentes e informes y resoluciones del CGPJ.
La fecha elegida para su publicación conmemora además el Convenio número 108 del Consejo de Europa sobre protección de datos de carácter personal, que es el único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos. El Convenio 108 ha sido modificado a raíz de la entrada en aplicación del RGPD haciendo hincapié entre otras cosas en la necesidad de que las autoridades de supervisión no se limiten a ser instrumentos sancionadores, sino que participen activamente en la concienciación y formación en esta materia, lo que está en la línea del nuevo portal web del CGPJ.
Medidas que complementan las herramientas para realizar transferencias internacionales
Noviembre, 2020
A nadie se le escapa que el hecho de invalidar la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero mantener la validez de las Cláusulas Contractuales Tipo (CCT) si se utilizan con empresas ubicadas en EE. UU. puede ser un poco contradictorio, dados los motivos argumentados por el TJUE en la sentencia para invalidar el Privacy Shield.
Esta situación difícilmente se va a solucionar con medidas adicionales establecidas contractualmente, pero debemos entender que hay más países en el mundo a los que exportar datos y, cuando lo hagamos, no nos debemos limitar a elegir la herramienta a utilizar, sino que es necesario que el exportador, con ayuda del importador, evalúe caso a caso si la ley o las prácticas en ese tercer país afectan a la efectividad no solo de las CCT sino de cualquiera de las herramientas escogidas de las establecidas en el artículo 46 del RGPD. Una evaluación negativa, a su vez, no significaría la suspensión inmediata del proyecto, sino que se abre la puerta a implementar medidas adicionales para alcanzar el nivel de protección requerido por la legislación europea, no necesariamente idéntico al de la UE, pero esencialmente equivalente.
El Comité Europeo de Protección de Datos (CEPD) consciente de la ardua tarea que esto supone ha publicado sus Recomendaciones 01/2020 sobre medidas complementarias a las herramientas de transferencia para asegurar el cumplimiento del nivel de protección de datos personales de la UE, que aún se encuentran en fase de consulta pública.
Para llevar a cabo este ejercicio, el CEPD sugiere que se den, por parte del exportador, una serie de pasos:
1. Establecer un mapa de las transferencias internacionales que se realizan y verificar que son adecuadas, pertinentes y limitadas a lo necesario de acuerdo con el propósito de realizar la transferencia a ese país.
2. Identificar la herramienta adecuada para cada una de la lista recogida en el capítulo V del RGPD.
3. Evaluar si las leyes o prácticas en ese tercer país pueden afectar a la eficacia antes mencionada, afortunadamente, en el contexto de la transferencia.
4. En el caso en que la evaluación revele que la legislación del tercer país puede afectar a la eficacia de las garantías, es necesario identificar y adoptar medidas adicionales, de las que el documento ofrece algunos ejemplos:
Medidas técnicas. Fundamentalmente el cifrado o la seudonimización de los datos.
Medidas contractuales, como la obligación de adoptar determinadas medidas técnicas o prohibirlas, o exigir transparencia.
Medidas organizativas, mediante la elaboración de políticas internas que definan responsabilidades, canales claros de comunicación o pautas sobre cómo actuar en el caso en que se realice una solicitud por parte de una autoridad pública.
5. Adoptar las formalidades requeridas para implementar las medidas identificadas en función de la herramienta de las recogidas en el artículo 46 que estuviésemos utilizando para realizar la transferencia. Por ejemplo, podría ser necesaria una consulta a la autoridad de control.
6. Reevaluar en intervalos de tiempo adecuaos el nivel de protección alcanzado y si algún nuevo acontecimiento sobrevenido puede afectar al mismo.
Esto es solamente una ayuda, ya que el propio CEPD reconoce en la sentencia del TJUE el peso otorgado al principio de responsabilidad proactiva dejando sobre los hombros del exportador la evaluación y la decisión de seguir adelante, sin perjuicio de las capacidades de supervisión y consecuente suspensión de las transferencias por parte de las autoridades de control.
Cómo saber si debo comunicar una brecha de seguridad a los interesados
Octubre, 2020
En realidad lo que supone el auténtico quebradero de cabeza para las entidades es si se debe notificar una brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) y para ello podemos recurrir a las nociones que ofrece la Guía para la gestión y notificación de brechas de seguridad de la AEPD, que lógicamente no tiene todas las respuestas, pero da algunas pistas.
Toda brecha de seguridad que se comunique a los interesados deberá ser objeto de notificación a la AEPD antes o después, pero no viceversa. Habiendo notificado a la AEPD una brecha de seguridad incluso es posible que sea la propia Agencia la que exija al responsable del tratamiento que lo haga, y la diferencia entre hacerlo o no está en determinar si el riesgo probable que entraña la violación de seguridad es alto.
Para ello, la AEPD ha publicado una herramienta que nos ayuda a tomar esa decisión, ya que en función del riesgo, la comunicación a los interesados podría tener que realizarse a la mayor brevedad y por tanto antes de realizar la notificación a la AEPD, pero pueden surgirnos dudas y desde luego no es la imagen que cualquier entidad quiere dar a sus clientes, personal o colaboradores.
La herramienta nos pregunta, en primer lugar, el sector en el que opera el responsable del tratamiento, para que posteriormente indiquemos si el incidente ha sido accidental o intencionado, si ha sido interno o externo, y si es un ciberincidente.
La herramienta pregunta por las consecuencias del mismo y en qué grado se ven afectados los interesados, si ya se han materializado esas consecuencias o las posibilidades de que lo hagan. Se deben tener en cuenta los tipos de datos que se han visto afectados, así como los colectivos perjudicados (si son menores u otros colectivos especialmente vulnerables) y el volumen de personas a las que ha podido afectar.
Por último, solicita información sobre la fecha en que se ha detectado y en que se ha producido la incidencia, para pasar a indicar su recomendación sobre la comunicación o no de la brecha a los interesados.
Es posible que no dispongamos de toda la información necesaria, y de hecho la propia herramienta cuenta en muchos apartados con una opción de «Desconocido», pero utilizarla y dejar constancia de las respuestas facilitadas, además de actuar de acuerdo con la recomendación indicada, incluso aunque después se descubriese como desacertada, nos permite generar evidencias respecto al cumplimiento de la responsabilidad proactiva, y cualquier herramienta que ayude en ese sentido será bienvenida.
La AEPD actualiza su Guía sobre uso de las cookies
Agosto, 2020
Recientemente, la Agencia Española de Protección de Datos ha actualizado la Guía sobre el uso de las cookies a las Directrices sobre consentimiento revisadas por el Comité Europeo de Protección de Datos (CEPD) el pasado mes de mayo, estableciendo hasta el 31 de octubre como plazo para su implementación.
No es que hubiese sido seguida masivamente por los creadores de contenidos de las páginas web, porque es muy habitual seguir leyendo las frases que la guía ya consideraba en su primera versión de noviembre de 2019 que inducen a confusión o desvirtúan la claridad del mensaje, como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación», o «podemos utilizar sus datos personales para ofrecer servicios personalizados». También es habitual encontrar páginas que incluyen como modalidad de consentimiento un botón de aceptación simultáneamente a la posibilidad de seguir navegando.
Repasando las novedades de la guía, especialmente relevante es el cambio de criterio en cuanto al consentimiento. En su primera versión, la AEPD admitía como válido el consentimiento basado en la acción «seguir navegando». Para eso, el aviso debía insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pudiese existir seguridad de que no pasase desapercibido para el usuario. Añadía además la guía que podría considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no fuese la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio.
Todos los ejemplos incorporados ahora a la guía incluyen un botón de ACEPTAR y es que el CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. No se descartan, en todo caso, otras formas distintas a un botón del tipo ACEPTAR, pero acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario.
Para que este tipo de acciones se consideren consentimiento, las condiciones en que se produzca la conducta deben ofrecer suficiente certeza de que este es informado e inequívoco y además debe poder probarse que dicha conducta se ha realizado. En todo caso se reafirma de forma más contundente que permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia.
La guía actualizada incluye un nuevo ejemplo sobre cómo solicitar en este contexto el consentimiento explícito del interesado en el caso de que se llegasen a tratar categorías especiales de datos, y rechaza los «muros de cookies» que, no ofreciendo una alternativa al consentimiento, supeditan a este el acceso a servicios y funcionalidades. En todo caso, las alternativas deberán ser equivalentes y no sería válido si el servicio lo ofrece una entidad ajena al editor.
En cuanto a la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies, desaparece la referencia al software de navegación utilizado o el sistema operativo del terminal, y cuando se menciona la posibilidad de configurar el navegador como modalidad de obtención del consentimiento, aunque se mantiene que debe ser separado para cada finalidad e identificar al responsable del tratamiento, indica que a estos efectos es suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público. Aun así, este sistema no se considera válido como mecanismo único para que el usuario pueda denegar o revocar el consentimiento para el uso de cookies, sino que tiene que poder hacerlo desde la página web del editor o ser informado de las herramientas que empleen terceros con este fin en el caso en que sean estos quienes utilicen las cookies.
La toma de temperatura para detectar contagiados de la COVID-19
Julio, 2020
Se ha discutido mucho sobre el tratamiento de datos que consiste en la toma de temperatura para detectar posibles casos de COVID-19, pero no queremos entrar a valorar los mismos puntos que ya han sido tratados hasta la saciedad, sino aquellos que nos llaman especialmente la atención.
En primer lugar la idoneidad del tratamiento. No es solo que puede haber contagiados asintomáticos que por tanto nos van a pasar desapercibidos, que la fiebre puede no ser detectada si hemos tomado previamente un antipirético o que puede deberse a otras causas, en cuyo caso debería hacerse dicha valoración, que podría incluso tener la complejidad de un diagnóstico médico, simplemente para entrar en un supermercado o tomarte un café. Es verdad que, aun así, podría ser detectado algún caso y eso sería un éxito, pero ¿tiene sentido, teniendo en cuenta todo lo indicado, establecer en según qué casos medidas que pueden ser tomadas de forma individual por cada uno sin llegar a producirse tratamiento de datos? ¿Cuántos no nos tomamos la temperatura antes de salir de casa si vamos a un lugar en el que sabemos que nos van a tomar la temperatura? ¿Tiene todo esto sentido?
No hay duda en todo caso de que no deja de ser una medida que da cobertura a la posible detección de algún contagiado y que supone un lavado de cara a efectos de dar una buena imagen respecto a la adopción de medidas suficientes, motivo por el que, a pesar de las dudas y las objeciones, son tratamientos que se están realizando.
Otra cuestión que llama la atención son aquellos tratamientos que consisten en la toma de temperatura que no se consideran sujetos a la normativa de protección de datos por entenderse como tratamientos no automatizados que no están contenidos o destinados a ser incluidos en un fichero. A esta categoría de tratamientos se han incorporado aquellos realizados con un termómetro digital por una persona que se limiten simplemente a la toma y comprobación de la temperatura, sin que quede registrada en ningún sitio ni la temperatura ni el resultado de la misma, es decir, el acceso o no de la persona al recinto. No vamos a entrar en los motivos por los que los tratamientos realizados con este tipo de aparatos se consideran no automatizados, pero sí llama la atención que esta interpretación nos deje huérfanos de protección cuando la medida no deja de suponer el conocimiento por un tercero de información relacionada con nuestra salud y que además puede tener unas consecuencias ampliamente limitativas, se registre o no.
Sí se menciona que el que no sea de aplicación la normativa de protección de datos no excluye la plena vigencia del derecho a la intimidad, aunque si esta opción tuviese virtualidad no sería posible utilizar dicha medida en estos casos y mucho menos en aquellos amparados por el derecho a la protección de datos, precisamente por ser más intrusivos. Incluso adoptando las máximas precauciones en el momento de la medición de forma que otras personas distintas de aquella que realiza la misma no pudiesen tener conocimiento del hecho de que la temperatura es alta o sus consecuencias, solo poniéndose en la situación de algún caso que se ha mencionado, como la posibilidad de que una mujer con un sofoco tuviese que explicarle a otra persona cuya función es tomar la temperatura, sin necesidad de que sea sanitario, recordemos que estos tratamientos no se consideran sujetos a la normativa, que en realidad lo que pasa es que tiene la menopausia, difícilmente se puede pensar en ningún tipo de intimidad.
Vuelve la inseguridad jurídica a la hora de realizar transferencias internacionales a EE. UU.
Julio, 2020
El TJUE ha invalidado la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero no la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.
El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la Unión Europea a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. Este mecanismo sustituía al anterior marco legal denominado Puerto Seguro (Safe Harbour), que fue igualmente invalidado por el Tribunal de Justicia en 2015.
Si se utiliza el Escudo de Privacidad, las empresas estadounidenses deben primero adscribirse a este marco en el registro a tal efecto del Departamento de Comercio de los EE. UU. y cumplir con las obligaciones establecidas en los Principios de Privacidad, cuyo cumplimiento debe ser garantizado por dicho Departamento.
Los motivos por los que nuevamente se pone en cuestión el mecanismo adoptado son, por una parte, que los programas de vigilancia basados en la normativa interna de los Estados Unidos relativa al acceso y utilización por las autoridades estadounidenses de los datos transferidos desde la Unión no se limitan a lo estrictamente necesario, y que si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.
Añade, además, que el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo como la existencia de normas que le faculten para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.
La reclamación de un usuario de Facebook austriaco que no quería que sus datos fuesen transferidos por la compañía desde Irlanda a servidores ubicados en Estados Unidos ha dado un vuelco a multitud de operaciones que se venían realizando amparadas por dicho mecanismo. Actualmente, hay 5.378 organizaciones adscritas cuyos datos se puede consultar en la Privacy Shield List.
Aquellas transferencias que puedan redirigirse a la formalización de cláusulas contractuales tipo podrán seguir realizándose, pero especialmente preocupante es el uso de aplicaciones gratuitas o de bajo coste por parte de multitud de pequeñas empresas que deberán replantearse su uso, lo que en todo caso puede redundar en beneficio de aquellas compañías que hayan apostado por ofrecer sus servicios desde servidores ubicados en la Unión Europea. Mientras tanto, la Unión Europea se ha comprometido en trabajar junto con Estados Unidos para desarrollar un mecanismo más fuerte y duradero, pero esta situación vuelve a sumir a muchas empresas en las oscuras aguas de la inseguridad jurídica.
Lucir anticuerpos de la COVID-19 en el currículum
Junio, 2020
No es algo que pueda impedirse, igual que cada uno publica en sus redes sociales la información que considere, valorando o no los riesgos que esto supone para sus derechos y libertades.
Indica la AEPD en un reciente comunicado que no debe reflejarse, haciendo alusión a que la entidad destinataria no podría tener en cuenta esa información y que podría llegar a tener que destruir el currículum en caso de no ser posible eliminarla, lo que a la larga sería contraproducente para el candidato, que no sería considerado en el proceso selectivo.
Independientemente de lo que decida hacer el candidato, el comunicado transmite un mensaje contundente a los empleadores: dicha información no podrá influir en la decisión que finalmente se adopte.
No hay legitimación suficiente para hacerlo, por un lado porque se considera que la solicitud de ese concreto dato de salud no es necesaria para la ejecución o formalización de un contrato, excluyendo la posible aplicación del artículo 6.1.b) del RGPD; por otro porque la otra posible legitimación basada en el consentimiento del artículo 6.1.a) no gozaría de uno de sus componentes esenciales al no ser libremente prestado, puesto que el interesado no puede otorgarlo o retirarlo sin sufrir perjuicio, existiendo un claro desequilibrio entre las partes.
Esto se puede decir igualmente de la excepción prevista en el artículo 9.2 del RGPD respecto a la prohibición del tratamiento de datos de salud.
El tratamiento, además, excedería
del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, al no tener los candidatos la condición de trabajadores, y al no distinguir en todo caso los protocolos aplicables entre trabajadores que hayan padecido o no la enfermedad.
Tampoco se considera legítima la propia finalidad del tratamiento al dar lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.
Concluye la AEPD indicando que dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.
Avanzando en el teletrabajo
Junio, 2020
Hasta hace poco el teletrabajo se contemplaba como una forma de contribuir a la conciliación y al bienestar de los trabajadores, pero a partir de la declaración del estado de alarma se ha perfilado, además, como la mejor manera de proteger su salud en situaciones de emergencia que, lamentablemente, podrían llegar a perder su carácter de excepcionales.
El hecho de que la situación se estabilice y avancemos en la posibilidad de volver a prestar servicios de forma presencial, no impide que podamos valorar sus beneficios y la necesidad de establecer vías para implantar formas de teletrabajo más eficientes y hacerlo de manera ordenada.
La anunciada regulación laboral parece que contemplará medidas de compensación al trabajador por el uso de recursos particulares, como su equipo particular o su conexión a internet, algo que se ha visto por muchos como un abuso por parte de las entidades y que ha sido tolerado precisamente con motivo de la mencionada excepcionalidad.
No se debe olvidar que el deber de proteger a los trabajadores frente a los riesgos laborales no decae en entornos de teletrabajo, debiendo ser valoradas las condiciones del lugar donde se desarrollará la jornada laboral y en su caso la provisión de mobiliario de oficina adecuado.
Aunque la acogida del teletrabajo ha sido global por las circunstancias en que se ha realizado, es necesario de cara a establecer unos protocolos adecuados, determinar las áreas en las que es posible aplicarlo sin afectar al desarrollo de las funciones de los trabajadores. Hay determinados trabajos que no pueden ser prestados a distancia y menos aún de forma telemática, y algunos requieren de una parte de asistencia presencial, para lo que se pueden reservar determinadas jornadas a lo largo de la semana, incluso, con carácter general, con objeto de celebrar reuniones o asistir a cursos de formación, lo que a su vez redundaría en las ventajas de mantener la cualidad socializadora de los centros de trabajo.
Además, tienen que establecerse los criterios y requisitos que deben cumplir los trabajadores para poder acogerse al mismo, determinar jornadas flexibles de trabajo y la forma en que se va a controlar, así como garantizar el derecho a la desconexión digital. La protección de datos de carácter personal también está plenamente vigente en este ámbito.
Los trabajadores tendrán que recibir formación suficiente sobre seguridad en su nuevo entorno de trabajo y cómo deben usar las herramientas necesarias para mantener la relación a distancia, que deberán haber sido previamente determinadas por la entidad: conexión segura mediante VPN, un sistema de teleconferencias que no obligue al trabajador a usar cuentas particulares y gratuitas, disponer de una cuenta de correo electrónico, etc.
Son muchos los aspectos que deben contemplarse y desde luego no dejar al trabajador aislado en caso de incidencias, así como mantener los canales abiertos con el responsable o el delegado de protección de datos de la entidad.
Aplicaciones de rastreo
Junio, 2020
Una de las medidas que se ha demostrado más eficaces para prevenir posibles rebrotes de la COVID-19 es la implantación de un adecuado sistema de rastreo de contagios y sus contactos. A ello pueden colaborar de forma eficaz las tecnologías de la información, pero ¿hasta qué punto estamos dispuestos a sacrificar nuestra privacidad para proteger nuestra salud?
Lo llamativo de este tipo de aplicaciones es que no están pensadas para obtener un beneficio personal. Cuando comunicamos que estamos contagiados ya es tarde para nosotros, pero podemos evitar nuevos contagios al permitir localizar a aquellas personas con las que hemos mantenido un contacto durante tiempo suficiente para que a su vez hayan sido contagiados y avisarles, de forma que puedan tomar las medidas necesarias para evitar contagiar a otras personas. Utilizándola, por tanto, protegemos a los demás.
A estas alturas parece que hay un consenso generalizado respecto a los aspectos fundamentales para que estas aplicaciones ofrezcan unas mínimas garantías de protección de nuestros datos de acuerdo con las Directrices 04/2020 sobre herramientas de rastreo de contactos del Comité Europeo de Protección de Datos (CEPD), de 21 de abril de 2020:
Aún a la espera de que en España se realice la anunciada prueba piloto y sin garantías de que finalmente vaya a aplicarse en todo el país, hay que tener en cuenta que estas no son las únicas dificultades que deben salvar este tipo de aplicaciones.
Por un lado, deben ser de descarga voluntaria, por lo que su eficacia queda sujeta a la responsabilidad individual y a ello no ayuda la alarma surgida en torno al posible uso inadecuado de datos personales, la participación de empresas privadas y los plazos de conservación de la información.
También hay que tener en cuenta aspectos prácticos como el consumo de batería, de forma que esto no desincentive su uso.
Otro aspecto importante es la interoperabilidad, especialmente en un entorno como el de la Unión Europea, en el que además se empiezan a promover los desplazamientos, de forma que sea posible seguir utilizando la aplicación de tu país en otros lugares.
Y quizá asumir que la anonimización, dado el grado de conectividad alcanzado es difícil. Aunque nuestro número de teléfono móvil no llegue a transmitirse al servidor, esta información puede ser inferida por nuestro proveedor de telecomunicaciones al detectar un flujo de datos hacia el servidor en cuestión, lo que únicamente puede significar que he comunicado que estoy contagiado, y esto se traduce en la necesidad de realizar un análisis profundo de los posibles riesgos e incluso cuáles de ellos debemos estar dispuestos a asumir para proteger a otros.