Nuestro BLOG

El uso del cifrado como medida de protección de los datos personales
Noviembre, 2025
El artículo 83 del Reglamento General de Protección de Datos (RGPD) dice que “el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado”. El artículo 32 también menciona el cifrado entre las medidas técnicas que pueden ser empleadas para garantizar un nivel de seguridad adecuado al riesgo.
Con objeto de fomentar su uso entre pymes y autónomos la Agencia Española de Protección de Datos (AEPD) ha publicado una Guía de cifrado en la que, empezando por recordar la necesidad de aplicar el principio de minimización como pasa previo al envío, almacenamiento o transporte de datos de carácter personal, ofrece información sobre las posibles consecuencias de no usar cifrado, recomendaciones sobre cómo aplicarlo en las comunicaciones y mientras los datos están almacenados, para acabar con unas nociones básicas sobre criptografía.
Solo en marzo de 2025, la AEPD recibió casi 170 notificaciones de brechas de datos personales que afectaban a la confidencialidad de la información y un 50% de ellas se debieron a la exfiltración de datos, pérdida de dispositivos o comunicaciones de datos personales que no estaban adecuadamente cifrados.
Datos almacenados sin cifrar en un portátil cuyo disco duro no está cifrado y que es trasladado habitualmente fuera de las instalaciones, por lo que es susceptible de pérdida o robo; datos almacenados sin cifrar en un dispositivo en el que se instala una aplicación de intercambio de archivos que permite compartir de forma pública información en función de la carpeta en la que se ubiquen los archivos; datos almacenados sin cifrar en un proveedor que sufre una brecha de seguridad; envíos de correos electrónicos con adjunto sin cifrar a destinatario erróneo; o abuso de privilegios de acceso son ejemplos reales que se tratan en la guía en los que el cifrado habría minimizado las consecuencias para los interesados cuyos datos acaban siendo accesibles por personas no autorizadas.
La eficacia del cifrado depende de la fortaleza de las técnicas y protocolos empleados. Se mencionan en la Guía como requisitos mínimos la adopción de estándares seguros y robustos, como AES-256 para el cifrado de datos y TLS 1.2 o superior para proteger las comunicaciones, así como revisar periódicamente que no se usan algoritmos o claves obsoletos.
Aun así, el cifrado no basta por sí solo, pero es una práctica diligente que puede aminorar la responsabilidad en caso de haberla aplicado correctamente. Por este motivo, se debe combinar con otras medidas, como la minimización de datos en las distintas operaciones de tratamiento, la anonimización cuando sea necesaria, protocolos de acceso restringido y políticas de privacidad adecuadas.

¿Hasta dónde llega el derecho al olvido cuando las imágenes captan actividades públicas?
Diciembre, 2025
A la hora de publicar imágenes en páginas web y redes sociales, los responsables de tratamientos deben adoptar una serie de precauciones si no cuentan con el consentimiento de las personas que aparecen en ellas.
Si las imágenes se toman en el curso de actos públicos y en ausencia de dicho consentimiento, con carácter general, no está justificado que se tomen primeros planos de asistentes cuya presencia no tiene una trascendencia directa en el acto, por lo que es habitual que dichas imágenes se capten a cierta distancia, de espaldas o de conjunto, de manera que no se reconozca a las personas.
Sí es posible su publicación de forma que sea posible su identificación si se trata de cargos públicos que participan en el acto cuya celebración se pretende divulgar y dicha participación está vinculada a su puesto. Pero ¿qué pasa si posteriormente, y cuando estas personas ya no ocupan estos cargos, ejercitan su derecho al olvido? Hay que tener en cuenta que eliminar dichas imágenes podría afectar de forma importante a los fines divulgativos, puesto que dicha persona podría aparecer de forma recurrente y junto a otras que pueden estar incluso interesadas en que permanezca la publicación.
La AEPD aclara que en estos casos debe ponderarse si el derecho a la protección de datos prevalece sobre otros derechos fundamentales, en este caso el derecho a la información o la libertad de expresión. Se apoya en la jurisprudencia para afirmar que el derecho al olvido no ampara la eliminación de informaciones veraces relacionadas con la actividad pública de una persona, ni permite reescribir su trayectoria ocultando participaciones voluntarias en actividades públicas y que el hecho de haber dejado de ostentar un cargo no implica que los contenidos dejen de tener la relevancia pública que legitima su divulgación.
En todo caso es necesario tener en cuenta la situación personal alegada por el interesado, pero, en ausencia de otras circunstancias, al tratarse de actuaciones públicas que no afectan a la esfera íntima de la persona y en tanto la información no se encuentre obsoleta o sea inexacta, el derecho a la protección de datos decae frente a la libertad de expresión y de información, y al derecho de los usuarios de internet a conocer dicha información.

Se pone en funcionamiento la Autoridad Independiente de Protección del Informante
Septiembre, 2025
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción prevé la creación de la Autoridad Independiente de Protección del Informante como autoridad administrativa independiente de ámbito estatal, con personalidad jurídica propia y plena capacidad pública y privada.
Mediante el Real Decreto 1101/2024, de 29 de octubre, se aprobó el Estatuto de la Autoridad Independiente de Protección del Informante. Nueve meses después y tras haber sido nombrado como presidente de la misma Manuel Villoria Mendieta, con fecha 1 de septiembre se ha puesto en funcionamiento bajo las siglas A.I.P.I., poniendo fin al régimen transitorio durante el que el Ministerio de la Presidencia, Justicia y Relaciones con las Cortes ha estado prestando los servicios y el apoyo administrativo necesarios para el inicio de dicha actividad.
Aunque se puede establecer contacto con la A.I.P.I., según se indica en la nota informativa publicada en www.proteccioninformante.gob.es, aún se está trabajando en dar forma a su sitio web y la sede electrónica.
Por otra parte, a partir de su puesta en funcionamiento, de acuerdo con lo dispuesto en el apartado 4 de la Disposición transitoria única del Real Decreto 1101/2024, se inicia el plazo de dos meses para la notificación de los nombramientos y ceses, tanto de las personas físicas como de las personas integrantes del órgano colegiado que hayan sido designadas como Responsables del Sistema interno de información conforme al artículo 8.3 de la Ley 2/2023.

El Tribunal General de la Unión Europea confirma la validez del EU-US Data Privacy Framework
Septiembre, 2025
El EU-US Data Privacy Framework es la decisión de adecuación adoptada por la Comisión Europea en julio de 2023 que permite las transferencias de datos personales a EE. UU. sin autorización adicional.
Anteriormente, en sus sentencias Schrems I (6 de octubre de 2015) y Schrems II (16 de julio de 2020), el Tribunal de Justicia declaró inválidas las dos decisiones de adecuación precedentes relativas a los EE. UU. por considerar que no garantizaban un nivel de protección de las libertades y de los derechos fundamentales sustancialmente equivalente al garantizado por el Derecho de la Unión. En esta ocasión, en la sentencia T-553/23, Latombe/Comisión, el Tribunal desestima las alegaciones de falta de independencia del Data Protection Review Court (DPRC), creado en EE. UU. tras la Orden Ejecutiva 14086 y el reglamento complementario del Fiscal General. El Tribunal considera que el nombramiento y cese de sus jueces, así como las garantías de funcionamiento, aseguran su independencia frente al poder ejecutivo y las agencias de inteligencia. Por una parte, los jueces del DPRC solo pueden ser destituidos por el Fiscal General y únicamente por una justa causa y, por otra parte, el Fiscal General y las agencias de inteligencia no pueden entorpecer o ejercer una influencia indebida sobre su labor.
Además, resalta el Tribunal que la Comisión está obligada a hacer un seguimiento permanente de la aplicación del marco jurídico en el que se basa la decisión de adecuación y que, si el marco jurídico vigente cambia, la Comisión podrá decidir, si fuera necesario, modificar o derogar la decisión impugnada o limitar su ámbito de aplicación.
En lo que se refiere a la recogida masiva de datos personales, el Derecho de los EE. UU. somete las actividades de inteligencia de origen electromagnético llevadas a cabo por sus agencias de inteligencia al control judicial a posteriori del DPRC, lo que permite equiparar el nivel de garantías al exigido en la UE.
De esta forma, el Tribunal General ha desestimado ambos motivos de apelación y por tanto el recurso en su totalidad. Esto significa que, por el momento, seguimos contando con un marco sólido para las transferencias internacionales de datos amparadas por dicho marco, lo que ofrece seguridad jurídica en un conjunto importante de operaciones de tratamiento, teniendo en cuenta el habitual recurso para el procesamiento de datos a empresas tecnológicas con sede en EE. UU. y que prestan desde allí sus servicios.

Criterio jurídico sobre el uso de sistemas biométricos con fines de autenticación
Julio, 2025
El cambio de presidencia de la AEPD ya se empieza a evidenciar, por una parte en un mayor protagonismo de las cuestiones relacionadas con la inteligencia artificial, como refleja su Plan Estratégico y corolario natural de la trayectoria profesional de su presidente, Lorenzo Cotino; y por otro en una mirada menos rígida hacia el uso de la biometría para el control de accesos.
La «Guía sobre tratamientos de control de presencia mediante sistemas biométricos» publicada a finales del año de 2023 dejaba poco margen a la implantación de la biometría con dicho fin, especialmente por el escollo, difícilmente salvable, de considerar que el tratamiento de datos biométricos no es necesario al existir otras alternativas que tradicionalmente se han utilizado para alcanzar el mismo fin, sin otorgar suficiente valor a la mayor eficacia de la biometría frente a estas. En todo caso, desde el primer momento se ha llamado la atención desde distintos sectores sobre que se trata de una guía y que podría no ser el instrumento más adecuado si lo que se quería era ofrecer una base interpretativa sólida.
Publica la AEPD, en el contexto de esta nueva etapa iniciada con el cambio de presidencia, la respuesta dada a una consulta previa derivada de una evaluación de impacto sobre el tratamiento de datos personales con fines de control de accesos por parte de la Guardia Civil. Lo hace en el apartado de su página web, también novedoso, llamado «Criterios jurídicos AEPD» e incluye un enlace al informe completo. No vamos a reproducir aquí todo el contenido del informe, cuya lectura recomendamos, pero sí llamar la atención sobre algunos aspectos.
Recuerda, en primer lugar, que los datos biométricos son categorías especiales de datos tanto si se usan con fines de identificación como autenticación, como no podría ser de otra manera siguiendo las Directrices del Comité Europeo de Protección de Datos, pero señala que la intensidad del impacto en uno u otro caso no es la misma y, por tanto, no requiere las mismas medidas de protección.
Desglosa una serie de normativas que pueden amparar el cumplimiento de una obligación legal como base de legitimación, si bien alude a una mayor concreción de las normas con objeto de levantar la prohibición del tratamiento de categorías especiales de datos, sin descartar la posibilidad de recurrir al consentimiento.
Señala que la Evaluación de Impacto es el instrumento imprescindible en el que el responsable puede justificar la necesidad y la proporcionalidad del tratamiento que se pretende poner en marcha. En ella, además de justificar por qué el tratamiento biométrico permite verificar con mayor fiabilidad que otros mecanismos quién accede a los espacios protegidos, evita suplantaciones de identidad y permite restringir accesos no autorizados, si, como en este caso, el sistema biométrico sustituye a otro empleado con anterioridad (lo que sucederá a día de hoy en la mayoría de situaciones), se debería reflejar en qué mejora el sistema de accesos biométrico a los sistemas anteriores de seguridad, así como particularizar de modo más concreto las bondades y mejoras que implica el sistema elegido respecto de los anteriores u otras opciones, por ejemplo, que sean susceptibles de pérdida, cesión o manipulación.
Recuerda el informe, amparándose en la jurisprudencia del TJUE, que, cuando existen varias medidas eficaces, el responsable puede optar por la más eficaz, siempre que se respete la proporcionalidad y se minimicen las injerencias en los derechos fundamentales, y se refiere a los desarrollos tecnológicos recientes para desglosar un conjunto de medidas que minimizan el impacto en los derechos de los interesados: la generación local de identificadores, su caducidad, la no interoperabilidad, la ausencia de almacenamiento centralizado, el aislamiento de terminales, la imposibilidad de reversión y el control exclusivo por parte del propio interesado, así como la limitación estricta a los fines de autenticación.
De esta consulta también podemos reseñar que es preferible evitar abarcar un conjunto amplio de instalaciones que pueden presentar distintas necesidades de protección, aunque sean gestionadas por el mismo responsable del tratamiento sujeto a una concreta regulación.
Puede concluirse que es deseable que la normativa concrete los supuestos en que las medidas especiales de protección que reclama pueden traducirse en el uso de biometría, con alternativas posibles y prohibiciones específicas, en la que se especifiquen cautelas sobre su registro asistido por personal cualificado, control exclusivo del interesado, aislamiento, revocabilidad y caducidad, entre otras cosas; pero, al menos en este caso, esto no ha sido obstáculo para considerar que el tratamiento cuenta con una base legal y regulación suficiente, y que las medidas adoptadas mitigan suficientemente los riesgos.

Medidas de simplificación para las PYME en el cumplimiento del RGPD

Julio, 2025

El pasado 8 de julio, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido un dictamen conjunto sobre la modificación del RGPD. Se refiere a una propuesta de Reglamento que modifica otros reglamentos, entre ellos, el RGPD.
De acuerdo con el análisis realizado, las modificaciones propuestas en el RGPD están orientadas a simplificar y aclarar la obligación de mantener un registro de actividades de tratamiento, son, por tanto, de naturaleza específica y limitada y no afectan los principios básicos y otras obligaciones bajo el RGPD.
Si actualmente el límite de personal por debajo del cual no es obligatorio el registro es de 250 empleados, siempre que no sea probable que el tratamiento suponga un riesgo para los derechos y libertades de los interesados, no sea ocasional ni afecte a categorías especiales de datos, condiciones difícil de cumplir cuando se realizan tratamientos de datos relacionados con la gestión de los recursos humanos; la propuesta actual eleva la cifra a 750 salvo en los casos en que el tratamiento pudiera entrañar un alto riesgo para los derechos y libertades de los interesados, supuesto en que no aplicaría la excepción.
A este respecto señala el dictamen que la decisión sobre si es o no aplicable la excepción requerirá de una valoración del riesgo en el marco de una evaluación de impacto, ya que el alto riesgo es determinante para su realización, y que se debe aclarar que en esos casos, de ser aplicable la obligación, no implicaría que se deba elaborar un registro de todas las actividades, sino únicamente de aquellas que supongan alto riesgo.
Por otra parte, debe tenerse especialmente en cuenta el tratamiento de categorías especiales de datos y el tratamiento de datos personales relativos a condenas e infracciones penales a la hora de considerar el alto riesgo, pero no necesariamente a efectos del cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, de la seguridad social y de la protección social, salvo que una evaluación previa lo indicara.
Hay que tener en cuenta que los registros de actividades de tratamiento sirven para demostrar el cumplimiento ante las autoridades de control, pero también son un medio muy empleado para respaldar un análisis de las implicaciones de cualquier tratamiento, ya sea existente o planificado. Son muy útiles para instrumentar el cumplimiento de los principios del RGPD, por lo que, en su ausencia, las entidades que no resulten obligadas tienen más flexibilidad para encontrar una forma de hacerlo de forma que el método elegido respalde suficientemente el cumplimiento del RGPD.
Sobre el umbral elegido se destaca que en algunos Estados miembros supondría que un número reducido de entidades quedarían sujetas a dicha obligación y serían de agradecer más aclaraciones respecto a dicho límite, además de restringir la excepción a las pequeñas y medianas empresas y pequeñas empresas de mediana capitalización a través de definiciones claras recogidas en el artículo 4 del RGPD, y excluir claramente a las autoridades y organismos públicos de la aplicación de la excepción siendo coherentes con el papel especial que el RGPD atribuye a la rendición de cuentas de estos.

El ICO (Information Commissioner’s Office) realiza una publicación sobre conceptos erróneos respecto a la protección de datos aplicada a la inteligencia artificial
Marzo, 2025
El ICO es la autoridad de control en materia de privacidad y protección de datos en el Reino Unido y publica este trabajo como parte de la respuesta a una consulta más amplia realizada sobre IA generativa en 2024.
Los malentendidos identificados pueden trasladarse en algunos casos a otros tipos de tratamientos de datos personales, por lo que es útil realizar un repaso de los mismos:
• El tratamiento «incidental» de datos personales sigue siendo tratamiento de datos personales.
A veces se considera que por el simple hecho de no tener intención de tratar datos personales no es aplicable la normativa de protección de datos, esto puede ser relevante a la hora de abordar su cumplimiento, pero no excluye su aplicación.
• El hecho de que un tratamiento de datos constituya una práctica común no satisface necesariamente las expectativas razonables de las personas.
El ser práctica común no hace por si solo lícito un tratamiento especialmente si los interesados no son conscientes de ello o se obtuvieron con una finalidad diferente, a este respecto se menciona, por ejemplo, el entrenamiento de los modelos.
• Es importante poner el acento en la diferencia entre «información de identificación personal» y «datos personales».
El RGPD se aplica a cualquier información relativa a una persona física identificada o identificable, y por tanto un concepto más amplio que la información de identificación personal.
• No es automáticamente aplicable la jurisprudencia sobre el cumplimiento de la protección de datos en los motores de búsqueda al ámbito de la IA generativa.
A diferencia de los motores de búsqueda la IA generativa sintetiza la información y produce nuevos contenidos en sus salidas y además no se suele permitir el derecho de supresión, lo que supone riesgos para los derechos y libertades de los interesados diferentes.
• Los modelos de IA generativa pueden incorporar datos personales.
Pueden retener información con la que han sido entrenados y, en algunos casos, esta puede ser recuperable o divulgable.
• Confusión en el alcance de la protección de datos y su relación con otros marcos normativos.
La protección de datos no puede ser utilizada como una herramienta para interpretar la legalidad en otros ámbitos normativos. Las autoridades de protección de datos no son competentes para determinar la legalidad en otras materias.
• No existe una «excepción para la IA» en la normativa de protección de datos.
No hay excepciones generales ni exenciones para la IA generativa, la normativa debe ser aplicada siguiendo un enfoque de protección de datos desde el diseño y por defecto para garantizar el respeto a los derechos de los interesados.

Utilidad de la generación de datos sintéticos
Abril 2025
El uso de datos para innovación choca con las regulaciones de protección de datos, motivo por el que se han ido desarrollando tecnologías de mejora de la privacidad que permitan el análisis y la extracción de información de los datos sin revelar los datos personales.
En este contexto la generación de datos sintéticos se plantea como una técnica de ofuscación de datos con distintas aplicaciones, como el aprendizaje automático de IA preservando la privacidad, la compartición y análisis de datos o la realización de pruebas de software.
Los datos sintéticos son generalmente datos ficticios que pueden no considerarse datos personales por sí mismos, pero no están intrínsecamente exentos de riesgos debido a los posibles riesgos de reidentificación. Son datos artificiales que se han generado utilizando un modelo matemático especialmente diseñado o algoritmo. Imitan las características y la estructura de los datos de origen, por lo que pueden conservar en gran medida sus propiedades estadísticas y patrones de forma que la realización del análisis en datos sintéticos puede producir resultados similares a los obtenidos con los datos de origen.
Puesto que los datos sintéticos tienen características similares a los datos de origen su uso no está exento de riesgos. El grado de semejanza determina su utilidad, por lo que es necesario encontrar un equilibrio entre utilidad y protección de datos procediendo a la mitigación de los riesgos durante el proceso de generación.
Sobre esta base la Autoridad de Protección de Datos de Singapur ha publicado una Guía sobre generación de datos sintéticos que por su interés ha sido traducida por la AEPD.
La Guía incluye un Anexo denominado Manual sobre Consideraciones Clave y Mejores Prácticas en la Generación de Datos Sintéticos, que plantea un enfoque en cinco pasos:
• Conocer tus datos: comprensión clara del propósito y los casos de uso de los datos sintéticos y los datos de origen que los datos sintéticos deben imitar
• Preparar los datos: comprendiendo las ideas clave que se deben preservar en los datos sintéticos y cuáles son los atributos de datos para que los datos sintéticos cumplan con los objetivos de negocio.
• Generar los datos sintéticos: utilizando alguno de los métodos disponibles, como, por ejemplo, sintetizadores secuenciales basados en árboles, cópulas 18 y modelos generativos profundos; y realizando una comprobación sobre la calidad de los datos generados, respecto a su integridad, fidelidad y utilidad.
• Evaluar el riesgo de reidentificación: se incluyen ejemplos de diferentes enfoques para determinar y cuantificar estos riesgos.
• Gestionar los riesgos residuales: se deben identificar todos los posibles riesgos residuales e implementar controles de mitigación adecuados (técnicos, de gobernanza y contractuales) para minimizarlos.
Se trata de una Guía muy interesante y práctica que incluye numerosas referencias muy útiles.

 ¿Qué pasa con nuestro derecho a consentir?
Enero, 2025
A raíz de la publicación en noviembre de 2023 de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, que hace suyas las interpretaciones del Comité Europeo de Protección de Datos en esta materia y va un poco más allá, el uso de la biometría con fines de registro laboral quedó prácticamente descartado (salvo recurso al Convenio Colectivo) y en el caso de control de accesos se convirtió en un deporte de riesgo.
Esto ha quedado patente con la sanción de 200.000 euros al Club Atlético Osasuna por infracción del artículo 5.1.c) del RGPD calificada como muy grave. Recordemos que el artículo 5.1.c) recoge el principio de minimización, por el que los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Esto ha sucedido por la implantación en abril de 2022 de un sistema biométrico de reconocimiento facial para el acceso de los espectadores a su estadio El Sadar. El sistema contaba con una evaluación de impacto sobre la protección de datos (EIPD) y como base de legitimación y superación de la prohibición del tratamiento de categorías especiales de datos empleaba el consentimiento explícito de los interesados.
Sin embargo, dice la AEPD que no se discute sobre si concurre una excepción del art. 9.2 del RGPD y si esta pudiera o no ser el consentimiento, sino si en la EIPD se ha realizado y superado la evaluación de necesidad y proporcionalidad en los términos previstos en el RGPD, cuestión a la que se circunscribe la contestación de las alegaciones.
Quizá no se discute en la resolución, pero si la evaluación de la necesidad de un tratamiento que se venía desarrollando y cuya finalidad no es el uso de la biometría debe hacerse de forma previa e independiente de la valoración de la excepción del artículo 9.2 que resulte aplicable, nunca podrá emplearse el consentimiento. Esto es así puesto que ese consentimiento requiere una alternativa para el caso de no consentir y, puesto que se recurre al consentimiento, esa alternativa, siempre equivalente en cuanto a resultado y no discriminatoria ni más costosa, sí será menos intrusiva y hará innecesario el nuevo tratamiento aunque sea más eficiente o más fiable o más rápido.
¿Cuántos procesos automatizados pueden ser sustituidos por sus homólogos analógicos siguiendo este planteamiento? No se discute tampoco en la resolución si las medidas de seguridad son suficientes o no, puesto que, según se indica, no se relacionan con la proporcionalidad del tratamiento ni suplirían su evaluación. Nos hemos atascado en la necesidad, así que, ¿deberíamos abandonar todo tratamiento automatizado que antes se hiciese de forma manual porque no es necesario y de entrada plantea más riesgos puesto que no se deben tener en cuenta en este momento las medidas de seguridad?
Pero obviando esta duda existencial, ¿no se dice del derecho a la protección de datos que es el derecho a la autodeterminación informativa?, ¿por qué se desplaza entonces el consentimiento del interesado? Desde el momento en que el interesado está dispuesto a consentir un tratamiento, este se hace necesario para satisfacer la voluntad del propio interesado, para reconocer su capacidad de decidir sobre el tratamiento de sus datos. ¿No debería analizar la AEPD si ese consentimiento es libre, si las alternativas ofrecidas son realmente equivalentes, si la información facilitada es suficientemente transparente y si esta permite al interesado valorar los riesgos en lugar de impedir que el interesado pueda siquiera plantearse su decisión?, ¿no debería ser más relevante la seguridad del sistema empleado para determinar si ese consentimiento puede tener con una probabilidad alta efectos no deseados para quien lo da? Sin embargo, las autoridades de control nos tutelan como personas incapaces de tomar tal decisión cortando de raíz la posibilidad de que nos sea ofrecido el tratamiento basándose en que hay una alternativa menos intrusiva.
Esperemos que con algo más de tiempo las autoridades de control recapaciten, supervisen que los tratamientos se adecúan a la normativa y nos dejen tomar nuestras propias decisiones. Aun así, esto no afectaría a la aplicación estricta del principio de necesidad a la gran cantidad de tratamientos sobre los que los interesados no podemos consentir.

La directiva de la Agencia Española de Protección de Datos (AEPD) se renueva
Febrero 2025
Tras años de interinidad de su anterior directora y un convulso proceso de selección plagado de errores y suspicacias Lorenzo Cotino Hueso y Francisco Pérez Bes, han sido nombrados presidente y adjunto, respectivamente, mediante real decreto después de haber sido ratificados por el Congreso.
El nombramiento se ha realizado tras una evaluación de su mérito, capacidad, competencia e idoneidad por parte de un comité de selección de acuerdo con el artículo 48 del Reglamento General de Protección de Datos (RGPD).
Lorenzo Cotino Hueso es Catedrático de Derecho Constitucional por la Universitat de Valencia. Además de en protección de datos y transparencia, cuenta con amplia experiencia en inteligencia artificial, al haber participado en actividades de consultoría para la Administración relacionadas con el cumplimiento del Reglamento de IA y la preparación de un sandbox de IA en España. Desde 2020 ha sido director de privacidad de OdiseIA, el Observatorio del Impacto Ético y Social de la Inteligencia Artificial.
Francisco Pérez Bes ha sido secretario general y delegado de protección de datos del Instituto Nacional de Ciberseguridad de España (INCIBE) entre 2014 y 2019. Cuanta con una amplia formación jurídica y tiene experiencia directiva en distintas empresas y entidades vinculadas al ámbito legal.
Tanto la inteligencia artificial como la ciberseguridad son retos a los que se va a enfrentar la AEPD, por lo que además del bagaje en protección de datos es destacable la experiencia y reconocimiento de uno y otro en estas materias, lo que favorecerá su necesario análisis desde el punto de vista de la protección de datos personales y un diálogo proactivo con las autoridades competentes en estas materias, que más pronto que tarde irán colonizando y desplazando cualquier ámbito del tratamiento de datos personales.
Los mandatos del presidente y del adjunto de la AEPD tienen una duración de cinco años y pueden ser renovados por otro período de igual duración. Desde aquí les deseamos lo mejor durante su nueva andadura profesional y esperamos la lectura con nuevos ojos de algunas de las decisiones más polémicas de la AEPD para encontrar un adecuado equilibrio con las necesidades de los interesados.

La mediación como alternativa para agilizar la resolución de reclamaciones en protección de datos
Noviembre 2024
El 17 de diciembre entrará en vigor el código de conducta promovido por un conjunto de empresas del sector de las comunicaciones electrónicas para permitir a los interesados resolver de manera eficaz aquellas controversias que pudieran surgir en relación con las actividades de tratamiento en el marco de los servicios prestados por las entidades adheridas.
En el año 2018 se creó un sistema alternativo de resolución de conflictos para el sector de las telecomunicaciones a través de AUTOCONTROL, organismo independiente de autorregulación de la industria publicitaria en España, mediante la firma de un protocolo entre esta entidad y los principales grupos de operadores de telecomunicaciones del mercado. Lo que se quiere dando este paso es adaptar el protocolo a los requisitos establecidos en el Reglamento General de Protección de Datos a los códigos de conducta, de forma que, una vez aprobado por la autoridad de control, la adhesión al mismo permita acreditar el cumplimiento de las obligaciones en protección de datos en relación con las materias reguladas en el mismo.
Es un sistema gratuito que trata de atender a las reclamaciones más habituales en el sector y que son citadas en el propio documento, entre otras, tratamientos de datos realizados sin base de legitimación, ejercicios de derechos no atendidos, inserción indebida en sistemas de información crediticia o contratación fraudulenta.
Las reclamaciones que se sustancien a través de este sistema por los interesado serán tramitadas a través de la Unidad de Mediación de AUTOCONTROL. No admitirá las reclamaciones cuando hayan transcurrido más de doce meses desde que el solicitante tuvo conocimiento de los hechos; que versen sobre cuestiones ya resueltas en un procedimiento judicial o administrativo; o las que tengan por objeto el pago de una compensación o indemnización de cualquier naturaleza.
Una vez admitida a trámite la reclamación, siempre que cumpla todos los requisitos necesarios, el procedimiento tendrá una duración máxima de treinta días, salvo que el operador solicite motivadamente ampliar el plazo, que en ningún caso podrá extenderse más allá de tres meses.
Si transcurrido el plazo no se llegase a un acuerdo se dará traslado al Jurado de la Publicidad, organismo de supervisión del código de conducta, salvo que el operador no lo aceptase, en cuyo caso se dará por finalizado el proceso. Las propuestas de la Unidad de Mediación de AUTOCONTROL no serán vinculantes. Sí lo serán, en cambio, para las entidades adheridas, el acuerdo alcanzado en la mediación, así como, en su caso, las resoluciones firmes del Jurado.
Cuando las reclamaciones se formulen directa y previamente ante la Agencia Española de Protección de Datos, ésta podrá remitírselas a la Unidad de Mediación, en su condición de organismo encargado de la resolución extrajudicial de conflictos, que una vez verificados los requisitos iniciará el procedimiento. Su duración máxima en este caso será de 27 días, informando a la Agencia del acuerdo que se adopte.
Las resoluciones del Jurado se harán públicas por AUTOCONTROL.
Las sanciones en caso de incumplimiento por parte de las entidades adheridas van, en atención a la gravedad de la infracción, desde la amonestación, privada o pública, a la suspensión temporal o incluso la expulsión del código.

La Directora de la Agencia Española de Protección de Datos cesa como titular de este organismo
Diciembre 2024
El cese de la directora de la AEPD, funcionaria del Cuerpo Superior de Administradores Civiles del Estado, coincide con su solicitud de jubilación voluntaria en la Administración. Mar España asumió la dirección de la AEPD en julio de 2015 con un mandato inicial de cuatro años, prolongándose en funciones una vez finalizado este periodo.
Durante su mandato la AEPD se ha enfrentado a grandes retos derivados especialmente de la aplicación del Reglamento General de Protección de Datos y de los continuos avances tecnológicos que están suponiendo enormes desafíos. En los últimos años la atención de la AEPD se ha enfocado de manera prioritaria en la protección de los colectivos más vulnerables, como la infancia y la adolescencia, en la convicción de que es la mejor forma de construir y garantizar su futuro.
Hasta el momento en el que se produzca el nombramiento de la persona titular de la nueva presidencia, la Agencia continuará ejerciendo las competencias que le son propias de acuerdo con lo dispuesto en el Reglamento General de Protección de Datos y en la Ley Orgánica de Protección de Datos y garantía de derechos digitales, cuyo artículo 48.2 regula los supuestos de vacante de sus órganos superiores.
Previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos, el Consejo de Ministros ha propuesto a los catedráticos de derecho constitucional Lorenzo Cotino Hueso y Antonio Troncoso Reigada como presidente y adjunto de la AEPD, respectivamente, que deberá ser remitida al Congreso de los Diputados y ratificada por la Comisión de Justicia.

Hacia un uso responsable de la Inteligencia Artificial

Agosto 2024

El 1 de agosto ha entrado en vigor el Reglamento Europeo de Inteligencia Artificial (IA).
El Reglamento busca establecer un marco jurídico homogéneo dentro de la Unión Europea a través de unas normas armonizadas en materia de IA para impulsar su desarrollo, utilización y adopción en el mercado interior. Se trata de promover la adopción de una inteligencia artificial centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales sin dejar de lado el apoyo a la innovación.
Se ha puesto especial interés a la hora de elaborar la norma en la definición de «sistema de IA», de forma que se armonice con los trabajos de organizaciones internacionales que se ocupan de la IA y garantizar la seguridad jurídica, la convergencia a nivel internacional y una amplia aceptación.
El enfoque de la regulación está basado en el riesgo, distinguiendo distintos niveles con diferentes consecuencias:
• Riesgo mínimo: la mayoría de los sistemas de IA, como los sistemas de recomendación basados en IA y los filtros de correo no deseado.
• Riesgo específico de transparencia: sistemas como chatbots; sistemas de generación de contenido sintético de audio, imagen, vídeo o texto; ultrasuplantación; sistemas de reconocimiento de emociones o de categorización biométrica que pueden confundir o ser utilizados sin conocimiento de las personas.
• Riesgo alto: por ejemplo, los sistemas de IA utilizados para la contratación o para evaluar si alguien tiene derecho a obtener un préstamo o a gestionar robots autónomos.
• Riesgo inaceptable: se establecen una serie de prácticas prohibidas cuando se consideren una clara amenaza para los derechos fundamentales de las personas.
Los primeros no están sujetos a ninguna obligación exigida en el Reglamento, pero las empresas pueden adoptar voluntariamente códigos de conducta. El segundo grupo requiere información al interesado sobre el funcionamiento del sistema, que sepa que está interactuando con una máquina o el etiquetado de contenidos generados por IA.
Los sistemas de IA considerados de alto riesgo están obligados a cumplir requisitos estrictos, incluidos los sistemas de reducción del riesgo, la alta calidad de los conjuntos de datos, el registro de la actividad, la documentación detallada, una información clara para el usuario, la supervisión humana y un alto nivel de solidez, precisión y ciberseguridad.
En cuanto al riesgo inaceptable se refiere a sistemas o aplicaciones de IA que manipulan el comportamiento humano mediante técnicas subliminales o explotando alguna vulnerabilidad de las personas para que actúen en contra de su voluntad; los sistemas que permiten la «puntuación ciudadana» por parte de gobiernos o empresas; la creación o ampliación de bases de datos de reconocimiento facial con imágenes extraídas de internet o circuitos cerrados de televisión; determinadas aplicaciones que permiten las predicción de la comisión de delitos basándose en perfiles o rasgos de la personalidad. Además, se prohibirán los sistemas de reconocimiento de emociones utilizados en el lugar de trabajo o centros educativos y algunos sistemas biométricos para categorizar a las personas o la identificación biométrica remota en tiempo real en espacios de acceso público. Esta prohibición cuenta con excepciones en algunos casos.
El Reglamento obliga a los Estados miembros a la creación de una serie de órganos de gobierno encargados de la supervisión de su cumplimiento y un régimen sancionador con cuantías basadas en el volumen de negocios de la empresa y que permite la imposición de cuantías proporcionadas en el caso de pymes.

Un análisis sobre el tratamiento de los neurodatos

Septiembre 2024

La Agencia Española del Protección de Datos (AEAT) y el Supervisor Europeo de Protección han publicado un documento conjunto que aborda el tema del tratamiento de neurodatos en la medida en que suelen recogerse de personas identificadas o identificables (las ondas cerebrales son únicas para cada individuo) y, por tanto, son datos de carácter personal. 

El documento tiene en cuenta no solo la información que se recoge del cerebro y del sistema nervioso, sino también las inferencias basadas en esos datos, como señales emocionales y gustos.
La Carta de los Derechos Fundamentales de la Unión Europea ya reconoce expresamente el derecho fundamental a la integridad mental (artículo 3), como una de las expresiones del derecho fundamental a la dignidad humana (artículo 1), y distintas declaraciones y normas reconocen la trascendencia y los riesgos de las neurotecnologías y en algunos casos recogen explícitamente los cinco neuroderechos formulados:
1. Libertad cognitiva. La libertad de una persona para decidir si su actividad cerebral y sus procesos mentales pueden ser registrados y/o modulados o no.
2. Privacidad mental. La libertad y la capacidad de una persona para ocultar su información mental y evitar la intrusión no consentida en su dominio cognitivo.
3. Integridad mental. La prohibición de la modulación no consentida o dañina de la actividad cerebral de una persona (por ejemplo, «brain hacking»).
4. Continuidad psicológica. El derecho a preservar la propia identidad personal y la continuidad de la vida mental frente a alteraciones externas no consentidas por parte de terceros.
5. Acceso justo. El derecho de toda la población al acceso equitativo a los beneficios de las mejoras en la capacidad sensorial y mental a través de la neurotecnología.
El análisis se realiza en torno a las categorías de datos: relativos a la estructura del cerebro, a la función y actividad del cerebro o relacionados con el sistema nervioso periférico, y a la finalidad de los tratamientos: tratamientos que permiten el conocimiento directo o predicciones sobre distintos aspectos de las personas, que permiten controlar una aplicación o dispositivo, que permiten la estimulación o modulación del sujeto.
El documento recoge tres casos de uso relacionados con las finalidades indicadas y repasa los retos en cuento a la gestión de las amenazas a los derechos y libertades de las personas, así como relacionados con el respecto al cumplimiento de los principios aplicables al tratamiento de datos de carácter personal.
Concluye indicando que las neurotecnologías se ocupan de la actividad cerebral humana, donde residen nuestros pensamientos y sentimientos más íntimos. Plantean cuestiones cruciales desde una perspectiva filosófica, ética y jurídica, por lo que, antes de seguir avanzando, es crucial llevar a cabo un análisis en profundidad de los neurodatos y evaluar el impacto de su tratamiento en los derechos fundamentales, incluida la necesidad de crear nuevos derechos humanos, es decir, los neuroderechos.

Continúan en aumento las reclamaciones ante la AEPD
Marzo 2024
La Agencia Española de Protección de Datos (AEPD) ha presentado su Memoria anual en la que hace balance de las acciones llevadas a cabo a la largo del año 2023.
La AEPD destaca en nota de prensa el elevadísimo incremento de las reclamaciones presentadas. En 2023, el número ha sido de 21 590 reclamaciones, lo que supone un incremento de un 43 % respecto a 2022 y un 55 % más que en 2021. Esta situación pone de manifiesto que la magnitud de los datos personales objeto de tratamiento y la evolución constante de las tecnologías que se utilizan para su tratamiento evidencian un aumento cuantitativo y cualitativo de la preocupación de los ciudadanos.
Además, la Agencia pone en valor el sistema de los traslados, dado que la principal vía de resolución de reclamaciones durante el año anterior ha pasado por su traslado al responsable o encargado del tratamiento que, en un número significativo de casos, permite obtener una respuesta satisfactoria para el ciudadano en una media de tres meses.
Las reclamaciones planteadas con mayor frecuencia por los ciudadanos en 2023 corresponden a recepción de publicidad no deseada, servicios de internet, videovigilancia, comercio, transporte y hostelería, y las relacionadas con entidades financieras.
De mayor interés para los responsables y encargados del tratamiento es la información sobre la imposición de sanciones, cuyo importe ha ascendido a 29.817.410 euros. Pero especialmente relevantes son los criterios que se desgranan en los argumentos vertidos en las resoluciones y sobre todo los confirmados por los Tribunales.
En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia que resume en su Memoria, queremos resaltar la consideración que se hace de la tarjeta SIM de un teléfono como dato de carácter personal. La tarjeta SIM almacena el IMSI, que es el código de identificación en la red de comunicaciones móviles celulares y es fundamental para identificar al abonado. En cuanto alguien introduce la SIM en un terminal y lo enciende, el IMSI va a ser accedido e intercambiado con la red. También delimita la Sala en otra ocasión lo que se consideran familiares vinculados al fallecido a la hora de solicitar el acceso a su historia clínica, habiendo de entenderse tanto el cónyuge como los hermanos y los ascendientes y descendientes del primer grado, más no el resto de los familiares.
En cuanto a la jurisprudencia del Tribunal de Justicia de la Unión Europea, en sus sentencias analiza el contenido de la contestación al derecho de acceso para indicar que la información sobre a quiénes se han comunicado los datos personales solo puede referirse a categorías de destinatarios en el caso en que todavía no fuese posible identificarlos, en otro caso habrá que aportar su identidad real. Igualmente aclara que el derecho a obtener una copia de los datos personales no se refiere a una descripción de los datos, sino a un extracto documental o de bases de datos, o a documentos completos.
También es interesante el número de brechas de datos personales notificadas, que asciende a más de 2.000, de las que 16 se trasladaron a la Subdirección de Inspección de Datos por requerir una investigación en mayor profundidad. Además, en 30 de ellas se obligó al responsable a comunicar el hecho a los afectados.
Como una de sus iniciativas más innovadoras resalta el desarrollo de propuestas para garantizar el tratamiento de los neurodatos en el marco de la normativa reguladora del derecho fundamental a la protección de datos personales, ante la ausencia de una regulación específica sobre esta materia. La AEPD considera necesario promover el reconocimiento normativo de los cinco neuroderechos propuestos en el ámbito internacional: identidad personal, libre albedrío, privacidad mental, acceso equitativo y protección contra los sesgos.

Empresas, Administraciones Públicas y Colegios Profesionales podrán comprobar la inexistencia de antecedentes en el Registro Central de Delincuentes Sexuales y de Trata de Seres Humanos
Abril 2024
La Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, introduce una regulación específica en relación a la certificación negativa del Registro Central de Delincuentes Sexuales, ahora denominado Registro Central de Delincuentes Sexuales y de Trata de Seres Humanos, por la que quien pretenda el acceso y ejercicio de cualesquiera profesiones, oficios y actividades que impliquen contacto habitual con personas menores de edad, debe acreditar mediante la aportación de una certificación negativa del Registro el no haber sido condenado por sentencia firme por cualquier delito contra la libertad e indemnidad sexuales tipificados en el título VIII de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, así como por cualquier delito de trata de seres humanos tipificado en el título VII bis del Código Penal.
Hasta ahora, las empresas y Administraciones Públicas que diesen ocupación o tramitasen un procedimiento para acceder a dichas profesiones debían solicitar a los interesados la certificación, puesto que eran estos los que podían a su vez solicitarla al Registro. Esto llevaba a la situación de que el certificado era solicitado al principio de la relación profesional, si bien en el curso de la misma podía tener lugar la comisión de delitos de cuya existencia no eran conscientes las entidades, generándose un riesgo para las personas menores de edad.
El Real Decreto 407/2024, de 23 de abril, modifica el Real Decreto 1110/2015, de 11 de diciembre, por el que se regula el Registro para que siempre que no se trate de información reservada a Jueces y Tribunales, y previo consentimiento expreso de la persona interesada o de su representante, pueda informar de datos contenidos en el Registro a Administraciones Públicas y Colegios Profesionales, y emitir certificación negativa a solicitud de empresas y entidades, incluidas las de voluntariado.
Es necesario, por tanto, el consentimiento expreso del interesado, aunque la normativa exija realizar tal comprobación, dado que en caso de no contar con el consentimiento siempre puede expedirse a instancias de la persona interesada y ser aportado por ella.
Además, la consulta debe ser necesaria para la contratación o el ejercicio de la relación laboral o actividad o responder a un procedimiento para acceder a las profesiones, actividades u oficios mencionados o para su ejercicio. Hay que tener en cuenta que quedará constancia de la identidad del solicitante y que corresponde a la persona encargada del Registro realizar auditorías periódicas para verificar que los accesos producidos se corresponden con las finalidades previstas.
En todo caso es de aplicación la normativa de protección de datos, RGPD y LOPDGG, siendo la finalidad del tratamiento la de contribuir a la protección de las personas menores de edad contra la explotación y las agresiones sexuales.
Deberán las entidades analizar el tratamiento desde la perspectiva de dicha regulación y establecer protocolos para designar a la persona o personas encargadas de realizar las solicitudes, disponer la periodicidad de las consultas, recabar los consentimientos necesarios y determinar plazos adecuados de conservación.

¿Por qué el 11 de enero dejamos de poder rechazar gratuitamente las cookies en muchas páginas web?
Enero 2024
El 11 de enero nada cambió sobre la normativa de cookies ni las interpretaciones vertidas por las autoridades de control, sin embargo, como si todas las entidades se hubiesen puesto de acuerdo, aparecieron en muchas páginas web, especialmente de periódicos, revistas, noticias y artículos, un botón en el que nos daban la opción de rechazar las cookies pagando por el acceso. Hasta ese momento, aunque en la mayoría de casos no existía el botón de rechazar, sí podías llegar a alcanzarlo si pinchabas el de configuración y sorteabas las distintas trampas de posiciones y colores de los botones que a veces te llevaban por error a acabar aceptando todas las cookies.
¿Qué pasó entonces el 11 de enero? El pasado 11 de julio al Agencia Española de Protección de Datos (AEPD) publicó su tercera versión de la Guía sobre el uso de las cookies. Es cierto que, si ahora descargamos la Guía, veremos que tiene fecha de enero de 2024, pero esta actualización solo ha incorporado un anexo que remite a la Guía de uso de cookies para herramientas de medición de audiencia, que sí es una novedad de este mes.
Volvamos a la Guía de julio de 2023 y la adaptación que supuso a las Directrices sobre patrones engañosos publicadas por el Comité Europeo de Protección de Datos en febrero de 2023. Aunque el criterio mantenido por la AEPD era permitir la existencia de un botón de aceptación y otro de configuración en los banner que ofrecían a los usuarios y usuarias la posibilidad de gestionar su consentimiento a la instalación de cookies, con la nueva Guía se hace necesario contar al menos con un botón de aceptación y otro de rechazo que estén igualmente accesibles; es decir, ya no es posible disimular el botón de rechazo dejándolo para un momento posterior dentro de la configuración. Mientras había sido así, parece que la mayor parte de las personas debían aceptar las cookies quizá por la pereza de tener que dar algún paso más allá y aparentemente no llegó a generar más problemas.
Ante la obligación de instalar el botón de rechazo al mismo nivel que el de aceptación y quizá espoleados por el uso desde noviembre de 2023 de la opción pay or ok por parte de META, muchos proveedores de contenidos han recurrido a un párrafo de la Guía que ya figuraba en las Guías anteriores, pero al que se le han ido añadiendo requisitos actualización tras actualización. Actualmente, figura así: Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
Y ahora es cuando se resuelve el misterio: el 11 de enero se cumplieron los seis meses de periodo transitorio que la AEPD estableció para la adaptación a los nuevos criterios de la Guía, y quienes se encuentran en la situación de perder los ingresos obtenidos con la publicidad al exponerse a un rechazo masivo de la instalación de cookies con las nuevas facilidades han optado por compensar esa pérdida añadiendo a la opción del rechazo el consecuente pago o suscripción, puesto que no están obligados a ofrecer sus contenidos de forma gratuita. El reto está en determinar si realmente las alternativas son equivalentes y si la remuneración es adecuada o nos encaminamos a convertir la privacidad en un lujo reservado a los que puedan permitírselo. Mientras, esperamos el próximo pronunciamiento por parte del CEPD acerca de los modelos de consentimiento o pago.

La AEPD impide temporalmente a Worldcoin seguir tratando datos personales en España
Febrero 2024
Se trata de una medida cautelar que la AEPD puede imponer de acuerdo con el artículo 66.1 del RGPD. Excepcionalmente, cuando la autoridad de control considere que es urgente intervenir para proteger los derechos y las libertades de interesados puede adoptar este tipo de medidas por un periodo de validez no superior a tres meses.
Si bien, según indica la compañía, el objetivo de Worldcoin es altruista,  y pretende conseguir registrar el iris de toda la población mundial para evitar suplantaciones de identidad, lo cierto es que lleva a cabo el tratamiento de datos biométricos a cambio de los que ofrece criptomonedas como recompensa. El tratamiento de este tipo de datos conlleva elevados riesgos, y recientemente la propia AEPD, siguiendo las directrices del Comité Europeo de Protección de Datos ha endurecido su postura respecto al tratamiento de datos biométricos con fines de control de accesos y registro laboral, por lo que la preocupación por este tipo de actividades es consecuente con la línea de interpretación adoptada. Por otra parte, desde que Worldcoin empezó dichas actividades en España, la AEPD ha recibido varias reclamaciones denunciando, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento.
Por estos motivos ha exigido el cese en la recogida y tratamiento de categorías especiales de datos personales así como el bloqueo de los ya recopilados, para prevenir la posible cesión de datos a terceros y salvaguardar del derecho fundamental a la protección de datos personales.

Imagen de <a href="https://www.freepik.es/foto-gratis/reconocimiento-facial-collage-identificacion-personal_96363994.htm#query=escaner%20iris&position=2&from_view=keyword&track=ais&uuid=610a755a-587a-4400-a542-032a78541bb8">Freepik</a>

Novedades respecto a la gestión de las cookies

Julio 2023
La AEPD ha publicado una nueva guía de cookies para adaptar los criterios establecidos en guías anteriores a los últimos pronunciamientos del CEPD (Comité Europeo de Protección de Datos), concretamente el informe adoptado por el grupo de trabajo creado en el seno de este organismo para analizar los banners de cookies. Se trata nuevamente de orientaciones sobre cómo cumplir las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), aunque es necesario ser conscientes de la existencia de una propuesta de Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), que regulará la protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos, y que previsiblemente supondrá nuevos cambios.
No hay duda de que, a día de hoy, las cookies son herramientas que tienen un papel esencial para la prestación de numerosos servicios de la sociedad de la información que concentran la mayor inversión publicitaria, facilitan la navegación del usuario y ofrecen una publicidad basada en ocasiones en los hábitos de navegación.
La guía, como ya hacían versiones anteriores, recuerda que en caso de recabar datos personales a través de las cookies es necesario cumplir la normativa de protección de datos y repasa los tipos de cookies que se encuentran excluidas del cumplimiento de las obligaciones que recoge, aunque por transparencia recomienda informar de forma genérica sobre ellas.
Se describen los distintos tipos de cookies en atención a los criterios ya conocidos, especificando que en el caso de las cookies propias el responsable es el editor y en las de terceros una entidad distinta del editor. Cuando se describen las cookies de preferencias, se añaden más ejemplos de características que pueden ser seleccionadas por el usuario, además del idioma, como la moneda en las transacciones, el tamaño de la fuente o el contraste de color para mejorar la legibilidad, y se especifica que estas cookies pueden quedar exentas si dichas características han sido previamente seleccionadas incluso aunque no sean de sesión, pero siempre que no se utilicen para otros fines ni para elaborar un perfil del usuario.
El cambio más relevante en la guía es la obligatoriedad de incluir junto al botón de ACEPTAR un botón específico para RECHAZAR las cookies desde la primera capa informativa, mientras que en versiones anteriores era posible optar por este botón o uno que permitiese la configuración o simplemente un botón de aceptar siempre que se incluyese un enlace al panel de configuración. Ahora es necesario incluir las tres opciones en la primera capa informativa; así, se incluirá un botón o mecanismo equivalente, similar al de aceptación, con las palabras «Rechazar cookies», «Rechazar» o textos similares, para rechazar el uso de cookies (salvo aquellas que estén exentas de la obligación de obtener un consentimiento informado). La opción para rechazar las cookies deberá ofrecerse, por tanto, en la misma capa y al mismo nivel que la opción para aceptarlas y el mecanismo empleado al efecto (botón u otro) deberá ser similar, sin remitir al usuario a otra capa o lugar diferente para realizar esa acción. Como buena práctica, la posibilidad de configurar deberá evitarse si solo se usan un tipo de cookies y el usuario únicamente puede aceptarlas o rechazarlas.
La función que cumple cada mecanismo debe ser evidente para el usuario, y respetar lo siguiente:
• No se podrá dar al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.
• No se podrá empujar claramente al usuario a aceptar las cookies.
• El color o contraste del texto y los botones (o mecanismos equivalentes) no podrán ser obviamente engañosos para los usuarios, de forma que lleven a un consentimiento involuntario. No será válido, por ejemplo, que la opción para rechazar las cookies sea un botón con un texto que no contrasta lo suficiente con el color del botón y, por lo tanto, no pueda leerse.
Estas previsiones también se trasladan a los ejemplos que se incluyen en la guía para solicitar el consentimiento en el caso de menores de 14 años.
Por último, mencionar respecto a la transparencia que se recogen nuevamente las expresiones que no se consideran válidas, pero que resaltamos porque todavía aparecen frecuentemente en banners y políticas, como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación», o frases como «podemos utilizar sus datos personales para ofrecer servicios personalizados» para referirse a cookies publicitarias comportamentales. También deben evitarse términos como «puede», «podría», «algún», «a menudo», y «posible».

Nuevo marco de privacidad para las transferencias internacionales de datos de la UE a EE. UU.
Julio 2023
Desde que la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 16 de julio de 2020, conocida como Sentencia Schrems II, supuso la anulación del Escudo de Privacidad para las transferencias internacionales de datos personales a los EE.UU. debido a los problemas relacionados con las posibilidades de acceso a los datos por parte de las agencias norteamericanas y la falta de mecanismos para que los ciudadanos europeos pudieran reclamar el respeto a sus derechos, las relaciones entre las empresas que requerían llevar a cabo estas transferencias se habían complicado, debiendo recurrir a otros mecanismos de garantía regulados en el artículo 46 del RGPD que en muchos casos no conseguían solventar estos mismos problemas.
Esta situación ha llevado, en ocasiones, a que las entidades europeas se decantasen por servicios que garantizasen el alojamiento de los datos en servidores ubicados en la UE para evitar las dudas que provocaban la seguridad de este tipo de transferencias y la posibilidad de incumplir los requisitos necesarios para que fuesen acordes a la normativa.
La adopción de una nueva Decisión de Adecuación por parte de la Comisión Europea de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de los datos personales con arreglo al marco de privacidad de datos UE-EE.UU. viene a poner fin, quien sabe si temporalmente, a esta situación, al contener en su anexo el denominado EU-US Data Privacy Framework (DPF). Se trata, como en las ocasiones anteriores, de un sistema de autocertificación por el cual las empresas norteamericanas se comprometen al cumplimiento de unos principios en el tratamiento de datos personales acordes al nuevo marco de privacidad.
De esta forma, las transferencias internacionales de datos realizadas a partir del 10 de julio desde la UE a organizaciones de los EE. UU. incluidas en la «Data Privacy Framework List», mantenida y puesta a disposición del público por el Departamento de Comercio de los Estados Unidos se considera que cuentan con un nivel adecuado de protección y no tendrán que recurrir a otros sistemas de protección regulados en el mencionado artículo 46. La lista incluye a las entidades que mantienen activa la certificación bajo este nuevo marco de privacidad.
Sin embargo, estas garantías se deberán seguir empleando en el caso de que las entidades importadoras no se encuentren en la mencionada lista, si bien al evaluar la eficacia del instrumento de transferencia del artículo 46 del RGPD elegido (como las cláusulas contractuales tipo o las normas corporativas vinculantes), los exportadores de datos deberán tener en cuenta la evaluación realizada por la Comisión en la Decisión de Adecuación, y las salvaguardas ya adoptadas podrían facilitar su uso.
En cuanto a los mecanismos de recurso con los que cuentan con los interesados si consideran que la organización estadounidense en cuestión no cumple los requisitos de la Decisión de Adecuación, en primer lugar, se recomienda recurrir a la propia entidad estadounidense, tal y como se haría en el caso en que el tratamiento se realizase por una entidad de la UE. En el supuesto de violaciones cometidas por agencias de inteligencia norteamericanas, los interesados disponen de un mecanismo de reparación ante las autoridades estadounidenses competentes, al que pueden hacer presentando una reclamación ante su autoridad nacional de protección de datos. Dicha autoridad lo trasladará al Comité Europeo de Protección de Datos, que a su vez lo tramitará ante las autoridades pertinentes en EE. UU. La autoridad de protección de datos deberá, además, asegurarse de que el interesado recibe información sobre el procedimiento de tramitación y su resultado.
La primera revisión de la Decisión de Adecuación tendrá lugar un año después de su entrada en vigor para verificar si todos los elementos se han aplicado plenamente y son efectivos en la práctica, y deberá establecerse cuál será la periodicidad de las posteriores revisiones, que al menos se realizarán cada cuatro años.

Derecho de los usuarios a no recibir llamadas no solicitadas

Junio, 2023

La fecha y los motivos de una consulta a mis datos personales sí, la identidad de quien consulta, en principio, no

Junio, 2023

La APED ha publicado una circular en la que fija los criterios que aplicará en relación con el artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones (LGT).
Así, hasta el 29 de junio, fecha en la que entra en vigor la modificación operada en la ley, se podían recibir llamadas comerciales si el usuario no se había opuesto a ellas. A partir de esa fecha es necesario el consentimiento u otra base de legitimación de las previstas en el RGPD y son estos últimos casos los que trata de clarificar la circular.
Lo primero que se concreta es que resulta de aplicación a todos los responsables del tratamiento que realicen llamadas comerciales, con independencia del sector al que pertenezcan, al tratarse de una normativa referida a los derechos de los consumidores y usuarios.
También que la otra posible base de legitimación es la existencia de un interés legítimo, respecto al que ya se indicaba en la LGT que, dado su carácter excepcional, deberá ser objeto de interpretación restrictiva, descartando como base de legitimación la existencia previa de una relación contractual al no ser una finalidad necesaria para su ejecución.
En cuanto a las llamadas comerciales realizadas a números generados de forma aleatoria, estas sí, solo pueden realizarse con el consentimiento previo del usuario. La empresa no puede realizarlas basándose en su interés legítimo, ya que en este caso no es posible valorar la prevalencia sobre el derecho de los usuarios al no haber datos personales. También las llamadas automáticas realizadas sin intervención humana o mensajes de fax, puesto que quedan fuera del ámbito de aplicación de la circular.
Respecto al uso de los números que figuran en las guías de abonados también opera el consentimiento expreso del interesado, sin embargo, sí pueden emplearse los que figuren en las guías o en instrumentos similares de personas físicas que presten servicios en personas jurídicas o de empresarios individuales y de profesionales liberales si la oferta está dirigida a la empresa o relacionada con la actividad empresarial o profesional correspondiente tal y como establece el artículo 19 de la LOPDGDD.
En otro caso la empresa debe justificar su interés legítimo, para lo que se facilita la aplicación de los criterios de ponderación estableciendo una presunción por la que prevalece el interés legítimo del responsable siempre que el usuario hubiese tenido una relación previa con la empresa habiendo adquirido sus productos o servicios y, además, los productos ofrecidos por la empresa deben ser similares a los que se hubieran contratado con anterioridad, tal y como ya estaba regulado en la Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI) respecto al envío de comunicaciones comerciales por vía electrónica.
Esta posibilidad solo se refiere a las llamadas de la misma empresa con la que se hubiera tenido esa relación y no a otras entidades, aunque pertenezcan a su mismo grupo empresarial. Además, si la relación contractual ya no está en vigor y el usuario no ha realizado ninguna otra solicitud o interacción con la empresa durante el último año, no será aplicable la presunción al considerar que no existe expectativa razonable.
En todo caso estas circunstancias operan como presunción, pero esto no impide que la empresa documente su propia ponderación especificando los motivos por los que considera que sus intereses prevalecen sobre los derechos de los afectados, que deberá justificar ante la AEPD en caso de requerimiento.
La circular recuerda que en caso de aplicar esta base de legitimación es necesario realizar una consulta previa a los sistemas de exclusión publicitaria que pudieran afectar a su actuación para excluir a los interesados que hubiesen manifestado su oposición o negativa al mismo.
Además, deberá haberse informado al interesado del tratamiento y de su derecho de oposición a más tardar en la primera comunicación. Respecto al principio de transparencia se indican como garantías adicionales que al inicio de cada llamada, se informe sobre la identidad del empresario, y si procede, la identidad de la persona por cuenta de la cual se efectúa la llamada, la finalidad comercial de la misma y la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas comerciales no deseadas. Las llamadas pueden ser llamadas como evidencia.
También se menciona como garantía que cualquier manifestación inequívoca del usuario contraria a la recepción de dichas llamadas deba entenderse como revocación del consentimiento o, en su caso, ejercicio del derecho de oposición, debiendo atenderse inmediatamente.

El Tribunal de Justicia de la Unión Europea ha interpretado el artículo 15 del RGPD en este sentido, si bien deja un margen a la ponderación de derechos (Asunto C-579/21 (Pankki S) de 22 de junio de 2023).
El Tribunal de Justicia delimita los límites del derecho de acceso de un interesado que se plantean cuando la información se refiere a las personas que han accedido a sus datos y estas son empleadas del responsable del tratamiento.
Lo primero que se resuelve es que, aunque el tratamiento se realizó en el año 2013, antes del 25 de mayo de 2018, fecha en la que el RGPD empezó a ser aplicable, la solicitud de ejercicio del derecho de acceso fue posterior a esta fecha y al tratarse el contenido de este derecho de un aspecto procedimental que no afecta al tratamiento previamente desarrollado, es aplicable en los términos en que está recogido en el RGPD, norma de aplicación en el momento de la solicitud.
Argumenta a continuación respecto al derecho de acceso el Tribunal que este tiene por objeto garantizar, en favor del interesado, la transparencia de los modos de tratamiento de los datos personales, transparencia sin la cual este no podría apreciar la licitud del tratamiento de sus datos ni ejercer otros derechos que le son reconocidos.
Las consultas a datos personales constituyen un tratamiento y como tal confiere al interesado el derecho a que se le comunique la información relacionada con esas operaciones:
• La fecha de esas consultas permite confirmar que el tratamiento se ha desarrollado en un determinado momento, lo que puede ser necesario para verificar su licitud.
• El propio artículo 15 se refiere a los fines del tratamiento como parte de la información que debe ser facilitada, así que deberá especificarse también cuál era el motivo de las consultas.
• Si bien artículo 15 del RGPD indica que debe facilitarse información sobre los «destinatarios» de los datos, que los empleados del responsable del tratamiento no pueden considerarse destinatarios en el sentido especificado en dicho artículo cuando traten datos personales bajo la autoridad de dicho responsable y de conformidad con sus instrucciones.
• Facilitar el registro de accesos para cumplir con el requisito de entregar al interesado «una copia de los datos personales objeto de tratamiento», no sería posible al incluir la identidad de los empleados que han accedido a los datos, puesto que el ejercicio del derecho de acceso no debe afectar negativamente a los derechos y libertades de terceros.
Concluye el Tribunal diciendo que, aunque saber quiénes han accedido a los datos puede facilitar que el interesado verifique la licitud del tratamiento, también puede poner en riesgo los derechos y libertades de los trabajadores que han realizado los accesos. Esto no puede suponer una negativa a entregar toda la información, sí deberán facilitarse las fechas y motivos.
También puede darse el caso, en que conocer la identidad de las personas sea determinante para saber si el resto de la información (fechas y finalidades) es veraz y esto afecte a la licitud del tratamiento, y es en esos supuestos, y otros en que puedan plantearse dudas, cuando el Tribunal abre la mano hacia la ponderación de derechos, apelando finalmente al recurso ante la autoridad de control.

¿Hasta dónde llega la protección de datos de las personas jurídicas?

Mayo 2023

El hecho de que las personas jurídicas no estén contempladas en el ámbito de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) no significa que queden desamparadas, incluso tienen reconocido en nuestro ordenamiento jurídico el derecho al honor, pero no es posible tratar de retorcer la normativa para llegar a una solución que no es la pretendida por el legislador.
Así lo ha establecido el Tribunal Supremo en su Sentencia núm. 547/2023 de la Sala tercera de 4 de mayo de 2023 (rec.1200/2022). Todo parte de la solicitud de una periodista a la Departamento de Trabajo, Asuntos Sociales y Familias de la Generalitat de Cataluña, sobre sanciones impuestas a residencias para mayores ubicadas en Cataluña en un determinado periodo de tiempo comprendiendo, el nombre de cada residencia sancionada, el motivo de la sanción, el importe de la sanción y su fecha.
La negativa del citado Departamento a facilitar dicha información fue reclamada por la solicitante ante la Comisión de Garantía del Derecho de Acceso a la Información Pública (GAIP) que estimó parcialmente la reclamación. Ante dicha circunstancia una Fundación cuyos datos se encontraban en el listado que habría sido facilitado a la periodista recurrió ante el Tribunal de Justicia de Cataluña, que anuló parcialmente la resolución del GAIP en el sentido de que, de la información relativa a la sanción impuesta a la Fundación actora, se excluyese su identificación, es decir su nombre, la del establecimiento de que es titular y su ubicación geográfica, debiendo adoptarse adicionalmente las medidas necesarias para que, en caso de haberse facilitado dicha información, no se hiciese uso de la misma.
No se pudo llegar a esa conclusión sin obviar el conjunto normativo que regula la protección de datos de carácter personal, protección a la que se refiere el artículo 15.1 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, que prevé el consentimiento del afectado o la existencia de una norma con rango de ley cuando el acceso a la información pública incluyese datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor.
De esta forma la Sala fija la interpretación de los artículos 14.2 y 15.1 de la Ley 19/2013, 1.1, 1.2 y 4 del Reglamento (UE) 2016/679 y 1 y 27.2 de la Ley Orgánica 3/2018, estableciendo como doctrina que el límite al derecho de acceso a la información pública relacionada con sanciones administrativas que no conllevan la amonestación pública al infractor solo se refiere a las personas físicas sancionadas, con exclusión de las personas jurídicas.
Considera, por tanto, errónea la interpretación del TSJ de Cataluña que extiende la aplicación de la normativa de la protección de datos a las personas jurídicas, esto es, las considera titulares del derecho a la protección de datos, sin fundamento legal que lo permita.

Aumenta la duración máxima del procedimiento sancionador y otras novedades en la LOPDGG

Mayo 2023

El pasado 9 de mayo se publicó en el BOE una modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Por una parte, la publicación el 4 de marzo de una nueva corrección de errores del RPGD en el Diario Oficial de la Unión Europea había hecho necesario adaptar la norma española para que el apercibimiento pasase a ser considerado como una medida de naturaleza no sancionadora incluida entre los poderes correctivos de las autoridades de control. De esta forma, el apartado 2 del artículo 77 indica ahora que «la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido», y lo que antes eran sanciones se incluyen como procedimientos de apercibimiento a efectos de su publicidad en el artículo 50 de la ley.
Respecto a las relaciones de los interesados con la AEPD, se añade una disposición adicional por la que esta podrá establecer modelos de presentación de reclamaciones ante la misma en todos los ámbitos en los que tenga competencia, que se publicarán en el BOE y en su sede electrónica y serán de uso obligatorio para los interesados, independientemente de que estén obligados o no a relacionarse electrónicamente con las administraciones públicas, al cabo de un mes de su publicación.
Pero lo más relevante son las modificaciones introducidas en los plazos de tramitación de los procedimientos, ya que el plazo de las actuaciones previas de investigación aumenta de doce a dieciocho meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la AEPD actúe por propia iniciativa, y de nueve a doce meses el plazo en que se producirá la caducidad del procedimiento en caso de una posible vulneración de la normativa de protección de datos y por tanto el archivo de actuaciones.
También se especifican distintos supuestos en los que se pueda llegar al archivo de las actuaciones, por ejemplo, después de transcurrido el plazo de tres meses con el que cuenta la AEPD para notificar al reclamante la admisión o inadmisión a trámite de una reclamación sin que lo hubiese notificado, clarificando que el transcurso del plazo por sí mismo no excluye tal posibilidad. Esto es así puesto que podrían archivarse las actuaciones, incluso con posterioridad a la admisión a trámite, si el responsable o encargado del tratamiento demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable y no se hubiesen iniciado actuaciones previas de investigación u otro de los procedimientos regulados en la ley.
Por su parte, la notificación sobre la admisión a trámite podría remitir a un número de expediente previo y la dirección web donde se publicará la resolución correspondiente cuando los hechos de una nueva reclamación guarden identidad sustancial con los que sean objeto de unas actuaciones previas de investigación o de un procedimiento sancionador ya iniciado.
Y en cuando a su inadmisión, podría tener lugar si, como consecuencia de la remisión de la reclamación previa a la resolución sobre su admisión o inadmisión por la AEPD dirigida al responsable o al encargado del tratamiento, estos demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable.
Se favorecen además los mecanismos de mediación al incluir entre los destinatarios de esas actuaciones de remisión al organismo que asuma las funciones de resolución extrajudicial de conflictos a los efectos previstos en los artículos 37 y 38.2 de la ley.
Por último, otro punto que queremos resaltar es la introducción de la posibilidad de realizar actuaciones de investigación mediante sistemas digitales siempre que garanticen una transmisión y recepción seguras, así como la autoría, autenticidad e integridad de las evidencias que se recaben, como videoconferencia u otro medio similar.

El Tribunal Supremo se pronuncia sobre el uso de grabaciones con cámara oculta como prueba en un despido

Julio, 2022

El caso se refiere a la validez como prueba en el despido de una empleada del hogar de una grabación, donde se observa a la empleada manipulando y tratando de abrir sin éxito una caja fuerte, realizada con cámara oculta, dirigida a zona concreta del dormitorio de la vivienda y colocada a raíz de la constatación de un robo previamente denunciado a la Policía.
Insiste la Sentencia  en que se trata de examinar la validez probatoria de la videovigilancia efectuada en un juicio por despido, a la vista de la carga de la prueba que corresponde al empresario y la consiguiente necesidad de poder aportar medios pertinentes de prueba, y no de otras consecuencias que la conducta empresarial puede tener desde la perspectiva más amplia de la legislación de protección de datos en su conjunto.
No deja de ser, en todo caso significativo, ya que el derecho a la protección de datos personales es un derecho fundamental, si bien, como nos recuerda la Sentencia remitiéndose a lo indicado por el Tribunal Constitucional «el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los poderes públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución» (STC 292/2000). Es decir, una ponderación de la proporcionalidad de la medida adoptada puede excluir la vulneración de este derecho fundamental.
En este caso, la prueba se considera válida a pesar de la ausencia total de información, información que exige la normativa de protección de datos cuando se realiza un tratamiento de datos personales, como es el caso de la videovigilancia; si bien se llama la atención sobre las significadas diferencias entre un sistema de videovigilancia permanente y un sistema de videovigilancia instalado ad hoc ante la existencia de fundadas sospechas, considerando que mientras la obligación de información puede modularse en el segundo caso, resultaría difícilmente justificado y desproporcionado en el primero.
No cabe la aplicación en el supuesto al que se refiere la Sentencia de la excepción doméstica al no estar completamente desconectada en este caso de la actividad profesional, dado que la consecuencia directa del tratamiento es el despido de la trabajadora y la grabación se produce durante su jornada.
Sin embargo, se tiene en cuenta a efectos de la ponderación, en este caso, el alcance de la cantidad previamente sustraída (30.000 euros, además de monedas y billetes antiguos y algunas joyas); que la cámara únicamente enfocaba al armario en el que estaba instalada la caja fuerte, sin que lo hiciera sobre ningún otro punto de la habitación ni del hogar familiar; la gran vulnerabilidad de la empleadora; y el hecho de que no es fácil imaginar con qué otra prueba podrían acreditarse dichos incumplimiento y autoría, que la empleadora está obligada a probar en el juicio por despido.
Se plantea, en todo caso, que se trata de un supuesto excepcional y singular y que solo excepcionalmente se podrá prescindir del distintivo informativo. Además, se tiene en cuenta que el posible incumplimiento de la legislación de protección de datos tiene otras consecuencias y otras posibles protecciones, que no se agotan en el debate sobre la validez de la prueba de videovigilancia en un proceso por despido, pudiendo recurrir ante la AEPD o a otros medios del derecho civil, administrativo o penal para la protección de la vida privada en el contexto de la videovigilancia en el lugar de trabajo.

Alcance de la implantación de la figura del Delegado/a de Protección de Datos (DPD)
Septiembre, 2022
Según información publicada por la Agencia Española de Protección de Datos (AEPD), a 2 de septiembre de este año 95.736 entidades habían procedido a notificar la designación de un DPD. De esa cifra, solo 8.895 de esas notificaciones correspondían a entidades públicas, lo que resulta llamativo teniendo en cuenta que, de acuerdo con el artículo 37 del RGPD, las autoridades y organismos públicos tienen obligación de designar esta figura.
Otro dato interesante es que esos responsables del tratamiento son asesorados y supervisados por unos 11.000 DPD. Un reparto equitativo arrojaría un resultado de entre 8 y 9 entidades por cada DPD, lo que según el tamaño o la intensidad y complejidad de los tratamientos podría ser asequible. También hay que considerar el respaldo que pueda tener la función dentro de la estructura de la empresa o en un grupo de empresas: si adicionalmente existen comités, departamentos de privacidad o protección de datos, responsables en las distintas áreas, apoyo del área jurídica o técnica según los perfiles... Pero lo que resulta sorprendente es que algunos de ellos, incluso sin olvidar que la figura puede ser una persona jurídica con un nutrido equipo de profesionales detrás, están notificados como DPD de más de 5.000, 7.000 o incluso 12.000 responsables del tratamiento.
Esto lleva a pensar en la posible existencia del DPD fantasma, pero también en que es probable que muchas de esas notificaciones no correspondan a responsables del tratamiento con obligación de designar DPD y simplemente se realiza la notificación por una cuestión de imagen o porque responde a ofertas de «todo incluido» sin un análisis previo de las necesidades del responsable del tratamiento, y que puedan no estar sustentadas a la larga en un desarrollo suficiente de las funciones que el RGPD asigna al DPD. A estos efectos conviene recordar que, incluso aunque no sea obligatorio, el DPD designado debe cumplir con todas las funciones establecidas por la normativa.
Esta situación ha llevado a la AEPD a anunciar un cambio en su forma de actuar en adelante, lo que podría suponer el requerimiento en el curso de la tramitación de reclamaciones de los informes del DPD que sustenten las decisiones adoptadas por el responsable del tratamiento, pudiendo considerar como una agravante en caso de iniciarse un procedimiento sancionador el hecho de que el responsable del tratamiento se hubiese apartado de las recomendaciones del DPD.
También resulta curioso constatar el escaso éxito hasta la fecha del esquema de certificación de la AEPD para Delegados de Protección de Datos, respecto al que hay que tener en cuenta que existen otras certificaciones y que no es obligatorio estar certificado para ejercer funciones de DPD ni ser notificado como tal a la autoridad de control. De hecho el número de profesionales certificados se reducía en junio a 844. En todo caso se esperan nuevos cambios y mejoras en el esquema, y consideramos que estar en posesión de esta u otras certificaciones no deja de ser una garantía más que puede ayudar a los responsables del tratamiento a la hora de proceder a la designación de esta figura.

Nueva herramienta de ayuda para decidir si es necesaria la notificación de una brecha de seguridad

Octubre, 2022

La Agencia Española de Protección de Datos (AEPD) ya había desarrollado una herramienta similar con objeto de complementar la reflexión de los responsables del tratamiento o sus delegados de protección de datos a lo hora de decidir si es necesario comunicar una brecha de seguridad a los interesados.
Esta primera herramienta ya podía dar una idea de si era necesaria la notificación de la brecha a la AEPD, puesto que, en caso de arrojar como resultado que fuera preciso comunicarla a los interesados, significaba que el nivel de riesgo para los derechos y libertades de las personas, al ser alto, ya superaba el requerido para realizar la notificación a la AEPD. Sin embargo, en caso de no ser así, esto no excluía necesariamente la notificación a la autoridad de control, que aplica en caso de existir un riesgo probable.
El Reglamento General de Protección de Datos establece la obligación que tienen los responsables que tratan datos personales de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que hayan tenido constancia de la misma, salvo que sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas.
La herramienta es útil, por tanto, para los responsables, encargados o personas que les asesoran, especialmente teniendo en cuenta el breve plazo con que se cuenta para realizar la notificación. Pero también para la propia autoridad de control, puesto que puede ver reducido el volumen de comunicaciones recibidas que eran innecesarias y que pueden responder a un exceso de celo de los responsables al preferir, ante la duda, realizar la notificación a exponerse a una sanción adicional por no hacerlo. La AEPD estima un número aproximado de 1500 notificaciones recibidas al año, que deben ser valoradas por su personal, por lo que es conveniente evitar en lo posible dedicar recursos a tareas .
La herramienta es gratuita y no graba la información que los responsables vuelcan en ella, por lo que su uso en ningún caso va a comportar requerimiento alguno por parte de la AEPD.
La AEPD además advierte de que, en el caso de que una persona responsable utilice Asesora Brecha y arroje como resultado que debe notificar la brecha de datos a la autoridad de control, deberá hacerlo sin dilación indebida. Sin embargo, el que la herramienta arroje un resultado negativo no excluye sin más la responsabilidad del notificante, puesto que se trata de una ayuda y en última instancia es el responsable del tratamiento el que debe tomar la decisión valorando todos los elementos a su alcance para determinar el riesgo.

La actuación de las asociaciones en defensa de los consumidores en el marco del RGPD
Abril, 2022
El Tribunal de Justicia de la Unión Europea (Sentencia en el asunto C-319/20 Meta Platforms Ireland) se ha pronunciado sobre la posibilidad de que dichas asociaciones puedan ejercitar acciones con independencia de la vulneración concreta del derecho a la protección de los datos personales de un interesado y sin un mandato conferido a tal fin.
El Tribunal reconoce que, aunque el RGPD ha desarrollado una armonización de las legislaciones nacionales de los Estados miembros en materia de protección de datos, deja en algunas de sus disposiciones un margen de apreciación que les permite desarrollar normas complementarias siempre que no sean contrarias a los requisitos establecidos y a los objetivos del RGPD.
Una asociación en defensa de los consumidores está, por tanto, comprendida en el concepto de «entidad con legitimación activa» con arreglo al RGPD en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos de los consumidores. Reconoce el Tribunal que la infracción de normas relativas a la protección de los consumidores o a las prácticas comerciales desleales puede estar vinculada a la infracción de normas en materia de protección de datos personales.
Así, no es necesario para ejercer una acción de representación identificar, previamente y de forma individual, a la persona concretamente afectada por el tratamiento de datos o alegar una vulneración concreta de los derechos que confieren las normas en materia de protección de datos.
De esta forma, el Tribunal de Justicia no se opone a normas nacionales que contemplen el ejercicio de acciones de representación contra la vulneración de derechos conferidos por el RGPD en el marco de regulaciones en defensa de los consumidores o de lucha contra prácticas comerciales desleales o la prohibición del uso de condiciones generales nulas, en la medida en que las prácticas llevadas a cabo infringiendo dichas normas supongan un tratamiento de datos que pueda afectar a los derechos que el RGPD confiere a las personas físicas identificadas o identificables.

La AEPD publica una nueva guía dirigida a profesionales del sector sanitario
Junio, 2022
Aunque aclara que la guía está principalmente orientada a la actividad profesional a título individual de dichos profesionales también puede ser tenida en cuenta por aquellos que desarrollen su actividad en centros sanitarios.
Especialmente reseñable es que la Guía dedica una sección a determinar quién es el responsable del tratamiento en cada caso, ya que será el centro sanitario, en la medida en que decida sobre los datos que se recaban, fines y medios, independientemente de que las decisiones en materia sanitaria las tome el profesional, cuestión que muchas veces no queda suficientemente clara y es esencial para evitar problemas cuando llega el fin de la relación establecida entre las partes.
En todo caso hay que distinguir los supuestos en que el centro sanitario contrata la prestación de servicios de un profesional de aquellos en que este alquila un espacio para prestar por su cuenta los servicios haciendo uso de las instalaciones del centro. Incluso casos en los que se combinan ambas opciones requiriendo hacer una distinción entre los pacientes correspondientes a cada una de las partes.
No se descartan tampoco casos de corresponsabilidad en los que varios profesionales o un profesional y un centro sanitario sí comparten la determinación de los fines o los medios del tratamiento.
Dedica también la Guía un amplio apartado a las posibilidades de acceso a las historias clínicas, tanto a nivel interno (personal médico, administrativo, con funciones de control o auditoría) en el que se diferencia entre algunas finalidades (gestión asistencial, fines docentes, de investigación) como ante solicitudes de terceros (tribunales, autoridades sanitarias o administrativas).
Siempre es interesante en este tipo de guías revisar el apartado dedicado a situaciones específicas, en este caso relacionadas con la posible comunicación de datos a terceros, como la llamada a los pacientes en consulta, la información intercambiada en mostradores de admisión, la autenticación a la hora de cambiar o anular una cita, la atención telefónica cuando se solicitan datos de salud o el número de habitación, o la información que se puede incluir en un justificante a acompañantes de pacientes ingresados.
Esta iniciativa se suma a la publicación de un apartado específico dedicado a la salud en el menú de Áreas de actuación de su página web www.aepd.es.

La Audiencia Nacional remarca los límites a la prohibición del uso privado del email corporativo
Julio, 2022
En sentencia de 22 de julio de 2022 (SAN 3645/2022) la AN se pronuncia sobre si la notificación realizada de forma unilateral por una empresa a sus trabajadores relativa al uso de equipos informáticos y correos corporativos vulnera el art. 87.3 de la LO 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Tras años de jurisprudencia, con más o menos vaivenes, sobre la posibilidad de acceso por parte del empresario a equipos y correos electrónicos corporativos facilitados a los trabajadores para el desempeño de sus funciones y su uso de carácter privado por parte de estos, podíamos llegar a la conclusión de que la clave inicial estaba en la información facilitada a los trabajadores, lo que era determinante para valorar la existencia o no de una expectativa de privacidad por su parte, cuya eliminación completa solo podía conseguirse mediante una prohibición sin matices.
Aún con esto la cosa no es tan sencilla, ya que llegado el caso ya concreto de un despido derivado del abuso o cuya causa se hubiese detectado o corroborado a partir del mencionado acceso había que tener en cuenta, tal y como desglosaba el Tribunal Europeo de Derechos Humanos, una serie de factores:
a) el grado de intromisión del empresario;
b) la concurrencia de legítima razón empresarial justificativa de la monitorización;
c) la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo;
d) el destino dado por la empresa al resultado del control;
e) la previsión de garantías para el trabajador.
La Sentencia mencionada no entra a valorar el contenido de la comunicación más allá de que establece criterios de utilización de dispositivos digitales facilitados por la empresa a su personal, sino que falla que es contraria al artículo 87.3 de la LOPDGDD por no haber contado en su elaboración con la representación legal de los trabajadores (RLT) declarando la nulidad de la notificación.
Veremos las consecuencias que esto tiene en caso de despido y el peso que pueda tener la valoración del resto de factores si estas políticas llegasen a considerarse nulas en caso de que no habiendo contado con la RLT en su elaboración no se hubiese subsanado este requisito a raíz de la entrada en vigor de la LOPDGDD.
Lo que sí parece es que la participación de la RLT y la necesaria, por este motivo, revisión de los criterios previamente establecidos alejará más aún aquellas políticas rígidas basadas en la prohibición, en todo caso insuficientes cuando después de su aprobación y notificación se iban desdibujando al compás de los usos sociales y la ausencia real de control.

La protección de datos en el Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
Marzo, 2022
Con su aprobación se incorporará al Derecho español la Directiva (UE) 2019/1937, de 23 de octubre de 2019 en la que se concretan las directrices dirigidas a establecer en los Estados miembros normas comunes que aseguren la protección efectiva de aquellas personas que informan de infracciones del Derecho de la Unión Europea.
Considera la Directiva que la colaboración ciudadana a la hora de facilitar aquellas informaciones que puedan ayudar a la investigación y consiguiente persecución de conductas ilegales, ha de ser debidamente regulada y protegida, asentando en la sociedad la conciencia de que debe perseguirse a quienes quebrantan la ley, de que no se van a tolerar los amedrentamientos por parte de los infractores y que no deben consentirse ni silenciarse los incumplimientos. Para ello, se regula la creación de canales internos y externos de comunicación cuya configuración deberá satisfacer ciertas exigencias, entre ellas la confidencialidad.
En el ámbito privado estarán obligadas a configurar un sistema interno de información todas aquellas empresas que tengan más de cincuenta trabajadores. En los grupos de empresas será la sociedad dominante la que decida la organización de los canales de comunicación. Con relación al sector público, la ley ha extendido en toda su amplitud la obligación de contar con canales internos de informaciones. Además, se obliga a contar con un sistema interno de informaciones a todos los partidos políticos, sindicatos, organizaciones empresariales, así como a las fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación.
La ley procede también a la implementación de un canal externo cuya llevanza corresponde a la Autoridad Independiente de Protección del Informante con la posible implementación de canales equivalentes por parte de las comunidades autónomas con competencia limitada a su territorio.
Suponen por tanto estas obligaciones el tratamiento de datos de carácter personal sujetos al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), cuyo artículo 24 ya regulaba la creación y mantenimiento de sistemas de información internos. Sin embargo, se ve necesario completar dichas previsiones y extenderlas también a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y a los supuestos de revelación pública.
En cuanto a legitimación, como no podía ser de otra forma, la norma huye del consentimiento: cabe el cumplimiento de una obligación legal cuando sea obligatorio disponer de un sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos al amparo de la existencia de un interés público cuando no lo sea o el tratamiento se lleve a cabo en el ámbito de la revelación pública.
Algo que va a complicar la operativa actual es que los canales internos deberán contemplar la posibilidad de comunicación escrita, pero también verbal, por teléfono, mensajería de voz o reunión presencial, por lo que habrá que prever la posibilidad de grabar las comunicaciones realizadas por estos medios e informar adecuadamente a los interesados; y en caso de conservar la comunicación documentalmente mediante una transcripción ofrecer la posibilidad de comprobar, rectificar y aceptar mediante su firma la transcripción del mensaje. Además, deben compaginarse estas obligaciones con la posibilidad de presentar comunicaciones anónimas, ante las cuales se complica que los informantes puedan disfrutar, por ejemplo, de su derecho a recibir acuse de recibo, así como a que se les informe de las acciones u omisiones que se les atribuyen, y a ser oídos en cualquier momento, salvo que abandonasen o pusiesen en riesgo su anonimato.
Se añadirían dos elementos al contenido de la información dirigida al informante tal y como está regulado por la normativa de protección de datos: uno es que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros; y el otro, los canales externos de información a los que se puede dirigir ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea
No es una novedad que en el caso en que el canal sea gestionado por un tercero, este tendrá la consideración de encargado del tratamiento, si bien lo recomendable es que se mantenga en el ámbito de la gestión interna, para lo que habrá que establecer un adecuado equilibrio con la necesaria independencia con la que deberá contar.
Respecto al ejercicio de derechos, se contempla la existencia de motivos legítimos imperiosos que legitiman continuar el tratamiento en caso de que la persona investigada ejerza el derecho de oposición, y nunca será objeto del derecho de acceso a datos el de la identidad del informante. Además, se limita la posibilidad de comunicación de dicha identidad solo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma.
Se establece en el anteproyecto qué figuras tendrán acceso al sistema de comunicación interno, aunque deja abierta la posibilidad de añadir a otras personas cuando resulte necesario para la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Más llamativo resulta que se exija a las entidades obligadas a disponer de un sistema interno de comunicaciones, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, así como las que en su caso se constituyan, que cuenten con un delegado de protección de datos, cuya competencia abarcará no solo el sistema de información, sino también el resto de tratamientos de datos realizados por la entidad. En muchos casos se puede tratar de entidades privadas que hasta ahora no tenían dicha obligación, lo que previsiblemente supondrá nuevos quebraderos de cabeza en empresas de pequeño tamaño.

La AEPD aprueba el primer código de conducta sectorial desde la entrada en vigor del Reglamento de Protección de Datos
Febrero, 2022
La Agencia Española de Protección de Datos (AEPD) ha aprobado el «Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia» promovido por Farmaindustria.
Es el primero aprobado desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD). En él se regula cómo deben aplicar la normativa de protección de datos los promotores de estudios clínicos con medicamentos y las Organizaciones de investigación por contrato (CRO) que decidan adherirse al mismo.
Tanto el RGPD como la LOPDGDD realizan una importante apuesta por el establecimiento de sistemas de autorregulación que vengan a completar el contenido de sus disposiciones, adaptándolas a las especialidades de los tratamientos desarrollados por un determinado sector de actividad y completando así el régimen impuesto con carácter general por la citada normativa. Estos códigos constituyen un elemento de autorregulación voluntario, pero deben ser aprobados por la autoridad de control.
FARMAINDUSTRIA es la Asociación Nacional Empresarial de la Industria Farmacéutica establecida en España. Agrupa a más de un centenar de Laboratorios Asociados, que representan la práctica totalidad de las ventas de medicamentos de prescripción en España. Este nuevo código de Farmaindustria sustituye y adecúa el anterior de 2009 a la actual normativa y se espera que sirva para fortalecer la investigación clínica y la farmacovigilancia y solventar las dudas que plantea el tratamiento de datos de carácter personal en este entorno.
El objeto del Código de Conducta es establecer las reglas que rijan el tratamiento de datos personales de los sujetos de ensayos clínicos, pacientes y profesionales sanitarios que se lleve a cabo con ocasión de la realización de una investigación clínica, y en el cumplimiento de las obligaciones de farmacovigilancia establecidas en la normativa reguladora de los medicamentos.
En el código se clarifican en el ámbito de la investigación científica los roles de los distintos intervinientes en el tratamiento, especificando que el promotor de la investigación y el centro sanitario o investigador principal tendrán la condición de responsables de sus respectivos tratamientos, correspondiendo a cada uno de ellos las obligaciones derivadas de su actividad, sin que quepa apreciar la existencia de responsabilidad solidaria entre ellos por los incumplimientos que cometiera la otra parte. Además, se hace hincapié en la necesidad de separar la información de protección de datos de la información al paciente conforme a la normativa de ensayos clínicos, y se regula el tratamiento de datos por parte de promotores únicamente de datos codificados en la idea de que no es necesario en este caso el tratamiento de datos sin codificar.
En materia de farmacovigilancia, se mantiene la diferenciación entre el tratamiento de los datos personales identificativos y codificados. Se establece un protocolo uniforme de farmacovigilancia diferenciando los distintos canales a través de los cuales puede recibirse la notificación y el sujeto que la realice, incluyendo como novedad el supuesto en que la información referida a un acontecimiento adverso fuera conocida a través de las redes sociales.
El código de conducta establece el régimen de supervisión y control de sus disposiciones, incluyendo:
• La naturaleza, composición, estructura y funciones del Órgano de Gobierno del Código de Conducta (OGCC).
• El régimen sancionador aplicable a los adheridos al Código.
• El procedimiento de resolución extrajudicial de controversias, tanto cuando las mismas procedan de una reclamación de un afectado como cuando se inste la actuación del Órgano de Gobierno por la Agencia Española de Protección de Datos.

Renovación de cargos en la Agencia Española de Protección de Datos

Diciembre, 2021
Después del anuncio el pasado 21 de octubre de los candidatos propuestos por los principales partidos españoles para renovar los cargos de presidencia y adjuntía de la AEPD, surgió la polémica respecto a que no se había respetado el nuevo procedimiento recogido en el Estatuto de la AEDP aprobado por Real Decreto 389/2021, de 1 de junio, solo unos meses antes.
La actual directora de la AEPD permanece en funciones en dicho cargo desde julio de 2019, cuando finalizó el periodo de cuatro años para el que fue elegida, por lo que es urgente normalizar la situación del organismo para que se puedan afrontar con seguridad y garantías los nuevos retos que se plantean en protección de datos, en los que la participación de la AEPD es indispensable.
Ante la denuncia de diferentes colectivos, el mes pasado se publicó en el BOE la orden por la que se convoca el proceso selectivo para la designación de la Presidencia y de la Adjuntía a la Presidencia de la AEPD. De esta forma se inicia la vía para respetar los requisitos exigidos en dicha selección, que deberán permitir acreditar respecto a los candidatos y candidatas que se presenten que se trata de personas de reconocida competencia profesional, en particular en materia de protección de datos, sobre la base del mérito, la capacidad, la competencia y la idoneidad, entre los que se pueden recoger las capacidades legales de la persona candidata, la experiencia profesional, la capacidad de desarrollar el trabajo o los conocimientos técnicos, en particular referidos al ámbito de protección de datos.
Ya se ha hecho pública la lista de candidatos admitidos, así que solo nos queda esperar que se complete el proceso del que seguro saldrán elegidas las personas más adecuadas para los cargos.

Instrucción de la AEPD respecto a su función consultiva

Noviembre, 2021
La AEPD recibe constantes consultas por parte de interesados, responsables del tratamiento y profesionales de la privacidad que buscan aclarar diversos aspectos relacionados con el tratamiento de datos personales, tanto en cuento al ejercicio de sus derechos como al cumplimiento de la normativa en aspectos que pueden ser interpretables.
Transcurridos más de cinco años desde la entrada en vigor del RGPD, recordemos que hubo un margen de dos años hasta que fue de aplicación, la AEPD ha querido poner orden delimitando claramente el alcance de sus funciones en materia consultiva.
Por un lado se apoya en la intensa labor realizada estos años con la publicación de diferentes guías y herramientas que pueden ayudar a los responsables y profesionales de diversos sectores a la hora de adecuar diferentes tipos de tratamientos, y en el hecho de que sus funciones son fundamentalmente de supervisión, lo que hace que deba mantener una postura de imparcialidad incompatible con el asesoramiento individualizado y las consultas de carácter particular.
Por otro pone el foco en el principio de responsabilidad proactiva y la obligación de los responsables del tratamiento de adoptar las decisiones que consideren más adecuadas atendiendo a los riesgos que se puedan derivar del tratamiento para los derechos y libertades de los interesados, además de recurrir al asesoramiento y supervisión de los delegados de protección de datos cuando este sea necesario o recomendable.
Por último, la AEPD siempre ha seguido como criterio el no responder las consultas de despachos de abogados o consultores que se dedican precisamente a resolver este tipo de cuestiones para sus clientes.
De esta forma se establecen cuatro supuestos en que la AEPD puede ser consultada:
a) Se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria.
b) Se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos.
c) La AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva.
d) Se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
En todo caso la AEPD aclara que esto no afectará al normal funcionamiento y operatividad del canal específico de atención y consulta que tiene implantado para menores, que continuará prestando sus servicios en las condiciones en las que se viene realizando.

Principios básicos en protección de datos a la hora de implantar un canal de denuncia Octubre, 2021
Falta poco para que se cumpla el plazo para trasponer a nuestro ordenamiento jurídico la DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
El plazo dado por la norma a los Estados miembros finaliza el 17 de diciembre de 2021 y, aunque previsiblemente en el caso de España no se cumplirá, no hay duda de que más tarde o más temprano los canales de denuncia se convertirán en una herramienta indispensable para descubrir y prevenir este tipo de infracciones y proteger el bienestar de la sociedad.
La importancia de la protección de los denunciantes es clave para que estos mecanismos funcionen adecuadamente, pero no debemos olvidar que suponen un tratamiento de datos de carácter personal y, por tanto, junto al principio de la confidencialidad hay que tener en cuenta el resto de obligaciones que deben acompañar a todo tratamiento. La AEPD nos lo recuerda haciendo hincapié en los siguientes aspectos:
Informar a los trabajadores
Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.
Respetar el principio de proporcionalidad y limitación de la finalidad
Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.
Protección de los datos del denunciante
La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.
Limitación del acceso a la información
El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.
Conservación y eliminación de los datos
Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas  contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.
Derechos de protección de datos
Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.  El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.

Carta de derechos digitales, a la vanguardia internacional en la protección de los derechos de la ciudadanía

Julio, 2021

Ese es objetivo del Gobierno y con ese fin publica la Carta de derechos digitales sentando las bases de derechos novedosos relacionados con la inteligencia artificial o el uso de algoritmos. La Carta no tiene carácter normativo, sino que su objetivo es reconocer los nuevos retos de aplicación e interpretación que la adaptación de los derechos al entorno digital plantea y garantizar una digitalización humanista, que ponga a las personas en el centro.

Vivimos en una sociedad digital de cuyos entornos, dispositivos y servicios dependemos más cada día. En este contexto, no se trata necesariamente de descubrir derechos digitales pretendiendo que sean algo distinto de los derechos fundamentales ya reconocidos o de que las nuevas tecnologías y el ecosistema digital se erijan por definición en fuente de nuevos derechos, sino de perfilar los más relevantes en el entorno y los espacios digitales o describir derechos instrumentales o auxiliares de los primeros.

Los nuevos escenarios, contextos y conflictos a que da lugar la generalización en el uso de estas tecnologías deben resolverse mediante la adaptación de los derechos y la interpretación sistemática del ordenamiento jurídico. Además, resalta el documento en sus consideraciones previas que se trata de situaciones y escenarios que no se limitan a Internet.

Uno de los principios en los que se sientan las bases de la Carta es el cumplimiento normativo desde el diseño, que incorpora el análisis de la regulación aplicable vigente desde el inicio del proceso de desarrollo tecnológico.

la Carta incluye seis categorías principales de derechos: derechos de libertad; derechos de igualdad; derechos de participación y de conformación del espacio público; derechos del entorno laboral y empresarial; derechos digitales en entornos específicos y derechos de garantías y eficacias.

Además, nace con un triple objetivo: descriptivo, prospectivo y asertivo. Descriptivo de los contextos y escenarios digitales determinantes de conflictos entre los derechos, valores y bienes de siempre, pero que exigen nueva ponderación. Prospectivo al anticipar futuros escenarios que pueden ya predecirse. Asertivo en el sentido de revalidar y legitimar los principios, técnicas y políticas que, desde la cultura misma de los derechos fundamentales, deberían aplicarse en los entornos y espacios digitales presentes y futuros.

Con el precedente de los derechos digitales reconocidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el recientemente aprobado Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, la Carta se plantea además como un marco de referencia para la acción de los poderes públicos que nos permita desenvolvernos en el entorno digital aprovechando y desarrollando todas sus potencialidades y oportunidades y conjurando sus riesgos.

Nueva herramienta para identificar los factores de riesgo presentes en un tratamiento

Junio, 2021

Los responsables de tratamientos se enfrentan habitualmente a dificultades a la hora de determinar el nivel de riesgo de un tratamiento concreto, especialmente en el momento de valorar si es necesario o no realizar una evaluación de impacto relativa a la protección de datos. La AEPD ofrece una nueva ayuda EVALUA_RIESGO RGDP.

Se trata de una herramienta sencilla, fácil de utilizar, y en formato Excel. Si bien no incorpora todos los posibles factores de riesgo asociados a cualquier tratamiento, puesto que corresponde al responsable identificar los que son específicos del tratamiento que va a realizar para incorporarlos en la evaluación, sí incluye un catálogo amplio de factores relacionados con la finalidad, el ámbito, la naturaleza y el contexto del tratamiento, que nos puede ayudar para no olvidar elementos que deben ser tenidos en cuenta en la valoración global y que considerados de forma aislada podrían llevarnos a subestimar el riesgo.

Como resultado emite un informe con una evaluación mínima del riesgo intrínseco, que si es necesario debe ser ajustada por el responsable. Además, permite indicar el nivel de mitigación del riesgo una vez implantadas las medidas que el responsable ha decidido adoptar para obtener una valoración del riesgo residual. Por supuesto, esto no sustituye a la realización de un análisis de riesgos o una EIPD, pero sí constituye un apoyo.

Adicionalmente la AEPD ha publicado una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto que incorpora, manteniendo la línea ya iniciada en las guías anteriores elaboradas sobre estas mismas materias, las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, y sirve como recopilatorio de la experiencia acumulada en estos años desde la aplicación del RGPD.

Es de agradecer que se ponga el acento en esta nueva guía en la idea de que la gestión del riesgo para los derechos y libertades no está orientada a gestionar el riesgo para la organización derivado de un incumplimiento normativo, superando la distinción que realizaba en su primera guía de dos dimensiones de los riesgos para los derechos y libertades de las personas físicas, entre las que consideraba los riesgos asociados al cumplimiento de los requisitos regulatorios e incluso remitía al listado de cumplimiento normativo que tiene publicado en su página web. Actualmente, indica la guía que es una interpretación errónea entender el enfoque de riesgos del RGPD como una forma de reemplazar los requisitos de cumplimiento normativo mediante controles o medidas técnicas y organizativas.

Actualización de las cláusulas contractuales tipo

Junio, 2021

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Estas transferencias pueden realizarlas responsables y encargados del tratamiento sin autorización de la autoridad de control en determinados supuestos. Uno de ellos es contar con cláusulas tipo de protección de datos adoptadas por la Comisión.

La Comisión Europea ha publicado el pasado 4 de junio las nuevas cláusulas contractuales tipo, que además de sustituir a las anteriores adaptándolas al RGPD pretenden poder enmarcar un abanico de transferencias:

· de responsable a responsable (R-R);

· de responsable a encargado (R-E);

· de encargado a responsable (E-R) y

· de encargado a encargado (E-E).

Las nuevas cláusulas incorporan los principios de «accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II, que declaró la nulidad del Privacy Shield. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo.

También deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente. Las cláuslas contractuales vigentes hasta ahora quedarán derogadas a partir del 27 de septiembre de 2021, aunque los contratos celebrados con anterioridad con arreglo a dichas Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones del tratamiento que regulan no cambien y las garantías se sigan considerando adecuadas.

Decisiones de adecuación para las transferencias internacionales al Reino Unido

Junio, 2021

A raíz del Brexit todo un conjunto de relaciones entre la Unión Europea y el Reino Unido asentadas sobre la base de su pertenencia al club de los hasta entonces 28 países miembros debieron ser minuciosamente revisadas, entre ellas, los intercambios de datos, que de pronto adquirían la condición de transferencias internacionales de datos.

Desde ese momento los flujos de datos entre el Espacio Económico Europeo y el Reino Unido se han estado rigiendo por un régimen provisional incluido en el acuerdo comercial que estaba próximo a vencer.

No debemos olvidar que mientras ha sido parte de la UE, el Reino Unido ha estado sujeto a la normativa europea de protección de datos, la Directiva 95/46/CE inicialmente y el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 en el momento de la ruptura, por lo que el marco de principios y derechos en el que ambas partes han desarrollado sus relaciones no podía diferir mucho a pesar de esta. Sin embargo, esta situación no tiene por qué mantenerse necesariamente en el tiempo, por lo que además adecuar la situación jurídica de los intercambios al nuevo contexto, se prevé un seguimiento de la evolución jurídica del Reino Unido en adelante.

De esta forma, la Comisión Europea (CE) ha adoptado el 28 de junio dos decisiones de adecuación para las transferencias de datos personales a Reino Unido, con objeto de que la información pueda circular libremente como hasta ahora sin necesidad de otras garantías ni la autorización por parte de las autoridades de control.

Se trata de dos decisiones de adecuación: una al amparo del reglamento general de protección de datos y otra para la directiva sobre protección de datos en el ámbito penal.

Se incluye, además y por primera vez, la llamada «cláusula de extinción» en caso de futuras divergencias entre Bruselas y Londres, según ha expresado la Comisión. Esto supone que las decisiones expirarán automáticamente cuatro años después de su entrada en vigor y deberán ser renovadas, lo cual solo podrá suceder si el Reino Unido sigue garantizando un nivel adecuado de protección de datos. Aun así, durante los cuatro años, la Comisión podría intervenir en cualquier momento si el Reino Unido se desvía del nivel de protección actualmente vigente.

Se publica la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Mayo, 2021

Ya pocos lo recordarán, pero junto con el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), se publicó una directiva, la 2016/680, también de 27 de abril, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

Mientras que el RGPD era de aplicación directa, la directiva debía ser transpuesta a nuestro ordenamiento jurídico, sin embargo, se fueron superando los plazos con los que contaba España para informar sobre las medidas adoptadas para su transposición, así como los de requerimiento por parte de la Comisión exhortando a adoptar dichas medidas. Finalmente, unos días después de ser aprobado el proyecto de ley orgánica para su transposición, España fue condenada por no haber realizado la transposición ni informado sobre las medidas adoptadas para ello a 15.5 millones de euros a tanto alzado y una multa coercitiva diaria de 89.548,20 euros por cada día de retraso en la transposición.

La publicación de esta ley viene a poner fin a esta situación y regula la actuación de autoridades competentes, que quedan delimitadas en su artículo 4, respecto al tratamiento de datos personales con los citados fines, si bien si esas mismas autoridades realizan tratamientos de datos con otros fines quedan sujetas al RGPD.

Aunque la regulación transita de forma paralela por los mismos caminos que el RGPD, ya en sus principios podemos detectar dos diferencias sustanciales, puesto que no se hace referencia a la transparencia y el principio de seguridad vuelve a tener esa denominación, que da una idea más completa de todos sus componentes.

Su artículo 7 nos viene a recordar la necesaria colaboración que requiere este tipo de tratamientos y la falta de transparencia, de ahí la ausencia mencionada anteriormente, ante el interesado con el fin de evitar poner en riesgo la actividad investigadora. Por otra parte, al tratarse de un ámbito más acotado de tratamiento, a diferencia del RGPD, sí se establecen plazos concretos de conservación, así como periodicidad en la verificación de si la conservación sigue siendo procedente.

Otra especialidad respecto a la regulación general es la determinación de los colectivos que pueden resultar afectados: personas que se presume pueden haber cometido o colaborado en la comisión de una infracción, personas condenadas o sancionadas, víctimas o afectados y terceros involucrados; igualmente la distinción entre datos basados en hechos de aquellos que puedan ser apreciaciones personales.

Además de las previsibles especificidades en materia de ejercicio de derechos, los responsables cuentan como todos con la obligación de tener un registro de actividades de tratamiento, pero adicionalmente deben mantener registros de operaciones cuando se realicen en sistemas de tratamiento automatizados, al menos de las siguientes: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión, y en el caso de consulta y comunicación poder determinar quién ha hecho qué, cuándo y para quién.

En materia de seguridad se establece un marco más claro de medidas, siempre basadas en un análisis de riesgos previo, pero dirigidas a los siguientes controles: en el acceso a los equipamientos, los soportes de datos, el almacenamiento, los usuarios, el acceso a los datos, la transmisión, la introducción, el transporte, el restablecimiento, la fiabilidad e integridad. En todo caso el registro de operaciones se convierte en medida necesaria y clave de todo marco de seguridad.

El delegado de protección de datos, obligatorio salvo en el caso de tratamiento de datos con fines jurisdiccionales, cumple al igual que en el régimen general las necesarias funciones de asesoramiento y supervisión. Además se regula en qué casos y con qué condiciones pueden realizarse transferencias internacionales de datos, que en todo caso deberán tener como destinatarias otras autoridades competentes y para los fines regulados en la norma. Las sanciones, cuando son económicas, pueden alcanzar el millón de euros.

Además de introducir modificaciones en distintas normas, entre ellas la propia LOPDGDD, la ley incluye en la Sección 2 de su Capítulo II la regulación del tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad, hasta ahora recogido en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos, que completaría la nueva regulación en lo que no resulte contrario a su contenido.

¿Anonimización o seudonimización?

Abril, 2021

El RGPD nos trajo junto con nuevas obligaciones y derechos, nuevos conceptos, como la seudonimización. Antes de eso caminábamos de forma imprecisa entre términos como disociación o codificación que muchas veces se intentaban hacer pasar como anonimización en la idea de huir de la aplicación de la normativa.

A pesar de la claridad con la que el RGPD establece la distinción entre datos anonimizados y seudonimizados, para hacer caer definitivamente a estos últimos en las garras de la normativa, aún hay mucha confusión con estos conceptos y generalmente se cree que para anonimizar es suficiente con eliminar el nombre y apellidos de los interesados.

La AEPD ha publicado un documento en el que recoge de forma sencilla y directa 10 malentendidos relacionados con la anonimización que nos pueden ayudar a establecer una distinción clara y saber cuándo es de aplicación o no la normativa.

Cuestiones como que el cifrado no es anonimización o que esta no es permanente, dado que los recursos informáticos y las nuevas tecnologías disponibles para que se pueda lograr la reidentificación de datos van evolucionando, y datos que actualmente pueden ser considerados anónimos con técnicas que pueden estar por llegar pueden volver a ser identificables. También que la aplicación de sistemas utilizados por otros con éxito podrían no ser útiles si cambia el contexto o los datos a los que se refiere el tratamiento.

En definitiva, un documento interesante a tener en cuenta.

Nuevo portal web del CGPJ como autoridad de control en materia de protección de datos

Enero, 2021

El Consejo General del Poder Judicial es la autoridad de control en materia de protección de datos en los tratamientos jurisdiccionales. El artículo 236 nonies de la Ley Orgánica del Poder Judicial (LOPJ) así lo establece.

Para desarrollar las funciones que le corresponden, en 2017 se constituyó en el Consejo General del Poder Judicial el denominado Comité de Protección de Datos, integrado por tres vocales del órgano de gobierno de los jueces y representantes de los diferentes órganos técnicos del CGPJ.

Es decir, aunque equivocadamente presentásemos una reclamación relativa al tratamiento de datos personales por parte de un juzgado o tribunal ante la Agencia Española de Protección de Datos, esta daría traslado al CGPJ para su resolución.

Con ocasión de la celebración, el 28 de enero, del Día Europeo de la Protección de Datos, que se celebra para dar a conocer a los ciudadanos sus derechos y responsabilidades en materia de protección de datos y privacidad, el CGPJ ha lanzado su portal web como uno de los apartados a los que se puede acceder desde su sitio web:

https://www.poderjudicial.es/cgpj/es/Poder-Judicial/En-Portada/El-CGPJ-lanza-un-portal-web-como-autoridad-de-control-en-materia-de-proteccion-de-datos-en-los-tratamientos-jurisdiccionales

En este apartado podemos encontrar, normativa, formularios, preguntas frecuentes e informes y resoluciones del CGPJ.

La fecha elegida para su publicación conmemora además el Convenio número 108 del Consejo de Europa sobre protección de datos de carácter personal, que es el único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos. El Convenio 108 ha sido modificado a raíz de la entrada en aplicación del RGPD haciendo hincapié entre otras cosas en la necesidad de que las autoridades de supervisión no se limiten a ser instrumentos sancionadores, sino que participen activamente en la concienciación y formación en esta materia, lo que está en la línea del nuevo portal web del CGPJ.

Medidas que complementan las herramientas para realizar transferencias internacionales

Noviembre, 2020

A nadie se le escapa que el hecho de invalidar la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero mantener la validez de las Cláusulas Contractuales Tipo (CCT) si se utilizan con empresas ubicadas en EE. UU. puede ser un poco contradictorio, dados los motivos argumentados por el TJUE en la sentencia para invalidar el  Privacy Shield.

Esta situación difícilmente se va a solucionar con medidas adicionales establecidas contractualmente, pero debemos entender que hay más países en el mundo a los que exportar datos y, cuando lo hagamos, no nos debemos limitar a elegir la herramienta a utilizar, sino que es necesario que el exportador, con ayuda del importador, evalúe caso a caso si la ley o las prácticas en ese tercer país afectan a la efectividad no solo de las CCT sino de cualquiera de las herramientas escogidas de las establecidas en el artículo 46 del RGPD. Una evaluación negativa, a su vez, no significaría la suspensión inmediata del proyecto, sino que se abre la puerta a implementar medidas adicionales para alcanzar el nivel de protección requerido por la legislación europea, no necesariamente idéntico al de la UE, pero esencialmente equivalente.

El Comité Europeo de Protección de Datos (CEPD) consciente de la ardua tarea que esto supone ha publicado sus Recomendaciones 01/2020 sobre medidas complementarias a las herramientas de transferencia para asegurar el cumplimiento del nivel de protección de datos personales de la UE, que aún se encuentran en fase de consulta pública.

Para llevar a cabo este ejercicio, el CEPD sugiere que se den, por parte del exportador, una serie de pasos:

1.      Establecer un mapa de las transferencias internacionales que se realizan y verificar que son adecuadas, pertinentes y limitadas a lo necesario de acuerdo con el propósito de realizar la transferencia a ese país.

2.      Identificar la herramienta adecuada para cada una de la lista recogida en el capítulo V del RGPD.

3.      Evaluar si las leyes o prácticas en ese tercer país pueden afectar a la eficacia antes mencionada, afortunadamente, en el contexto de la transferencia.

4.      En el caso en que la evaluación revele que la legislación del tercer país puede afectar a la eficacia de las garantías, es necesario identificar y adoptar medidas adicionales, de las que el documento ofrece algunos ejemplos:

Medidas técnicas. Fundamentalmente el cifrado o la seudonimización de los datos.

Medidas contractuales, como la obligación de adoptar determinadas medidas técnicas o prohibirlas, o exigir transparencia.

Medidas organizativas, mediante la elaboración de políticas internas que definan responsabilidades, canales claros de comunicación o pautas sobre cómo actuar en el caso en que se realice una solicitud por parte de una autoridad pública.

5.      Adoptar las formalidades requeridas para implementar las medidas identificadas en función de la herramienta de las recogidas en el artículo 46 que estuviésemos utilizando para realizar la transferencia. Por ejemplo, podría ser necesaria una consulta a la autoridad de control.

 6.      Reevaluar en intervalos de tiempo adecuaos el nivel de protección alcanzado y si algún nuevo acontecimiento sobrevenido puede afectar al mismo.

Esto es solamente una ayuda, ya que el propio CEPD reconoce en la sentencia del TJUE el peso otorgado al principio de responsabilidad proactiva dejando sobre los hombros del exportador la evaluación y la decisión de seguir adelante, sin perjuicio de las capacidades de supervisión y consecuente suspensión de las transferencias por parte de las autoridades de control.

Cómo saber si debo comunicar una brecha de seguridad a los interesados

Octubre, 2020

En realidad lo que supone el auténtico quebradero de cabeza para las entidades es si se debe notificar una brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) y para ello podemos recurrir a las nociones que ofrece la Guía para la gestión y notificación de brechas de seguridad de la AEPD, que lógicamente no tiene todas las respuestas, pero da algunas pistas.

Toda brecha de seguridad que se comunique a los interesados deberá ser objeto de notificación a la AEPD antes o después, pero no viceversa. Habiendo notificado a la AEPD una brecha de seguridad incluso es posible que sea la propia Agencia la que exija al responsable del tratamiento que lo haga, y la diferencia entre hacerlo o no está en determinar si el riesgo probable que entraña la violación de seguridad es alto.

Para ello, la AEPD ha publicado una herramienta que nos ayuda a tomar esa decisión, ya que en función del riesgo, la comunicación a los interesados podría tener que realizarse a la mayor brevedad y por tanto antes de realizar la notificación a la AEPD, pero pueden surgirnos dudas y desde luego no es la imagen que cualquier entidad quiere dar a sus clientes, personal o colaboradores.

La herramienta nos pregunta, en primer lugar, el sector en el que opera el responsable del tratamiento, para que posteriormente indiquemos si el incidente ha sido accidental o intencionado, si ha sido interno o externo, y si es un ciberincidente.

La herramienta pregunta por las consecuencias del mismo y en qué grado se ven afectados los interesados, si ya se han materializado esas consecuencias o las posibilidades de que lo hagan. Se deben tener en cuenta los tipos de datos que se han visto afectados, así como los colectivos perjudicados (si son menores u otros colectivos especialmente vulnerables) y el volumen de personas a las que ha podido afectar.

Por último, solicita información sobre la fecha en que se ha detectado y en que se ha producido la incidencia, para pasar a indicar su recomendación sobre la comunicación o no de la brecha a los interesados.

Es posible que no dispongamos de toda la información necesaria, y de hecho la propia herramienta cuenta en muchos apartados con una opción de «Desconocido», pero utilizarla y dejar constancia de las respuestas facilitadas, además de actuar de acuerdo con la recomendación indicada, incluso aunque después se descubriese como desacertada, nos permite generar evidencias respecto al cumplimiento de la responsabilidad proactiva, y cualquier herramienta que ayude en ese sentido será bienvenida.

La AEPD actualiza su Guía sobre uso de las cookies

Agosto, 2020

Recientemente, la Agencia Española de Protección de Datos ha actualizado la Guía sobre el uso de las cookies a las Directrices sobre consentimiento revisadas por el Comité Europeo de Protección de Datos (CEPD) el pasado mes de mayo, estableciendo hasta el 31 de octubre como plazo para su implementación.

No es que hubiese sido seguida masivamente por los creadores de contenidos de las páginas web, porque es muy habitual seguir leyendo las frases que la guía ya consideraba en su primera versión de noviembre de 2019 que inducen a confusión o desvirtúan la claridad del mensaje, como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación», o «podemos utilizar sus datos personales para ofrecer servicios personalizados». También es habitual encontrar páginas que incluyen como modalidad de consentimiento un botón de aceptación simultáneamente a la posibilidad de seguir navegando.

Repasando las novedades de la guía, especialmente relevante es el cambio de criterio en cuanto al consentimiento. En su primera versión, la AEPD admitía como válido el consentimiento basado en la acción «seguir navegando». Para eso, el aviso debía insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pudiese existir seguridad de que no pasase desapercibido para el usuario. Añadía además la guía que podría considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no fuese la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio.

Todos los ejemplos incorporados ahora a la guía incluyen un botón de ACEPTAR y es que el CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. No se descartan, en todo caso, otras formas distintas a un botón del tipo ACEPTAR, pero acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario.  

Para que este tipo de acciones se consideren consentimiento, las condiciones en que se produzca la conducta deben ofrecer suficiente certeza de que este es informado e inequívoco y además debe poder probarse que dicha conducta se ha realizado. En todo caso se reafirma de forma más contundente que permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia.

La guía actualizada incluye un nuevo ejemplo sobre cómo solicitar en este contexto el consentimiento explícito del interesado en el caso de que se llegasen a tratar categorías especiales de datos, y rechaza los «muros de cookies» que, no ofreciendo una alternativa al consentimiento, supeditan a este el acceso a servicios y funcionalidades. En todo caso, las alternativas deberán ser equivalentes y no sería válido si el servicio lo ofrece una entidad ajena al editor.  

En cuanto a la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies, desaparece la referencia al software de navegación utilizado o el sistema operativo del terminal, y cuando se menciona la posibilidad de configurar el navegador como modalidad de obtención del consentimiento, aunque se mantiene que debe ser separado para cada finalidad e identificar al responsable del tratamiento, indica que a estos efectos es suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público. Aun así, este sistema no se considera válido como mecanismo único para que el usuario pueda denegar o revocar el consentimiento para el uso de cookies, sino que tiene que poder hacerlo desde la página web del editor o ser informado de las herramientas que empleen terceros con este fin en el caso en que sean estos quienes utilicen las cookies.

La toma de temperatura para detectar contagiados de la COVID-19

Julio, 2020

Se ha discutido mucho sobre el tratamiento de datos que consiste en la toma de temperatura para detectar posibles casos de COVID-19, pero no queremos entrar a valorar los mismos puntos que ya han sido tratados hasta la saciedad, sino aquellos que nos llaman especialmente la atención.

En primer lugar la idoneidad del tratamiento. No es solo que puede haber contagiados asintomáticos que por tanto nos van a pasar desapercibidos, que la fiebre puede no ser detectada si hemos tomado previamente un antipirético o que puede deberse a otras causas, en cuyo caso debería hacerse dicha valoración, que podría incluso tener la complejidad de un diagnóstico médico, simplemente para entrar en un supermercado o tomarte un café. Es verdad que, aun así, podría ser detectado algún caso y eso sería un éxito, pero ¿tiene sentido, teniendo en cuenta todo lo indicado, establecer en según qué casos medidas que pueden ser tomadas de forma individual por cada uno sin llegar a producirse tratamiento de datos? ¿Cuántos no nos tomamos la temperatura antes de salir de casa si vamos a un lugar en el que sabemos que nos van a tomar la temperatura? ¿Tiene todo esto sentido?

No hay duda en todo caso de que no deja de ser una medida que da cobertura a la posible detección de algún contagiado y que supone un lavado de cara a efectos de dar una buena imagen respecto a la adopción de medidas suficientes, motivo por el que, a pesar de las dudas y las objeciones, son tratamientos que se están realizando.

Otra cuestión que llama la atención son aquellos tratamientos que consisten en la toma de temperatura que no se consideran sujetos a la normativa de protección de datos por entenderse como tratamientos no automatizados que no están contenidos o destinados a ser incluidos en un fichero. A esta categoría de tratamientos se han incorporado aquellos realizados con un termómetro digital por una persona que se limiten simplemente a la toma y comprobación de la temperatura, sin que quede registrada en ningún sitio ni la temperatura ni el resultado de la misma, es decir, el acceso o no de la persona al recinto. No vamos a entrar en los motivos por los que los tratamientos realizados con este tipo de aparatos se consideran no automatizados, pero sí llama la atención que esta interpretación nos deje huérfanos de protección cuando la medida no deja de suponer el conocimiento por un tercero de información relacionada con nuestra salud y que además puede tener unas consecuencias ampliamente limitativas, se registre o no.

Sí se menciona que el que no sea de aplicación la normativa de protección de datos no excluye la plena vigencia del derecho a la intimidad, aunque si esta opción tuviese virtualidad no sería posible utilizar dicha medida en estos casos y mucho menos en aquellos amparados por el derecho a la protección de datos, precisamente por ser más intrusivos. Incluso adoptando las máximas precauciones en el momento de la medición de forma que otras personas distintas de aquella que realiza la misma no pudiesen tener conocimiento del hecho de que la temperatura es alta o sus consecuencias, solo poniéndose en la situación de algún caso que se ha mencionado, como la posibilidad de que una mujer con un sofoco tuviese que explicarle a otra persona cuya función es tomar la temperatura, sin necesidad de que sea sanitario, recordemos que estos tratamientos no se consideran sujetos a la normativa, que en realidad lo que pasa es que tiene la menopausia, difícilmente se puede pensar en ningún tipo de intimidad.

Vuelve la inseguridad jurídica a la hora de realizar transferencias internacionales  a EE. UU.

Julio, 2020

El TJUE ha invalidado la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero no la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.

El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la Unión Europea a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. Este mecanismo sustituía al anterior marco legal denominado Puerto Seguro (Safe Harbour), que fue igualmente invalidado por el Tribunal de Justicia en 2015.

Si se utiliza el Escudo de Privacidad, las empresas estadounidenses deben primero adscribirse a este marco en el registro a tal efecto del Departamento de Comercio de los EE. UU. y cumplir con las obligaciones establecidas en los Principios de Privacidad, cuyo cumplimiento debe ser garantizado por dicho Departamento.

Los motivos por los que nuevamente se pone en cuestión el mecanismo adoptado son, por una parte, que los programas de vigilancia basados en la normativa interna de los Estados Unidos relativa al acceso y utilización por las autoridades estadounidenses de los datos transferidos desde la Unión no se limitan a lo estrictamente necesario, y que si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.

Añade, además, que el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo como la existencia de normas que le faculten para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

La reclamación de un usuario de Facebook austriaco que no quería que sus datos fuesen transferidos por la compañía desde Irlanda a servidores ubicados en Estados Unidos ha dado un vuelco a multitud de operaciones que se venían realizando amparadas por dicho mecanismo. Actualmente, hay 5.378 organizaciones adscritas cuyos datos se puede consultar en la Privacy Shield List.

Aquellas transferencias que puedan redirigirse a la formalización de cláusulas contractuales tipo podrán seguir realizándose, pero especialmente preocupante es el uso de aplicaciones gratuitas o de bajo coste por parte de multitud de pequeñas empresas que deberán replantearse su uso, lo que en todo caso puede redundar en beneficio de aquellas compañías que hayan apostado por ofrecer sus servicios desde servidores ubicados en la Unión Europea. Mientras tanto, la Unión Europea se ha comprometido en trabajar junto con Estados Unidos para desarrollar un mecanismo más fuerte y duradero, pero esta situación vuelve a sumir a muchas empresas en las oscuras aguas de la inseguridad jurídica.

Lucir anticuerpos de la COVID-19 en el currículum

Junio, 2020

No es algo que pueda impedirse, igual que cada uno publica en sus redes sociales la información que considere, valorando o no los riesgos que esto supone para sus derechos y libertades.

Indica la AEPD en un reciente comunicado que no debe reflejarse, haciendo alusión a que la entidad destinataria no podría tener en cuenta esa información y que podría llegar a tener que destruir el currículum en caso de no ser posible eliminarla, lo que a la larga sería contraproducente para el candidato, que no sería considerado en el proceso selectivo.

Independientemente de lo que decida hacer el candidato, el comunicado transmite un mensaje contundente a los empleadores: dicha información no podrá influir en la decisión que finalmente se adopte.

No hay legitimación suficiente para hacerlo, por un lado porque se considera que la solicitud de ese concreto dato de salud no es necesaria para la ejecución o formalización de un contrato, excluyendo la posible aplicación del artículo 6.1.b) del RGPD; por otro porque la otra posible legitimación basada en el consentimiento del artículo 6.1.a) no gozaría de uno de sus componentes esenciales al no ser libremente prestado, puesto que el interesado no puede otorgarlo o retirarlo sin sufrir perjuicio, existiendo un claro desequilibrio entre las partes.

Esto se puede decir igualmente de la excepción prevista en el artículo 9.2 del RGPD respecto a la prohibición del tratamiento de datos de salud.

El tratamiento, además, excedería

del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, al no tener los candidatos la condición de trabajadores, y al no distinguir en todo caso los protocolos aplicables entre trabajadores que hayan padecido o no la enfermedad.

Tampoco se considera legítima la propia finalidad del tratamiento al dar lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Concluye la AEPD indicando que dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.

Avanzando en el teletrabajo

Junio, 2020

Hasta hace poco el teletrabajo se contemplaba como una forma de contribuir a la conciliación y al bienestar de los trabajadores, pero a partir de la declaración del estado de alarma se ha perfilado, además, como la mejor manera de proteger su salud en situaciones de emergencia que, lamentablemente, podrían llegar a perder su carácter de excepcionales.

El hecho de que la situación se estabilice y avancemos en la posibilidad de volver a prestar servicios de forma presencial, no impide que podamos valorar sus beneficios y la necesidad de establecer vías para implantar formas de teletrabajo más eficientes y hacerlo de manera ordenada.

La anunciada regulación laboral parece que contemplará medidas de compensación al trabajador por el uso de recursos particulares, como su equipo particular o su conexión a internet, algo que se ha visto por muchos como un abuso por parte de las entidades y que ha sido tolerado precisamente con motivo de la mencionada excepcionalidad.

No se debe olvidar que el deber de proteger a los trabajadores frente a los riesgos laborales no decae en entornos de teletrabajo, debiendo ser valoradas las condiciones del lugar donde se desarrollará la jornada laboral y en su caso la provisión de mobiliario de oficina adecuado.

Aunque la acogida del teletrabajo ha sido global por las circunstancias en que se ha realizado, es necesario de cara a establecer unos protocolos adecuados, determinar las áreas en las que es posible aplicarlo sin afectar al desarrollo de las funciones de los trabajadores. Hay determinados trabajos que no pueden ser prestados a distancia y menos aún de forma telemática, y algunos requieren de una parte de asistencia presencial, para lo que se pueden reservar determinadas jornadas a lo largo de la semana, incluso, con carácter general, con objeto de celebrar reuniones o asistir a cursos de formación, lo que a su vez redundaría en las ventajas de mantener la cualidad socializadora de los centros de trabajo.

Además, tienen que establecerse los criterios y requisitos que deben cumplir los trabajadores para poder acogerse al mismo, determinar jornadas flexibles de trabajo y la forma en que se va a controlar, así como garantizar el derecho a la desconexión digital. La protección de datos de carácter personal también está plenamente vigente en este ámbito.

Los trabajadores tendrán que recibir formación suficiente sobre seguridad en su nuevo entorno de trabajo y cómo deben usar las herramientas necesarias para mantener la relación a distancia, que deberán haber sido previamente determinadas por la entidad: conexión segura mediante VPN, un sistema de teleconferencias que no obligue al trabajador a usar cuentas particulares y gratuitas, disponer de una cuenta de correo electrónico, etc.

Son muchos los aspectos que deben contemplarse y desde luego no dejar al trabajador aislado en caso de incidencias, así como mantener los canales abiertos con el responsable o el delegado de protección de datos de la entidad.

Aplicaciones de rastreo

Junio, 2020

Una de las medidas que se ha demostrado más eficaces para prevenir posibles rebrotes de la COVID-19 es la implantación de un adecuado sistema de rastreo de contagios y sus contactos. A ello pueden colaborar de forma eficaz las tecnologías de la información, pero ¿hasta qué punto estamos dispuestos a sacrificar nuestra privacidad para proteger nuestra salud?

Lo llamativo de este tipo de aplicaciones es que no están pensadas para obtener un beneficio personal. Cuando comunicamos que estamos contagiados ya es tarde para nosotros, pero podemos evitar nuevos contagios al permitir localizar a aquellas personas con las que hemos mantenido un contacto durante tiempo suficiente para que a su vez hayan sido contagiados y avisarles, de forma que puedan tomar las medidas necesarias para evitar contagiar a otras personas. Utilizándola, por tanto, protegemos a los demás.

A estas alturas parece que hay un consenso generalizado respecto a los aspectos fundamentales para que estas aplicaciones ofrezcan unas mínimas garantías de protección de nuestros datos de acuerdo con las Directrices 04/2020 sobre herramientas de rastreo de contactos del Comité Europeo de Protección de Datos (CEPD), de 21 de abril de 2020:

• Emplear datos anónimos, de forma que sea posible alertar a las personas que han estado cerca del infectado sin revelar su identidad.
• Basarse en la tecnología de proximidad Bluetooth, de forma que no se permita el rastreo de la ubicación de las personas.
• Que el almacenamiento de los datos sea descentralizado, es decir, en el teléfono móvil del usuario.

Aún a la espera de que en España se realice la anunciada prueba piloto y sin garantías de que finalmente vaya a aplicarse en todo el país, hay que tener en cuenta que estas no son las únicas dificultades que deben salvar este tipo de aplicaciones.

Por un lado, deben ser de descarga voluntaria, por lo que su eficacia queda sujeta a la responsabilidad individual y a ello no ayuda la alarma surgida en torno al posible uso inadecuado de datos personales, la participación de empresas privadas y los plazos de conservación de la información.

También hay que tener en cuenta aspectos prácticos como el consumo de batería, de forma que esto no desincentive su uso.

Otro aspecto importante es la interoperabilidad, especialmente en un entorno como el de la Unión Europea, en el que además se empiezan a promover los desplazamientos, de forma que sea posible seguir utilizando la aplicación de tu país en otros lugares.

Y quizá asumir que la anonimización, dado el grado de conectividad alcanzado es difícil. Aunque nuestro número de teléfono móvil no llegue a transmitirse al servidor, esta información puede ser inferida por nuestro proveedor de telecomunicaciones al detectar un flujo de datos hacia el servidor en cuestión, lo que únicamente puede significar que he comunicado que estoy contagiado, y esto se traduce en la necesidad de realizar un análisis profundo de los posibles riesgos e incluso cuáles de ellos debemos estar dispuestos a asumir para proteger a otros.