El Supervisor Europeo de Protección de Datos (“SEPD”) publicó el 9 de agosto la guía “Return to the Workplace and EUIs’ screening of COVID immunity or infection status” (la “Guía”).
La Guía aborda las cuestiones derivadas de la implementación de planes de regreso al trabajo presencial en las Instituciones, Agencias y Cuerpos Europeos, que incluyen la adopción de medidas como el uso de test de antígenos, el registro del estado de vacunación o la comprobación de certificados digitales de vacunación para trabajadores y visitantes. El SEPD resalta que la legalidad en la adopción de estas medidas dependerá, en gran medida, de la legislación nacional de los Estados Miembros en los que se sitúe la institución.
Resulta interesante señalar que, el SEPD, diferencia entre la adopción de medidas que suponen la creación de un registro de vacunación de las personas que accedan a las instalaciones, y las medidas que disponen la mera comprobación visual de certificados sin el registro del resultado. El SEPD entiende que, estas últimas operaciones quedan excluidas del ámbito de aplicación de la normativa de protección de datos aplicable (esto es, el Reglamento 2018/1725, del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n° 45/2001 y la Decisión n° 1247/2002/CE). En todo caso, el SEPD resalta la importancia de hacer una evaluación de necesidad y proporcionalidad antes de la adopción de medidas que puedan ser consideradas intrusivas en la privacidad de los interesados, instando a las autoridades a optar siempre por la opción menos intrusiva.
Las recomendaciones presentadas en la Guía se muestran favorables a la presentación de resultados de pruebas de antígenos, desaconsejando la utilización de certificados de vacunación, al tratarse de una acción voluntaria de los ciudadanos, y limitando la utilización del Certificado COVID en los lugares de trabajo como última alternativa.
Puede consultar el texto completo de la Guía aquí.
El Information Commissioner's Office (“ICO”) inició el pasado 11 de agosto un periodo de consulta pública que finalizará el día 7 de octubre, respecto a los borradores de nuevos documentos de referencia para las transferencias internacionales realizadas desde Reino Unido. La consulta se divide en tres secciones, que ofrecen una selección de propuestas y opciones a considerar, incluyendo tres herramientas:
- International Data Transfer Agreement (“IDTA”)
En el marco de la salida de Reino Unido de la Unión Europea, el ICO ha desarrollado sus propias cláusulas contractuales tipo, siguiendo el ejemplo de las cláusulas contractuales publicadas en junio por la Unión Europea (en adelante, “EU Standard Contractual Clauses” o “SCCs”). De esta forma, el ICO ha elaborado un acuerdo para transferencias internacionales de datos (en adelante, “International Data Transfer Agreement” o “IDTA”) cuya firma habilita la exportación de datos personales a terceros países con garantías suficientes.
El IDTA incluye un conjunto de cláusulas que deben figurar siempre en el acuerdo firmado entre exportador e importador, además de determinadas cláusulas o medidas adicionales en función del nivel de protección que se requiera garantizar. Igualmente, se permite añadir cláusulas comerciales acordadas entre las partes, siempre que no contradigan lo expuesto en el IDTA.
- International transfer risk assessment and tool
La evaluación de riesgo de una transferencia (en adelante, “International transfer risk assessment” o “TRA”) permite asegurar que el instrumento utilizado para dar validez a una transferencia internacional de datos ofrece las garantías adecuadas a las circunstancias concretas de dicha transferencia.
La herramienta publicada por el ICO es un método, al igual que otros que comentamos en este epígrafe, diseñado para ayudar a responsables y encargados del tratamiento en la realización de evaluaciones del riesgo en transferencias internacionales “rutinarias”, que no requieran de una especial complejidad.
La herramienta consta de tres pasos y proporciona una lista estructurada de preguntas para trabajar, así como de tablas que ayudan a evaluar el riesgo de cada uno de los pasos mediante determinados indicadores. El ICO señala que será necesario realizar una evaluación más detallada de la transferencia de datos en los casos especialmente complejos (por ejemplo, en los casos en los que sea necesario completar una Evaluación de Impacto relativa a la Protección de Datos o EIPD).
- UK Addendum to the EU Standard Contractual Clauses
El ICO ha publicado, además, un borrador de plantilla de adenda a las SCCs (en adelante, la “Adenda”), con la finalidad de permitir a las organizaciones utilizar las SCCs aprobadas por la Comisión Europea en las transferencias de datos efectuadas desde Reino Unido.
Por último, recordaremos que el Reino Unido fue declarado un país con un nivel de protección equiparable al de la Unión Europea en materia de protección de datos a través de la Decisión de la Comisión Europea de 28 de junio de 2021 (puede consultar la Decisión aquí). Esto implica que podrán realizarse comunicaciones de datos a entidades situadas en Reino Unido sin necesidad de adoptar las garantías o mecanismos previstos en el artículo 49 del RGPD.
Puede consultar los distintos documentos comentados aquí.
El procedimiento tiene su origen en una reclamación presentada contra el BANCO BILBAO VIZCAYA ARGENTARIA, S.A. (en adelante, “BBVA”) en la que se señala que esta entidad, en uno de sus procesos de atención telefónica automatizado, facilita el detalle de los últimos movimientos de la tarjeta Affinity Card requiriendo únicamente como dato identificativo el DNI del cliente. El BBVA no adopta medidas adicionales para comprobar que la persona que solicita dicha información sea titular del documento identificativo.
Tras las investigaciones realizadas, la Agencia Española de Protección de Datos, (en adelante, “AEPD”) considera que estos hechos pueden implicar que la entidad reclamada no adopta las medidas de seguridad adecuadas, ya que cualquier persona utilizando el sistema de atención telefónica podría dar un número de DNI, siendo titular o no del mismo, y obtener información asociada a este DNI.
La AEPD abrió procedimiento sancionador, estimando que correspon, dería imponer una sanción de 200.000 euros por infracción del artículo 32 del Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
Finalmente, el BBVA procedió al pago de la sanción en la cuantía de 120.000 euros haciendo uso de las oportunas reducciones previstas por pago voluntario y reconocimiento de la responsabilidad.
Puede consultar la resolución aquí.
El pasado 4 de agosto, la AEPD publicó la resolución de archivo de actuaciones del procedimiento E-0290-2021 abierto contra Ilunion Seguridad, S.A. (en adelante, “Ilunion”) por la toma de temperatura a trabajadores en los centros de trabajo de la entidad Centros Comerciales Carrefour, S.A. (en adelante, “Carrefour”) en la Comunidad Valenciana.
La reclamación, que fue interpuesta por la Federación Valenciana de Alternativa Sindical de Trabajadores de Seguridad Privada, denunciaba el procedimiento de lectura de temperatura corporal realizado a empleados de Carrefour, de forma previa a su jornada laboral, por parte de los vigilantes de seguridad de Ilunion. Según el reclamante, este procedimiento se estaba realizando sin que existiera una recomendación al respecto de las autoridades sanitarias y suponía una injerencia particularmente intensa en los derechos de los afectados.
En la resolución, la AEPD procede al archivo de actuaciones y señala, entre otras cuestiones, que, sobre este mismo asunto se había pronunciado la Sala de lo Social del Tribunal Superior de justicia de la Comunidad Valenciana en sentencia de 22 de junio de 2020 resolviendo que, la toma de temperatura por parte de los vigilantes de seguridad en el contexto de pandemia está justificada como medida previa al acceso de los empleados al centro de trabajo.
Adicionalmente, la AEPD resalta los siguientes aspectos relacionados con el tratamiento de datos personales que resultan de interés:
Según lo expuesto, la AEPD consideró que los controles de temperatura establecidos por Carrefour tenían su base en el cumplimiento de una obligación legal impuesta al empleador (artículo 6.1.c) del RGPD) y en las excepciones que habilitan el tratamiento de datos de salud, previstas en el artículo 9.2.h) del RGPD.
Puede consultar la resolución aquí.
El pasado 2 de agosto, la AEPD publicó la resolución del procedimiento PS-00044-2021 en la que se sanciona al Club Náutico de “El Estacio” por infracción de los siguientes artículos del RGPD:
Según la AEPD, el Club es responsable de tomar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para asegurar la confidencialidad de los datos, impidiendo el acceso a los mismos por parte de terceros, lo cual no se produce en el presente caso.
Puede consultar la resolución aquí.
El pasado 9 de agosto, la AEPD publicó la resolución del procedimiento PS-00209-2021 por la que se sanciona al Club Gimnasia Rítmica San Antonio con 5.000€ por el tratamiento ilícito de datos personales infringiendo el artículo 6.1.a) del RGPD, en particular, por no contar con el consentimiento para llevar a cabo dicho tratamiento.
El procedimiento sancionador se inició con la reclamación presentada por la madre de dos menores, de 10 y 12 años, contra el citado club deportivo, que había publicado en la red social Instagram vídeos y fotos de las menores sin su autorización.
Además de imponer una multa económica, la AEPD ordenó al Club para que, en el plazo de un mes, adoptase las medidas necesarias para retirar la imagen de las menores, aportando medios de prueba acreditativos del cumplimiento de lo requerido.
Puede consultar la resolución aquí.
El 10 de agosto, la AEPD publicó la resolución relativa al expediente PS/00308/2021 por la que se sancionó a Orange Espagne, S.A.U. (“Orange”) con 30.000 euros por infringir el artículo 6 del RGPD, al realizar un tratamiento de datos sin base de legitimación.
El procedimiento tiene su origen en una denuncia presentada por un particular, en la que se puso de manifiesto que existían varias solicitudes de portabilidad fraudulentas sobre su línea, las cuales habían sido paradas por los sistemas antifraude de las compañías, a excepción de la petición de portabilidad a la compañía Orange, que sí fue completada.
Según la información facilitada por Orange, la portabilidad solicitada, que no fue efectuada por el reclamante (titular de la línea), se realizó según las siguientes medidas:
Tras la investigación realizada, la AEPD consideró que se trató de un tratamiento de datos sin legitimación por parte de Orange ya que, a pesar de las citadas medidas impuestas, la compañía realizó la portabilidad sin cerciorarse si la persona que lo solicitaba era o no el reclamante (más allá de constatar si el nombre y DNI coincidían), lo cual supone una infracción del artículo 6 del RGPD.
La sanción propuesta por la AEPD ascendía a la cuantía de 50.000€. Sin embargo, Orange procedió al pago de la sanción en la cuantía de 30.000€, tras hacer uso de las reducciones por pago voluntario y reconocimiento de responsabilidad.
Asimismo, existe otro procedimiento sancionador abierto sobre esta cuestión (PS/0022/2021), en relación con la falta de medidas de seguridad en las entregas de las tarjetas Sim.
Puede consultar el texto completo de la resolución aquí.
La Commission Nationale de L’Informatique et des Libertés (“CNIL”) publicó el 18 de agosto, sus recomendaciones respecto a la utilización de dispositivos de reconocimiento de datos biométricos en el entorno escolar, en concreto, el reconocimiento del contorno de la mano.
El supuesto evaluado por la CNIL contempla la utilización de un código personal y la lectura del contorno de la mano de los alumnos para el acceso a los comedores escolares. La autoridad no se muestra contraria al establecimiento de estos sistemas de acceso, siempre que se cumplan las siguientes condiciones previas al tratamiento:
Puede consultar la publicación aquí [solo disponible en francés].
El pasado 16 de agosto, el Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (en adelante, “HmbBfDI”), autoridad de protección de datos de Hamburgo, informó en un comunicado público que había dirigido una advertencia formal (art 58.2.a RGPD) a la Senatskanzlei der Freien und Hansestadt Hamburg (cancillería del senado de Hamburgo), mostrándose contrario al uso de la solución de videoconferencia de la compañía ZOOM Inc.
El HmbBfDI pone de manifiesto que, la citada aplicación, podría estar vulnerando el RGPD al realizar transferencias de datos a EE.UU. sin haber establecido garantías adecuadas en los términos establecidos por el Comité Europeo de Protección de Datos (“CEPD”) tras la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18. Comisaria de Protección de Datos vs Facebook Irlanda y Maximillian Schrems (conocida como “Sentencia Schrems II”).
El comunicado ha enfatizado la necesidad de que los organismos públicos cumplan escrupulosamente la regulación, lamentando que la cancillería del senado no haya optado por otras opciones disponibles que no presentan problemas respecto a la normativa de protección de datos.
Puede consultar el comunicado de prensa oficial aquí [sólo disponible en alemán].
Con este proyecto, la autoridad de control alemana se une a las iniciativas realizadas por otras autoridades europeas respecto al control de la legalidad de las tecnologías de seguimiento en webs, como las anunciadas por la CNIL (puedes consultar la publicación aquí).
La nota de prensa oficial se encuentra disponible aquí [sólo disponible en alemán].
El pasado 5 de agosto entró en vigor el Decreto Ley nº82, de 14 de junio, al día siguiente de ser publicado en el Boletín Oficial de la República Italiana. Una de las principales novedades del Decreto es la creación de la agencia nacional de ciberseguridad italiana.
El boletín oficial puede consultarse aquí. [sólo disponible en italiano].
Puede consultar el comunicado de prensa oficial aquí.
El pasado 30 de julio se publicó la Ley 5/2021, de 23 de julio, del Régimen Administrativo y Fiscal del Juego en Castilla-La Mancha (en adelante, la “Ley”). El nuevo texto legislativo entrará en vigor a los seis meses de su publicación, a excepción de la regulación en materia de tributos que entrará en vigor el 1 de julio de 2022.
Uno de los principales fines de la nueva Ley es fomentar la prevención y el juego responsable. Algunas de las novedades más destacadas son:
Puedes consultar la nueva norma aquí.
El Boletín Oficial del Principado de Asturias publicó el 2 de agosto la Resolución de 8 de julio de 2021, de la Consejería de Hacienda, por la que se determinan las condiciones técnicas de los sistemas técnicos de identificación en los controles de acceso a los establecimientos de juego y apuestas del Principado de Asturias.
Esta Resolución establece las condiciones técnicas que han de reunir los sistemas de identificación y control de acceso técnicos para su homologación por la Dirección General competente y su instalación autorizada por la Consejería competente en materia de casinos, juegos y apuestas. La utilización de sistemas técnicos de identificación es una posibilidad establecida en artículo 3 del Decreto 5/2021, de 12 de febrero, por el que se establecen restricciones y criterios por los que se regirá la concesión de autorizaciones en materia de juegos y apuestas en el Principado de Asturias.
Puede consultar el texto completo aquí.
El pasado 4 de agosto se publicó el Decreto 97/2021, de 16 de julio, del Consejo, de medidas urgentes para la aplicación de la Ley 1/2020, de 11 de junio, de la Generalitat, de regulación del juego y de prevención de la ludopatía en la Comunidad Valenciana (en adelante, el “Decreto”).
Una de las cuestiones principales recogidas en el Decreto es la regulación de las condiciones y procedimiento de tramitación de las autorizaciones de renovación de licencias ya otorgadas a establecimientos que incumplen con las limitaciones geográficas establecidas en la Ley 1/2020, de 11 de junio, de la Generalitat, de regulación del juego y de prevención de la ludopatía en la Comunidad Valenciana.
Puede consultar la publicación oficial aquí.