#SomosRyC
Boletín de Noticias - Tecnologías de la Información (marzo 2022)
07 de Abril de 2022
a. Noticias destacadas
2. Propiedad intelectual
1. Protección de datos
a. Noticias destacadas
La Comisión Europea y Estados Unidos comunican su acuerdo para las transferencias transatlánticas de datos personales tras la anulación de Privacy Shield
El pasado día 25 de marzo, la Comisión Europea y Estados Unidos (“EEUU”) anunciaron un principio de acuerdo para establecer un nuevo marco de privacidad que regule las transferencias transatlánticas de datos personales.
Este nuevo marco tratará de establecer una protección adecuada de los datos personales de los europeos transferidos a EEUU, como respuesta a la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 en el asunto C-311/18 (“Sentencia Schrems II”) que invalidó el acuerdo Privacy Shield que permitía estas transferencias de datos.
El documento publicado por ambas entidades incluye un resumen de los principios clave del nuevo marco, destacando que:
- Se establecerán salvaguardas vinculantes para las empresas que permitan limitar el acceso a los datos personales por parte de las autoridades de inteligencia de EEUU.
- Se adoptarán procedimientos para garantizar la supervisión efectiva de las normas de privacidad por las agencias de inteligencia de EEUU.
- Se creará un tribunal de revisión de protección de datos, como sistema para resolver e investigar quejas de europeos sobre el acceso a sus datos por parte de las autoridades de inteligencia de EEUU.
- Se establecerán fuertes obligaciones para empresas que realicen tratamiento de datos transferidos desde la Unión Europea (“UE”), como la adhesión a determinados principios.
Como siguientes pasos, los compromisos asumidos por EEUU serán incluidos en una orden ejecutiva, que formará parte del borrador de decisión de adecuación que elaborará la Comisión Europea para poner en marcha el nuevo marco transatlántico de privacidad.
Para más información sobre esta noticia puede acceder al Blog Digital de Ramón y Cajal aquí.
Puede consultar la noticia aquí.
La Agencia Española de Protección de Datos publica la Memoria Anual de actuación de 2021
La Agencia Española de Protección de Datos (“AEPD”) publicó el pasado lunes, 21 de marzo, su Memoria Anual del año 2021 (la “Memoria”). En ella, se analizan las decisiones y actuaciones de mayor relevancia de nuestra autoridad de control, así como las tendencias y retos de la privacidad a corto y medio plazo.
Entre las cuestiones de interés debemos destacar las siguientes las siguientes:
1º. Los resúmenes de informes jurídicos emitidos como resultado de las consultas efectuadas por Administraciones Públicas y entidades privadas (apartado 3.2.1).
2º. El listado informes preceptivos analizando proyectos de normas que regulan aspectos muy variados (apartado 3.2.2). En este caso, no se facilita un resumen de los mismos por su carácter técnico y extensión, pero el texto completo puede consultarse en la sección correspondiente de la página web de la AEPD.
3º. El análisis de las sentencias de la Audiencia Nacional que resuelven recursos contencioso-administrativos presentados frente a resoluciones de la AEPD. Según se explica en la Memoria, el 60% de las resoluciones de esta autoridad quedaron plenamente confirmadas por inadmisión total del recurso.
Por último, la sección de la Memoria denominada como “La Agencia en cifras” contiene la siguiente información de interés:
- El “top 10” de las reclamaciones más frecuentes (como la propia AEPD lo denomina) está encabezado por las relativas a servicios de Internet, videovigilancia, publicidad (excepto spam) y ficheros de morosidad.
- Durante el 2021, la AEPD impuso 258 multas, por un importe conjunto de 35.074.800 euros. Esta cifra supone un aumento del 337% con respecto al año 2020, donde el total de multas impuestas ascendió a 8.018.800 euros.
Para más información sobre el contenido de la Memoria puede acceder al Blog Digital de Ramón y Cajal aquí.
Puede consultar la Memoria anual aquí.
La autoridad de protección de datos de Italia publica su resolución por la que sanciona con 20.000.000 euros a Clearview
El pasado 9 de marzo, el Garante per la Protezione dei Dati Personali (“Garante”) publicó una resolución por la que sanciona a Clearview AI, Inc. (“Clearview”) con 20.000.000 euros de multa. El servicio ofrecido por Clearview consiste en un motor de búsqueda mediante reconocimiento facial.
Las investigaciones se iniciaron de oficio por el Garante, tras varias publicaciones en distintos medios sobre los servicios de Clearview, cuatro denuncias de particulares presentadas en 2021 y dos informes emitidos por organizaciones independientes dedicadas a la defensa de la privacidad. El análisis realizado por el Garante de los servicios prestados por Clearview concluye que la entidad obtiene datos biométricos de imágenes publicadas en páginas web y los enriquece con los metadatos de las imágenes. Algunos de estos datos pueden ser, por ejemplo, la geolocalización o la nacionalidad de la persona que aparece en la imagen.
Ante el requerimiento de información emitido por el Garante, Clearview argumentó que no está sujeta al Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”) al ser una entidad constituida de acuerdo con la normativa de EEUU y con sede en dicho país, que no presta servicios en la Unión Europea. Sin embargo, como aclara el Garante, Clearview ha dirigido su oferta al mercado europeo, prueba de ello, es la resolución de la autoridad de protección de datos de Suecia en la que prohíben el uso de esta tecnología por parte de la policía.
Tras la investigación, el Garante identifica las siguientes infracciones cometidas por Clearview: (i) el tratamiento no se puede basar en el interés legítimo, (ii) no se ha facilitado la información del artículo 13 del RGPD, (iii) se utilizan los datos para finalidades distintas a aquellas para las que fueron recogidos, y (iv) no se establecen plazos concretos de retención de los datos personales.
A la vista de las infracciones identificadas, el Garante impone una sanción económico-administrativa a Clearview. Adicionalmente, el Garante impuso la prohibición de recoger nuevos datos por medio de técnicas de web scraping y ordenó la eliminación de todos los datos tratados por el sistema de reconocimiento facial y la designación de un represéntate en territorio de la UE.
Puede acceder a la resolución aquí.
b. Resoluciones y sentencias destacadas
La AEPD sanciona a Caixabank con 2.100.000 euros
La AEPD ha publicado la resolución de procedimiento sancionador (PS/00226/2020) por la que se sanciona a Caixabank, S.A. (la “Entidad financiera”) con 2.100.000 euros por infracción del artículo 6 en relación con el 7.4 del RGPD (el “Procedimiento”).
En concreto, las actuaciones practicadas por la AEPD se inician con motivo de las reclamaciones de siete clientes de la entidad Bankia, S.A. (en la actualidad Caixabank, S.A.) por la posible vulneración de la normativa de protección de datos y, en concreto, del consentimiento otorgado en la contratación de la Cuenta ON.
Tras las investigaciones practicadas, la AEPD considera que “se vincula en el presente supuesto la exención de las comisiones bancarias a la prestación del consentimiento para dos diferentes tratamientos: el envío de comunicaciones comerciales y la cesión de datos personales a las entidades del Grupo Bankia, por lo que no puede considerarse que el consentimiento se otorga libremente, en tanto que, si no se aceptan tales tratamientos o se revoca posteriormente el consentimiento así obtenido, se producen consecuencias negativas para el interesado que está sujeto, en tal caso, al abono de las comisiones fijadas por la entidad bancaria”.
En este sentido, la AEPD impone una sanción por vulneración del artículo 6 en relación con el artículo 7 del RGPD de 2.000.000 euros, y una segunda sanción de 100.000 euros por infracción del artículo 6.1. del RGPD en relación con obtención del consentimiento a través de casillas premarcadas.
Puede consultar la resolución aquí.
La autoridad de protección de datos de Irlanda sanciona a Meta con 17.000.000 euros por no adoptar medidas técnicas y organizativas apropiadas
El pasado 15 de marzo, la autoridad de protección de datos de Irlanda (“Data Protection Commission” o “DPC”) anunció la adopción de una decisión por la que se impone a Meta Platforms Ireland Limited (“Meta”) una multa de 17.000.000 euros por haber infringido los artículos 5.2 y 24.1 del RGPD.
Meta había sufrido, a lo largo de un período de seis meses, doce brechas de seguridad que afectaron a datos personales. El DPC inició una investigación en la que concluyó que Meta no había adoptado medidas técnicas y organizativas apropiadas que le permitieran demostrar fácilmente las medidas de seguridad que aplicaba en la práctica para proteger los datos personales de los interesados.
Asimismo, en el comunicado realizado por DPC, se resalta que los tratamientos afectados constituían tratamientos transfronterizos, por lo que la decisión estuvo sujeta al proceso de cooperación del artículo 60 del RGPD. Aunque dos autoridades de protección de datos plantearon objeciones al proyecto de decisión de la DPC, se llegó a un acuerdo entre todas las autoridades de protección de datos afectadas, por lo que la decisión representa la opinión colectiva de todas las autoridades de protección de datos europeas.
Puede consultar el comunicado de la DPC pulsando aquí.
La autoridad de protección de datos de Suecia sanciona a Klarna Bank con 720.000 euros por no cumplir con su deber de información en materia de protección de datos
El pasado 28 de marzo, la autoridad de protección de datos de Suecia (“IMY”) publicó una resolución en la que se sancionó a la entidad financiera Klarna Bank, A.B. (“Klarna”) con una multa económica que ascendió a la cantidad de 720.000 euros por incumplir el deber de información.
Durante la investigación llevaba a cabo por IMY, se detectó que Klarna no proporcionaba información sobre la finalidad de los tratamientos, ni tampoco identificaba las bases que legitimaban tales tratamientos. Asimismo, la entidad financiera tampoco informaba acerca de los países fuera del Espacio Económico Europeo a los que se enviaban datos personales, ni cómo ni dónde los interesados podían obtener más información acerca de estas transferencias internacionales de datos.
De acuerdo con lo anterior, IMY impuso una multa económica de 720.000 euros por haberse infringido el principio de transparencia impuesto por la normativa de protección de datos.
Puede consultar la resolución de IMY pulsando aquí (solo disponible en sueco).
La autoridad de protección de datos de Bremen sanciona a Brebau con una multa económica de más de 1.900.000 euros por el tratamiento ilícito de categorías especiales de datos
El pasado 3 de marzo, la autoridad de protección de datos de Bremen (“LfDI”) anunció la imposición de una multa económica de más de 1.900.000 euros a la entidad Brebau GmbH (“Brebau”) por haber tratado ilícitamente categorías especiales de datos.
Brebau es una entidad de que se dedica, principalmente, a la gestión de apartamentos residenciales. Durante el desarrollo de su actividad, Brebau trató más de 9.500 datos personales sin ninguna base legal. Además, entre esta información, se encontraban categorías especiales de datos como el origen étnico, la religión, la orientación sexual y el estado de la salud.
LfDI consideró que la información tratada por Brebau no era estrictamente necesaria para prestar sus servicios de alquiler de apartamentos, recalcando que el tratamiento de categorías especiales de datos está, con carácter general, prohibido por el RGPD. Asimismo, durante la investigación llevaba a cabo, se detectó que Brebau había entorpecido diversas solicitudes de acceso que había recibido por parte de los interesados.
De acuerdo con lo anterior, LfDI impuso una multa económica de más de 1.900.000 euros a Brebau. No obstante, LfDI aclaró que, debido a la extraordinaria gravedad de la infracción, se debería haber impuesto una multa considerablemente mayor. Sin embargo, LfDI redujo la multa económica al haber cooperado Brebau de forma proactiva durante la investigación, adoptando medidas para minimizar los daños provocados a los interesados.
Puede consultar el comunicado de LfDI pulsando aquí (solo disponible en alemán).
La autoridad de protección de datos de Croacia sanciona a una entidad por no atender el derecho de acceso de un afectado a las imágenes captadas por sus cámaras de videovigilancia
El pasado 8 de marzo, la autoridad de protección de datos de Croacia (“Azop”) sancionó a una empresa del sector energético (el nombre no ha sido publicado) por no proporcionar las grabaciones captadas por sus cámaras de videovigilancia a un interesado que había solicitado el derecho de acceso a sus datos personales.
Después de recibir Azop una reclamación por parte del interesado al que no le fueron proporcionadas las grabaciones, Azop llevó a cabo una investigación en la que constató que el interesado había solicitado su derecho de acceso respecto a las imágenes captadas por el sistema de videovigilancia del responsable, especificando fecha y hora. El motivo del derecho de acceso fue incorporar las imágenes grabadas por las cámaras de videovigilancia a un procedimiento en materia de consumo.
La petición de acceso recibida por la empresa responsable del tratamiento fue rechazada al entender que la petición no iba acompañada de una solicitud por escrito de las autoridades competentes y que, proporcionar las imágenes solicitadas, supondría vulnerar la intimidad del resto de clientes que aparecían en la grabación.
Durante la investigación por parte de Azop, se requirió a la empresa que aportase la grabación, pero la entidad alegó que, conforme a sus procedimientos internos, la grabación fue destruida a los 7 días desde que las imágenes fueron captadas.
Azop impuso a la empresa investigada una multa económica de, aproximadamente, 125.000 euros por no atender el derecho de acceso del interesado y eliminar la grabación solicitada sabiendo que existía un procedimiento en materia de consumo.
Puede consultar más información pulsando aquí (solo disponible en croata).
La autoridad de control de Italia sanciona a Telecom Italia por no atender una solicitud de derecho de acceso
El pasado 25 de marzo, el Garante publicó la sanción de 200.000 euros a Telecom Italia S.p.A. (en adelante, “TIM”) por no atender la solicitud de derecho de acceso. La sanción fue impuesta por el Garante el pasado enero.
El procedimiento se inició con la denuncia de un interesado que solicitó copia de sus registros telefónicos con el objetivo de poder aportarlos dentro de un procedimiento penal. Sin embargo, TIM se negó a facilitar el acceso a esta información argumentando que había transcurrido el plazo de 24 meses previsto en la legislación italiana para las solicitudes de registros telefónicos.
Tras concluir sus investigaciones, el Garante concluyó que TIM había recibido la solicitud dentro del plazo de 24 meses, y había dejado transcurrir el plazo de establecido en la normativa de forma negligente. Adicionalmente, el Garante señala que la legislación italiana permite facilitar los registros telefónicos una vez transcurrido el periodo de 24 meses, siempre que se soliciten para la investigación o la persecución de delitos.
Por estos motivos, el Garante sancionó a TIM por incumplimiento de los artículos 12.2 y 3 del RGPD con una sanción económica de 200.000 euros. Para fijar la cuantía de la sanción, el Garante ha tenido en cuenta circunstancias como el volumen de sanciones impuestas anteriormente a TIM y la repercusión que las infracciones cometidas por TIM podían tener en el procedimiento penal en curso.
Puede consultar la sanción aquí (solo disponible en italiano).
c. Informes y guías
La AEPD publica un nuevo informe relativo a las normas legales que habilitan el tratamiento de datos de salud
El Gabinete Jurídico de la AEPD publicó, el pasado 29 de marzo, el informe jurídico 0101/2019 por el que da respuesta a la consulta planteada por parte de los servicios médicos de la Comunidad Autónoma de Canarias en relación con la Disposición Adicional Decimoséptima (la “Disposición Adicional”) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”).
La consulta se centra en la posibilidad de acceder a historias clínicas al amparo de una normativa autonómica que no consta en la citada Disposición Adicional. Cabe recordar que la Disposición Adicional incluye un listado de normas con rango legal que amparan el tratamiento de datos relacionados con la salud y de datos genéticos (las letras g), h), i) y j) del artículo 9.2 del RGPD).
Sobre esta cuestión, el Gabinete Jurídico de la AEPD concluye que el listado de normas incluido en la Disposición Adicional “no implica que los tratamientos de datos personales que se lleven a cabo como consecuencia de la aplicación de otras normas no encuentren acomodo en las excepciones del citado precepto, pues la referencia a la reserva de ley que contiene el articulo 9.2 LOPDGDD permitirá que pueda haber normas que no estén incluidas”.
En este sentido, se entiende que las normas autonómicas también podrán establecer excepciones a la prohibición general del tratamiento de categorías especiales de datos siempre y cuando se de alguna de las circunstancias previstas en el artículo 9.2 del RGPD y la regulación establecida al efecto tenga rango de ley y cumpla las garantías que el Tribunal Constitucional considera esenciales cuando estamos ante el tratamiento de categorías especiales de datos.
Puede consultar el informe aquí.
La AEPD publica un informe jurídico sobre las comunicaciones al empresario por parte de las entidades que prestan un servicio de vigilancia de la salud a terceros
El pasado 29 de marzo, el Gabinete Jurídico de la AEPD publicó el informe 0114/2018 (en adelante, el “Informe”) en el que se analiza si las entidades que prestan un servicio de vigilancia de la salud pueden comunicar al empresario los datos de salud de servicios extra que los empleados tienen derecho a solicitar (por ejemplo, determinadas vacunas o ampliación de reconocimientos), y que posteriormente el empresario está obligado a abonar.
En este sentido, el artículo 22 de la Ley 31/1995, de 8 de noviembre de Prevención de Riesgos Laborales (“LPRL”) establece el principio de “confidencialidad de toda la información relacionada con la salud”, limitando el acceso a la información médica al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud. No obstante, el apartado segundo del referido artículo señala que “el empresario será informado de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención”.
En este sentido, el Gabinete Jurídico de la AEPD señala que, de la interpretación del artículo 22 LPRL, se desprende “que el conocimiento de cuales de los trabajadores han efectuado los reconocimientos no resulta contrario a dicho principio de confidencialidad, siempre que se respeten absolutamente los límites fijados en el precepto”.
Por consiguiente, se entiende esta comunicación podría resultar legitimado en lo previsto en el artículo 9.2.b del RGPD, siempre que se encuentre dentro de los límites fijados en la normativa de prevención de riesgos laborales.
Puede consultar el Informe aquí.
La CNIL publica una guía para los delegados de protección de datos
La autoridad de protección de datos francesa (“CNIL”) ha publicado una guía práctica para delegados de protección de datos (“DPO”) y compañías que nombren a uno (la “Guía”). En concreto, la Guía se presenta en formato preguntas y respuestas cuyo objetivo es ayudar tanto a organizaciones en el establecimiento de la función de un responsable de la protección de datos, como a estos responsables en el ejercicio de su profesión.
Entre otros temas, la Guía aborda puntos como quién puede ser designado como DPO, cuál es su rol, qué medios deben facilitarse al DPO para el correcto desarrollo de sus funciones o cómo puede ayudar la CNIL a los DPO.
Puede consultar la Guía aquí (disponible en inglés) y aquí (disponible en francés).
El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos adoptan un dictamen conjunto sobre la Propuesta de Reglamento relativo a certificados COVID
En fecha 14 de marzo, el Comité Europeo de Protección de Datos ("EDPB”) y el Supervisor Europeo de Protección de Datos (“EDPS”) han emitido un dictamen conjunto (“Dictamen”) sobre la Propuesta de Reglamento del Parlamento por la que se modifica el Reglamento 2021/953 relativo a un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID-19 (“Propuesta”).
El Dictamen se limita a analizar el impacto en la normativa de protección de datos de la Propuesta y señala que los principios del RGPD deben estar siempre presentes en cualquier medida adoptada y cualquier restricción de libertad de movimiento, incluida la presentación de certificados COVID. Asimismo, cualquier medida de esta naturaleza deberá eliminarse tan pronto como la situación epidemiológica lo permita. Además de lo anterior, el Dictamen considera que la Propuesta no altera sustancialmente las conclusiones realizadas por el EDPB y el EDPS respecto al anterior Reglamento 2021/953 vigente.
Puede acceder al Dictamen pulsando aquí.
El EDPB publica unas directrices sobre “patrones oscuros” en las interfaces de redes sociales
El pasado 14 de marzo, el EDPB adoptó las Directrices 3/2022 sobre Patrones oscuros en las interfaces de las redes sociales: Cómo reconocerlos y evitarlos (las “Directrices”).
Según expone el EDPB, los patrones oscuros son interfaces implementados en las redes sociales que pueden conducir a los usuarios de estas a decisiones involuntarias potencialmente perjudiciales para sus datos personales como, por ejemplo, sobrecarga de información o exceso de opciones, dirección emocional u “oculto a la vista”, comodidad engañosa en la navegación, obstaculización, descontextualización o incoherencia en los interfaces, redacción ambigua o información contradictoria.
Las citadas Directrices ofrecen un listado de categorías de estos patrones, explicando cada una de ellas y añadiendo ejemplos, casos de uso y un catálogo de buenas prácticas para usuarios y desarrolladores.
Puede acceder a las Directrices pulsando aquí.
La DPC publica un informe estadístico sobre la gestión de las reclamaciones transfronterizas en el marco del mecanismo de ventanilla única del RGPD
Desde la entrada en aplicación del RGPD en mayo de 2018, la DPC ha recibido un número significativo de denuncias transfronterizas como autoridad de protección de datos principal. La DPC ha publicado un informe estadístico (el “Informe”) sobre la tramitación de todas estas reclamaciones transfronterizas que se han recibido en el marco del mecanismo de ventanilla única del RGPD.
El Informe ofrece una visión general de todas las reclamaciones de las que la DPC ha sido autoridad principal entre el período comprendido entre el 25 de mayo de 2018 y el 31 de diciembre de 2021. Algunas de las principales cuestiones son:
- La DPC ha recibido 969 reclamaciones como autoridad de protección de datos principal y 181 como autoridad de protección de datos interesada.
- Un total de 588 reclamaciones transfronterizas en las que la DPC actuaba como autoridad de protección de datos principal, fueron presentadas originalmente ante otra autoridad de protección de datos.
- El 68% de todas las reclamaciones transfronterizas tramitadas por la DPC como autoridad de protección de datos principal desde mayo de 2018 han finalizado.
Puede consultar el Informe pulsando aquí.
La autoridad de protección de datos de Dinamarca publica una guía para el uso de los servicios en la nube
A principios de marzo, la autoridad de protección de datos de Dinamarca (“Datatilsynet”) ha publicado una guía sobre el uso de servicios en la nube (la “Guía”).
La Guía ofrece una definición de estos servicios, explica sus distintas tipologías de estos y analiza su impacto en la normativa de protección de datos. Asimismo, la Guía analiza los riesgos relacionados con este tipo de servicios en la nube y las medidas a tener en cuenta en caso de transferencias internacionales de datos.
La Datatilsynet afirma además su intención de crear un grupo de trabajo formado por expertos en el uso de estas herramientas con el objetivo de analizar sus retos y ayudar en la adopción de las medidas necesarias para la protección de la información de los interesados.
Puede acceder a la Guía pulsando aquí.
El Comité Europeo de Protección de Datos publica las Directrices 02/2022 sobre la aplicación del artículo 60 del RGPD
El pasado 14 de marzo, el EDPB adoptó las “Directrices 02/2022 sobre la aplicación del artículo 60 del RGPD” (en adelante, las “Directrices”).
El artículo 60 del RGPD regula la cooperación entre las autoridades de control europeas en procedimientos relacionados con tratamientos de datos personales transfronterizos dentro de la UE. Las Directrices desarrollan los principios establecidos en el artículo 60 del RGPD con el objetivo de aclarar las cuestiones y dudas que pueden surgir en su aplicación.
Adicionalmente, las Directrices proporcionan una guía rápida de referencia en la que se recoge la estructura de las distintas fases del procedimiento de cooperación, acompañada de un listado de recomendaciones y mejores prácticas para cada fase del procedimiento.
Puede consultar las Directrices pulsando aquí (solo disponible en inglés).
d. Otras noticias de interés
La AEPD publica su modelo de evaluación de impacto en materia de protección de datos en inglés
La AEPD, con el fin de promover y difundir el conocimiento sobre la gestión de riesgos para los derechos y libertades de las personas físicas, desarrolla diferentes recursos y herramientas para promover el cumplimiento del RGPD.
Entre esos recursos y herramientas, está el modelo de informe de evaluación de impacto en la protección de datos (“EIPD”) para el sector privado, que está orientado a ayudar a los responsables del tratamiento a cumplir con las previsiones del RGPD cuando sea necesario realizar una EIPD.
Durante el mes de marzo, la AEPD ha publicado el modelo de informe de evaluación de EIPD en inglés.
Puede consultar el modelo de EIPD en inglés pulsando aquí.
La AEPD emite un comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos
El pasado día 25 de marzo, la AEPD emitió un comunicado de prensa con el objetivo de clarificar algunas cuestiones sobre la sanción de 30.000 euros impuesta en el PS/00078/2021 a un establecimiento hotelero por registrar la fotografía de sus clientes sin base de legitimación.
En este comunicado, la AEPD aclaró que, la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana (“Ley 4/2015”) establece obligaciones de registro de datos personales de clientes para las empresas que realicen actividades de hospedaje. No obstante, la entidad sancionada recogía, además de los datos requeridos por la normativa, las fotografías de sus clientes para el control de acceso y facturación de consumos durante su estancia.
A diferencia de los datos a los que obliga el registro la Ley 4/2015, la recogida y utilización del dato de fotografía carece de base de legitimación, no pudiendo estar amparada por la ejecución del contrato o cumplimiento de una obligación legal, constituyendo por lo tanto una infracción del artículo 6 del RGPD.
Puede acceder al comunicado pulsando aquí y a la resolución del PS/00078/2021 pulsando aquí.
La CNIL analiza los sistemas open data utilizados en las Administraciones Públicas
El pasado 11 de marzo, la CNIL publicó el documento “cahier air 2021” en el cual se reflejan las aportaciones de los intervinientes en el debate sobre “open data” celebrado a finales de 2021. Tal como define la CNIL, el término open data hace referencia en este caso a bases de datos de código abierto mediante las cuales las administraciones públicas pueden permitir a los ciudadanos al acceso libre a información.
Puede acceder al documento pulsando aquí.
La Comisión Europea abre un periodo de consulta pública sobre el acceso a los datos generados por vehículos
El 29 de marzo, la Comisión Europea ha iniciado un periodo de consulta pública respecto a una nueva iniciativa legislativa que pretende regular el acceso y utilización de los datos que se pueden generar a bordo de los vehículos.
El objetivo de la consulta es recibir contribuciones y comentarios que posibiliten la mejora de la iniciativa legislativa, facilitando un marco de competencia claro para los servicios basados en el acceso a datos de los automóviles (reparaciones y mantenimiento, uso compartido de vehículos, movilidad, seguros, etc.). Esta consulta pública finalizará el 21 de junio de 2022.
Puede acceder a la consulta pulsando aquí.
2. Propiedad Intelectual
El Tribunal de Justicia de la Unión Europea concluye que se puede aplicar la excepción de copia privada a los servicios de almacenamiento en la nube
El pasado 24 de marzo, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó sentencia en el asunto c-433/200, Austro-Mechana, concluyendo que la realización de una copia de seguridad de una obra protegida en un servicio en la nube constituye un acto de reproducción al que se le aplica la excepción de copia privada.
En la citada sentencia, el TJUE realiza una interpretación de la Directiva 2001/29/CE de 22 de mayo de 2021 relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (“DDASI”), estableciendo que:
(i) El concepto de reproducción del artículo 2 de DDASI debe interpretarse de manera amplia. Por lo tanto, los actos que un usuario puede realizar de una obra protegida en un espacio de almacenamiento en la nube constituyen actos de reproducción.
(ii) Los servicios de almacenamiento en la nube están comprendidos en la excepción de copia privada del artículo 5.2 b) de la DDASI, ya que el concepto “cualquier soporte” incluye un servidor que el proveedor cloud pone a disposición del usuario.
(iii) Los Estados Miembros deben prever un sistema de compensación equitativa según el artículo 5.2 b) de la DDASI, pero no tienen la obligación de someter a los proveedores de servicios cloud al pago esta compensación.
Puede acceder al resumen de la sentencia del TJUE aquí, al texto íntegro de la sentencia aquí y al comunicado de prensa aquí.
3. Juego
Publicado el Proyecto de Ley por la que se modifica la Ley 13/2011, de 27 de mayo, de regulación del juego
El Boletín Oficial de las Cortes Generales publicó el pasado 25 de marzo el Proyecto de Ley por la que se modifica la Ley 13/2011, de 27 de mayo, de regulación del juego (el “Proyecto”). Asimismo, se establece el plazo de enmiendas, por un período de quince días hábiles, que finaliza el día 12 de abril de 2022.
El Proyecto modificará el artículo 21 de la Ley 13/2011 sobre las funciones de la Comisión Nacional del Juego y añadirá la Disposición adicional novena sobre el servicio de investigación global del mercado de apuestas.
Estas modificaciones a la Ley 13/2011 tienen por finalidad reforzar la capacidad de evaluación de la autoridad reguladora a la hora de contrastar la eficacia de las medidas sobre juego responsable o seguro exigibles a los operadores a consecuencia de los distintos desarrollos regulatorios que se dirigen a fortalecer la protección de los grupos en riesgo.
Puede consultar el Proyecto aquí.
Ley 3/2022, de 29 de marzo, reguladora del juego y las apuestas de La Rioja y de la prevención del juego problemático y patológico
El pasado jueves 24 de marzo, el pleno del Parlamento de La Rioja aprobó la Ley 3/2022, de 29 de marzo, reguladora del juego y las apuestas de La Rioja y de la prevención del juego problemático y patológico (la “Ley del Juego”).
Entre otros puntos relevantes, la Ley de Juego regula las distancias de apertura entre establecimientos de juego y centros docentes, o la prohibición de instalación de máquinas de apuestas en los establecimientos de hostelería y restauración.
En relación con este último punto, la Ley de Juego establece que la instalación de máquinas de juego en establecimientos de hostelería y restauración requiere la obtención de la autorización de instalación en los términos, condiciones y límites que señala la Ley de Juego y que reglamentariamente se determinen. En todo caso, únicamente se puede instalar un máximo de dos máquinas de los tipos denominados ‘A’, ‘A1’ y ‘B1’.
Puede consultar la Ley de Juego pulsando aquí.
La Consejería de Economía, Hacienda y Empleo de la Comunidad de Madrid publica las directrices generales del Plan Anual de Control Tributario de 2022, en el que se incluyen los tributos relativos al Juego
Entre las directrices generales del Plan Anual de Control Tributario de 2022 se encuentran la prevención del fraude y asistencia a los contribuyentes, la verificación y control de declaraciones y autoliquidaciones, actuaciones en el ámbito de la inspección y recaudación de los tributos, y valoraciones de bienes y derechos.
Respecto de los tributos sobre el Juego, en relación con los contribuyentes no declarantes, se fomentará la colaboración con la Dirección General de Seguridad, Protección Civil y Formación de la Comunidad de Madrid, para la obtención de información sobre las rifas, tómbolas y combinaciones aleatorias y la correcta autoliquidación del tributo.
Puede consultar las directrices aquí.
4. Otras noticias de interés
La Audiencia Nacional analiza el derecho a la desconexión digital de los empleados
El pasado 22 de marzo, la Sección Primera de la Sala de lo Social de la Audiencia Nacional (en adelante, “AN”), hizo público el fallo de la sentencia Nº 44/2022 por la que estima parcialmente la demanda formulada por diferentes sindicatos (en adelante, “Demandantes”) contra Teleperformance Spain, S.L.U. (en adelante, “Teleperformance” o “Demandada”) en relación con las cláusulas contenidas en el acuerdo de trabajo a distancia de la Demandada.
En concreto, las cláusulas objeto de debate son las relativas a la desconexión digital y trabajo a distancia que regulaban entre otros puntos la compensación de gastos derivados del trabajo a distancia, la desconexión digital o la cesión del correo electrónico y número de teléfono personal de la persona trabajadora.
La AN entiende que las cláusulas discutidas del acuerdo de trabajo a distancia de Teleperformance adolecen de ciertos defectos tales como, (i) la no enumeración de los gastos a causa del teletrabajo que serán compensados tal y como se establece en el artículo 7 de la Ley 10/2021 de trabajo a distancia, (ii) la no entrega al trabajador de los medios necesarios para llevar a cabo el trabajo a distancia o, (iii) porque la desconexión digital no se garantiza y queda limitada a necesidades empresariales no concretadas contraviniendo el artículo 88 de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales.
Por todo ello, la AN declara nulas las cláusulas contenidas en el contrato tipo de trabajo a distancia controvertido suscrito por el empresario demandado TELEPERFORMANCE ESPAÑA SA con 1.029 trabajadores de su plantilla.
Puede acceder a la sentencia pulsando aquí.
Se publica un Real Decreto-Ley 7/2022 sobre requisitos de seguridad para las redes 5G
El pasado 29 de marzo, se publicó en el Boletín Oficial del Estado el Real Decreto-Ley 7/2022, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación (en adelante, “RDL 7/2022”).
El RDL 7/2022 establece requisitos de seguridad para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología de quinta generación (“5G”).
Los objetivos que establece el RDL 7/2022 son principalmente: (i) impulsar una seguridad integral del ecosistema generado por la tecnología 5G; (ii) reforzar la seguridad en la instalación y operación de las redes de 5G; (iii) promover un mercado de suministradores suficientemente diversificado; y (iv) fortalecer la industria y fomentar las actividades de I+D+i nacionales en ciberseguridad relacionadas con la tecnología 5G.
Puede consultar el RDL 7/2002 aquí.
El Parlamento Europeo emite una resolución sobre las condiciones de trabajo de los trabajadores de plataformas digitales
El pasado 11 de marzo, fue publicado en el Diario Oficial de la Unión Europea la Resolución del Parlamento Europeo, de 16 de septiembre de 2021, sobre condiciones de trabajo justas, derechos y protección social para los trabajadores de plataformas: nuevas formas de empleo vinculadas al desarrollo digital (en adelante, la “Resolución”).
En esta Resolución, el Parlamento Europeo sostiene que se debe velar por unas condiciones de trabajo justas, que incluyan derechos y protección social para los trabajadores de plataformas digitales. La Resolución trata de responder a la preocupación que ha suscitado la precariedad, las malas condiciones de trabajo y la clasificación errónea de los trabajadores de plataformas como trabajadores por cuenta propia.
Asimismo, el Parlamento Europeo insta a la Comisión Europea a que introduzca en sus próximas propuestas medidas como la presunción refutable de la relación laboral para los trabajadores de plataformas y la inversión de la carga de la prueba, a cargo del empleador.
Puede consultar la Resolución aquí.
El Consejo de Ministros aprueba el Anteproyecto de Ley que traspone a derecho nacional la Directiva “Whistleblowing”
El pasado 4 de marzo, el Consejo de Ministros aprobó el texto del Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en adelante, “Anteproyecto”).
La Directiva 2019/1937 de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la UE (“Directiva de Whistleblowing”), tiene como objetivo concretar las directrices que deben seguir los Estados Miembros para asegurar la protección efectiva de aquellas personas que informan de infracciones del Derecho de la UE e infracciones penales o administrativas graves o muy graves. Para ello, la Directiva Whistleblowing establece los requisitos mínimos que han de cumplir los canales de denuncias internos y externos. Los canales de denuncias internos serán obligatorios, entre otras, para aquellas personas o entidades que empleen a más de 50 trabajadores y entidades del sector público. Mientras que el canal de denuncias externo estará gestionado por una autoridad pública, la Autoridad de Protección del Informante.
El Anteproyecto dedica su Título VI a regular aspectos relacionados con la protección de datos personales. En este Título se identifican las bases de legitimación de los tratamientos de datos personales que tienen lugar en el canal de denuncias y se establecen nuevas obligaciones, entre otras, obligaciones de información adicionales a las contenidas en el art. 13 del RGPD y la obligación de designar un Delegado de Protección de Datos para todas las entidades que estén obligadas a tener un canal de denuncias interno.
Puede consultar el texto del Anteproyecto completo aquí.
El Consejo de Europa y el Parlamento Europeo alcanzan un acuerdo sobre la Ley de Mercados Digitales
El 24 de marzo, el Parlamento Europeo anuncio que representantes del Parlamento Europeo, la Comisión Europea y el Consejo Europeo, habían alcanzado un acuerdo sobre los puntos más relevantes de la Ley de Mercados Digitales, conocida como la Digital Markets Act (“DMA”).
El objetivo de esta legislación es favorecer la creación de un mercado digital más equitativo. Para ello, la DMA impondrá obligaciones a las grandes plataformas, entre otras, la interoperabilidad de funcionalidades básicas de servicios de mensajería, garantizar el derecho de los usuarios a darse de baja del servicio en condiciones similares a las de su alta, o limitar la preinstalación de programas y aplicaciones en dispositivos.
Una vez se finalice la redacción del texto, este deberá ser refrendado por el Consejo de Europa y el Parlamento Europeo. Su aprobación está prevista para este año 2022, mientras que su entrada en vigor y trasposición en los Estados miembros se retrasaría hasta 2023 y 2024, respectivamente.
Puede consultar el comunicado de prensa del Consejo Europeo aquí, y el comunicado del Parlamento Europeo aquí.
Más información:
-
Norman Heckh (nheckh@ramoncajal.com)
-
María Luisa González (mlgonzalez@ramoncajal.com)
-
Antonio Borjas (aborjas@ramoncajal.com)
-
Pablo Tena (ptena@ramoncajal.com)
-
Andrés Ruiz (aruiz@ramoncajal.com)
-
Iomar Ruiz (iruiz@ramoncajal.com)
