Tras finalizar el período de consulta pública, el Comité Europeo de Protección de Datos adoptó finalmente, el pasado 14 de diciembre de 2021, sus “Directrices 1/2021 sobre ejemplos relacionados con la notificación de brechas de seguridad” (“Directrices 01/2021”).
Las Directrices 01/2021 constituyen una orientación práctica para que los responsables del tratamiento valoren la necesidad o no de notificar una brecha de seguridad a su respectiva autoridad de control. El documento del CEPD analiza diferentes supuestos de brechas de seguridad basados en casos reales que las diferentes autoridades de control han ido recibiendo en estos últimos años, proponiendo medidas para mitigar el riesgo.
Puede acceder a las Directrices 1/2021 sobre ejemplos relacionados con la notificación de brechas de seguridad pulsando aquí (solo disponible en inglés).
Después de las conversaciones mantenidas entre la Comisión Europea y la República de Corea del Sur en marzo de 2021, y tras el dictamen preceptivo de septiembre de 2021 del Comité Europeo Protección de Datos (“CEPD”), la Comisión Europea anunció el pasado 17 de diciembre la decisión de adecuación para la República de Corea del Sur.
La mencionada decisión de adecuación, conforme al artículo 45 del Reglamento (UE) 2016/679, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”) conlleva a considerar a la República de Corea del Sur como un país que garantiza un nivel de protección de datos personales comparable a la Unión Europea. Por lo tanto, gracias a la decisión adoptada por la Comisión Europea, los datos personales que se traten dentro del Espacio Económico Europeo (“EEE”) pueden transferirse libremente y con seguridad a la República de Corea del Sur a partir de ahora.
El CEPD concluía en su dictamen de septiembre de 2021 que el marco regulatorio surcoreano en materia de protección de datos presentaba similitudes con el RGPD al contar con una ley de protección de datos personales que establece principios, garantías, derechos individuales y obligaciones similares a los de la legislación en la Unión Europea. Asimismo, tras las reformas introducidas por la República de Corea del Sur en agosto de 2020, se reforzó los poderes de investigación y aplicación de la autoridad independiente de protección de datos de dicho país.
De acuerdo con lo anterior, desde el 17 de diciembre de 2021, la transferencia internacional de datos personales a República de Corea del Sur no está sujeta a ninguna condición o autorización, siendo comprable a la transmisión de datos dentro del EEE. No obstante, conviene recordar que aquellos responsables del tratamiento que lleven a cabo transferencias internacionales a República de Corea del Sur o a cualquier tercer país fuera del EEE en virtud de una decisión de adecuación, deberán cumplir con el resto de obligaciones impuestas por el RGPD en esta materia, como por ejemplo el deber de informar a los interesados acerca de la transferencia internacional de datos o la obligación que tienen de verificar cada cierto tiempo la vigencia de la decisión de adecuación en la que basan la transferencia internacional de datos.
Puede acceder a la decisión de adecuación de Corea del Sur pulsando aquí. (solo disponible en inglés).
El 2 de diciembre de 2021 se publicaron las conclusiones del Abogado General de la Unión Europea Richard de la Tour en el asunto C-319/20. El proceso original que dio lugar al asunto C-319/20 se presentó por la Federación alemana de Organizaciones y Asociaciones de Consumidores contra Facebook Ireland, por haber infringido el RGPD al no informar adecuadamente de los fines del tratamiento de los datos y de los destinatarios de los mismos.
La cuestión prejudicial elevada al alto tribunal versaba sobre la admisibilidad del ejercicio de una acción referente a la protección de datos personales por una asociación en defensa de los intereses de los consumidores cuando no concurre una vulneración concreta de los derechos de los interesados y, por tanto, sin que se cuente con un mandato para interponer la acción.
Ante esta cuestión, el Abogado General concluye que, la existencia de una legislación nacional que habilita a las organizaciones en defensa de los intereses de los consumidores no es contraria al RGPD siempre que las alegaciones presentadas tengan por objeto conferir derechos subjetivos a los interesados. De acuerdo con ello, el Abogado General de la Unión Europea entiende que no es necesario que exista una vulneración concreta e individualizada de los derechos de los mismos para que una asociación de consumidores pueda ejercer una acción de protección de datos en defensa de los intereses de los consumidores.
La Agencia Española de Protección de Datos (“AEPD”) ha publicado la resolución PS/00109/2021 por la que apercibe a la Consejería de Educación, Cultura y Deporte de la Comunidad Valenciana (la “Consejería”) por realizar un tratamiento de datos personales excesivo y no informar adecuadamente de la realización del mismo.
La Consejería elaboró un formulario en el que se recaban datos necesarios para conocer de los porcentajes de conocimiento de las lenguas menores de la aplicación del Programa de educación plurilingüe e intercultural previsto en la Ley 4/2018 de la Comunidad por la que se regula y promueve el plurilingüismo en el sistema educativo valenciano. Los formularios elaborados por la Consejería identificaban por su nombre y apellidos a los alumnos de los cuales se recogían los datos.
En primer lugar, esta resolución la AEPD considera que, el tratamiento de datos identificativos de los alumnos es un tratamiento innecesario para la finalidad perseguida por la Consejería. En segundo lugar, en los formularios de recogida no se incluía la información básica de protección de datos. La Consejería alegaba que la información se había facilitado en el momento de la matricula del alumno. Respecto a esta cuestión la AEPD establece claramente que la información deberá ser facilitada en el momento de la recogida de los datos para cada finalidad de tratamiento, debiéndose facilitar información adaptada al mismo.
Por lo tanto, la AEPD entiende que se han vulnerado ambos preceptos e impone una sanción de apercibimiento anunciando la comunicación de la resolución al Defensor del Pueblo.
Puede consultar la resolución aquí.
En el año 2020, una asociación de consumidores de Noruega presentó una denuncia contra la entidad Grindr, LLC (“Grindr”) ante la Autoridad de Protección de Datos de Noruega (“Datatilsynet”) por cesión ilegal de datos personales a terceros con fines de marketing.
Tras las investigaciones oportunas, Datatilsynet determinó que Grindr compartía datos de localización GPS, la dirección IP, la edad, el sexo y el hecho de que la persona era usuaria de los servicios de Grindr a terceros con fines de publicidad comportamental sin una base legal.
Datatilsynet determinó que la base jurídica que sería aplicable al tratamiento en el caso analizado sería el consentimiento, considerando que ninguno de los consentimientos que recogía Grindr de los usuarios legitimaba la cesión de datos a terceros con fines de marketing. Además, en el caso investigado tampoco se había informado a los usuarios acerca de la cesión de sus datos personales.
De acuerdo con lo anterior, Datatilsynet sancionó con una multa de 6,5 millones de euros a Grinder por su incumplimiento de la normativa de protección de datos, teniendo especialmente en cuenta que, de los datos afectados, se inducen categorías especiales de datos (orientación sexual, pertenencia a minorías excluidas).
Puede consultar más información pulsando aquí.
El pasado 6 de enero, la “Commission Nationale de l'Informatique et des Libertés” (“CNIL”) publicó dos resoluciones en las que impone una multa de 150 millones de euros a Google (90 millones de euros a Google LLC y 60 millones a Google Ireland Ltd), y otra de 60 millones de euros a Facebook Ireland Ltd.
De acuerdo con la CNIL, cuando se realizó una inspección de los sitios www.facebook.com, www.google.fr y www.youtube.com, se pudo verificar que se ofrecía al visitante un botón para aceptar todas de forma sencilla e inmediata. Sin embargo, no existía un mecanismo equivalente para rechazarlas (esta operación requería varios clicks por parte del usuario).
Las entidades sancionadas disponen de un plazo de tres meses para regularizar su situación. En caso contrario, deberán hacer frente a un recargo de 100.000 euros por cada día de retraso.
Se puede consultar más información en este enlace.
La Autoridad de Protección de Datos de Finlandia (la “Tietosuojavaltuutettu”) instó a una empresa de limpieza que evitara la utilización del servicio de mensajería instantánea Whatsapp para comunicar datos sobre sus clientes a los empleados.
A través de la mencionada aplicación de mensajería instantánea, la empresa había transmitido datos identificativos de clientes como nombres, números de teléfono y direcciones a sus empleados.
La autoridad señala que la empresa no había informado a sus clientes sobre el uso de esta aplicación en el tratamiento de sus datos personales, cuando se trata de un prestador de servicios que muy probablemente realiza transferencias a terceros sin contar con medidas de protección adecuadas.
Puede consultar la decisión aquí.
La Dirección General de Ordenación del Juego (“DGOJ”) publicó, el pasado 23 de diciembre de 2021, su Informe anual del juego en España en 2020 en la que se recoge un resumen de la actividad desarrollada en la DGOJ durante el mencionado año.
Puedes acceder al informe anual de la DGOJ pulsando aquí.
El Consejo de Ministros aprobó el pasado 10 de diciembre la remisión a las Cortes del Proyecto de Ley de fomento del ecosistema de las empresas emergentes (en adelante, “Proyecto de Ley de Startups”), el cuál trata de adaptar a las especificidades de las empresas emergentes la regulación en el ámbito administrativo, fiscal, civil y mercantil, con el objetivo de apoyarlas en las primeras etapas de su ciclo de vida.
Entre sus novedades destacan, por ejemplo, la agilización de los trámites para constituir una empresa con un solo paso y por medios telemáticos, sin costes notariales ni registrales. También se establece una ventanilla única para la declaración del carácter innovador de la empresa y el acceso a los beneficios previstos en el Proyecto de Ley de Startups.
El Proyecto de Ley de Startups también busca fomentar la colaboración entre administraciones públicas, universidades, organismos públicos y centros tecnológicos, regulando los entornos de prueba regulados (sandbox) para evaluar la utilidad, viabilidad e impacto en el mercado de las startups.
Puede consultar el Proyecto de Startups aquí.
Puede consultar las conclusiones aquí.