En los últimos días, la AEPD ha publicado distintas resoluciones que resuelven procedimientos sancionadores abiertos en los meses previos a la declaración del estado de alarma. Entre ellas se encuentran las resoluciones que comentamos a continuación:
Con fecha 21 de mayo y 4 de noviembre de 2019, se presentaron dos reclamaciones en la Agencia Española de Protección de Datos frente a la entidad GLOVOAPP23, S.L. (en adelante, “GLOVO”), que denunciaban la falta de nombramiento de un Delegado de Protección de Datos o “DPD” en la citada compañía.
GLOVO alegó en su defensa que consideraba que no se encontraba en ninguno de los supuestos tasados en los artículos 37 RGPD y 34 LOPDGDD, por lo que carecía de obligación formal de nombrar un DPD. Además, señaló que, a pesar de no estar en la obligación anteriormente mencionada, con fecha 8 de junio de 2018, constituyó un Comité de Protección de Datos que cumplía las funciones descritas en el artículo 39 RGPD. En cualquier caso, tras comunicársele el procedimiento sancionador, GLOVO procedió al nombramiento de un DPD.
La AEPD entiende que GLOVO realiza tratamientos que quedan incluidos dentro del 37.1.b) del RGPD:
“ 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
(…)
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala (…)”.
Por otro lado, recuerda que el artículo 34.3 de la LOPDGG indica:
“3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.
En la resolución publicada no aparece reflejado ni el razonamiento que, en su caso, ha expuesto GLOVO para argumentar que no le corresponde nombrar un DPD, ni los fundamentos jurídicos que tiene en consideración la AEPD para llegar a la conclusión contraria.
La AEPD considera que se ha cometido una infracción del artículo 37 del RGPD, tipificada como grave en el artículo 83.4 de la misma norma con multas administrativas de 10.000 000 EUR como máximo o, de una cuantía equivalente al 2 % como máximo del volumen de negocio, e impone una multa de 25.000 euros.
Entre los agravantes que aplica se encuentran los siguientes:
El texto completo de la resolución se encuentra disponible en este enlace [1].
La Agencia Española de Protección de Datos ha sancionado a la entidad TWITTER INTERNATIONAL COMPANY (en adelante, “Twitter” o la “Reclamada”) con 30.000 euros de multa por no ofrecer la posibilidad de rechazar o configurar las cookies que instala.
La AEPD da por probados los siguientes hechos que constituyen, en su opinión, un incumplimiento del artículo 22.2 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSI”):
La infracción se encuentra tipificada como leve en el artículo 38.4 g) de la LSSI.
La resolución puede consultarse aquí [2].
El Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19 (en adelante, “RD 21/2020”), publicado en el Boletín Oficial del Estado (“BOE”) el 10.06.2019, incluye diversas menciones relacionadas con el derecho fundamental a la protección de datos.
Debemos destacar que el Capítulo V, (“Detección precoz, control de fuentes de infección y vigilancia epidemiológica”), que comprende los artículos 22 a 27, establece distintas obligaciones de registro y comunicación de datos personales en la medida que resultan necesarios para la detección y control de infecciones:
El artículo 27 del RD 21/2020 aclara que la finalidad del tratamiento es la vigilancia epidemiológica del COVID-19 y la base legitimadora del tratamiento es el interés público amparado en el artículo 6.1.e) del RGPD.
El RD 21/2020 establece, además, que serán corresponsables del tratamiento las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad. Los datos podrán ser intercambiados con otros países (incluidos fuera de las fronteras europeas) de acuerdo con lo estipulado en el artículo 27.4 de la norma, siempre y cuando este intercambio esté regido por el Reglamento General de Protección de Datos.
Por último, resaltaremos que la Disposición adicional primera está dedicada a “Controles sanitarios y operativos en aeropuertos gestionados por Aena”. En dicha disposición, se establece que Aena pondrá a disposición de los servicios centrales y periféricos de Sanidad Exterior de modo temporal los recursos humanos, sanitarios y de apoyo, necesarios con el fin de garantizar el control sanitario de la entrada de pasajeros de vuelos internacionales en los aeropuertos gestionados por Aena. Los datos de salud y cualquier otro conexo recabados en el ejercicio de estas funciones de control sanitario, serán de exclusiva titularidad del Ministerio de Sanidad, no pudiendo, en ningún caso, Aena almacenar, acceder ni tratarlos por cuenta del Ministerio de Sanidad.
Puede consultar el Real Decreto-ley pulsando el siguiente enlace [3].
Links
[1] https://www.aepd.es/es/documento/ps-00417-2019.pdf
[2] https://www.aepd.es/es/documento/ps-00299-2019.pdf
[3] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-5895
[4] mailto:nheckh@ramoncajal.com
[5] mailto:mlgonzalez@ramoncajal.com
[6] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[7] https://twitter.com/RamonyCajalAbog
[8] https://www.ramonycajalabogados.es/es/search
