El pasado 25 de febrero, la Agencia Española de Protección de Datos (“AEPD”) y la Asociación Nacional Empresarial de la Industria Farmacéutica (“Farmaindustria”) presentaron el “Código de conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia”, el primer código de conducta sectorial aprobado por la AEPD (el “Código de Conducta”).
El Código de Conducta tiene como objetivo regular el tratamiento de datos personales en el ámbito de ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia, incorporando los requisitos materiales y formales de la normativa vigente en materia de protección de datos para facilitar su cumplimiento a todas aquellas entidades adheridas.
En relación con ensayos clínicos, el Código de Conducta establece protocolos que facilitan la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”) y ofrece seguridad a las entidades que se adhieran. Se regulan, por ejemplo, entre otras cuestiones: la aplicación de los principios de protección de datos, la evaluación de impacto, la codificación de datos, la responsabilidad de los distintos intervinientes en un ensayo, las bases legitimadoras de los tratamientos, el régimen de las transferencias internacionales de datos, las obligaciones derivadas de las brechas de seguridad y el ejercicio de derechos.
En materia de farmacovigilancia, el Código de Conducta diferencia entre el tratamiento de los datos personales identificativos y tratamiento de datos codificados, estableciendo protocolos para la recogida de información sobre posibles reacciones adversas en función de quien realice la notificación y los distintos canales de notificación, incluidas las redes sociales.
Puede consultar el Código de Conducta pulsando aquí [1].
La autoridad protección de datos de Francia (“CNIL”) ha emitido un comunicado respecto a la utilización de la herramienta Google Analytics (“Comunicado”).
El Comunicado sigue la línea de los recientes pronunciamientos de la autoridad de protección de datos de Austria [2] y del Supervisor Europeo de Protección de Datos (“SEPD”) a raíz de: (i) la Sentencia del Tribunal de Justicia de 16 de julio de 2020 en el caso “Schrems II”, que declaraba nula la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU, y; (ii) las más de 100 denuncias realizadas por la asociación Noyb ante todas las autoridades de protección de datos del Espacio Económico Europeo (“EEE”).
En este sentido, debemos recordar que la autoridad de control de protección de datos austriaca publicó el pasado 13 de enero de 2022 una decisión en la que establecía el siguiente criterio:
(i) Los datos recogidos mediante Google Analytics son transferidos a Google LLC en Estados Unidos, vulnerando los requisitos establecidos en el artículo 44 y siguientes del RGPD.
(ii) Las cláusulas contractuales tipo aprobadas por la Comisión Europea por sí solas no ofrecen garantías adecuadas para la transferencia de datos personales, ya que las agencias de inteligencia estadounidenses habrían podido acceder en general a los datos personales transferidos en virtud de la normativa americana.
Las autoridades de control de protección de datos de Dinamarca y Países Bajos emitieron, a su vez, sendos comunicados en lo que ponen de manifiesto que están considerando la posición adoptada por la autoridad de protección de datos austriaca.
El reciente comunicado de la CNIL concluye que, a pesar de las medidas complementarias adoptadas por Google para regular las transferencias de datos, las transferencias internacionales de datos a Estados Unidos que se derivan del uso de Google Analytics no cuentan con las garantías adecuadas infringiendo, por tanto, el artículo 44 y siguientes del RGPD.
En consecuencia, la CNIL requiere a los gestores de páginas web a adaptar el tratamiento de datos al RGPD en el plazo de 1 mes. Además, la CNIL recomienda utilizar únicamente aquellas herramientas de medición que produzcan datos estadísticos anónimos y que, por tanto, no requieran consentimiento.
Los pronunciamientos de las autoridades de control de protección de datos no son aplicables en España. No obstante, se espera que la AEPD emita una decisión en los próximos meses.
Puede leer el comunicado de la CNIL pulsando aquí [3]. El comunicado de la autoridad de protección de datos de Dinamarca está disponible aquí, [4] y el de Países Bajos aquí. [5]
Puede acceder a la decisión del SEPD pulsando aquí [6].
El pasado 15 de febrero, el CEPD publicó una nota de prensa en la que anunciaba el inicio de una acción coordinada para investigar el uso de servicios basados en la nube por parte del sector público.
Esta acción, que será llevada a cabo por 22 autoridades de protección de datos, es consecuencia de la decisión del CEPD de crear un Marco Coordinado de Ejecución que se encuadra dentro de la Estrategia 2021-2023 y tiene como objetivo obtener una visión integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube.
Puede consultar la nota de prensa aquí. [7]
El pasado 15 de febrero de 2022, la Sala III de lo Contencioso-Administrativo el Tribunal Supremo (en adelante, “TS”) a través de sentencia 543/2022 estableció que la obligación de las empresas de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado.
La AEPD sancionó a Commcenter, S.A. (“Commcenter”) con una multa de 40.001 euros por haber infringido el principio de seguridad de los datos que se establecía en el artículo 9.1 de la Ley Orgánica 14/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante “LOPD”), normativa vigente en el momento de los hechos.
La sentencia del TS se pronuncia sobre dos cuestiones de relevantes:
(i) Las infracciones de la LOPD, por fallos de las medidas de seguridad que puedan cometer los empleados deben imputarse a la persona jurídica de la que dependan, con independencia de los medios y medidas de prevención que se hayan adoptado.
(ii) Las medidas de seguridad necesarias para garantizar la seguridad de los datos personales no pueden considerarse una obligación de resultado, sino de medios. El compromiso de la empresa se adquiere en adoptar los medios técnicos y organizativos teniendo en cuenta el estado de la tecnología en cada momento, así como desplegar una actividad diligente en su implantación.
No obstante, el TS considera que, en el caso de Commcenter, el estado de la técnica en el momento en que se produjeron los hechos permitía establecer medidas que hubiesen evitado la filtración de datos personales y que Commcenter no adoptó. Por ello, el TS desestimó el recurso de casación interpuesto confirmando la sanción impuesta, sin expresa condena en costas a la reclamante.
Puede consultar la sentencia pulsando aquí. [8]
El pasado mes de febrero, la AEPD analizó, en el PS/00337/2021, un caso de instalación de cámaras en zonas reservadas para el descanso de los trabajadores. El procedimiento se inicia con la reclamación de un afectado que forma parte del personal de seguridad de HiperMercado E.Leclrc (entidad bajo la responsabilidad de PINTODIS, S.L.), y que ha constatado la presencia de cámaras en la zona donde se cambia de ropa y almuerza, sin haber sido informado de las mismas.
Según el criterio de la autoridad de protección de datos española, la cámara de videovigilancia vulnera el principio de minimización de datos establecido en el artículo 5.1.c) del RGPD y supone un tratamiento excesivo para los fines perseguidos. Por ello, se impone una sanción de 10.000 euros a la entidad PINTODIS, S.L.
En concreto, la AEPD señala lo siguiente:
"De conformidad con las “evidencias” de las que se dispone en el presente procedimiento sancionador, se considera que la parte reclamada ha procedido a instalar un sistema de cámaras de video-vigilancia que trata datos de los trabajadores en zonas reservadas a la intimidad de los mismos sin causa justificada.
El dispositivo se encuentra en la zona de trabajo del personal dónde según manifiestan proceden a usar a modo de vestuario y zona de ocio en las interrupciones laborales. Las pruebas aportadas permiten constar una grabación permanente del cuarto de control en dónde se observa al reclamante almorzando a la par que cambiándose el uniforme de trabajo.
Los trabajadores deben estar informados de la presencia de cámaras debiendo existir una comunicación formal a los mismos dónde se les advierta de la presencia de las mismas, la finalidad (es) del tratamiento, responsable del tratamiento, etc siendo aconsejable que el documento entregado esté firmado por el trabajador (a) de la empresa o al menos que conste la comunicación al mismo o a sus representantes legales en legal forma.
Es necesario recordar que la instalación de tales medios en áreas de privacidad, como lugares de descanso o esparcimiento, vestuarios, aseos, comedores y análogos resulta, a fortiori, lesiva en todo caso del derecho a la intimidad de los trabajadores, sin más consideraciones, por razones obvias”.
Puede consultar la resolución pulsando aquí. [9]
La AEPD publicó, a principios de febrero, cuatro resoluciones en las que se sancionaba a diferentes compañías de servicios de telecomunicaciones por no contar con medidas de seguridad adecuadas que evitaran la práctica fraudulenta del SIM Swaping.
El SIM Swaping es una técnica delictiva consistente en obtener un duplicado de la tarjeta SIM asociada a una línea telefónica con la finalidad de suplantar la identidad del titular, al tener acceso de esta forma al segundo factor de autenticación en cuentas de redes sociales, aplicaciones bancarias, etc. Recordamos que el segundo factor de autenticación habitualmente es un SMS enviado a la línea de teléfono asociada al titular la cuenta.
Las AEPD ha examinado las características y adecuación de las políticas y procedimientos establecidos por las entidades para el cumplimiento de la normativa de protección de datos, considerando que no eran suficientes para garantizar la confidencialidad de los datos.
Puede consultar las resoluciones en los siguientes enlaces:
Vodafone España, S.A.U., aquí [10].
Xfera Móviles, S.A., aquí [11].
Telefónica Móviles España, S.A.U., aquí [12].
Orange Virtual España, S.A.U., aquí [13].
La AEPD ha impuesto una sanción de 300.000 euros a SegurCaixa Adeslas, S.A. de Seguros y Reaseguros (“SegurCaixa-Adeslas”) por enviar comunicaciones comerciales a una persona que había solicitado su derecho de supresión frente a la mencionada entidad. Además, esta persona se encontraba dada de alta en la Lista Robinson.
Las comunicaciones comerciales que habían motivado la reclamación se enviaron por agentes de seguros de SegurCaixa-Adeslas. La entidad aseguradora consideraba que los agentes de seguros habían llevado a cabo las comunicaciones comerciales en calidad de responsables del tratamiento y, por tanto, no correspondía a SegurCaixa-Adeslas atender la petición recibida por parte del interesado.
La AEPD, conforme a la normativa sectorial de seguros, establece que los agentes de seguros y operadores de banca-seguros tienen la condición de encargados del tratamiento de la entidad aseguradora. Por lo tanto, considera responsable a SegurCaixa-Adelas por no haber atendido correctamente la petición de supresión de datos, sancionado a la entidad con una multa de 300.000 euros.
Puede consultar la resolución completa pulsando aquí [14].
La AEPD ha sancionado a Page Group Europe, S.L. (en adelante, “Michael Page”) por obstaculizar la atención de un derecho de acceso solicitando documentación identificativa al interesado, al exigir como requisito obligatorio para atender este derecho la presentación del documento nacional de identidad. En concreto, la AEPD ha impuesto una multa de 250.000 euros por el incumplimiento del artículo 5.1.c) del RGPD, al no haberse respetado el principio de minimización de datos, y una multa de 50.000 euros por haber infringido el artículo 12 del RGPD.
En su resolución, la AEPD recuerda que los documentos identificativos solo pueden solicitarse cuando se tengan dudas de la identidad del reclamante. Asimismo, considera que el tratamiento de estos documentos identificativos aumenta el riesgo para los afectados frente a una posible brecha de seguridad.
En este sentido, conviene también destacar que la autoridad de control de protección de datos de Países Bajos ha sancionado a una entidad con 525.000 euros por solicitar, indebidamente, documentos de identidad para atender un derecho.
Puede consultar la resolución completa de la AEPD pulsando aquí [15] y la resolución de la autoridad de control de protección de datos de Países Bajos pulsando aquí [16] (solo disponible en holandés).
El pasado 14 de febrero, la AEPD publicó la resolución del procedimiento PS/00478/2021, en el proponía imponer una multa de 20.000 euros a Servicios Financieros Carrefour, EFC., S.A. (en adelante, “Carrefour”). El mencionado procedimiento se inició por un reclamante que manifestó que Carrefour le había denegado varias veces una tarjeta solicitada, al parecer por una deuda anterior que fue saldada. El reclamante solicitó, además, la supresión de sus datos.
La AEPD determinó que Carrefour no informó al reclamante que se había consultado un sistema de información crediticia y que se había denegado la solicitud de celebración de un contrato por tal motivo. De acuerdo con ello, la AEPD considera que se ha infringido el artículo 20.1.f) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”).
Carrefour procedió al pago voluntario de 12.000 euros haciendo uso de las reducciones previstas por pago voluntario y reconociendo la responsabilidad, declarando la AEPD la terminación del procedimiento.
Puede consultar la resolución completa aquí [17].
Tras finalizar el período de consulta pública, el Comité Europeo de Protección de Datos (“CEPD”) adoptó, el pasado 22 de febrero, la versión actualizada de las “Directrices 04/2021 sobre los Códigos de Conducta como herramientas para transferencia de datos personales” (en adelante, las “Directrices”).
Las Directrices contienen una explicación de la normativa aplicable a la realización de transferencias internacionales de datos fuera del EEE, y analizan los Códigos de Conducta como mecanismos para garantizarlas.
Asimismo, las Directrices proporcionan una lista de control de los elementos que deben abarcar un Código de Conducta destinado a las transferencias internacionales, enumeran los actores implicados en la creación de los mismos y detallan el proceso para su adopción.
Puede consultar las directrices pulsando aquí [18] (solo disponible en inglés).
A finales de febrero, la autoridad de control de protección de datos de Reino Unido (“ICO”) publicó una nueva versión de su “Guía de Videovigilancia”.
La mencionada guía se publica como respuesta al aumento del uso de sistemas de videovigilancia en los sectores público y privado con el objetivo de adaptarse a las novedades tecnológicas, como el uso de tecnologías de reconocimiento facial y de algoritmos de aprendizaje automático.
La guía de la ICO resalta, por ejemplo, la importancia de garantizar la protección de datos desde el diseño y por defecto, la necesidad de valorar si es necesario realizar una Evaluación de Impacto en Protección de Datos (“EIPD”) y el deber de considerar alternativas a la videovigilancia.
Puede consultar la Guía aquí [19].
El pasado 17 de febrero, la AEPD publicó una lista de verificación que tiene como objeto servir de lista de control a los responsables del tratamiento sobre el proceso de gestión del riesgo, la evaluación de impacto en materia de protección de datos y la integridad de la documentación de EIPD.
La mencionada lista de verificación es una herramienta para comprobar que se han realizado las acciones formales necesarias para llevar a cabo una EIPD, permitiendo identificar y determinar de una forma rápida si el proceso y la documentación que el responsable del tratamiento está siguiendo contienen los elementos mínimos exigibles.
La lista de verificación complementa la guía de la AEPD “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”, que facilita la obligatoria gestión de riesgos en los procesos de gobernanza de las entidades y, cuando corresponda, la EIPD.
Puede consultar el listado de verificación de la AEPD pulsando aquí [20], y puede consultar la guía de “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales” pulsando aquí [21].
El Juzgado de lo Mercantil número 8 de Barcelona, en su sentencia número 3/2022 de 14 de febrero de 2022, se ha pronunciado sobre la titularidad de los derechos de autor del formato televisivo conocido como “El Rosco”. En el asunto, se oponen, por un lado, la empresa holandesa MC&F Broadcasting Production and Distribution, C.V., (en adelante, la “Demandante”), y, por otro lado, ITV Studios Global Distribution LTD y Atresmedia Corporación de Medios de Comunicación, S.A. (los “Demandados”).
La Demandante reclamaba el reconocimiento de la titularidad de los derechos de propiedad intelectual de “El Rosco”, la cesación de cualquier acto de explotación de este formato por los Demandados, y la indemnización por daños y perjuicios derivados de infracciones de la normativa de propiedad intelectual y de competencia desleal.
En su sentencia, el juzgado analiza el concepto de obra y considera que la Demandante no ha acreditado suficientemente su autoría, ni la originalidad del citado juego como un formato dotado de autonomía y sustantividad propia que pudiera ser protegido por la propiedad intelectual. Asimismo, el juzgado desestima las acciones ejercitadas con fundamento en la normativa de competencia desleal.
La resolución no es firme y contra ella cabe interponer recurso de apelación ante la Audiencia Provincial de Barcelona.
Puede consultar la sentencia aquí [22].
El Tribunal General de la Unión Europea (en adelante, el “TGUE”), en su sentencia de 19 de enero de 2022, ha declarado sin lugar el recurso presentado por la empresa Tecnica Group SpA, (en adelante, “Tecnica Group”) titular de la marca de botas “Moon Boot” (en adelante, la “Marca”), contra la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”) y la empresa Zeitneu GmbH (en adelante, “Zeitneu”).
El TGUE confirma así la decisión de la EUIPO que declaró la nulidad de la citada Marca para los productos de la clase 25 de Niza correspondiente a “vestimentas y calzado”, al considerar que no se diferenciaba de manera significativa del resto de botas para después de esquiar, careciendo de carácter distintivo. Asimismo, el TGUE considera que la Marca tampoco había adquirido este carácter distintivo por el uso, ya que no se acreditó este en todo el territorio de la Unión Europea.
Entre los antecedentes del conflicto, se debe destacar que: (i) Tecnica Group registro la Marca en las clases 18, 20 y 25 según la clasificación de Niza; (ii) Zeitneu trató de obtener, sin éxito, una declaración de no infracción ante el Tribunal de Distrito de Venecia y el Tribunal de Apelación de Venecia, presentando finalmente una acción de nulidad de Marca ante la EUIPO; y (iii) la EUIPO estimó parcialmente la solicitud y declaro la nulidad de la Marca en la clase 25, en base a los argumentos mencionados.
Puede consultar la sentencia completa pulsando aquí [23].
El 15 de febrero, se publicó en el Boletín Oficial de País Vasco el Decreto 19/2022, de 8 de febrero, por el que se modifica el decreto por el que se aprueba el reglamento general del juego en la Comunidad Autónoma de Euskadi, que entró en vigor al día siguiente de su publicación.
Las medidas adoptadas en este Decreto se adoptan a instancias del Observatorio Vasco del Juego que presentó un plan de acción con una serie de medidas cuyo objetivo era modular la oferta de juego y mejorar el control de acceso al juego.
Entre las novedades que presenta la nueva legislación podemos destacar las siguientes:
Puede consultar el Decreto pulsando aquí [24].
La Comisión Nacional de los Mercados y la Competencia (en adelante, “CNMC”), como encargada del control del mercado audiovisual, ha publicado la “Comunicación 003/2021 criterios vloggers” en la que analiza los requisitos que se tendrán en cuenta para considerar como prestadores de servicios de comunicación audiovisual a los agentes audiovisuales (vloggers) que utilizan y difunden contenidos a través de plataformas de terceros.
Según la CNMC, para que una actividad pueda catalogarse como servicio de comunicación audiovisual y, por lo tanto, quedar sometida a su ámbito regulatorio, deben concurrir los siguientes siete criterios cumulativos, que son analizados en la citada comunicación:
Puede consultar el documento de la CNMC pulsando aquí [25].
Links
[1] https://www.aepd.es/es/documento/codigo-conducta-farmaindustria-cc-0007-2019.pdf
[2] https://www.dsb.gv.at/dam/jcr:c1eb937b-7527-450c-8771-74523b01223c/D155.027%20GA.pdf
[3] https://www.cnil.fr/fr/node/122174
[4] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jan/afgoerelse-om-brug-af-google-analytics-fra-det-oestrigske-datatilsyn
[5] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics.pdf
[6] https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf
[7] https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_en
[8] https://www.poderjudicial.es/search/openDocument/bbb5f3256ed28cb7
[9] https://www.aepd.es/es/documento/ps-00337-2021.pdf
[10] https://www.aepd.es/es/documento/ps-00001-2021.pdf
[11] https://www.aepd.es/es/documento/ps-00027-2021.pdf
[12] https://www.aepd.es/es/documento/ps-00021-2021.pdf
[13] https://www.aepd.es/es/documento/ps-00022-2021.pdf
[14] https://www.aepd.es/es/documento/ps-00322-2021.pdf
[15] https://www.aepd.es/es/documento/ps-00003-2021.pdf
[16] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_dpg.pdf
[17] https://www.aepd.es/es/documento/ps-00478-2021.pdf
[18] https://edpb.europa.eu/system/files/2022-03/edpb_guidelines_codes_conduct_transfers_after_public_consultation_en_1.pdf
[19] https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-video-surveillance/
[20] https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.aepd.es%2Fes%2Fdocumento%2Flista-verificacion-eipd-consulta-previa.docx&wdOrigin=BROWSELINK
[21] https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
[22] https://www.poderjudicial.es/search/AN/openDocument/fb4ab97b354922bb/20220304
[23] https://curia.europa.eu/juris/document/document.jsf?text=&docid=252402&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=317788
[24] https://www.euskadi.eus/y22-bopv/es/bopv2/datos/2022/02/2200758a.pdf
[25] https://www.cnmc.es/sites/default/files/editor_contenidos/Audiovisual/Proyecto%20COMUNICACION-DTSA-003-21.pdf
[26] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[27] https://twitter.com/RamonyCajalAbog
[28] https://www.ramonycajalabogados.es/es/search