Hemos comenzado el año 2023 con cuatro importantes multas impuestas por la autoridad de protección de datos de Irlanda (en adelante, “DPC”) y la autoridad francesa de protección de datos (en adelante, la “CNIL”) a grandes tecnológicas:
La DPC ha sancionado a Meta Platforms Ireland Limited (“Meta Ireland”) con un total de 390 millones de euros, de los cuales 210 millones se deben a infracciones en relación con su servicio de Facebook, mientras que los restantes 180 millones van referidas a infracciones en relación con su servicio de Instagram. Asimismo, la DPC ha impuesto a Meta Ireland la obligación de adaptar sus operaciones de tratamiento a lo dispuesto en el Reglamento General de Protección de Datos (“RGPD”) en un plazo de 3 meses.
La sanción deriva de una modificación por parte de Meta Ireland de los términos de servicio de Facebook e Instagram. Con esa modificación, Meta Ireland condicionaba el acceso de los usuarios a ambas redes a la aceptación de los términos de servicio actualizados, y su aceptación implicaba la suscripción de un contrato entre ella y el usuario, por lo que el tratamiento de datos quedaba fundamentado por la ejecución de dicho contrato. Sin embargo, Meta Ireland incluyó dentro de la ejecución del contrato la prestación de servicios personalizados y publicidad comportamental, algo del todo ilícito.
Por ello, el Comité Europeo de Protección de Datos (en adelante, “CEPD”) emitió dos Decisiones Vinculantes el pasado 5 de diciembre de 2022, en las que concluyó que Meta Ireland no tenía derecho a legitimar el tratamiento con fines de publicidad comportamental en la existencia de un contrato. De este modo, la DPC ha concluido que la base de legitimación empleada no es tal, por lo que la actuación de Meta Ireland constituye una infracción del artículo 6 del RGPD.
Puede encontrar más información sobre la sanción impuesta por la DPC en este enlace [1], y puede consultar las resoluciones del CEPD sobre Facebook e Instagram aquí [2] y aquí [3], respectivamente (únicamente disponibles en inglés).
La DPC también ha impuesto a WhatsApp Ireland (“WhatsApp”) una multa por valor de 5,5 millones de euros y le ha ordenado adecuar al RGPD sus operaciones de tratamiento en un plazo de 6 meses.
La sanción deriva de un motivo parecido al comentado en el punto anterior para Facebook e Instagram: WhatsApp realizó un cambio en sus términos de servicio, lo que conllevaba implícitamente la suscripción de un contrato entre éste y el usuario cuando éste los aceptase. Así, WhatsApp fundamentaba el tratamiento de datos de los usuarios en la ejecución de un contrato. Sin embargo, el hecho de que se condicionara la accesibilidad de los servicios a la aceptación de los términos de servicio actualizados “obligaba” a los usuarios a prestar su consentimiento para el tratamiento con fines de mejora y aumento de la seguridad del servicio, que venían incluidos en las citadas condiciones.
La DPC ha concluido que la base de legitimación empleada no es tal, por lo que la actuación de WhatsApp constituye una infracción del artículo 6 del RGPD.
Puede encontrar la comunicación pública de la sanción aquí [4] (disponible en inglés).
La CNIL ha impuesto a Apple Distribution International (“Apple”) una multa por valor de 8 millones de euros al descubrir que la configuración de privacidad de su sección “Anuncios personalizados” estaba activada por defecto y sin el consentimiento del usuario cuando éste visitaba el App Store con la antigua versión 14.6 del sistema operativo de iPhone.
La CNIL precisa que los anuncios personalizados, por su finalidad publicitaria, no son estrictamente necesarios para la prestación del servicio de App Store, por lo que se requiere el consentimiento previo del usuario. Sin embargo, además de que los ajustes de segmentación publicitaria disponibles en el icono “Ajustes” del iPhone estaban premarcados por defecto, el usuario tenía que realizar un gran número de acciones para desactivarlo.
La CNIL justifica el importe de la sanción por el alcance del tratamiento, el número de personas afectadas en Francia y los beneficios que la empresa obtuvo de los ingresos publicitarios generados indirectamente por los datos recogidos de estos identificadores.
Puede encontrar la resolución aquí [5] (únicamente disponible en francés).
La CNIL ha sancionado con 5 millones de euros al sitio web tiktok.com [6] (no a la app móvil), por incumplir la normativa en materia de cookies. En concreto, la CNIL ha observado que, mientras que el sitio web facilitaba la aceptación de las cookies con un solo click, hacían falta varios para rechazarlas todas. Esta práctica, que va encaminado a favorecer la aceptación de las cookies y disuadir a los usuarios de rechazarlas, constituye a ojos de la CNIL una infracción de la libertad de consentimiento de los usuarios. La elevada cuantía de la sanción se justifica por el hecho adicional de que los usuarios no fueron suficientemente informados de los propósitos de las cookies y se detectaron diversos factores agravantes (el número de personas involucradas –en especial, menores–, los repetidos pronunciamientos anteriores de la CNIL sobre el tema y las diversas deficiencias identificadas).
Puede encontrar la resolución aquí [7] (disponible en francés).
El Comité Europeo de Protección de Datos (en adelante, “CEPD”) emitió el pasado 17 de enero un informe sobre los requisitos que deben reunir los banners de cookies. El objetivo del informe es unificar criterios de las autoridades nacionales frente a las múltiples reclamaciones interpuestas por la organización NOYB (None Of Your Business) en distintos Estados miembros. Entre los requisitos que deben cumplir los banners, encontramos:
Puede encontrar el Informe aquí [8] (disponible en inglés).
El pasado 27 de enero entró en vigor el nuevo Código de Conducta de Autocontrol para el “Tratamiento de Datos en la Actividad Publicitaria” (el “Código”). El Código incorpora una nueva vía para resolver de manera más ágil las reclamaciones sobre tratamientos de datos con fines publicitarios, tales como el envío de comunicaciones comerciales –incluyendo aquellos en los que el interesado se encuentre inscrito en una lista de exclusión publicitaria– o el uso de cookies o tecnologías equivalentes para la realización de publicidad comportamental. Como muestra del deseo de autorregulación del sector, ya se han adherido al Código los principales operadores de telefonía, como Telefónica, Orange, Vodafone o MásMóvil.
Los ciudadanos podrán plantear directamente la reclamación ante Autocontrol, para que la asociación estudie el caso e inicie un procedimiento de mediación. La entidad adherida contra la que se dirija la reclamación deberá responder en el plazo máximo de 15 días, y podrá proponer las actuaciones que considere pertinentes para la mediación. Como máximo, el procedimiento podrá durar 30 días.
No obstante, los ciudadanos seguirán pudiendo presentar sus reclamaciones en esta materia ante la AEPD, quien las remitirá al Jurado de la Publicidad de Autocontrol para que inicie el procedimiento de mediación. En este caso, la duración máxima del procedimiento será de 27 días, debiendo informar a la AEPD del acuerdo que se alcance.
Puede encontrar el Código de Conducta en este enlace [9].
El litigio principal surge como resultado del ejercicio del derecho de acceso por parte de un interesado que solicitó copia de los datos personales que una empresa tenía de él y, en concreto, la identidad de posibles terceros destinatarios a los que se hubieran comunicado sus datos. La empresa se limitó a precisar que ofrecía los datos personales a clientes comerciales con fines de marketing, pero no le facilitó la concreta identificación de todos los destinatarios.
Con estos hechos, el interesado presentó recurso ante el Tribunal Supremo de Austria, que posteriormente planteó cuestión prejudicial al Tribunal de Justicia de la Unión Europea (en adelante, el “TJUE”), con el fin de que aclarase si el RGPD debe interpretarse en el sentido de que el derecho de acceso del interesado implica la obligación del responsable del tratamiento de facilitarle la identidad concreta de los destinatarios cuando esos datos hayan sido o vayan a ser comunicados.
El TJUE concluye que la información facilitada al interesado en virtud del derecho de acceso debe ser la más exacta posible y que, por tanto, implica la posibilidad de que el interesado obtenga información sobre los destinatarios concretos a los que se comunicaron o se comunicarán sus datos. A su vez, precisa que se deberá atender a lo anterior, a menos que no sea posible identificar a los destinatarios o que las solicitudes de acceso de los interesados sean manifiestamente inexactas o excesivas, pudiendo en dicho supuesto indicar al interesado únicamente las categorías de destinatarios de que se trate.
Puede encontrar la resolución completa aquí [10].
El TJUE, en su sentencia de 12 de enero de 2023 (asunto C-132/21), ha determinado que los recursos administrativo y civil previstos en el RGPD pueden ejercerse de forma concurrente e independiente. En el caso que da lugar a la resolución, el demandante acudió a la junta general de una sociedad de la que es accionista y planteó preguntas a los miembros del consejo de administración. Posteriormente, al solicitar que se le transmitiera la grabación de la junta, la sociedad solo puso a su disposición los extractos de sus propias intervenciones, dejando fuera todo lo demás, como las contestaciones a sus preguntas. Tras obtener una respuesta negativa de la autoridad de control húngara, interpuso recursos en las jurisdicciones civil y contencioso-administrativa. Mientras que los segundos aún no han contestado, los primeros ya han declarado que la sociedad violó el derecho de su accionista.
Ante esto, el Tribunal contencioso-administrativo húngaro pregunta al TJUE si está vinculado por la decisión de la vía civil y, de no ser así, si hay alguna regla de primacía en caso de resoluciones contradictorias. El TJUE entiende que cada vía que habilita el RGPD debe poder ejercerse sin perjuicio de las demás, sin que exista regla de primacía alguna. Así, los recursos previstos pueden ejercerse de manera concurrente e independiente, debiendo cada Estado miembro garantizar, mediante la adopción de las normas procesales necesarias, que los recursos concurrentes e independientes previstos por el RGPD no pongan en peligro la aplicación coherente y homogénea de sus disposiciones.
Puede acceder a la resolución completa en este enlace [11].
La CNIL ha sancionado a Voodoo, un editor de juegos para smartphones, con 3 millones de euros por utilizar un identificador esencialmente técnico para publicidad sin el consentimiento del usuario. En concreto, cuando un editor ofrece una aplicación en la App Store, se le proporciona un identificador técnico asociado al usuario denominado “IDentifier For Vendors” (“IDFV”). Este identificador permite hacer un seguimiento del uso de sus aplicaciones por parte de los usuarios. A Voodoo se le asigna un IDFV para todas las aplicaciones de la empresa y, combinándolo con otros datos del smartphone, el IDFV permite rastrear los hábitos de navegación de los usuarios (como las categorías de juegos que prefieren) y, conforme a eso, personalizarles los anuncios.
La CNIL observó que, aun cuando un usuario expresaba su negativa a ser rastreado con fines publicitarios, Voodoo seguía leyendo el IDFV y tratando, sin su consentimiento, datos relacionados con sus hábitos de navegación con fines publicitarios. Ello, como ha señalado la CNIL, supone una infracción del artículo 82 de la Ley francesa de protección de datos.
Puede encontrar la resolución aquí [12] (disponible en francés).
En su Informe 0098/2022, el Gabinete Jurídico de la AEPD analiza la consulta relativa a la adopción de un acuerdo por la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia (en adelante, “CEVRXID”) para la instalación de sistemas biométricos que permitan el control de todos los accesos a las gradas de animación como medida de obligado cumplimiento por parte de los Clubes o Sociedades Anónimas Deportivas.
Según la consulta, el tratamiento de los datos biométricos como categorías especiales de datos pretende ampararse en la potestad de la CEVRXID de “b) promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos”, establecida en el artículo 13.1 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte. No obstante, la AEPD señala que el precepto no contempla la posibilidad de que dichos “sistemas de verificación” impliquen el tratamiento de datos biométricos, ni tampoco establece las garantías pertinentes y adecuadas para la protección del derecho fundamental a la protección de datos.
Por tanto, la AEPD concluye que no existe una norma con rango de ley que habilite dicho tratamiento –al amparo de lo dispuesto en el artículo 9.2.g) del RGPD–, y que dicha laguna no puede suplirse en ningún caso mediante un acuerdo de la CEVRXID, al no poseer el acuerdo el rango normativo adecuado.
Puede encontrar el Informe completo aquí [13].
El Gabinete Jurídico de la AEPD publicó el pasado 20 de enero su informe 0032/2022, favorable a la aprobación de un único Código de Conducta en el que se recoja conjuntamente el régimen aplicable a los tres sistemas de información –antes regulados de manera independiente–, así como las especialidades de cada uno de ellos.
En su informe, la AEPD verifica que su aprobación se adecúa a lo dispuesto en la normativa de protección de datos, señalando que aporta un “auténtico valor añadido” e incorpora las garantías adecuadas necesarias para su aprobación. Además, informa favorablemente sobre la acreditación del Órgano de Control del Código de Conducta como organismo de supervisión del mismo.
En relación con el contenido, el Código incluye, además de los aspectos de carácter general (objeto, ámbito de aplicación, entrada en vigor, modificación, difusión y formación), su gobernanza, las normas aplicables a todos los sistemas y las especialidades de cada uno de ellos.
Puede encontrar el Informe completo aquí [14].
En el informe 0028/2022, la AEPD analiza la adecuación a la normativa de protección de datos de la solicitud de información que realiza el Tribunal de Cuentas (“TC”) a las formaciones políticas para controlar su legalidad contable.
En primer lugar, la AEPD afirma que se cumple el principio de licitud, ya que al TC se le atribuye por ley la función de control de la contabilidad y de la actividad económico-financiera de los partidos políticos y, por tanto, el tratamiento de los datos es necesario para el cumplimiento del interés público o el ejercicio de poderes públicos conferidos al responsable del tratamiento. Por otro lado, los partidos políticos asumen obligaciones sobre control de los fondos públicos que reciben, por lo que el tratamiento también es necesario para el cumplimiento de una obligación legal. Asimismo, la identificación de los afiliados al partido a través del control del origen de las cuotas y aportaciones por parte del TC constituye un tratamiento de categorías especiales de datos que resulta legitimado por el interés público esencial de los artículos 9.2.g) y 6.1.e) del RGPD.
En segundo lugar, en cuanto al principio de minimización de datos y limitación de la finalidad, la AEPD ha concluido que se trata de una cuestión de transcendencia tributaria, y que no le corresponde a ella, sino a la vía judicial, determinarla.
Finalmente, la AEPD concluye diciendo que, aunque no tiene competencias sobre aspectos económico-financieros y contables, y sin perjuicio de la valoración por el órgano judicial que corresponda, la solicitud de información que realiza el Tribunal de Cuentas entra dentro de las funciones de dicho organismo y sirve para cumplir con la finalidad del tratamiento. Así, la afectación a los derechos de protección de datos e intimidad encuentran su justificación en la adecuación a la legalidad vigente de los requerimientos del Tribunal de Cuentas.
Puede encontrar el Informe aquí [15].
El Gabinete Jurídico de la AEPD ha publicado su informe 0057/2022, en el que analiza una consulta sobre si la solicitud por parte de una empresa de gestión de aparcamientos de uso privado a la Dirección General de Tráfico (“DGT”) de la información del domicilio del titular del vehículo que ha hecho uso del aparcamiento en virtud del interés legítimo del consultante es conforme con la normativa de protección de datos. El objetivo de dicha solicitud de datos personales sería el poder reclamarles a dichos conductores el importe no abonado.
Actualmente, la DGT proporciona a cualquier persona interesada un informe de un vehículo, el cual, previo pago de una tasa, permite conocer los detalles técnicos y administrativos correspondientes. No obstante, tal informe no incluye el domicilio del titular del vehículo, a excepción de que el solicitante sea el propio titular, las Fuerzas y Cuerpos de Seguridad, la autoridad judicial u otro solicitante que se encuentre inequívocamente legitimado para conocer el dato en virtud de una norma con rango de Ley o que lo precise conocer para la ejecución de un contrato.
Cabe añadir que el hecho de que los datos tengan un carácter público para los terceros que ostenten un interés legítimo y directo no implica que estos puedan utilizarlos para finalidades desproporcionadas o distintas de aquella para la que fueron recabados.
Así, la AEPD concluye que no resulta lícito ni legítimo el acceso que pretenden hacer de los datos relativos al domicilio del titular del vehículo las compañías que explotan los aparcamientos. En el supuesto de que se diera acceso a los citados datos, se estaría actuando en contra de lo dispuesto en el RGPD, ya que se estarían tratando los datos para una finalidad distinta para la que se recabaron (conforme la normativa que regula el Registro de Vehículos). Además, el supuesto sometido a informe tampoco cumple las exigencias de la Disposición Adicional Décima, ni las bases jurídicas de legitimación del artículo 6 del RGPD.
Puede encontrar el Informe emitido por la AEPD aquí [16].
En el mes de enero, la AEPD ha publicado, además, los siguientes informes:
Informe jurídico 0097/2022, sobre la modificación del Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria presentado por Autocontrol
El pasado 20 de enero, la AEPD publicó un informe relativo al proyecto de modificación y ampliación del Código de Conducta de tratamiento de datos en la actividad publicitaria, estimando que concurren las previsiones de la normativa vigente.
Puede encontrar el Informe completo aquí [17].
Informe jurídico 0058/2022, sobre la posición de encargado del tratamiento de una entidad encargada de realizar control técnico y de calidad en el sector de la construcción
La AEPD ha concluido que la entidad consultante actúa en condición de encargado del tratamiento, puesto que trata los datos personales por cuenta del promotor, que es quien determina los fines y los medios del tratamiento, y por tanto tiene la condición de responsable.
Puede encontrar el Informe en este enlace [18].
Informe jurídico 0037/2022, sobre las cesiones de datos por parte de la Oficina Anticorrupción de las Islas Baleares a la Sindicatura de Cuentas
La AEPD concluye que la actuación de la Sindicatura de Cuentas de las Islas Baleares es conforme a derecho; ya que las cesiones de datos son concretas, motivadas, necesarias y no masivas; siendo además compatible la comunicación de los datos con la finalidad inicial del tratamiento. Asimismo, el tratamiento está legitimado por el cumplimiento de una obligación legal y misión realizada en interés público.
Puede consultar más información aquí [19].
Informe jurídico 0079/2022 sobre la propuesta de modificación del Real Decreto 453/2020, de 10 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Justicia, y del Real Decreto 997/2003, de 25 de julio, por el que se aprueba el Reglamento del Servicio Jurídico del Estado.
La propuesta de modificación normativa remitida a la AEPD para incluir nuevas funciones de la Dirección General de Transformación Digital de la Administración de Justicia (en adelante “DGTDAJ”) como, por ejemplo, el mantenimiento de un directorio general de aplicaciones judiciales ha sido valorada positivamente por el Gabinete Jurídico de la Agencia.
Puede encontrar el Informe aquí [20].
El pasado 14 de enero entró en vigor la reforma de la Ley de Marcas operada por la Directiva (UE) 2015/2436, sobre aproximación de las legislaciones de Estados miembros en materia de marcas, y traspuesta por dos Reales Decretos-Leyes.
La reforma, que persigue armonizar los sistemas marcarios nacional y europeo, tiene dos novedades principales:
La OEPM ha publicado el Manual informativo sobre nulidad y caducidad administrativa con información útil para la tramitación de esos procedimientos (disponible aquí [21]). La OEPM también ha hecho públicos en su sitio web los nuevos formularios electrónicos para iniciar tales procedimientos.
El Parlamento de las Islas Baleares ha admitido a trámite el Proyecto de Ley de modificación de la Ley del Juego, solicitando además su tramitación por el procedimiento de urgencia. Entre las múltiples modificaciones y medidas que la reforma introduce, se encuentran:
Tampoco podrán instalarse tales establecimientos en una distancia inferior a 500 metros del término municipal de la Palma, o a 250 metros en el resto de los municipios de las Islas Baleares.
Igualmente, no podrán instalarse en las fachadas de los establecimientos de juego imágenes que inciten al juego o elementos lumínicos que no sirvan de señalización de entradas o de salidas.
Tampoco podrán las máquinas emitir estímulos sonoros o lumínicos mientras ningún cliente las esté usando, a excepción de un mensaje sobre un entorno seguro del juego y de las apuestas.
Puede consultar el texto íntegro de la Ley aquí [22].
Links
[1] https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland
[2] https://edpb.europa.eu/system/files/2023-01/edpb_bindingdecision_202203_ie_sa_meta_facebookservice_redacted_en.pdf
[3] https://edpb.europa.eu/system/files/2023-01/edpb_binding_decision_202204_ie_sa_meta_instagramservice_redacted_en.pdf
[4] https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-inquiry-whatsapp
[5] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046907077
[6] http://www.tiktok.com/
[7] https://www.cnil.fr/sites/default/files/atoms/files/deliberation_san-2022-027-29-decembre-2022_societes-tiktok.pdf
[8] https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf
[9] https://www.aepd.es/es/documento/codigo-conducta-autocontrol.pdf
[10] https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=204440
[11] https://curia.europa.eu/juris/document/document.jsf?text=&docid=269145&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=92227
[12] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046988935?init=true&page=1&query=SAN-2022-026&searchField=ALL&tab_selection=all
[13] https://www.aepd.es/es/documento/2022-0098.pdf
[14] https://www.aepd.es/es/documento/2022-0032.pdf
[15] https://www.aepd.es/es/documento/2022-0028.pdf
[16] https://www.aepd.es/es/documento/2022-0057.pdf
[17] https://www.aepd.es/es/documento/2022-0097.pdf
[18] https://www.aepd.es/es/documento/2022-0058.pdf
[19] https://www.aepd.es/es/documento/2022-0037.pdf
[20] https://www.aepd.es/es/documento/2022-0079.pdf
[21] https://www.oepm.es/export/sites/oepm/comun/documentos_relacionados/Publicaciones/Folletos/Manual_Nulidad_y_Caducidad_Administrativa.pdf
[22] http://web.parlamentib.es/repositori/PUBLICACIONS/10/bopibs/bopib-10-190.pdf
[23] mailto:nheckh@ramoncajal.com
[24] mailto:mlgonzalez@ramoncajal.com
[25] mailto:mpalma@ramoncajal.com
[26] mailto:csanpedro@ramoncajal.com
[27] mailto:ctuero@ramoncajal.com
[28] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[29] https://twitter.com/RamonyCajalAbog
[30] https://www.ramonycajalabogados.es/es/search