El pasado 8 de mayo se aprobó la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos (en adelante, la “Ley 11/2023”).
Dicha ley ha supuesto la modificación tanto de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD") como de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSI”).
Por lo que respecta a los cambios introducidos en la LOPDGDD, estos han afectado esencialmente a la tramitación de algunos procedimientos de la Agencia Española de Protección de Datos (en adelante “AEPD”) y a su Estatuto. Por un lado, se modifica la figura del apercibimiento, que se configura como un procedimiento más flexible y no sancionador. Por otro lado, se amplían algunos de los plazos para resolver, debido a la complejidad de los asuntos a los que, con cada vez más frecuencia, se enfrena la AEPD y se establecen modelos estándar de presentación de reclamaciones. En la misma línea de fomento de la agilidad en los trámites, se posibilita el establecimiento de mecanismos que permitan llevar a cabo las actuaciones de investigación de la AEPD a través de sistemas digitales.
Además, se regula la sustitución de la Presidencia de la AEPD en los supuestos de ausencia, vacancia o enfermedad, así como en los de abstención o recusación, respecto de sus funciones relacionadas con los procedimientos regulados por el título VIII de la LOPDGDD.
En cuanto a la LSSI, en términos generales, los cambios han afectado a la ampliación del alcance de supervisión y control que asume el Ministerio de Asuntos Económicos y Transformación Digital; a la lista de responsables sometidos al régimen sancionador de la LSSI; a la tipología de infracciones consideradas leves y graves y a su régimen sancionador y a la creación de un Registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
Puede consultar la ley de modificación aquí [1].
Meta figura de nuevo en prensa, esta vez, con una multa de 1.200 millones de euros, así como una doble orden de cese de transferencia y cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en adelante, “RGPD”).
A raíz de la nulidad del Privacy Shield, y encontrándose en un momento de incertidumbre con respecto a la regulación de las transferencias internacionales de datos, Meta optó por enmarcar el tratamiento bajo el amparo de las Cláusulas Contractuales Tipo (en adelante, “CCT”), método que viene utilizando desde “Schrems II”.
Sin embargo, la Autoridad de Protección de Datos irlandesa (en adelante, “DPC”) ha considerado esta estrategia insuficiente para cubrir las deficiencias que se identificaron con la invalidación del Privacy Shield. En su decisión se resaltan varios argumentos que se pueden resumen en cuatro ejes: ni la legislación americana tiene un nivel de protección equivalente a la europea, ni las CCT o las medidas complementarias cubren sus carencias. Tampoco son viables ninguna de las excepciones previstas en el artículo 49 del RGPD para la realización de transferencias.
Sobre la necesidad de alinearse con los requerimientos del RGPD, la DPC no ha sido particularmente explícita en cuanto a cómo proceder, limitándose a ordenar “el cese de todo tratamiento ilegítimo, incluyendo el almacenamiento de los datos en Estados Unidos”. Algunos expertos han aventurado la opción de anonimizar o encriptar los datos como medida correctiva.
Es muy probable que Meta recurra la sanción, aunque lo cierto es que con este precedente están ahora en el punto de mira todos los prestadores de servicios de comunicaciones. El impacto en sus modelos de negocio es significativo y van a necesitar reevaluar su estrategia con prontitud.
Puede consultar el texto completo de la decisión aquí [2].
En el marco de un litigio entre un particular y la sociedad Österreichische Post (en adelante, la “Sociedad”), el Tribunal Supremo de lo Civil y Penal austriaco ha planteado una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”), sobre la interpretación del artículo 82 del RGPD y los requisitos que deben reunirse para constatarse el derecho a recibir una indemnización.
La Sociedad demandada recopiló información sobre afinidades políticas entre la población y, mediante un algoritmo, generó un perfilado de “direcciones de grupos de destinatarios”, que luego vendió a distintas organizaciones con fines de publicidad dirigida. Este tratamiento de datos, realizado sin consentimiento previo del demandante, permitió inferir cierta afinidad política, provocando daños y perjuicios inmateriales al demandante, ya que se consideró por ello “ofendido y humillado”.
Con el fin de determinar bajo qué circunstancias y criterios corresponde reconocer el derecho a una indemnización por daños y perjuicios, se plantean ante el TJUE las tres cuestiones siguientes:
Puede consultar la sentencia aquí [4].
En el marco de un litigio entre un particular y la Autoridad Austriaca de Protección de Datos (en adelante, “DSB”), el Tribunal Federal de lo Contencioso Administrativo austriaco, ha planteado una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”) sobre la interpretación del artículo 15 del Reglamento General de Protección de Datos (en adelante, “RGPD”) y cómo debe responderse un derecho de acceso.
El demandante ejercitó frente a CRIF, una agencia de asesoramiento comercial sobre solvencia de terceros, su derecho de acceso a los datos personales que la entidad trataba sobre él, así como una copia de los documentos que contenían sus datos. A este derecho, CRIF respondió enviando un archivo estructurado con un resumen de los datos tratados, pero sin adjuntar copia de los documentos originales.
Con el fin de determinar bajo qué criterios se considera cumplida la contestación a un derecho de acceso, se plantean ante el TJUE las cuestiones siguientes:
La transparencia implica, en primer lugar, el derecho de acceso debe permitir al interesado cerciorarse de que los datos personales que le conciernen son exactos y que se tratan lícitamente. De ello depende que éste pueda posteriormente ejercer el resto de los derechos que le asisten. En segundo lugar, la transparencia alude a la obligación del responsable de facilitar la información de manera concisa, fácilmente accesible y comprensible, utilizando un lenguaje claro y sencillo.
Por lo tanto, según el TJUE, entregar una copia de los datos objeto de tratamiento, respetando el principio de transparencia, implica: una reproducción auténtica e inteligible de todos los datos tratados, pudiendo incluirse copias de extractos de documentos, documentos enteros, o extractos de bases de datos, cuando ello resulte indispensable, para permitir al interesado ejercer efectivamente sus derechos.
Puede consultar la sentencia aquí [5].
Para acudir al último Mobile World Congress (en adelante, “MWC”), los asistentes tenían la opción de participar en el evento tanto de forma online como presencialmente. Sin embargo, el registro para la asistencia presencial estaba sometida a una serie de controles adicionales: la empresa organizadora, GSMA, Ltd (en adelante, “GSMA”), supeditó el acceso al recinto a la aportación de un documento de identidad (DNI o pasaporte) y una fotografía. Además, en el formulario de registro se permitía la opción (mediante la marcación de una casilla) de asociar los datos personales a un reconocimiento biométrico.
El motivo aludido para la implantación de las anteriores medidas era garantizar la identificación de los asistentes y simplificar y agilizar el proceso de entrada.
De acuerdo con lo dispuesto en el artículo 35 del RGPD, debido al uso de datos biométricos y de tecnologías que entrañan un alto riesgo para los derechos y libertades de las personas físicas GSMA, en tanto que responsable del tratamiento, tenía la obligación de realizar una evaluación de impacto en la protección de datos (en adelante, “EIPD”) con carácter previo al tratamiento.
GSMA no aportó una EIPD efectuada antes del inicio del procedimiento sancionador. Además, una vez aportada, se comprobó que no cumplía con los requisitos mínimos, ya que era una evaluación meramente nominal: no examinaba aspectos sustantivos ni valoraba los riesgos, la proporcionalidad y la necesidad de la implantación del sistema. Tampoco valoraba la afectación a los derechos y libertades de los interesados.
Por todo ello, la AEPD apreció una infracción grave del artículo 35 del RGPD que, junto con las circunstancias agravantes concurrentes (tratamiento de datos de un elevado número de interesados sin tener en cuenta el alto nivel de riesgo de afectación a sus derechos y libertades, la vinculación de la actividad de GSMA con el tratamiento de datos y la grave falta de diligencia en su conducta en la adopción de medidas proactivas precisas), resultó en una multa a GSMA por importe de 200.000 euros. Era de esperar que el recurso de reposición presentado fuera desestimado por la AEPD.
Puede consultar la resolución del procedimiento sancionador aquí [6] y la resolución del recurso de reposición en este enlace [7].
Si nos atenemos a la definición que procura la AEPD, un “Espacio de Datos” es “una infraestructura federada y abierta para permitir el acceso soberano de datos, basada en mecanismos comunes de gobernanza, organizativos, normativos y técnicos, que facilitan el acceso a datos y el desarrollo de modelos de negocio basados en su exploración y explotación”.
Estamos hablando de tratamientos a gran escala, complejos y con alcances geográficos potencialmente muy amplios. Parece, por tanto, lógico que la AEPD haya publicado una guía con la que pretende orientar a los actores a nivel europeo, sobre cómo compaginar desarrollo y cumplimiento, sin perder en innovación. Para ello la AEPD insiste en la protección de datos desde el diseño, la anonimización, la implicación de los Delegados de Protección de Datos, la gestión del riesgo y las medidas de seguridad.
La guía puede consultarse aquí [8].
Cuando se habla de proteger los datos personales de accesos no autorizados, con frecuencia se menciona el cifrado como una de las medidas técnicas más adecuadas. Sin embargo, no todos los cifrados son iguales y desde luego no cualquiera sirve para cumplir con las exigencias del RGPD. Para muestra, las más de ochenta notificaciones de brechas recibidas por la AEPD, sólo en marzo, directamente relacionadas con cifrado defectuoso o ausencia de él.
Este es el punto que pretende aclarar la Guía que se ha publicado recientemente, en colaboración con tres entidades expertas, a saber: la AEPD, el ISMS Forum y la APEP. Con ella, la AEPD ayuda a desgranar, de una manera más clara, los elementos a evaluar en el diseño y validación de un sistema de cifrado. Asimismo, se propone una lista de controles para facilitar a responsables y encargados, el cumplimiento de los principios de privacidad desde el diseño y responsabilidad proactiva.
Puede encontrar la Guía completa aquí [9].
El desarrollo de nuevos modelos de negocio, la penetración extensiva de la tecnología y la necesidad de inmediatez producen, en el día a día, un aumento de las cuestiones interpretativas de la normativa sobre protección de datos personales, que resulta muy interesante.
En esta ocasión, la duda la plantea una compañía cuyo modelo de negocio gira entorno al car-sharing: ¿puede la Jefatura Central de Tráfico (en adelante, “DGT”) comunicar a las empresas de car-sharing el dato de verificación de vigencia del carné de conducir de los potenciales usuarios, sin su consentimiento?
La consulta parte de la premisa de que el tratamiento podría basarse bien en la ejecución de un contrato (artículo 6.1.b) del RGPD), bien en una obligación legal (artículo 6.1.c) del RGPD), apoyándose en la deber de debida diligencia impuesto por el artículo 10.3 del Texto Refundido de la Ley sobre tráfico, circulación de vehículo a motor y seguridad vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre (en adelante, “LSV”), según el cual, el arrendatario de un vehículo debe “actuar con la máxima diligencia para […] impedir que sea conducido [el vehículo] por quien nunca haya obtenido el permiso”.
El análisis de la AEPD resulta crítico y muy oportuno al indicar que dicha diligencia debida, si bien es cierta, debe analizarse a la luz de las propias obligaciones de las Administraciones Públicas (en este caso de la DGT) en materia de protección de datos.
Apoyándose en previos informes emitidos sobre las bases de legitimación de los tratamientos realizados por las Administraciones Públicas (aquí disponible uno de ellos: 175/2018 [10]), la AEPD descarta, en primer lugar, el cumplimiento de una obligación legal ya que el servicio se va a prestar en base a una relación contractual voluntaria entre una empresa privada y un particular.
En un segundo tiempo, la AEPD descarta igualmente la posible sustentación del tratamiento en base al cumplimiento de una misión realizada en interés púbico (artículo 6.1.e) del RGPD y artículo 8.2 de la LOPDGDD), legitimación sobre la que, a priori, se fundamentan los tratamientos en relación con las Administraciones Públicas. El motivo es sencillamente que nada, en la normativa aplicable en materia de tráfico, prevé explícitamente esta comunicación.
Tras hacer un repaso profundo a cada una de las bases de legitimación que podrían haberse considerado, y apoyándose en otros argumentos complementarios, la AEPD concluye claramente que ninguna de ellas se adapta al tratamiento que se pretende realizar. El informe cierra la argumentación, con la única opción viable: modificar la LSV, al objeto de “dar cabida a la comunicación de información con datos de carácter personal contenida en los permisos y/o licencias” de conducir, abracando la finalidad que se pretende en esta consulta
Se puede consultar el informe completo en el siguiente enlace [11].
No es un secreto que tecnologías como ChatGPT, conocidas también como Inteligencia Artificial (en adelante, “IA”) generativa, han sido largamente debatidas, con muchos defensores y detractores por igual. Su capilarización exponencial hace evidente que no van a desaparecer, por lo que resta que las autoridades de protección de datos acompañen a los distintos actores en el desarrollo y uso responsable de estas herramientas. Este ha sido el objetivo de la Autoridad de Protección de Datos francesa (en adelante, la “CNIL”), al lanzar un plan de acción para un “despliegue de sistemas de IA respetuosos de la vida privada”.
Su plan para 2023 se articula en cuatro ejes que ayudarán, eventualmente, a la entrada en vigor de un reglamento europeo de IA, actualmente en debate: (i) comprender el funcionamiento de los sistemas IA y su impacto sobre las personas; (ii) permitir y enmarcar el desarrollo de IA respetuosas de la vida privada; (iii) federar y acompañar a los actores de la innovación tecnológica en el ámbito de la IA en Francia y en Europa; (iv) auditar y controlar los sistemas IA protegiendo a los individuos.
Puede consultar la noticia al completo en el siguiente enlace [12], así como un dossier [13] detallado que ha preparado el Laboratorio de innovación de la CNIL (disponible en francés).
El pasado 4 de mayo, la Comisión Europea (en adelante, la “Comisión”) dio un paso más en la lucha contra la piratería en línea. Esta vez, el foco está puesto en los acontecimientos en directo (sean estos de naturaleza deportiva u otra). La Recomendación insta a los Estados miembros, a los titulares de los derechos y a los proveedores de servicios intermediarios a adoptar medidas efectivas, apropiadas y proporcionadas, para combatir la retransmisión no autorizada de estos eventos.
La Recomendación se centra en tres cuestiones principales:
1. La importancia de la cooperación entre los proveedores de servicios de alojamiento y los titulares de los derechos de retransmisión de los espectáculos, para minimizar los eventuales daños.
2. La posibilidad de que los Estados miembros prevean medidas cautelares como instrumento para facilitar el bloqueo del contenido transmitido ilícitamente.
3. La conveniencia de que los organizadores de estos eventos y los titulares de los derechos de radiodifusión aumenten la disponibilidad, la asequibilidad y el atractivo de sus ofertas comerciales para los usuarios finales. A este respecto, anima a los Estados miembros a informar a quienes intenten acceder al contenido ilícito de las razones del bloqueo del contenido y de las alternativas legales posibles.
La Comisión, con la ayuda del observatorio de la Oficina de Propiedad Intelectual de la Unión Europea, dispone hasta el 17 de noviembre de 2025 para evaluar la implementación y los efectos de esta nueva Recomendación.
Puede consultar el texto íntegro de la Recomendación aquí [14] (únicamente disponible en inglés).
En la actualidad, muchos productos alimenticios cuentan con una protección específica a nivel europeo gracias a las denominadas indicaciones geográficas –por ejemplo, la ternera gallega o la cecina de León–. Sin embargo, no existe un mecanismo similar para proteger los productos artesanales e industriales locales, lo que genera una gran inseguridad jurídica. Con este fin, a principios de mes, el Consejo y el Parlamento Europeo alcanzaron un acuerdo provisional sobre la propuesta de Reglamento (en adelante, la “Propuesta”) que vendría a cubrir esta carencia.
La Propuesta, en línea con la normativa relativa a los productos alimentarios, introduce el concepto de “Indicación Geográfica Protegida” y exige, para que un producto pueda acogerse a ella, lo siguiente:
1. Que sea originario de un lugar, región o país determinado.
2. Que tenga una calidad, reputación u otra característica esencialmente atribuible a su origen geográfico.
3. Que al menos una fase del proceso de producción se lleve a cabo en el lugar, región o país determinado.
Productos españoles como la albarca cántabra o la cuchillería albaceteña podrían beneficiarse de la protección que otorga esta regulación, en un futuro que esperamos próximo.
Puede consultar la última versión disponible de la Propuesta de Reglamento en este enlace [15].
El litigio original, que ha desembocado en una sentencia del TJUE, enfrentaba a la compañía suiza de quesos Emmentaler Switzerland con la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, la “EUIPO”). Tras haber obtenido de la Organización Mundial de la Propiedad Intelectual (en adelante, la “OMPI”) el registro internacional del signo denominativo “emmentaler”, la EUIPO y, posteriormente, la Sala Segunda de Recurso de la EUIPO, denegaron la solicitud de registro sobre la base de que se trataba de una marca descriptiva y, por tanto, no gozaba de protección.
El TJUE ha venido a confirmar la posición adoptada por la EUIPO, analizando las dos vertientes de la petición y argumentando su improcedencia en ambos casos.
Sobre el carácter descriptivo de la marca, el TJUE recalca que si el público pertinente (en este caso el alemán) percibe el signo como descriptivo, en el sentido de que se refiere a un tipo de queso, es motivo suficiente para descartar cualquier otro argumento que defienda la pretensión de protección como marca.
Por otro lado, por lo que respecta a la protección de la marca como marca comunitaria, el TJUE incide de nuevo en el argumento de la percepción. Dado que sólo se consideran marcas colectivas aquellas que sirvan en el comercio para señalar la procedencia geográfica de los productos, no cabe considerar marca colectiva a un signo que el público percibe como identificando una categoría de producto y no su origen.
Puede consultar la resolución completa aquí [16].
La Dirección General de Ordenación del Juego (en adelante, “DGOJ”) ha impuesto, durante el segundo semestre de 2022, un total de veinte sanciones, siete de las cuales corresponden a operadores que han organizado, celebrado o explotado, actividades de juego sin el debido título habilitante. Dado que tal conducta constituye una infracción muy grave, la DGOJ ha impuesto a cada uno de los operadores una multa de cinco millones de euros y la inhabilitación para operar durante los próximos dos años.
Las trece resoluciones sancionadoras restantes se deben a infracciones graves e imponen multas que ascienden, en conjunto, a 560.000 euros. Las conductas que motivan las sanciones son diversas: el incumplimiento del Real Decreto de comunicaciones comerciales de las actividades de juego, la falta de concurrencia de los requisitos técnicos exigidos o haber permitido el acceso al juego a personas que lo tienen prohibido.
Con estas sanciones, la cuantía recaudada durante el año 2022 por la DGOJ supera los 124 millones de euros, más del doble que la alcanzada el año pasado.
Puede consultar las múltiples resoluciones sancionadoras en este enlace [17].
El Departamento de Economía y Hacienda de la Generalidad de Cataluña hizo públicas, el pasado 5 de mayo, las diferentes tasas que se impondrán durante el año 2023, a la prestación de servicios de juegos y apuestas en la Comunidad Autónoma de Cataluña. Por lo que respecta a las tasas fijas, el coste ha aumentado un 3%. Así, costes como el de la inscripción en el registro y la autorización de empresas de juego asciende ahora a 320,55 euros. De igual forma, la tasa correspondiente a la emisión de documentos de homologación de material de juego o la inscripción en el registro de modelos, es de 256,85 euros.
Puede encontrar la Orden completa aquí [18].
Ya hace un mes de la entrada en vigor del Reglamento (UE) 2022/1925, del Parlamento Europeo y del Consejo, sobre mercados disputables y equitativos en el sector digital –más conocido como Digital Markets Act (en adelante, “DMA”). La norma, que promete ser una de las grandes novedades legislativas de la Unión, persigue equilibrar el desarrollo y la innovación tecnológica con la moderación del dominio de las grandes plataformas tecnológicas, a las que la norma denomina guardianes de acceso o gatekeepers.
Los gatekeepers, a los que la norma define como empresas prestadoras de servicios básicos de plataforma, se caracterizan por tener una gran influencia y una posición afianzada y duradera en el mercado interior. Para que la Comisión Europea (en adelante, la “Comisión”) designe a una empresa como gatekeeper, se requiere que esta tenga: (i) un volumen de negocios anual en la Unión Europea igual o superior a 7.500 millones de euros durante tres años, o bien que su capitalización bursátil media ascienda como mínimo a 75.000 millones de euros en el último ejercicio y preste el servicio en al menos tres Estados miembros; y (ii) que tenga al menos 45 millones de usuarios mensuales activos establecidos en la UE.
Las empresas que cumplan los requisitos referidos disponen hasta el 3 de julio para notificar su condición de gatekeeper a la Comisión, quién en los siguientes 45 días hábiles (hasta el 6 de septiembre), decidirá si éstas cumplen realmente. Una vez designada como gatekeeper, la empresa tendrá 6 meses para cumplir con las obligaciones que impone la DMA.
Desde el equipo de Tecnologías de la Información de Ramón y Cajal Abogados hemos querido resumir los principales aspectos de esta nueva norma. El artículo, disponible en nuestro blog, puede consultarse a través del siguiente enlace [19].
Links
[1] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2023-11022
[2] https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf
[3] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:62018CJ0311
[4] https://curia.europa.eu/juris/document/document.jsf;jsessionid=EE5E168562E18B778A58E6E3C305A543?text=&docid=273284&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=5071955
[5] https://curia.europa.eu/juris/document/document.jsf?text=&docid=273286&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=5072291
[6] https://www.aepd.es/es/documento/ps-00553-2021.pdf
[7] https://www.aepd.es/es/documento/reposicion-ps-00553-2021.pdf
[8] https://www.aepd.es/es/documento/aproximacion-espacios-datos-rgpd.pdf
[9] https://www.aepd.es/es/documento/orientaciones-criptografia-aepd-isms-apep.pdf
[10] https://www.aepd.es/es/documento/2018-0175.pdf
[11] https://www.aepd.es/es/documento/2022-0036.pdf
[12] https://www.cnil.fr/fr/intelligence-artificielle-le-plan-daction-de-la-cnil
[13] https://linc.cnil.fr/dossier-ia-generative-chatgpt-un-beau-parleur-bien-entraine
[14] https://ec.europa.eu/newsroom/dae/redirection/document/95428
[15] https://data.consilium.europa.eu/doc/document/ST-8205-2022-INIT/en/pdf
[16] https://curia.europa.eu/juris/document/document.jsf;jsessionid=A0D1FF6C553BADE4F42EB3637CD5C543?text=&docid=274062&pageIndex=0&doclang=es&mode=req&dir=&occ=first&part=1&cid=2169476
[17] https://www.ordenacionjuego.es/es/resoluciones_sancionadores
[18] https://portaldogc.gencat.cat/utilsEADOP/PDF/8909/1972662.pdf
[19] https://www.ramonycajalabogados.com/es/noticias/digital-services-act-la-comision-europea-designa-los-primeros-grandes-prestadores-de
[20] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[21] https://twitter.com/RamonyCajalAbog
[22] https://www.ramonycajalabogados.es/es/search
