Se plantea ante la Agencia Española de Protección de Datos (en adelante, la “AEPD”) una consulta sobre la interpretación del artículo 5.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
La AEPD aprovecha la consulta para corregir el criterio que mantuvo en su informe preceptivo al anteproyecto de ley, en el que solicitaba que la consideración de responsable del tratamiento se atribuyese al órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la ley. El Gabinete Jurídico rectifica señalando que el responsable del tratamiento es la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, y no su órgano de administración. Todo ello sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.
Puede encontrar el informe disponible aquí [1].
La Circular 1/2023 (en adelante, la “Circular”) tiene por objeto fijar los criterios de actuación de la AEPD en relación con el derecho de los usuarios finales de los servicios de comunicaciones interpersonales a no recibir llamadas no deseadas con fines de comunicación comercial salvo que medie el consentimiento previo del usuario u otra base de legitimación de las previstas en el artículo 6.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante, “RGPD”).
El consentimiento debe prestarse de conformidad con las previsiones del RGPD y la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y Garantías de los Derechos Digitales (“LOPDGDD”) mientras que, rige la presunción iuris tantum de prevalencia del interés legítimo del responsable que operará siempre que se cumplan los requisitos contenidos en Ley 11/2022, de 28 de junio, General de Telecomunicaciones (“LGtel”) y en el artículo 21.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (“LSSICE”). De igual forma, se presume lícito el tratamiento de los datos de las personas físicas que prestan servicios en una persona jurídica, empresarios individuales y profesiones liberales, en los términos previstos por el artículo 19 de la LOPDGDD. La presunción del interés legítimo no ampara, sin embargo, la comunicación de los datos personales a otras empresas del grupo con fines comerciales, al requerir este tratamiento el consentimiento específico previo del usuario.
Asimismo, la Circular especifica que los números de teléfono que figuran en las guías de abonados únicamente podrán utilizarse en caso de que hayan prestado su consentimiento expreso para su uso con fines comerciales lo que deberá figurar, con carácter general, en las correspondientes guías.
Por último, se identifican una serie de garantías adicionales para el adecuado cumplimiento de los principios de lealtad, transparencia y responsabilidad proactiva contemplados el artículo 5 del RGPD como son la garantía de (i) informar sobre la identidad del empresario, la finalidad comercial y la posibilidad de revocar el consentimiento o ejercer el derecho de oposición, al inicio de cada llamada; interpretar cualquier manifestación inequívoca del usuario contraria a la recepción de llamadas como revocación del consentimiento o ejercicio del derecho de oposición, de forma que deba atenderse en este sentido inmediatamente; y, (iii) grabar las llamadas como medio de prueba del cumplimiento de la normativa de protección de datos personales.
Puede encontrar la Circular aquí [2].
En 2014 un empleado (J.M.) y también cliente de la empresa bancaria Pankki S. tuvo conocimiento de que sus propios datos como cliente habían sido consultados en varias ocasiones por miembros del personal del banco durante el período comprendido entre noviembre y diciembre de 2013. Habiendo sido despedido de su puesto en Pankki S., solicitó el 29 de mayo de 2018 que se le comunicara la identidad de las personas que habían consultado sus datos como cliente, las fechas de las consultas y los fines de tratamiento de dichos datos.
Pankki S. detalló el 30 de agosto de 2018, como responsable del tratamiento, las operaciones de consulta efectuadas, aunque no le satisfizo la respuesta al reclamante.
J.M. acudió a la Oficina del Supervisor de Protección de Datos de Finlandia (en adelante, la “Oficina”) para que ordenara a Pankki que transmitiera toda la información solicitada. El 4 de agosto de 2020 la Oficina denegó la solicitud alegando que no podía acceder a los datos de protocolo de los empleados que habían tratado sus datos, pues “en virtud de su práctica decisoria, tales archivos no constituyen datos personales relativos al interesado, sino a los empleados que trataron los datos de esa persona”.
Tras denegar su solicitud de anulación de tal decisión, el interesado planteó la controversia ante el Tribunal de lo Contencioso-Administrativo de Finlandia Oriental, órgano jurisdiccional competente quien, suspendiendo el procedimiento, sometió al Tribunal de Justicia de la Unión Europea (en adelante, el “TJUE”) la cuestión prejudicial, por la que ahora se pronuncia. Planteó el Tribunal si, al amparo del citado artículo 15.1 del RGPD, podían comprenderse determinadas conductas, que a continuación se detallan.
La respuesta del TJUE se proyecta en tres sentidos, interpretando así el artículo 15 del RGPD:
Puede encontrar la resolución en el siguiente enlace [3].
La destinataria de un paquete cuya entrega era gestionada por United Parcel Service España LTD (en adelante, “UPS”) interpone reclamación contra la entidad ante la AEPD, después de que el repartidor encargado entregara el paquete en un local abierto al público sin su consentimiento, dejando expuestos sus datos personales a terceros, ya que figuraban en la etiqueta pegada en la parte visible del paquete.
La AEPD considera que UPS ha incumplido el artículo 5.1.f, al no atender los principios de integridad y confidencialidad, y el artículo 32 del RGPD, al no haber implementado las medidas de seguridad adecuadas. Por la vulneración de ambos preceptos la AEPD le impone multa de 100.000 euros y 40.000 euros respectivamente. Finalmente, la parte reclamada ha procedido al pago de la sanción en la cuantía de 84.000 euros haciendo uso de las dos reducciones previstas.
Puede encontrar la resolución disponible aquí [4].
CRITEO, es una conocida empresa europea de publicidad online, que muestra publicidad personalizada gracias a la recopilación de datos de navegación de los usuarios de internet mediante la instalación de cookies almacenadas en sus terminales cuando visitan determinados sitios web.
A raíz de las denuncias presentadas en 2019 por “Privacy International”, una ONG de Reino Unido, y “None of Your Business”, una organización austriaca sin ánimo de lucro, la Autoridad de Protección de Datos francesa (en adelante, la “CNIL”) ha sancionado a la empresa de publicidad online por incumplimiento de los artículos 7, 12, 13, 15, 17 y 26 del RGPD. En concreto, se detectaron incumplimientos de (i) la obligación de poder demostrar que el interesado ha prestado su consentimiento; (ii) obligaciones de información y transparencia; (iii) obligación de respetar el derecho de acceso de los interesados a los datos personales que le conciernen; (iv) obligación de respetar el derecho a revocar el consentimiento y suprimir los datos; y (v) la obligación de establecer un acuerdo entre corresponsables.
En cuanto a la determinación de la cuantía de la multa, la CNIL tuvo en cuenta factores agravantes como el número total de personas afectadas, que asciende a un total de 370 millones de identificadores de usuarios en toda la Unión Europea, el elevado número de datos afectados y el propio modelo de negocio de la empresa. Por todo lo anterior, la Autoridad francesa considera que una multa de 40 millones de euros está justificada.
Puede encontrar la resolución disponible aquí [5] (disponible en francés).
KG COM es una sociedad que explota sitios web que ofrecen a sus clientes consultas con videntes que aseguran predecir el futuro por chat o por teléfono. Tras una investigación, la CNIL detectó que la sociedad había cometido una serie de infracciones relacionadas con la protección de datos. En primer lugar, la sociedad grababa sistemáticamente las llamadas de los usuarios, lo que supone un incumplimiento del principio de minimización de datos previsto en el artículo 5.1.c del RGPD. En segundo lugar, almacenaba datos bancarios sin base jurídica, lo que supone un incumplimiento del artículo 6 del RGPD y, tampoco recababa el consentimiento previo y explícito de los interesados para almacenar sus datos de salud y orientación sexual, incumpliendo así el artículo 9 del RGPD.
Por otro lado, la sociedad incumplió el artículo 32 del RGPD por no garantizar la seguridad de los datos, ya que no se establecían contraseñas seguras ni se empleaba ningún mecanismo de cifrado de datos bancarios. Además, en el 2020, la sociedad fue informada de una filtración de datos por un periodista, pero no notificó la violación de datos a la CNIL, incurriendo en el incumplimiento del artículo 33 RGPD. Finalmente, la CNIL también detectó infracciones de la normativa aplicable sobre cookies.
Por estos hechos la CNIL impone a KG COM, en cooperación con sus homólogos europeos (ya que la sociedad tiene clientes en varios estados miembros de la UE) una multa de 120.000 euros. A esta sanción, la CNIL añade una multa de 30.000 euros por incumplir la normativa nacional sobre las cookies.
Puede encontrar la resolución aquí [6] (disponible en francés).
Tras las investigaciones llevadas a cabo contra Spotify AB, la Autoridad sueca de protección de datos (en adelante, “IMY”) ha concluido que, a pesar de que la empresa gestiona las solicitudes de acceso presentadas por los interesados, no proporciona la información de forma correcta.
Concretamente, la IMY señala que la empresa no proporcionó información suficientemente clara en el detalle facilitado a los interesados en relación con su derecho de acceso de conformidad con los apartados 1 y 2 del artículo 15 del RGPD, sobre los fines del tratamiento, las categorías de datos tratados, destinatarios a los que se comuniquen, plazos de conservación, procedencia de los datos y garantías adecuadas cuando se transfieren sus datos a un tercer país. La IMY considera que también se ha incumplido el apartado 1 del artículo 12 del RGPD, pues al proporcionar por defecto la información en inglés, no ha cumplido con la exigencia de que cualquier comunicación a estos efectos debe ser clara y comprensible para el interesado.
A la hora de evaluar la gravedad de las infracciones, la IMY ha tenido en cuenta que han podido afectar a un elevado número de interesados abarcando una gran cantidad de datos personales en países diferentes, que las infracciones se han prolongado durante mucho tiempo y que las deficiencias en la información han dificultado a los interesados el ejercicio de sus demás derechos en virtud del RGPD. Por todo lo anterior, considera que corresponde imponer una multa de 58 millones de coronas suecas, el equivalente a casi 5 millones de euros.
Puede encontrar la resolución disponible aquí [7] (disponible en sueco).
La AEPD emite un informe en el que entiende que el hecho de que los colegios profesionales soliciten una certificación negativa del Registro Central de Delincuentes Sexuales (“RCDS”) a los titulados que deseen colegiarse es un tratamiento que está amparado en el cumplimiento de una obligación legal (artículo 6.1.c RGPD). Añade que, la legitimación para acceder a la información del RCDS corresponde al titular de los datos de carácter personal. Sin embargo, si el interesado da su consentimiento, la solicitud podría realizarse a instancia de cualquier órgano de las Administraciones Públicas ante el que se tramite un procedimiento para acceder y ejercer en profesiones y oficios que impliquen un contacto habitual con menores.
Puede encontrar el informe disponible aquí [8].
Una productora de televisión, con la finalidad de ilustrar una serie documental, plantea ante la AEPD consulta sobre la posibilidad de acceder al Sumario del atentado terrorista cometido hace 50 años contra el entonces Presidente del Gobierno. A la consulta se acompaña el Informe emitido por el Secretario de Gobierno del Tribunal Superior de Justicia de Madrid.
Tras un extenso análisis normativo y jurisprudencial, la AEPD entiende que, respecto de los datos personales de las autoridades, funcionarios y cargos públicos, en tanto que actúan en el ejercicio de sus funciones, revisten un interés público, por lo que la publicación de dichos datos no sería contraria a la normativa de protección de datos. A continuación, examina la posible aplicación de la normativa de protección de datos a las personas fallecidas en el atentado. Sin embargo, éstas no son titulares del derecho a la protección de datos, y solo las personas vinculadas podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a sus datos.
Por otro lado, en lo que se refiere a la existencia de datos referidos a condenas penales, la AEPD pondera el derecho fundamental a la protección de datos con el de libertad de expresión, y entiende que los sucesos de relevancia penal revisten interés público. A mayor abundamiento, respecto de los datos de las personas que no habían fallecido, la AEPD reitera la relevancia pública del acontecimiento y el carácter público de los posibles intervinientes. Asimismo, mucha de la información ya se ha hecho pública por el haber transcurrido 50 años desde el atentado (normativa de Patrimonio Histórico Español).
En conclusión, la AEPD considera que la ponderación entre el derecho fundamental a la protección de datos y la libertad de expresión e información debe valorarse en relación con la relevancia pública de la información obrante en el Sumario. Asimismo, añade que se debe tener en consideración que la posterior difusión de la información por la productora implicará un nuevo tratamiento de datos personales que estará sometido a la normativa de protección de datos y que en todo caso debe cumplir como los principios básicos, como es el principio de minimización de los datos.
Puede encontrar el informe disponible aquí [9].
La AEPD impulsa una nueva versión de su herramienta Gestiona, con el fin de ayudar en la elaboración de los registros de actividades de tratamiento, realizar los análisis de riesgos correspondientes y en su caso, dar soporte en la realización de evaluaciones de impacto. Una de las principales novedades es que permite generar todo el registro de actividades del tratamiento de las sociedades, con hasta 500 tratamientos, así como generar informes sobre éstos y elaborar el inventario de obligada publicación para las Administraciones Públicas. Asimismo, la herramienta sugiere medidas de privacidad, organizativas y de seguridad para cada factor de riesgo específico identificado. En todo caso, la herramienta garantizará la confidencialidad ya que la actividad se realiza en el navegador del usuario.
Puede encontrar la herramienta disponible aquí [10].
El 20 de junio de 2023 el Comité Europeo de Protección de Datos (en adelante, “EDPB”, por sus siglas en inglés) aprobaba las Recomendaciones 1/2022 sobre la solicitud de autorización y los elementos y principios que deben figurar en las Normas Corporativas Vinculantes (en adelante, “BCRs”, por sus siglas en inglés) para el responsable del tratamiento, con la intención de derogar y sustituir los documentos anteriores adoptados por el Grupo de Trabajo del Artículo 29 (en adelante, “WP29”, por sus siglas en inglés) que concretaban estos aspectos de las BRCs.
Aunque en esencia las Recomendaciones 1/2022 se basan en el marco anterior, tienen por objeto (i) proporcionar un formulario estándar de solicitud para la aprobación de las BCRs aplicables a los responsables del tratamiento; (ii) aclarar su contenido necesario de acuerdo con lo dispuesto por el artículo 47 del RGPD; (iii) diferenciar claramente lo que deben incluir estas BCRs de lo que debe incluirse en la solicitud presentada ante la autoridad de control competente y; (iv) proporcionar explicaciones y comentarios sobre los requisitos que deben contener.
Para facilitar su comprensión, las Recomendaciones se facilitan en formato de tabla con una serie de columnas diferenciando, para cada criterio, si hay que incorporarlo o no en el documento de las BCRs o en el formulario de solicitud, la referencia del artículo del RGPD aplicable y una serie de comentarios explicativos.
Puede encontrar las recomendaciones aquí [11].
El Gobierno Vasco ha aprobado el Proyecto de Ley de Protección de Datos Personales y de la Autoridad Vasca de Protección de Datos. Esta nueva norma pretende adaptar la normativa en materia de protección de datos personales de Euskadi a lo contenido en el RGPD y en la LOPDGDD. Entre las novedades que integra esta ley está la regulación de la “Autoridad Vasca de Protección de Datos”, que sustituirá a la actual “Agencia Vasca de Protección de Datos”, asumiendo las competencias y funciones de supervisión, asesoramiento y control.
Puede encontrar el Proyecto aquí [12] (disponible en eusquera).
La Comunidad Autónoma de Cantabria regula mediante una norma reglamentaria su legislación sectorial del juego, contenida en la Ley 3/2017, de 5 de abril, de Espectáculos Públicos y Actividades Recreativas. El Decreto 36/2023, de 26 de mayo establece las funciones y actuaciones de inspección y control en materia de juego, espectáculos públicos y actividades recreativas, como garantía tanto para la labor de la Administración como para los ciudadanos y empresas intervinientes. Tras fijar las disposiciones generales aplicables en la materia, se detalla en la norma el estatuto del personal inspector (con precisión de derechos y deberes) y el procedimiento administrativo y la documentación de las actuaciones inspectoras.
Puede encontrar el Decreto aquí [13].
El Parlamento europeo -con ocasión de la fijación de su posición negociadora previa a la negociación con los Estados miembros respecto a la futura Ley de Inteligencia Artificial (“IA”)- promueve la prohibición del reconocimiento facial masivo para vigilancia en espacios públicos, exigiendo que sistemas como ChatGPT adviertan expresamente de que sus contenidos son generados artificialmente. Por una amplia mayoría (499 votos a favor, 28 en contra y 93 abstenciones) los eurodiputados defenderán que la futura IA se ajuste plenamente a los derechos y valores de la Unión, respetando especialmente la seguridad, la privacidad, la transparencia y la no discriminación. Apoyar la innovación científica no debe estar reñido con la protección de los derechos individuales.
Puede encontrar más información aquí [14].
Links
[1] https://www.aepd.es/es/documento/2023-0054.pdf
[2] https://www.boe.es/boe/dias/2023/06/28/pdfs/BOE-A-2023-15071.pdf
[3] https://curia.europa.eu/juris/document/document.jsf?text=&docid=274867&pageIndex=0&doclang=es&mode=lst&dir=&occ=first&part=1&cid=1302208
[4] https://www.aepd.es/es/documento/ps-00637-2022.pdf
[5] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063
[6] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047682157?init=true&page=1&query=kg%20com&searchField=ALL&tab_selection=all
[7] https://www.imy.se/globalassets/dokument/beslut/2023/beslut-tillsyn-spotify.pdf
[8] https://www.aepd.es/es/documento/2019-0002.pdf
[9] https://www.aepd.es/es/documento/2023-0049.pdf
[10] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-lanza-nueva-version-gestiona
[11] https://edpb.europa.eu/system/files/2023-06/edpb_recommendations_20221_bcr-c_v2_en.pdf
[12] https://www.legebiltzarra.eus/ic2/restAPI/pvgune_descargar/default/685292b9-6505-4ecd-b046-b6c9aa9d697f
[13] https://juegoyespectaculos.cantabria.es/documents/5983133/6421545/Decreto+36-2023+de+26+de+mayo.pdf/6d57b524-7ced-b10c-97aa-996a4bb1717d?t=1686057736439
[14] https://www.europarl.europa.eu/news/es/press-room/20230609IPR96212/la-eurocamara-lista-para-negociar-la-primera-ley-sobre-inteligencia-artificial#:~:text=El%20Parlamento%20Europeo%20adopt%C3%B3%20el,en%20contra%20y%2093%20abstenciones
[15] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[16] https://twitter.com/RamonyCajalAbog
[17] https://www.ramonycajalabogados.es/es/search
