- Febrero de 2020 -
Publicación en el BOE del Real Decreto-ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de, entre otros, la distribución de seguros privados

El Real Decreto-Ley 3/2020 ha sido publicado en el Boletín Oficial del Estado de fecha 5 de febrero de 2020, entrando en vigor en el día posterior a dicha publicación.

El Libro II del Real Decreto-Ley, relativo a las medidas para la adaptación del derecho español a la normativa de la UE en materia de seguros privados y planes y fondos de pensiones (en concreto, en su Título I, mediante el que se transpone la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros), regula en sus artículos 203 y 204 aquellas cuestiones relativas a la protección de datos de carácter personal.

En estos artículos se establece, entre otras cuestiones, que los corredores de seguros y los corredores de reaseguros tienen la condición de responsables del tratamiento respecto de los datos personales de los interesados que acudan a ellos, debiendo proceder a la cancelación de dichos datos cuando se resuelva el contrato de seguro en cuya distribución hubieran intervenido (con la excepción de que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades), que los agentes de seguros y los operadores de banca-seguros tienen la consideración de encargados del tratamiento de la entidad con la que hubieran celebrado el contrato de agencia o que las entidades aseguradoras están obligadas a eliminar los datos personales facilitados por los mediadores en aquellos casos en los que no se hubiese podido celebrar el contrato de seguro con el interesado.

Asimismo, el Título III del Libro II del presente Real Decreto-Ley modifica los artículos 64 y 206 de la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras e introduce dos nuevos artículos, el artículo 79 bis (relativo a las políticas de implicación de las entidades aseguradoras) y el artículo 79 ter (relativo a las estrategias de inversión de las entidades aseguradoras). De igual forma, el Real Decreto-Ley 3/2020 deroga la Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros.

Puede acceder al texto íntegro del Real Decreto-Ley aquí.

El ICO emite una declaración sobre el “brexit” y cómo afecta este a la protección de datos personales

Durante el periodo comprendido entre el 31 de enero (fecha en la que se produjo el “Brexit”) y el 31 de diciembre de 2020, la Unión Europea ha establecido un periodo de transición para el Reino Unido.

Habida cuenta de ello, durante el referido periodo, no se van a introducir cambios derivados de esta situación en materia de protección de datos de carácter personal, siendo de plena aplicación lo dispuesto en el Reglamento General de Protección de Datos. De igual forma, durante este periodo de transición, aquellas empresas británicas que ofrezcan bienes o servicios en países de la Unión Europea no tendrán que designar, por el momento, a un representante europeo.

La autoridad de control británica ha afirmado que aún se desconoce cómo será el marco de actuación en relación con la protección de datos personales al finalizar el periodo de transición estipulado.

No obstante y debido a este desconocimiento del marco jurídico futuro, el ICO ha actualizado el documento emitido con información y preguntas frecuentes relativas al “Brexit”, al que puede acceder aquí, y mantendrá, asimismo, actualizado su apartado “Data protection and Brexitde su página web.

El EDPB publica una guía sobre el tratamiento de datos personales a través de dispositivos de vídeo

Esta guía, publicada por el EDPB tras haber realizado una consulta pública en la que se presentaron diversas modificaciones, tiene como principal finalidad aclarar cómo se aplica el Reglamento General de Protección de Datos cuando se tratan datos de carácter personal obtenidos a través de dispositivos de video, así como garantizar una aplicación coherente de esta normativa en estos supuestos. La guía lleva a cabo un estudio tanto de los dispositivos de video tradicionales como de los dispositivos de video inteligentes modernos.

Este informe recoge, entre otras cuestiones, la base legitimadora en la que se puede amparar el tratamiento de estos datos (como el interés legítimo, el consentimiento o la necesidad de dar cumplimiento a una misión realizada en interés público), incluyendo el tratamiento de datos sensibles, como los datos biométricos, la aplicación de la exención recogida en el artículo 2.2 c) del RGPD (el Reglamento General de Protección de Datos no se aplica al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas), la divulgación de imágenes a terceros o los derechos que asisten a los afectados.

La Comisión Europea publica su Libro Blanco sobre la Inteligencia Artificial

La Comisión Europea ha publicado su Libro Blanco sobre la Inteligencia Artificial (“WHITE PAPER On Artificial Intelligence - A European approach to excellence and trust”), que tiene como principal finalidad fomentar un marco jurídico europeo para el desarrollo de la Inteligencia Artificial, basado en la excelencia y confianza (así como en otros valores y principios defendidos por la Unión Europea) y en el que incluye un informe sobre los aspectos de seguridad y responsabilidad de esta nueva tecnología.

Este informe recoge diversas medidas orientadas a garantizar y fomentar la colaboración entre los Estados miembros y el sector privado con el objetivo de aumentar la inversión en el desarrollo de tecnologías de Inteligencia Artificial y, así, conseguir que la Unión Europea continúe siendo líder en el sector tecnológico, garantizando que esta tecnología es puesta al servicio de los ciudadanos europeos. No obstante, y debido a que los sistemas de inteligencia artificial pueden ser complejos y conllevar riesgos significativos (en materia de protección de datos, entre otros riesgos), es esencial que los mismos sean transparentes, de modo que generen confianza en la sociedad y se logre un uso adecuado de esta tecnología, sin afectar a los derechos fundamentales de los interesados.

Es por ello que el Libro Blanco recoge una serie de recomendaciones que tienen como objetivo, entre otros, establecer un futuro marco reglamentario en la Unión Europea que permita determinar cuáles son los requisitos legales que se impondrán a las partes intervinientes en el desarrollo o en la aplicación de esta tecnología (relativas a la información que debe proporcionarse, la conservación de los datos personales o la necesidad de que se garantice la supervisión humana), mostrando especial atención a aquellos tratamientos que sean consideradas de alto riesgo (tratamiento de datos de salud o datos obtenidos a través de sistemas de video vigilancia).

Este documento estará sometido a consulta pública hasta el 19 de mayo de 2020.

Puede acceder al Libro Blanco sobre Inteligencia Artificial publicado por la Comisión Europea aquí.

La AEPD publica una guía para adaptar al Reglamento General de Protección de Datos aquellos productos o servicios que usen Inteligencia Artificial

La Agencia Española de Protección de Datos ha publicado su informe denominado “Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción”. Se trata de una primera aproximación teórica elaborada por la autoridad de control española que tiene como finalidad adecuar al Reglamento General de Protección de Datos aquellos productos y servicios que incluyan componentes de Inteligencia Artificial. Del mismo modo, esta guía tiene como objetivo intentar dar una respuesta a aquellas dudas que el uso de esta tecnología puede generar en relación con la protección de datos personales.

Habida cuenta de lo anterior, la guía recoge los aspectos que deben tenerse en consideración en materia de protección de datos durante el diseño de productos y servicios que incluyan Inteligencia Artificial y que realicen tratamientos de datos de carácter personal (de acuerdo con el principio establecido en el RGPD de protección de datos desde el diseño y por defecto). Es por ello que la misma se dirige a “responsables que incorporen componentes de IA en sus tratamientos, así como a desarrolladores y encargados que den soporte a dicho tratamiento”.

La guía se centra en la relación existente entre los productos y servicios que utilizan tecnología de IA (durante su desarrollo, fabricación, etc.) y la protección de datos de carácter personal, puesto que estos productos o servicios pueden tratar datos personales durante distintas etapas de su ciclo de vida y, por tanto, deben cumplir con las obligaciones recogidas en el RGPD.

Por ello, la guía recoge, entre otras cuestiones, las condiciones que deben cumplir estas tecnologías de Inteligencia Artificial para garantizar y acreditar que el tratamiento de datos personales llevado a cabo es realizado conforme a las disposiciones recogidas en la normativa de protección de datos (como la base legitimadora del tratamiento de datos, la información que debe suministrarse a los interesados o el ejercicio de derechos por parte de estos).

La AEPD concluye “que la puesta en el mercado de tecnologías que hacen tratamientos de datos en los que se utiliza IA exige que se apliquen garantías de calidad y privacidad”.

Puede acceder a la guía publicada por la autoridad de control española aquí.

Resolución de la AEPD por la que impone una sanción de 10.000 euros a un particular por difundir fotos en su estado de whastapp del afectado sin su consentimiento

La Agencia Española de Protección de datos ha impuesto a un particular una sanción de 10.000 euros por una infracción del artículo 6.1.a) del RGPD (tratamiento de datos de carácter personal sin haber recabado el consentimiento expreso necesario del afectado), tipificada en el artículo 83.5.a) del referido Reglamento y calificada como infracción muy grave a efectos de prescripción en el artículo 72.1.b) de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En fecha 21 de junio de 2019, el reclamante tuvo conocimiento de que el reclamado había publicado, sin su consentimiento, en su estado de whatsapp diversas fotografías íntimas con comentarios denigrantes y vejatorios, así como capturas de pantalla de conversaciones mantenidas entre el reclamante y un tercero que habían sido sustraídas de un pen drive.

La autoridad de control española acordó iniciar procedimiento sancionador al reclamado por la infracción del artículo antedicho, sin que este haya presentado escrito de alegaciones. Afirma la AEPD en su resolución que en virtud de la documentación aportada por el reclamante, ha quedado acreditado que el reclamado ha vulnerado lo dispuesto en el artículo 6.1 del RGPD, por cuanto ha realizado un tratamiento ilícito de datos de carácter personal “al dar a conocer a terceros datos personales de la reclamante […] sin su consentimiento ni autorización y con la agravante de que en el pie de algunas de las fotografías se vierten comentarios vejatorios y degradantes para la reclamante”.

Del mismo modo, señala la Agencia Española de Protección de Datos que el respeto al principio de licitud de los datos exige que debe quedar acreditado que el titular de los datos consintió el referido tratamiento y que corresponde la carga de la prueba a quien afirma su existencia, no habiendo sido probado en este supuesto, puesto que las fotos se publicaron sin el conocimiento del afectado.

Para la valoración de la cuantía de la sanción impuesta, la AEPD ha tenido en consideración, entre otros factores, el alcance local del tratamiento, que sólo ha sido afectada una persona física o la forma en la que la autoridad de control tuvo conocimiento de la infracción.

Puede acceder a la resolución de la autoridad de control española aquí.

La Comisión Europea presenta un informe sobre su estrategia de datos

La Comisión Europea ha presentado su informe titulado “Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. A european strategy for data”. Este informe tiene como finalidad definir el concepto de mercado único de datos personales (un espacio europeo de datos) y solucionar, a través de medidas políticas, jurídicas (como la creación de un marco legislativo para la gestión de los espacios comunes de datos personales en Europa o el estudio de medidas legislativas con el fin de incentivar la cesión de datos entre distintos sectores) o de financiación (mediante la inversión en distintos proyectos), entre otras, los problemas que se pueden derivar de este mercado único.

Entre otros problemas, la Comisión Europea hace mención a los desequilibrios de poder dentro del mercado (en relación con el acceso o tratamiento de datos personales), la ausencia de interoperabilidad entre los distintos sectores del mercado, la dependencia tecnológica que tiene, respecto a las infraestructuras y tecnologías, la Unión Europea o los nuevos desafíos de ciber-seguridad que presenta este nuevo enfoque.

Puede acceder al documento publicado por la Comisión Europea aquí.

El EDPB ha publicado su opinión sobre el borrador del informe remitido por la AEPD relativo a los requisitos exigibles para la acreditación de un organismo de control y supervisión de Códigos de Conducta de acuerdo con el art. 41 del RGPD

Esta opinión publicada por el European Data Protection Board tiene como principal objetivo garantizar la coherencia y la correcta aplicación de los criterios de acreditación que deben ser exigidos entre las distintas autoridades de control del Espacio Económico Europeo. Así, el organismo europeo recoge diversas recomendaciones que la autoridad de control española debe incluir en la versión final del documento.

Estas recomendaciones se centran, entre otras cuestiones, en la necesidad de que los referidos organismos de supervisión de Códigos de Conducta sean independientes, en la transparencia que se debe garantizar para tramitar las reclamaciones presentadas o en la obligación de comunicación con la autoridad de control española.

Habida cuenta del análisis realizado por el EDPB, el organismo europeo concluye que la lista de requisitos exigibles para la acreditación de organismos de control y supervisión de Códigos de Conducta presentada por la autoridad de control española puede llevar a una incorrecta e incoherente aplicación de los criterios de acreditación y que, por lo tanto, debe procederse a realizar diversos cambios.

Entre estos cambios propuestos por el EDPB, se incluyen la necesidad de sustituir el término “should” por “shall” o “must” con la finalidad de garantizar la correcta aplicación de los criterios recogidos, aclarar cómo los organismos de control pueden garantizar su independencia, aclarar qué información relevante deben publicar los organismos en relación con sus decisiones finales, adoptar un enfoque más flexible respecto a la tramitación de las reclamaciones presentadas y, en especial, en relación con el tiempo para resolver las referidas reclamaciones, modificar la redacción de algunos preceptos o eliminar o incluir determinados apartados.

Puede acceder al documento publicado por el EDPB aquí.

La Agencia Española de Protección de Datos presenta una campaña para evitar la difusión de contenidos sexuales o violentos en Internet

La autoridad de control española ha publicado su campaña “Por todo lo que hay detrás” que tiene como finalidad principal tratar de promover la utilización por los ciudadanos del “Canal Prioritario” que desarrolló la AEPD con el objeto de denunciar la difusión en Internet de contenidos sexuales o violentos que hayan sido publicados sin el consentimiento de las personas afectadas.

Con esta campaña, declarada de servicio público por la Comisión Nacional de los Mercados y la Competencia, la Agencia Española de Protección de Datos trata de concienciar a la sociedad sobre las historias que puede haber detrás del envío de imágenes, videos o audios privados en internet, por cuanto estos fomentan la humillación pública de las víctimas y dañan muy gravemente su privacidad.

Es por ello que esta campaña está dirigida tanto a víctimas de estas actuaciones como a aquellas personas que pueden llegar a ser conocedoras de la difusión de las imágenes o vídeos e incluso contribuyen a su difusión (pudiendo, además, incurrir en responsabilidad civil o penal).

Puede acceder a los videos de la campaña publicados por la autoridad de control aquí, aquí y aquí.

El EDPB ha publicado una guía sobre el tratamiento de datos de carácter personal en el contexto del uso de vehículos conectados

Debido a que, en la actualidad, se ha incrementado la producción y venta de vehículos conectados, que incluyen dispositivos que permiten recabar y analizar una gran cantidad de datos de carácter personal de los conductores o de sus acompañantes, el EDPB ha emitido esta guía, que será sometida a consulta pública, pudiendo enviarse los comentarios oportunos a la misma hasta el día 20 de marzo a través del siguiente enlace.

La guía publicada por el EDPB se centra en el tratamiento de datos personales llevado a cabo durante el uso personal de los vehículos conectados por parte de los afectados (habida cuenta de ello, no lleva a cabo un estudio del tratamiento de datos personales realizado por estos dispositivos durante el uso profesional de este tipo de vehículos), así como en el envío de estos datos a terceros por el vehículo como dispositivo conectado.

El informe realiza diversas recomendaciones que deben ser seguidas por los fabricantes de los vehículos o por los proveedores de servicios que actúen como responsables o encargados del tratamiento para lograr minimizar los riesgos que se pueden derivar en relación con la protección de los datos personales.

Entre otras cuestiones, la guía recoge aquellos principios que deben cumplirse cuando se recaban datos de geolocalización o datos biométricos (como la obtención de un consentimiento válido o la posibilidad de desactivar fácilmente esta opción), la información que debe facilitarse a los afectados en todos los casos, la realización de Evaluaciones de Impacto o la necesidad de garantizar la confidencialidad durante el tratamiento y la seguridad de los datos mediante la aplicación de medidas de seguridad adecuadas.

Asimismo, la guía presenta un apartado en el que se muestran cinco ejemplos concretos de tratamiento de datos a través de vehículos conectados con la finalidad de mostrar diferentes escenarios reales que permiten enseñar cómo deben actuar los responsables o encargados del tratamiento en esos supuestos.

Puede acceder a la guía publicada por el organismo europeo aquí.

La CNIL publica una “Guía RGPD” para desarrolladores de páginas web y apps

Con el objetivo de lograr que los desarrolladores de páginas webs o aplicaciones puedan prestar de manera adecuada sus servicios y, asimismo, cumplir con lo dispuesto en el Reglamento General de Protección de Datos, la autoridad de control francesa ha elaborado una guía de buenas conductas, pudiendo los desarrolladores y profesionales aportar las consideraciones que crean oportunas a la misma, a través de la plataforma “Github”.

La guía ofrece consejos o buenas prácticas que tienen como finalidad proporcionar distintas recomendaciones para poder comprender lo recogido en el Reglamento General de Protección de Datos. Asimismo, el informe incluye 16 capítulos que analizan aquellas cuestiones relacionadas con el RGPD que pueden surgir durante todo el proceso de desarrollo, como la información que se debe prestar a los afectados, los derechos que pueden ejercitar estos afectados, el principio de minimización de datos o el principio de protección de datos desde el diseño, entre otras.

Puede acceder a la guía publicada por la CNIL aquí.

El EDPS ha publicado una diapositiva que sirve de guía para analizar si el tratamiento de datos personales es necesario y proporcional

Como establece el organismo europeo, el tratamiento de datos de carácter personal (tanto su obtención, como almacenamiento o posterior cesión) debe cumplir con la normativa vigente de protección de datos personales. Habida cuenta de ello, y en virtud de la referida normativa, es necesario que dicho tratamiento sea necesario y proporcional en relación con las finalidades que persigue.

Es por ello que el EDPS ha presentado esta guía que recoge los 8 pasos que debe seguir y cumplir una compañía para analizar si el tratamiento de datos personales que lleva a cabo es necesario y proporcional y cumple con el RGPD, así como con la Carta de los Derechos Fundamentales de la Unión Europea.

Entre las distintas recomendaciones recogidas en la guía, el EDPS establece que la compañía debe identificar los derechos afectados por el tratamiento que se va a llevar a cabo, definir los objetivos que dicho tratamiento persigue o seleccionar la opción menos intrusiva.

Puede acceder a la diapositiva publicada por el EDPS aquí.

La CNIL publica un documento destinado a ofrecer consejos y advertencias prácticas a las organizaciones para la elaboración de Códigos de Conducta y de Normas Corporativas Vinculantes

La CNIL ha incluido, dentro del apartado “herramientas de cumplimiento” de su página web (que tiene como finalidad ofrecer herramientas prácticas que permitan cumplir con la normativa de protección de datos, relativas a la elaboración de evaluaciones de impacto o al deber de informar), un documento relativo a los Códigos de Conducta con el objeto de que las organizaciones puedan comprender cómo se deben elaborar dichos Códigos o qué deben incluir, entre otras cuestiones.  

Del mismo modo, la autoridad de control francesa ha publicado un documento sobre las Normas Corporativas Vinculantes (aquellas políticas de protección de datos elaboradas y asumidas por un grupo de empresas que tienen como principal finalidad ofrecer garantías suficientes para aquellos supuestos en los que se van a transferir datos de carácter personal a un responsable o encargado del tratamiento del grupo empresarial ubicado en un país tercero), que incluye explicaciones y consejos sobre cómo elaborarlas, así como información sobre el procedimiento para su presentación y validación, modificado por el RGPD.