- Mayo de 2020 -
Régimen sancionador de la Agencia Española de Protección de Datos con posterioridad a la aplicación del Reglamento General de Protección de Datos

Resulta interesante poner de manifiesto el cambio en la política sancionadora de la AEPD tras la entrada en vigor del RGPD y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por cuanto la cuantía total anual de las sanciones impuestas por la misma ha ido reduciéndose gradualmente. De esta manera, a pesar de que el RGPD contiene normas sancionadoras muy severas (que pueden alcanzar incluso los 20 mill. de euros), la AEPD ha impuesto sanciones de menor cuantía que en los procedimientos sancionadores que incoó durante la vigencia de la anterior Ley (Ley Orgánica 15/1999).

Así, durante la tramitación de los procedimientos sancionadores, la autoridad de control tiene en consideración fundamentalmente el principio de responsabilidad activa como hecho diferencial, por cuanto es plenamente consciente de que no es fácil asimilar de manera tan rápida un cambio de cultura desde posiciones más reactivas a preventivas y proactivas, tal y como establece la normativa vigente.

Ello supone que la Agencia Española de Protección de Datos tiene muy en cuenta el hecho de que el responsable del tratamiento haya sido capaz de adecuarse al nuevo espíritu de la normativa de protección de datos, realizando una valoración del riesgo con carácter previo al inicio del tratamiento de datos e implementando medidas para mitigar el posible riesgo con el objeto de intentar evitar quiebras de seguridad de los datos personales que trata, todo ello con base en la nueva responsabilidad activa que se exige a los responsables del tratamiento. Habida cuenta de esta nueva actitud por parte de la autoridad de control, resulta fundamental que el responsable sea capaz de acreditar la toma de estas decisiones, dejando constancia de la valoración del riesgo y de la implementación de las medidas.

Un ejemplo que permite mostrar el cambio en la política sancionadora de la AEPD, así como la importancia otorgada al principio de responsabilidad proactiva lo encontramos en aquellos supuestos en los que si bien la AEPD incoó un procedimiento sancionador, se procedió a archivar las actuaciones o a apercibir al responsable sin imponer sanción alguna, por cuanto la autoridad de control tuvo en cuenta el principio de responsabilidad activa y las medidas de seguridad adoptadas por los responsables del tratamiento.

De esta manera, si atendemos al número de multas impuestas este año (112 multas en 2019 por las 371 que se impusieron en 2018, una reducción del 70% o las 694 impuestas en 2017), así como al importe total de las sanciones, puesto que en 2019 el importe total en euros ha alcanzado la cifra de 6.295.923 euros, mientras que en 2018 esta cifra alcanzó la cuantía de 13.180.655 euros (esto supone una reducción del 52%) y en 2017 (fecha en la que se encontraba en vigor la anterior Ley) 17.319.962 euros, se puede apreciar cómo ha variado el régimen sancionador de la autoridad de control.

La propia Agencia Española de Protección de Datos declara que este descenso en las cifras relativas a las sanciones se debe principalmente, entre otras razones, al nuevo enfoque dado por el RGPD, al que hacíamos referencia, que propicia la proactividad de los responsables y que permite que muchas reclamaciones se resuelvan sin dar lugar a imposición de elevadas sanciones.

La AEPD publica un informe en el que analiza la utilización del reconocimiento facial durante la realización de exámenes online

Debido a la situación de emergencia sanitaria actual, así como a las medidas de restricción de la movilidad adoptadas, todas las universidades y centros educativos han tenido que tomar distintas decisiones a fin de que sus alumnos puedan realizar las evaluaciones correspondientes de manera online. Sin embargo, como afirma la AEPD en su informe nº 36/2020, la realización de evaluaciones online no es un método novedoso, por cuanto se ha aplicado por determinadas universidades con anterioridad a la declaración del Estado de Alarma, verificando la identidad de sus alumnos mediante distintas prácticas, como la asignación de identificadores de acceso o el empleo de webcams u otras herramientas similares. Así, en todo momento, se ha considerado que la utilización de estas técnicas, utilizadas de forma habitual por las universidades con la antedicha finalidad, no vulnera lo dispuesto en la normativa vigente, siempre y cuando respeten los principios recogidos en la normativa de protección de datos.

No obstante, se ha planteado la posibilidad de aplicar también, durante la realización de los exámenes online, técnicas de reconocimiento facial para el control del alumnado. En virtud de esta consulta, el Gabinete Jurídico de la AEPD ha publicado el referido informe en el que analiza, asimismo, las implicaciones que en materia de protección de datos tiene el uso de estas técnicas de reconocimiento facial, puesto que su utilización, a diferencia de lo que sucede en los casos expuestos en el anterior apartado, supone el tratamiento de datos biométricos (categoría especial de datos), recogido en el artículo 9 del RGPD.

Así, la AEPD analiza las bases jurídicas que legitimarían el tratamiento de los datos biométricos de los alumnos derivado de la utilización de técnicas de reconocimiento facial, como el consentimiento del afectado o la existencia de un interés público esencial.

Respecto al consentimiento expreso, la AEPD afirma que para que se entienda que el mismo es prestado de manera libre, resulta necesario que exista una verdadera elección por parte del alumno. De este modo, el consentimiento para el tratamiento de sus datos biométricos sería considerado libre si la universidad ofreciese al alumno alternativas al referido tratamiento, pudiendo realizar el examen online en una situación de igualdad y sin desventaja alguna con respecto a aquellos compañeros que sí hubiesen consentido el tratamiento de sus datos biométricos. Del mismo modo, no resultaría admisible que se derivasen consecuencias negativas de la denegación del consentimiento a tratar sus datos biométricos por la universidad, como la suspensión de su examen.

Nótese que en el caso de que sí se considerase que el consentimiento del alumno para el tratamiento de sus datos biométricos es libre, debería ser asimismo expreso, específico, informado y revocable para que pudiera ser una base legitimadora válida del tratamiento.

En el informe se analiza también, como base legitimadora del tratamiento de los datos biométricos del alumno para su control durante la realización de los exámenes online, la existencia de un interés público esencial (artículo 9.2 g) RGPD). La autoridad de control, en este caso, declara que para que el tratamiento amparado en esta base jurídica fuese válido sería necesario que estuviera previsto en una norma con rango de ley que especificase cuál es el interés público esencial que justifica la restricción del derecho fundamental, en qué casos puede limitarse y las garantías que permitiesen mitigar los riesgos, no siendo correcta una remisión genérica al “interés público”. No obstante, debemos hacer constar que, en la actualidad, no existe tal norma con rango de ley por lo que difícilmente podría ampararse este tratamiento en el interés público esencial.

La universidad que decida utilizar estas técnicas de reconocimiento facial durante los exámenes online debe implementar aquellas medidas que garanticen que el tratamiento de datos biométricos de los alumnos se lleva a cabo conforme a la normativa vigente. Esto supone que en los casos en los que el responsable aprecie que este tratamiento implica un riesgo muy elevado (por cuanto se tratan datos de especial categoría), será necesario elaborar una Evaluación de Impacto o consultar a la autoridad de control.

Como conclusión, se debe poner de manifiesto que la autoridad de control advierte que debido a que las técnicas de reconocimiento facial suponen una elevada intromisión en la privacidad del alumno y teniendo en cuenta las diferentes posibilidades que existen actualmente para lograr la misma finalidad y que han sido utilizadas, con anterioridad, por las universidades (como la realización de exámenes virtuales de forma oral grabando la sesión, la monitorización del alumno por videoconferencia o webcam o la realización de exámenes de manera presencial, teniendo en cuenta el plan de desescalada del gobierno), es conveniente tener prudencia y realizar un profundo análisis de los riesgos y de las garantías que se deberían implementar para asegurar que el tratamiento de datos biométricos cumple con la normativa vigente.

Destaca cómo la autoridad de control muestra claramente una visión restrictiva al uso de estas tecnologías de reconocimiento facial, por cuanto usan datos biométricos (de especial categoría), poniendo de manifiesto la existencia de multitud de opciones que pueden ser implementadas por las universidades para alcanzar la misma finalidad (y que ya han sido implementadas por algunas), como la monitorización por webcam o la asignación de identificadores de acceso, decantándose claramente por el uso de ellas.

La Agencia Española de Protección de Datos ha emitido en su página web un comunicado relativo a la toma de temperatura corporal por parte de los centros de trabajo o establecimientos

La autoridad de control española ha manifestado la preocupación existente por la realización de este tipo de prácticas en los centros de trabajo o en otros establecimientos, cada vez más generalizada, por cuanto las mismas “suponen una injerencia particularmente intensa en los derechos de los afectados”, puesto que se lleva a cabo un tratamiento de datos relativos a la salud de las personas (a partir de la temperatura corporal se puede inferir si una persona padece una enfermedad), y se están realizando sin que haya un criterio previo de las autoridades sanitarias. Así, la aplicación de estas medidas, cuya eficacia no está probada, puesto que hay personas contagiadas que son asintomáticas y personas con elevadas temperaturas corporales por motivos ajenos al COVID-19, debe responder exclusivamente a criterios estipulados por las autoridades sanitarias.

Afirma la AEPD que este tratamiento debe estar basado en alguna de las causas legitimadoras recogidas en la normativa de protección de datos para categorías especiales de datos. No obstante, declara que el consentimiento de los afectados no podrá ser la base jurídica que ampare el mismo con carácter general, ya que no reúne los requisitos exigibles para que sea válido (no es libre puesto que la negativa implicaría la prohibición de entrada al establecimiento).

Desde el punto de vista del entorno laboral, este tratamiento podría ampararse en la obligación de los empleadores de garantizar la seguridad y salud de sus empleados, siempre y cuando se estableciesen las garantías adecuadas. De igual forma, la autoridad de control plantea la posibilidad de que, en otros ámbitos, la base jurídica que legitime el tratamiento fuese el interés general relativo a la salud pública. No obstante, para ello sería necesaria la existencia “de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas”.

Asimismo, la AEPD declara que este tratamiento debe regirse por los principios recogidos en la normativa, de modo que se deberá garantizar, entre otros, el cumplimiento del principio de limitación de la finalidad (los datos serán tratados exclusivamente para detectar personas contagiadas y evitar su acceso al recinto), minimización de datos (si se utilizan cámaras térmicas sólo podrán usarse para tomar la temperatura y no para captar datos biométricos) o de exactitud (por ello los equipos deberán estar homologados y el personal formado en su uso), debiendo establecer plazos razonables de conservación puesto que, a pesar de que en condiciones normales no se conservarán los datos, en algunos supuestos resultará necesario para hacer frente a posibles acciones derivadas de la prohibición del acceso a los establecimientos.

Del mismo modo, la CNIL ha emitido una comunicación sobre el tratamiento de datos personales por parte de los empleadores para la toma de temperatura o la realización de test serológicos. Así, la autoridad de control francesa declara que estos son responsables de la salud y seguridad de sus empleados, por lo que pueden tratar datos personales de sus empleados cuando sea estrictamente necesario para cumplir con sus obligaciones legales, adoptando medidas organizativas o de información necesarias para prevenirriesgos laborales.

Sin embargo, ello no supone que los empleadores puedan implementar medidas desproporcionadas que afecten en exceso a la privacidad de los empleados. Recuerda la CNIL que debido a que nos encontramos ante datos de salud su tratamiento tiene mayores restricciones. Así, en relación con la toma de temperatura, la autoridad de control francesa afirma que, a menos que un texto normativo lo prevea expresamente, los empleadores no pueden crear ficheros en los que conserven los datos de temperatura corporal de sus empleados, ni tampoco instalar herramientas de temperatura automática (como cámaras térmicas). No obstante, en aquellos supuestos en los que la medición de la temperatura corporal sea realizada de manera manual, sin que se conserven los datos en un registro, la medida no estará sujeta a la normativa de protección de datos. De igual forma, los resultados de los tests están sometidos a confidencialidad médica, de modo que el empleador únicamente podrá recibir un aviso en el que se indique si el empleado es apto o no para volver al trabajo, pero no podrá tener conocimiento de ningún otro dato relativo a su estado de salud.

La Agencia Española de Protección de Datos ha publicado su Memoria de 2019

La autoridad de control ha publicado su Memoria de 2019 en la que se indican de manera detallada las acciones que se han llevado a cabo durante el referido año, se analizan las cuestiones más relevantes, como las reclamaciones que se han presentado, las consultas solucionadas o los procedimientos iniciados y se exponen cuáles son los desafíos para la privacidad a los que deberá enfrentarse la AEPD en el futuro.

En este informe se destaca, entre otras cuestiones, la importancia que ha tenido el “Canal prioritario para solicitar la eliminación urgente de contenidos violentos o sexuales de internet” desde su lanzamiento (uno de los principales objetivos de la AEPD), la elaboración de diferentes guías o estudios, la cooperación con otras entidades, las actividades de comunicación y divulgación a través de distintos canales realizadas por la autoridad de control o el desarrollo de numerosas acciones a fin de impulsar la responsabilidad proactiva.

Asimismo, la AEPD pone en valor las herramientas que ha desarrollado desde que resultó de plena aplicación el RGPD, como “Facilita_RGPD”, el canal INFORMA_RGPD”, “GESTIONA_EIPD” o el Canal Joven de la Agencia.

De igual forma, a la hora de hablar de las cifras de gestión, la AEPD pone de manifiesto el incremento de las reclamaciones presentadas ante la autoridad de control, lo que muestra el mayor compromiso que ha adquirido la sociedad respecto a la protección de datos personales, así como de los traslados de estas reclamaciones a los responsables a fin de lograr una solución más rápida. Durante el año 2019, se presentaron 11.590 reclamaciones siendo las más habituales aquellas que hacen referencia a servicios de internet, videovigilancia o inclusión en ficheros de solvencia patrimonial.

Otra de las cuestiones de más relevancia es la notificación a la AEPD de las quiebras de seguridad. Así, según la Memoria, se han recibido y analizado aproximadamente 1.500 notificaciones relativas a este asunto (casi tres veces más que el año anterior, siendo, no obstante, el número de sanciones muy inferior, como ya se ha expuesto). De igual forma, en relación con los procedimientos sancionadores incoados, la autoridad de control declara, entre otras cuestiones, que se han logrado reducir los tiempos de resolución de estos procedimientos.

El EDPB publica su versión definitiva de la guía 5/2020 sobre el consentimiento

El European Data Protection Board ha publicado la versión final de la Guía 5/2020 sobre el consentimiento recogido en el Reglamento General de Protección de Datos, en la que se enumeran los elementos que el mismo debe reunir para poder ser considerado válido.

Así, el informe establece que para que el consentimiento sea válido es necesario que exista una manifestación expresa de voluntad libre (que implique una verdadera elección por parte del afectado, sin que se puedan derivar consecuencias negativas y sin que haya un desequilibrio de poder entre las partes), específica (que pueda consentir cada una de las finalidades del tratamiento), informada (respecto a la identidad del responsable, las finalidades del tratamiento o los datos tratados) e inequívoca del interesado.

Asimismo, en el informe se recoge la obligación que tienen los responsables del tratamiento de acreditar que se ha recabado el referido consentimiento, debiendo ser capaces de demostrar su válida obtención. Así, el EDPB afirma que los responsables deben poder demostrar que han obtenido de manera adecuada el consentimiento y que garantizan la posibilidad de retirarlo en cualquier momento.

El informe también hace referencia al consentimiento de menores, al consentimiento en relación con investigaciones científicas, así como a los derechos que asisten a los afectados.

Entre otras cuestiones, el EDPB declara que, en relación con las cookies, el acceso a servicios y funcionalidades de la web no debe ser condicionado al consentimiento para almacenar información, de modo que solicitar clickar en el botón de “aceptar las cookies” para poder desbloquear el contenido de la página web es una actuación contraria a la normativa, por cuanto el consentimiento no se consideraría libremente prestado. Asimismo, establece que acciones como navegar o desplazarse a través de una página web o actividades similares no satisfacen el requerimiento exigido por la normativa de una acción clara y afirmativa. No obstante, esta afirmación resulta contraria a lo que ha indicado la Agencia Española de Protección de Datos en su “Guía sobre el uso de las cookies”, por cuanto en la misma se establece que “a modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación”. Ello supone que actualmente existe una importante inseguridad jurídica respecto a esta cuestión.

La AEPD publica el documento titulado “Introducción a las tecnologías 5G y sus riesgos para la privacidad”

La nota técnica publicad por la Agencia Española de Protección de Datos está dirigida no sólo a aquellos que tengan inquietudes relativas a las implicaciones que esta tecnología tiene en la protección de datos, sino también a fabricantes, proveedores u operadores de servicios, entre otros, que deseen profundizar en las referidas implicaciones para la privacidad.

Así, el informe realiza un repaso de la evolución de las tecnologías desde principios de la década de 1980 hasta la actualidad y analiza las principales novedades que tienen las tecnologías 5G (como la reducción en la latencia de las comunicaciones –muy relevante para los vehículos autónomos, la automatización industrial o la domótica-, mayor capacidad de conexión o el uso de frecuencias de transmisión más altas que permitirá alcanzar transmisiones más veloces), así como sus riesgos para la privacidad.

Entre los riesgos identificados (que si bien no son nuevos, sí pueden verse “exponencialmente incrementados”), la AEPD hace referencia a la posibilidad de que la localización geográfica sea mucho más precisa, al incremento de datos circulando por la red de una persona que permitirá la realización de perfilados más completos, al aumento de agentes que participan en el tratamiento de los datos que puede implicar problemas de ambigüedad respecto a sus responsabilidades en dicho tratamiento, al incremento de amenazas informáticas a la privacidad o a la posible pérdida de control del usuario de sus datos personales.

La AEPD declara que estos riesgos identificados deberán ser previstos desde las primeras fases del diseño, implementando medidas técnicas y organizativas que permitan minimizar los mismos (realizando evaluaciones de impacto o implementando procesos de gestión de riesgos).

Finalmente la autoridad de control plantea una serie de recomendaciones para implementar esta nueva tecnología. Entre estas destaca la necesidad de que la información facilitada sea particularmente clara y comprensible o que se definan cuidadosamente los roles y se delimiten las responsabilidades de cada agente que intervenga.

La Agencia Española de Protección de Datos ha publicado el informe titulado “El uso de las tecnologías en la lucha contra el COVID-19. Un análisis de costes y beneficios”

Con ocasión del elevado uso de tecnologías con el objeto de evitar la expansión de la pandemia, la autoridad de control ha emitido un informe que tiene como finalidad analizar los posibles beneficios que puede tener la aplicación de esta tecnología, así como los riesgos para la privacidad.

Afirma la AEPD que estas medidas tecnológicas deben ser aplicadas integrándose dentro de un marco de medidas jurídicas y organizativas con base en criterios científicos, evaluando su proporcionalidad, su eficiencia y ponderando los beneficios que las mismas aportan a la sociedad (menor propagación del virus, protección de la salud de losafectados) en relación con sus riesgos, puesto que los datos de salud son datos de especial categoría. De esta manera, se debe evitar que la situación actual de emergencia sanitaria sea utilizada por terceros para producir abusos que deriven en pérdidas de libertad, etc.

Así, en el presente informe se estudian algunas de las tecnologías usadas, como la geolocalización de los móviles por los operadores de telecomunicaciones, geolocalización en redes sociales, las apps para auto-tests y cita previa, las apps de recogida de información sobre contagiados, las apps de seguimiento de contactos por bluetooth, los pasaportes de inmunidad o las cámaras térmicas, así como sus supuestos beneficios y los costes en la privacidad de sus usuarios o afectados.

El informe hace constar que estas tecnologías necesitan, asimismo, para ser consideradas eficientes, entre otras cuestiones, que su implementación sea elevada, de modo que sean usadas por un número de individuos importante, puesto que si esto no es así, su aplicación carece de sentido.

Puede acceder al informe publicado por la autoridad de control aquí.

La Agencia Española de Protección de Datos publica un informe sobre el uso de sistemas de reconocimiento facial por parte de las empresas de seguridad privada

Con ocasión de las consultas planteadas a la autoridad de control relativas a las actividades de seguridad privada (como son, la posible exclusión de estas, por tratarse de actividades subordinadas a la seguridad pública, del ámbito de aplicación del RGPD o la licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia), la AEPD ha emitido un informe sobre los sistemas de videovigilancia.

En relación con la licitud de la incorporación de sistemas de reconocimiento facial, la autoridad de control afirma que la utilización de estas tecnologías implica el tratamiento de datos biométricos (categoría especial de datos), siendo necesario que concurra alguna de las excepciones recogidas en el artículo 9.2 RGPD. Así, no puede admitirse que la legitimación reconocida para sistemas de videovigilancia que graban imágenes y sonidos, que sí podrían ampararse en el interés público, abarque otras tecnologías más intrusivas (técnicas de reconocimiento facial), por cuanto nos encontramos ante un tratamiento distinto al incorporar un dato biométrico, siendo necesario que concurra un interés público esencial.

De esta manera, para que se pueda llevar a cabo el tratamiento de los datos al amparo de la antedicha base jurídica, es necesario que el mismo esté previsto en una norma con rango de ley que especifique el interés público esencial, en qué circunstancias puede limitarse el derecho fundamental y cuáles son las garantías que permitirían mitigar los riesgos. Además, esta medida debería superar el juicio de necesidad y cumplir con el principio de proporcionalidad, de modo que no existiera otra medida menos invasiva con la que se lograse la misma finalidad con igual eficacia.

Afirma la autoridad de control que “la regulación actual es insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada”. Es por ello que la utilización, con carácter general, de sistemas de reconocimiento facial en los sistemas de videovigilancia carece de base jurídica, resultando desproporcionada por cuanto existen otras medidas que permiten conseguir los mismos fines y resultan menos intrusivas.

La CNIL emite una comunicación sobre la anonimización de los datos personales

Declara la CNIL que la anonimización es un tratamiento que consiste en utilizar determinadas técnicas para lograr que resulte imposible, en la práctica, identificar a una persona física por cualquier medio a partir de una determinada información de modo irreversible, lo que supone garantizar el respeto a su intimidad y vida privada. 

En relación con lo anterior, la autoridad de control francesa ha publicado un informe en el que recoge cómo se debe proceder a la anonimización de los datos, cómo se puede verificar la eficiencia de las medidas adoptadas (a través del estudio de tres criterios en sentido negativo, como son la individualización, la correlación y la inferencia) y cuáles son los posibles riesgos de reidentificación a fin de minimizarlos.

De esta manera, la CNIL afirma que debido a que la anonimización tiene como principal finalidad eliminar cualquier posibilidad de reidentificación, se debe tener en cuenta, desde el principio del tratamiento, qué información se va a conservar y cuál se va a anonimizar. La autoridad de control francesa declara que las técnicas de anonimización se pueden agrupar principalmente en dos grupos, (i) la aleatorización (cambiar los atributos en un conjunto de datos para que sean menos precisos, mientras se preserva la distribución general) y (ii) la  (modificar la escala de atributos de los conjuntos de datos o su orden de magnitud, para garantizar que sean comunes a un conjunto de personas).

Dado que las distintas técnicas de anonimización están en constante evolución, resulta necesario que los responsables del tratamiento realicen controles periódicos con el fin de preservar la anonimidad de los datos. En aquellos supuestos en los que se considere que los datos no han sido correctamente anonimizados y que existe un riesgo de identificación, los responsables del tratamiento deberán informar a la CNIL de esta quiebra de seguridad (cuando exista un riesgo para los derechos y libertades de las personas afectadas) e informar a los afectados (en los casos que lo exija la normativa), así como tomar las medidas necesarias para minimizar los daños.

Puede acceder a la publicación de la CNIL aquí.