- Junio de 2020 -
La Agencia Española de Protección de Datos impone una sanción de 30.000 euros a Twitter España por una infracción relativa a su política de cookies

La autoridad de control ha impuesto una sanción a Twitter Spain, S.L. de 30.000 euros por infracción del artículo 22.2) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

La reclamación se fundamentaba en que la red social facilitaba información inadecuada sobre las cookies, al no identificar con claridad las mismas, ni quién podía utilizar la información. Además, había cookies que se cargaban directamente.

Como consecuencia de ello, se practicaron diligencias de investigación por parte de la AEPD que permitieron conocer que había cookies que se almacenaban automáticamente en el navegador, que el banner que surgía en la primera página no incluía ningún link que habilitase el rechazo de las cookies ni que permitiese redirigir a una segunda capa y que, fuera de dicho banner, en la página principal, había un link mediante el que se accedía a la política de cookies.

Habida cuenta de ello, la AEPD acordó iniciar procedimiento sancionador por infracción de la normativa antedicha. Así, la autoridad de control ha considerado probado que se produce una instalación de cookies automática por el único hecho de acceder a la página web, que en el banner de inicio se recoge que “si sigue navegando se aceptan la utilización de las cookies”, sin hacer mención alguna a la posibilidad de rechazarlas o de gestionar su instalación y que en la política de cookies tampoco se habilita una opción para rechazar las mismas o para aceptarlas de manera granular, concluyendo que se ha cometido la infracción antes referida.

Asimismo, la AEPD gradúa la sanción por cuanto aprecia que hay intencionalidad y tiene en cuenta, entre otras cuestiones, el periodo de tiempo durante el que se ha cometido la infracción o los beneficios obtenidos por la compañía.

Puede acceder a la resolución de la autoridad de control aquí.

Sentencia del Tribunal Supremo sobre la voz como dato personal y sobre el ámbito de las actividades personales o domésticas

El Tribunal Supremo ha desestimado el recurso de casación interpuesto por la entidad titular de una app de bromas telefónicas contra la Sentencia de la Audiencia Nacional que desestimaba, a su vez, el recurso interpuesto contra la resolución de la Agencia Española de Protección de Datos. En esta resolución se imponía una sanción de 7.500 euros por infracción del artículo 6.1 de la Ley Orgánica 15/1999 (tratamiento de datos de carácter personal sin el consentimiento del afectado), por cuanto se realizaron diversas bromas telefónicas, grabando las mismas y almacenando las grabaciones y los números de teléfono sin que los afectados hubieran prestado su consentimiento de forma válida.

La entidad fundamentó su recurso en que la actividad desarrollada se limitaba a proporcionar un medio de ocio a particulares en el ámbito personal o doméstico actuando como mero intermediario, en que los datos tratados (la voz) no se pueden considerar como datos de carácter personal y que, de considerarse datos personales, el tratamiento se puede amparar en la base jurídica del interés legítimo de la compañía.

Respecto a la primera cuestión, en la Sentencia se establecen dos requisitos para poder apreciar la exención de ámbito personal o doméstico recogida en la Ley, esto es, que el tratamiento de datos lo haga un particular (en el supuesto que nos ocupa, el tratamiento lo realiza una persona jurídica) y que lo haga en el marco de una actividad doméstica (en este caso se ha realizado en el marco de una actividad comercial). Así, en este caso el Tribunal Supremo declara que “como es palmario, no se da ninguno de los dos requisitos”.

Asimismo, la recurrente afirmó que las grabaciones no podían considerarse datos personales por cuanto no permitían la identificación de la persona. Sin embargo, el Tribunal Supremo declara que este argumento es contrario a las actuaciones realizadas por la empresa por cuanto al terminar la grabación de la broma telefónica informaba a los afectados que “sus datos personales formarán parte de un fichero titularidad de […]”.

Además, quedó acreditado que la entidad almacenaba tanto la voz como los números de teléfono, datos que conjuntamente “hacen que la persona afectada sea perfectamente identificable”. De esta manera “la grabación de la voz asociada a otros datos como el número de teléfono ha de considerarse un dato de carácter personal”, siendo exigible el consentimiento del afectado. Sin embargo, la entidad solicitaba la autorización para almacenar la grabación con posterioridad a la llamada. Habida cuenta de ello, declara el Tribunal Supremo que “la solicitud de autorización tras escuchar una grabación que, sólo al final el sujeto comprende que ha sido una broma y que le ha podido hacer gracia, pero también le ha podido originar dudas, sorpresa o alarma, difícilmente puede considerarse un consentimiento que cumpla con los requisitos estipulados en la Ley”, por lo que no se puede considerar que se recabó el consentimiento del afectado para el tratamiento de sus datos personales.

Respecto al interés legítimo de la entidad, se declara en la sentencia que el interés de la sociedad no es proporcionar un medio de ocio, sino lograr un beneficio comercial que, si bien es legítimo, no puede prevalecer sobre la protección de los datos personales de los afectados, debiendo ceder los intereses comerciales ante el interés legítimo del titular a la protección de sus datos personales.

Puede acceder a la Sentencia del Tribunal Supremo aquí.

El Tribunal Supremo confirma la sanción de 40.001 euros por enviar publicidad a un cliente que había ejercido su derecho de oposición y estaba, además, inscrito en la lista Robinson

La AEPD impuso una sanción de 40.001 euros a Mutua Madrileña por una infracción de los artículos 17.1 y 30.4 de la LOPD en relación con los artículos 34.b), 48 y 51.1 RDLOPD, confirmada por una nueva resolución. Posteriormente, Mutua Madrileña interpuso recurso contencioso administrativo contra la misma, que fue desestimado por Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional. La Sentencia del Tribunal Supremo declara que no hay lugar al recurso de casación interpuesto por Mutua Madrileña contra la Sentencia de la Audiencia Nacional.

Mutua Madrileña contrató con Datono una campaña de marketing por correo electrónico, facilitando esta última los leads que obtendría de otras bases de datos, asumiendo el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, sin que MM proporcionase dato alguno.

Con anterioridad a esta contratación, un cliente de MM ejerció su derecho de oposición al tratamiento de sus datos con fines comerciales (además sus cuentas de correo estaban inscritas en el servicio de Lista Robinson), especificando expresamente que rogaba a MM que indicase a cualquier compañía con la que contratase sus campañas publicitarias su oposición. A pesar de ello, recibió un correo con información promocional de MM enviado desde una cuenta titularidad de las compañías subcontratadas por Datono para la realización de la campaña.

Declara la STS que resulta claro que MM estaba obligada en sus actividades comerciales a “hacer efectiva la oposición manifestada por su cliente”, a través de la adopción de aquellas medidas adecuadas a tal fin, quedando acreditado que no adoptó las cautelas necesarias en relación con las actividades de publicidad contratadas con terceras compañías, sin que, tal y como recogió la Sentencia de la Audiencia Nacional, la concurrencia de un encargado del tratamiento eximiese de responsabilidad a MM. La entidad alegó que de lo dispuesto en el artículo 48 del RDLPOD no se podía inferir que se pudiesen ceder a terceros los datos conservados para garantizar la exclusión de publicidad, de manera que en caso de que hubiese cedido los datos del cliente para informar a Datono de su oposición, nos encontraríamos ante una cesión inconsentida de los mismos.

El Tribunal Supremo declara que el afectado autorizó de forma expresa la comunicación a cualquier compañía con la que contratase sus campañas publicitarias su oposición al tratamiento de sus datos personales con esta finalidad, de modo que MM conocía dicha autorización.

La Sentencia concluye que MM, al conocer la oposición y la autorización a su comunicación a terceros, estaba obligada a lograr la efectividad de la oposición, “aún en el supuesto de externalización de su actividad publicitaria”. De esta manera, “cuando una entidad responsable del tratamiento de datos personales, ante la que se ejercite el derecho de oposición al tratamiento de datos personales para actividades publicitarias, contrate con otra la publicidad de sus productos y servicios, está obligada a adoptar las cautelas y medidas razonables para garantizar la efectividad del derecho de oposición; y una de dichas medidas puede consistir en la comunicación de los datos excluidos de tratamiento publicitario a la empresa con la que contrate la prestación de servicios publicitarios”.

Puede acceder a la Sentencia del Tribunal Supremo aquí y a la Sentencia de la Audiencia Nacional aquí.

El EDPB ha publicado su declaración sobre el tratamiento de datos personales en el contexto de la reapertura de las fronteras tras el brote de la COVID-19

Con ocasión del levantamiento progresivo de las medidas de restricción de la movilidad, se están adoptando medidas que tienen como finalidad controlar el flujo de personas que se desplazan por el Espacio Económico Europeo. Estas medidas no pueden suponer, en ningún caso, “la erosión de los derechos y libertades fundamentales de las personas y del derecho a la protección de datos en particular”. Por este motivo, la declaración publicada por el organismo europeo pretende lograr un equilibrio entre los distintos derechos fundamentales en juego.

El EDPB afirma que las medidas que permiten una reapertura segura de las fronteras previstas o implementadas por los Estados Miembros incluyen la realización de tests, la exigencia de certificados emitidos por profesionales de la salud o el uso voluntario de aplicaciones de rastreo de contactos. Medidas que implican el tratamiento de datos de carácter personal.

El organismo europeo recuerda que, en esta situación, la normativa de protección de datos personales sigue siendo plenamente aplicable, permitiendo una respuesta eficiente a la pandemia y protegiendo, al mismo tiempo, los derechos y libertades fundamentales. Así, destaca que el tratamiento de datos debe ser necesario y proporcionado y que el nivel de protección debe ser coherente en todo el EEE. Es por ello que se insta a los Estados Miembros a adoptar un enfoque común cuando decidan qué tratamiento resulta necesario con estas finalidades.

En el informe se recogen los principios del RGPD que se deben tener en cuenta al tratar datos personales con la finalidad de reabrir las fronteras de manera segura, entre los que destacan el principio de transparencia, de la limitación del tratamiento a la finalidad antedicha, de la minimización de datos, de la aplicación de medidas de seguridad adecuadas o la protección de los datos por defecto y desde el diseño.

De igual forma, se pone de manifiesto que, si bien la decisión de permitir la entrada en el país no debe basarse exclusivamente en decisiones individuales automatizadas, estas deben estar sujetas a garantías adecuadas que incluyan información para el afectado, así como el derecho a la intervención humana, a obtener una explicación de la decisión tomada y a impugnar dicha decisión.

Finalmente, se recoge la necesidad de celebrar una consulta previa con la autoridad de control cuando los Estados Miembros tengan la intención de tratar datos personales en este contexto.

Puede acceder a la Declaración publicada por el EDPB aquí.

La AEPD impone una sanción de 25.000 euros a Glovoo por no designar un Delegado de Protección de Datos

La Agencia Española de Protección de Datos ha impuesto una sanción de 25.000 euros a Glovoo por infracción del artículo 37 del RGPD (designación de un Delegado de Protección de Datos), siendo la primera sanción que impone la autoridad de control por este motivo.

En este supuesto, se interpuso una reclamación ante la AEPD debido a que la entidad no tenía designado un DPD al que poder dirigir sus reclamaciones. Como consecuencia de ello, la autoridad de control acordó iniciar un procedimiento sancionador por una presunta infracción del artículo 37 del RGPD.

La compañía formuló alegaciones manifestando que su tratamiento de datos de carácter personal estaba exento de las obligaciones recogidas en el artículo 37 RGPD y 34 de la Ley Orgánica 3/2018, no estando obligada, por ello, a designar un DPD. Además, expuso que, si bien no había designado un DPD, sí existía un órgano colegiado que se dedicaba al desempeño de aquellas funciones que le son propias a un DPD, realizando las funciones descritas en el artículo 39 del RGPD.

Posteriormente, tras formular propuesta de resolución por parte de la AEPD proponiendo la imposición de la sanción a la entidad reclamada, Glovoo volvió a presentar escrito de alegaciones manifestando que el día 23 de mayo se había designado formalmente un DPD, no haciendo su nombramiento oficial mediante su inscripción en el Registro de la AEPD hasta el 31 de enero de 2020 (la autoridad de control acordó iniciar el procedimiento sancionador en fecha 13 de enero de 2020).

A pesar de dichas alegaciones, la autoridad de control ha considerado que la falta de designación del DPD da lugar a la vulneración de la referida normativa, por cuanto la compañía realiza un tratamiento de datos personales a gran escala. Asimismo, hace constar que, si bien el 31 de enero de 2020 se comunicó el nombramiento del DPD, en el momento de iniciarse el procedimiento sancionador, en la página web no se hacía mención alguna a la figura del Delegado de Protección de Datos. La Agencia ha graduado la sanción a imponer teniendo en consideración dos criterios agravantes, como el número de interesados afectados (tratamiento de datos a gran escala) y el hecho de que se encuentran afectados identificadores personales básicos (geolocalización de los usuarios en la aplicación).

Puede acceder a la resolución de la autoridad de control aquí.

La Agencia Española de Protección de Datos ha publicado una nota técnica con los 14 errores más comunes relacionados con la identificación y la autenticación biométrica

La autoridad de control ha emitido una nota técnica, elaborada junto al European Data Protection Supervisor, en la que se recogen los 14 errores más comunes al utilizar técnicas de biometría en relación con la protección de datos. La principal finalidad del documento es informar a los responsables o encargados del tratamiento sobre cuáles son las confusiones más habituales cuando se utiliza esta tecnología, que implica un tratamiento de datos complejo.

Así, en esta nota técnica se recoge como error habitual, entre otros, afirmar que “el uso de datos biométricos es igual de intrusivo que cualquier otro sistema de identificación/autenticación” puesto que los datos biométricos permiten conocer más información personal que otros sistemas como las contraseñas, que “la identificación o autenticación biométrica es precisa” puesto que la misma se basa en probabilidades, con una determinada tasa de falsos positivos y negativos, que “la identificación/ autenticación biométrica es adecuada para todas las personas”, por cuanto hay personas que no pueden usar determinados tipos de biometría al no reconocerse sus características físicas o que “Los sistemas de identificación o autenticación biométrica son más seguros para los usuarios” o “más cómodos”, puesto que ello dependerá de diversas circunstancias.

Puede acceder al listado con estos errores habituales aquí.

El EDPB ha publicado una declaración sobre el impacto en la protección de datos de la interoperabilidad de las aplicaciones de rastreo de contactos

El European Data Protection Board ha publicado su declaración sobre el impacto de la interoperabilidad de las aplicaciones de rastreo de contactos en la protección de datos de carácter personal con base en las Directrices 4/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 en las que se defendía la necesidad de adoptar un enfoque europeo común en respuesta a la crisis actual.

La declaración ofrece un análisis en profundidad sobre las cuestiones fundamentales relativas al impacto sobre la protección de datos que pueden conllevar estas apps, como la necesidad de transparencia (los usuarios deben entender siempre lo que implica el uso de la app y mantener el control de sus datos), las bases jurídicas en las que se puede amparar el tratamiento, el ejercicio de los derechos de los afectados, la minimización y conservación de sus datos de carácter personal o la precisión y exactitud de los datos en el contexto analizado.

El EDPB pone de manifiesto que el intercambio de datos personales de afectados mediante estas aplicaciones sólo puede llevarse a cabo a través de una acción voluntaria del usuario. Asimismo, facilitar la información adecuada o incrementar el control por parte de los interesados ​​aumentará su confianza en las aplicaciones. Afirma el EDPB que estas sólo pueden constituir una solución temporal como parte de una estrategia de salud pública para combatir la pandemia (como la realización de tests) por lo que no deben usarse para ampliar la recopilación de datos personales más allá de lo necesario.

No obstante, la interoperabilidad de estas aplicaciones supone la posible existencia de riesgos para la protección de los datos de carácter personal de los afectados. Es por ello que la interoperabilidad será viable exclusivamente si se siguen las recomendaciones que se recogen en esta declaración y en las Directrices 4/2020.

Puede acceder a la declaración publicada por el EDPB aquí.

La Agencia Española de Protección de Datos publica el Plan de Inspección de oficio de la atención sociosanitaria

La autoridad de control ha publicado su plan de inspección de la atención sociosanitaria, que analiza los tratamientos de datos personales que se llevan a cabo en dicho ámbito, estudiando su adecuación a la normativa vigente de protección de datos y evaluando su exposición al riesgo en relación con los derechos y libertades de los usuarios. La finalidad de este plan es identificar posibles deficiencias o errores y plantear acciones de mejora, incrementando el nivel de protección de los ciudadanos y su confianza. Así, se incluyen diversas recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios.

Entre estas recomendaciones se recoge la necesidad de garantizar la confidencialidad de los trabajadores o de informar a los usuarios por capas, mediante el uso de un lenguaje claro y conciso, sencillo de comprender. También se recogen recomendaciones relativas a las medidas de seguridad que deben ser adoptadas por los responsables del tratamiento, puesto que se llevan a cabo tratamientos de datos de salud (realización de auditorías, suscripción de acuerdos de confidencialidad por los empleados, etc.).

Asimismo, este plan incluye un decálogo que recoge las conclusiones alcanzadas en el plan, así como las preguntas y respuestas frecuentes. En dicho apartado, se incluyen referencias a la posibilidad de cancelar datos a solicitud del afectado, la realización de tratamientos de datos personales con fines de investigación médica o el deber de facilitar los datos a las Fuerzas y Cuerpos de Seguridad del Estado cuando estas lo soliciten, entre otras.

Puede acceder al “Plan de inspección de oficio de la atención sociosanitaria” aquí.

La CNIL ha presentado la nueva versión de su herramienta para la realización de una Evaluación de Impacto

La autoridad de control francesa ha publicado la nueva versión de su herramienta para la elaboración de Evaluaciones de Impacto, con mejoras, nuevas funcionalidades y características a fin de facilitar la elaboración de estos documentos por los usuarios. Del mismo modo, se han llevado a cabo diversas correcciones de las anteriores versiones, relativas a problemas con la visualización o impresión, estando disponible en varios idiomas (entre ellos, el castellano).  

Puede descargarla desde la página web de la CNIL aquí.

Publicación del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19

Al objeto de estipular las medidas urgentes de prevención, contención y coordinación que sean necesarias para hacer frente a la pandemia generada por la COVID-19, así como prevenir posibles rebrotes, se ha publicado el Real Decreto-ley 21/2020. En dicho Real Decreto se regulan, entre otras cuestiones, el uso obligatorio de mascarillas o las medidas de prevención e higiene en centros de trabajo, centros docentes, establecimientos comerciales o alojamientos turísticos.

Del mismo modo, en este Real Decreto-ley se regulan las medidas necesarias para la detección precoz, el control de fuentes de infección y la vigilancia epidemiológica (Capítulo V). En dicho Capítulo, en el artículo 27, dedicado a la protección de los datos de carácter personal, se establece que el tratamiento de los datos personales que se recojan como consecuencia de la aplicación del Real Decreto-ley 21/2020 cumplirá en todo momento con lo dispuesto en la normativa de protección de datos.

Así, las finalidades de este tratamiento de datos personales son “el seguimiento y vigilancia epidemiológica del COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas”, sin que dichos datos puedan ser tratados para ninguna otra finalidad.

En virtud de lo dispuesto en el Real Decreto-ley son responsables de dicho tratamiento las Comunidades Autónomas, Ceuta, Melilla y el Ministerio de Sanidad, debiendo garantizar la aplicación de medidas de seguridad adecuadas al riesgo analizado (por cuanto son datos de salud).

Puede acceder al Real Decreto-ley 21/2020 aquí.

Comunicado emitido por la autoridad de control sobre la necesidad de facilitar información relativa a los anticuerpos adquiridos por un candidato durante los procesos de selección

Con ocasión de la emergencia sanitaria, algunas empresas, durante sus procedimientos de selección de candidatos, han establecido como requisito para su contratación haber superado la COVID-19 y haber adquirido anticuerpos.

La Agencia Española de Protección de Datos ha emitido un comunicado en el que declara que “estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable”, por cuanto esta información es un dato de carácter personal de salud, calificado de “categoría especial” en el artículo 9 del RGPD y su tratamiento está sometido a la normativa de protección de datos. De esta manera, las bases jurídicas analizadas por la autoridad de control que podrían legitimar este tratamiento son el consentimiento o la necesidad de ejecutar un contrato en la que el candidato es parte. No obstante, la AEPD declara que ninguna de ellas resultaría aplicable.

En relación con el consentimiento, la autoridad de control declara que este debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca, de modo que no se considera que se haya otorgado de manera libre si no se ha permitido una verdadera elección, no se ha podido denegar sin sufrir una consecuencia negativa o hay un desequilibrio de poder entre las partes. Así, en este caso, el consentimiento no es una base legitimadora válida al no ser libre, puesto que estaría condicionado por la necesidad de ser seleccionado para el puesto de trabajo, existiendo un desequilibrio de poder entre la empresa y el candidato. 

Respecto a la necesidad de ejecutar un contrato, la AEPD afirma que tampoco es una base jurídica válida por cuanto no sería necesario solicitar este dato para la formalización del contrato de trabajo, siendo su tratamiento excesivo y contrario a los principios recogidos en la normativa.

Asimismo, se estudia la posibilidad de amparar el tratamiento de estos datos de salud en las obligaciones impuestas a las empresas en la legislación de Derecho laboral y de la seguridad y protección social, como el deber de proteger a los trabajadores frente a los riesgos laborales. No obstante, dichos preceptos no resultan aplicables puesto que el candidato no es aún un empleado y esta información no contribuye significativamente a la protección del resto de empleados.

Asimismo, se ha puesto de manifiesto que muchos candidatos incluyen esta información en sus CV. No obstante, la autoridad de control afirma que la misma no debe ser incluida por los candidatos, siendo, además, innecesaria, puesto que la empresa no puede utilizarla y deberá suprimirla. Ello podría suponer la destrucción del CV por la empresa cuando no pudiera garantizar que dicha información no influye en la decisión final.