- Julio de 2020 -
Sentencia del Tribunal de Justicia de la Unión Europa sobre la Decisión “Escudo de Privacidad” y sobre la conformidad de las Cláusulas Contractuales Tipo

La transferencia de datos personales a terceros países fuera de la Unión Europea sólo puede llevarse a cabo si el tercer país garantiza un nivel de protección adecuado, que podrá ser reconocido por la Comisión. En caso contrario, el exportador de los datos deberá garantizar que se cumple dicho nivel, mediante la aplicación, para ello, de las Cláusulas Contractuales Tipo o garantizando que se reconocen a los interesados derechos exigibles y acciones legales efectivas en el país.

El Tribunal de Justicia de la Unión Europea ha publicado la Sentencia del asunto C-311/18, Data Protection Commissioner /Maximillian Schrems y Facebook Ireland (“STJUE Schrems II”), con ocasión de una petición de decisión prejudicial planteada por el Tribunal Superior de Irlanda (derivada de un procedimiento iniciado por la autoridad de control), en la que se invalida el Escudo de Privacidad adoptado por la Comisión europea en su Decisión 2016/1250 y se analizan las Cláusulas Contractuales Tipo recogidas en la Decisión 2010/87.

Con posterioridad a la declaración de nulidad de la Decisión 2000/520, el acuerdo de Puerto Seguro, mediante la Sentencia del TJUE de fecha 6 de octubre de 2015 (con motivo de la reclamación de Maximiliam Schrems sobre la base de que los datos transferidos desde la UE a EEUU no estaban protegidos, por cuanto las agencias de seguridad podían acceder a los mismos sin respetar las garantías y derechos fundamentales reconocidos en la UE), se publicó la Decisión 2016/1250 mediante la que se recogían diversas garantías de seguridad para la realización de trasferencias de datos de carácter personal a aquellas empresas de Estados Unidos que se hubieran adherido a la misma.

Cuatro años después, a raíz de una nueva reclamación del Sr. Schrems sobre la base de los mismos argumentos, la Decisión “Escudo de Privacidad” ha sido declarada inválida por cuanto no se garantiza que la protección de los datos de carácter personal de los afectados en Estados Unidos sea equiparable a la protección que se establece en virtud de la normativa vigente en la Unión Europea, sobre todo en relación con el acceso, no limitado a lo estrictamente necesario (ni respetando el principio de proporcionalidad), por las autoridades estadounidenses a dichos datos que se transfieren desde la UE. Así, el TJUE considera que la falta de una vía de recurso ante un órgano que ofrezca garantías equivalentes a las que se exigen en el Derecho de la Unión Europea, impide la protección del afectado ante los posibles accesos de las referidas autoridades, por cuanto la primacía de la seguridad nacional, el interés público o el cumplimiento de la ley estadounidense reconocidas en dicha Decisión pueden implicar injerencias en los derechos fundamentales de los titulares de datos que se transfieren a dicho país.

Habida cuenta de ello, las transferencias de datos a entidades de Estados Unidos adheridas al Escudo de Privacidad, que hasta la actualidad se realizaban con base en dicha Decisión 2016/1250, ya no podrán llevarse a cabo con esta base jurídica y deberán adoptar otras garantías adecuadas.

En relación con las Cláusulas Contractuales Tipo, la Sentencia del TJUE declara que son un instrumento válido para la realización de transferencias de datos de carácter personal a terceros países, por cuanto son un contrato en el que se imponen una serie de obligaciones a la entidad receptora, pero matiza esta declaración en función de la normativa de protección de datos del país al que se transfieran los datos, debiendo analizarse caso por caso. Así, antes de la realización de la transferencia de los datos personales, para valorar si estas cláusulas son garantía adecuada de protección, tanto el exportador como el receptor de los datos, deberán analizar las normas existentes en dicho país, de modo que se pueda garantizar que el nivel de protección de los datos exigido por el Derecho de la Unión es respetado. De esta manera, si las Cláusulas Contractuales Tipo no se respetan o no pueden respetarse, ni se puede lograr un nivel de protección equiparable al de la UE mediante medidas de seguridad adicionales, el responsable del tratamiento o la autoridad de control, en su caso, deberán suspender o prohibir la transferencia. 

Puede acceder a la Sentencia del Tribunal de Justicia de la Unión Europea aquí.

Comunicados publicados por el EDPS y el EDPB en relación con la sentencia del Tribunal de Justicia de la Unión Europea

El European Data Protection Supervisor y el European Data Protection Board han emitido, debido a la trascendencia de la sentencia del Tribunal de Justicia de la Unión Europea, diversos comunicados en los que analizan el referido pronunciamiento.

El EDPS ve con buenos ojos que este Tribunal reafirme la importancia de mantener un elevado nivel de protección de los datos personales transferidos desde la Unión Europea a terceros países y pone de manifiesto que dicha Sentencia ha confirmado las críticas a la Decisión 2016/1250 expresadas por el EDPS y por el EDPB. Asimismo, garantiza que las autoridades de supervisión europeas asesorarán a la Comisión sobre cualquier decisión de adecuación futura, de acuerdo con la interpretación del RGPD proporcionada por el TJUE.

Afirma el organismo que, desde la entrada en vigor del RGPD, muchos países han incrementado la protección que brindan a los datos personales de sus ciudadanos, mediante la adopción de nuevas leyes que permiten garantizar la protección de este derecho. En relación con ello, pone de manifiesto el carácter global de este derecho fundamental, por lo que, en este contexto, confía en que Estados Unidos implemente todos sus esfuerzos y medios posibles para lograr un marco jurídico adecuado que garantice la aplicación de las medidas de seguridad exigidas por el TJUE.

En relación con las Cláusulas contractuales tipo, el EDPS declara que el TJUE ha facilitado valiosas aclaraciones sobre la responsabilidad de las autoridades de control y de los responsables del tratamiento respecto a la valoración de los riesgos vinculados al acceso a los datos personales por parte de las autoridades públicas de terceros países. De este modo, resalta la importancia de que las autoridades de control deban hacer cumplir la normativa de protección de datos y prohibir o suspender, cuando sea necesario, la transferencia de los datos.

Por su parte, el EDPB, en un sentido muy similar, manifiesta que Estados Unidos y la UE deben crear un marco jurídico que garantice que el nivel de protección de los datos personales en Estados Unidos es equivalente al garantizado en la UE, conforme a lo dispuesto en la sentencia. Así, este organismo continuará desempeñando un papel activo para tratar de conseguir el citado marco jurídico que permita una transferencia de datos personales que beneficie a los ciudadanos y organizaciones del Espacio Económico Europeo, colaborando activamente con la Comisión Europea y Estados Unidos con la finalidad de lograr este objetivo.

Respecto a las Cláusulas Contractuales Tipo, pone de manifiesto lo expuesto en la sentencia en relación con la obligación del exportador de los datos de analizar el contenido de dichas cláusulas, las circunstancias específicas de la transferencia de datos, así como la legislación aplicable en dicho país, debiendo evaluar la aplicación de otras medidas adicionales si dicho análisis permite mostrar que el país receptor no garantiza un nivel adecuado de protección y, en caso de que el mismo no se pueda garantizar, deberá suspender la transferencia o notificar a la autoridad de control su intención de continuar con la misma. Asimismo, afirma que está estudiando en qué pueden consistir esas medidas adicionales.

Asimismo, el EDPB vuelve a resaltar la importancia de las autoridades de control en estos supuestos, por cuanto tienen el deber de suspender o prohibir la transferencia de los datos personales a un tercer país en aquellos supuestos en los que no se van a poder respetar las cláusulas contractuales y la seguridad de los datos no se puede garantizar a través de medidas adicionales.

Ambas entidades hacen constar que se encuentran analizando la sentencia en mayor profundidad, así como sus consecuencias, a fin de proporcionar nuevas aclaraciones o guías sobre esta cuestión.

Puede acceder a la comunicación del EDPS aquí y a la comunicación del EDPB aquí.

Vodafone reconoce la responsabilidad de la infracción cometida notificada por la Agencia Española de Protección de Datos y abona la sanción impuesta

En el presente supuesto, se acordó iniciar un procedimiento sancionador debido a que la reclamante, titular de un contrato de telefonía fija+fibra+línea móvil tuvo constancia de que en los sistemas de Vodafone figuraba, asimismo, como titular, su excónyuge. De hecho, en las facturas que Vodafone emitía aparecían los datos de la reclamante, pero estaban dirigidas a nombre del tercero. Ello implicaba que su excónyuge tenía acceso a sus datos personales, pudiendo acceder también a la información asociada a los servicios contratados.

Habida cuenta de ello, la AEPD procedió a la realización de actuaciones previas de investigación con la finalidad de aclarar los hechos acaecidos. Así, se pudo comprobar la veracidad de las afirmaciones manifestadas por la reclamante, en el sentido de que había dos titulares asociados a dicho contrato. Del mismo modo, la autoridad de control comprobó que Vodafone había procedido a realizar una corrección de los sistemas, de modo que el contacto de la reclamante aparecía en ese momento como titular del contrato y el de su excónyuge como “antiguo titular” y “desconectado”, sin que pudiera acceder, desde el referido cambio, a los datos de carácter personal de la reclamante.

Este error supone la vulneración del artículo 5.1.d) del RGPD, en relación con el artículo 4.1 de la Ley Orgánica 3/2018, estando tipificada esta infracción como muy grave en dicha Ley. Asimismo, en función de las características del caso, la autoridad de control graduó la sanción teniendo en consideración, como agravantes, que, si bien fue una acción negligente no intencional, fue significativa y se encontraban afectados identificadores personales básicos.

Así, se impuso como sanción 15.000 euros, sin perjuicio de lo que pudiera resultar de la instrucción, dando opción a la reclamada de reconocer su responsabilidad y abonar voluntariamente la sanción (lo que supondría una reducción de esta). Teniendo en cuenta los hechos expuesto, la entidad ha reconocido su responsabilidad y ha procedido al abono de la sanción.

Puede acceder a la resolución de la autoridad de control española aquí.

Importancia de notificar las violaciones de seguridad a la Agencia Española de Protección de Datos: sanción impuesta por la autoridad de control

En fecha 16 de junio de 2020 se acordó iniciar un procedimiento sancionador debido a que se interpuso una reclamación contra la entidad Saunier-tec, por cuanto la reclamante recibió diversos emails, con una extensión de dominio diferente (por lo que no eran emails oficiales) en los que incluían datos personales, así como datos sobre su cuenta bancaria. Asimismo, tras contactar con la compañía, esta le informó de que su base de datos había sido hackeada.

En el referido acuerdo de inicio de procedimiento sancionador se recogía que los hechos puestos de manifiesto se concretaban en la existencia de una quiebra de seguridad, incumpliendo el deber de comunicar tanto a la autoridad de control como a los afectados esta violación de la seguridad de sus datos.

En virtud de ello, la AEPD declaró que la entidad incumplió su obligación de implementar de manera efectiva las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo y garantizar la confidencialidad y seguridad de los datos, así como la obligación de informar a la autoridad de control y a los afectados dicha quiebra de seguridad, con independencia de que, una vez conocido el incidente, adoptase medidas dirigidas a mitigar las consecuencias del mismo. De este modo, el reclamado sería presuntamente responsable de la infracción de los artículos 33 y 34 del RGPD.

A fin de graduar la sanción, la AEPD tuvo en cuenta la falta de diligencia en el cumplimiento de sus obligaciones, la naturaleza y gravedad de la infracción, la ausencia de notificación a la autoridad de control y a los afectados y el número de afectados o su volumen de negocio, entre otras.

Habida cuenta de lo anterior, se acordó, sin perjuicio de lo que resultase posteriormente de la instrucción del procedimiento, imponer como sanción 6.000 euros, concediendo a la entidad un plazo de 10 días para formular alegaciones, dándole opción de reconocer su responsabilidad y abonar voluntariamente la sanción (lo que supondría una reducción de esta). Teniendo en cuenta los hechos acaecidos relativos al incumplimiento de aplicar las medidas de seguridad adecuadas y de notificar la quiebra de seguridad, la entidad ha reconocido la responsabilidad y ha procedido al abono de la sanción (3.600 euros tras la reducción), por lo que la autoridad de control declaró la terminación del procedimiento.

Puede acceder a la sanción impuesta por la AEPD aquí.

La CNIL publica un informe elaborado por el Grupo de trabajo para combatir el fraude y las estafas en el que ofrece una guía para reanudar la actividad sin estafas

Diversos organismos (entre los que se encuentra el Ministerio de Economía y Finanzas, el Ministerio del Interior, la Agencia Nacional de Seguridad de Sistemas de Información, o la CNIL) han trabajado conjuntamente al objeto de elaborar la presente guía, por cuanto, en la actualidad, se ha podido observar el incremento de fraudes y estafas como consecuencia de la vuelta a la actividad económica (tras la situación de emergencia sanitaria), debido al miedo y sentimiento de angustia que han experimentado tanto las personas físicas como las personas jurídicas en una situación económica fuertemente desestabilizada.

Así, este organismo ha podido apreciar que las actividades de fraude y estafa son muy variadas, pudiendo comprometer, alguna de ellas, datos de carácter personal de muy diversas categorías. El referido informe se centra, sobre todo, en la venta defectuosa de productos sanitarios (gel hidroalcohólico, mascarillas, etc.), el robo de identidad, las prácticas de phishing, las órdenes de transferencias falsas, las comunicaciones comerciales no solicitadas, etc.

Habida cuenta de ello, la guía tratar de facilitar identificadores que permitan reconocer con anterioridad por parte de los afectados estas prácticas ilegales, las medidas de prevención que se deben tomar, así como las opciones que tienen los afectados que ya han sido estafados.

Puede acceder a la guía publicada aquí.

El EDPS ha publicado un informe sobre la realización de evaluaciones de impacto por parte de las Instituciones de la Unión Europea

El organismo europeo ha publicado el informe titulado “EDPS Survey on Data Protection Impact Assessments under Article 39 of the Regulation (case 2020-0066)” que tiene como finalidad analizar cómo las instituciones y organismos de la Unión Europea realizan Evaluaciones de Impacto cuando tratan datos personales que presenta un elevado riesgo para los derechos y la libertad de las personas físicas. De este modo, el informe facilita una guía sobre la realización de evaluaciones de impacto en virtud del Reglamento aplicable a las Instituciones de la UE.

Para lograr esta finalidad y proceder a la realización del informe, en febrero de 2020, el EDPS llevó a cabo una encuesta (realizada a los Delegados de Protección de Datos de estas instituciones) con el objeto de determinar cómo las Instituciones de la UE habían estado utilizando esta herramienta desde la entrada en vigor del Reglamento 2018/1725 y así conocer los errores en su aplicación y poder facilitar recomendaciones más precisas.

Así, el informe recoge, entre otras cuestiones, una serie de apartados genéricos sobre esta herramienta (relativos al número de EI realizadas o a la naturaleza de las operaciones de tratamiento que implicaron la realización de estas EI), cuáles son los principales motivos para realizar una EI (como el tratamiento de datos de especial categoría o el tratamiento de datos a gran escala, entre otros) o el procedimiento para llevarlas a cabo.

El objetivo de este organismo es la realización de nuevas encuestas como la llevada a cabo para la elaboración de este informe, por cuanto son herramientas muy útiles que permiten supervisar el cumplimiento de la normativa vigente de protección de datos personales.

Puede acceder al informe publicado por el European Data Protection Supervisor aquí. Del mismo modo, puede acceder a la infografía elaborada por el organismo europeo sobre la realización de Evaluaciones de impacto aquí y al video producido por dicho organismo aquí.

La APDCAT presenta una guía sobre el tratamiento de datos personales en el ámbito de la salud

La autoridad catalana de protección de datos ha publicado el informe titulado “Guía de protección de datos para pacientes y usuarios de los servicios de salud”, que tiene como finalidad el estudio o análisis de los tratamientos de datos de salud (datos de categoría especial) de los pacientes llevados a cabo en el marco de los servicios de salud.

Así, esta guía trata, entre otras cuestiones, los derechos que pueden ser ejercidos por los pacientes (como el derecho de información, portabilidad o de limitación del tratamiento), incluyendo diversas herramientas en la propia guía para ello, la confidencialidad relativa a sus datos de salud, los responsables que pueden tratar los mismos, así como las finalidades para los que pueden tratarlos o el tratamiento de los datos de salud relativos a menores de edad.

Debido a que la presente guía está dirigida a paciente y usuarios, el lenguaje utilizado en la misma es claro y conciso, estando estructurada en forma de preguntas y respuestas, que tienen como principal finalidad aclarar las dudas más habituales tanto de los pacientes como de los familiares en relación con la protección de sus datos de carácter personal.

Puede acceder a la guía publicada íntegramente en castellano aquí.

La Agencia de Protección de Datos emite una comunicación relativa a los problemas de protección de datos que se pueden derivar de los acortadores de URLs

El uso cada vez más habitual de servicios de microblogging (como twitter o instagram) o de herramientas de mensajería instantánea que limitan el número de caracteres que se pueden incluir en sus mensajes, ha supuesto un incremento de la utilización de enlaces acortados a fin de compartir las páginas webs en dichas plataformas (un enlace acortado tiene un número de caracteres inferior que el enlace de la página web completo y permiten acceder de igual modo al sitio original).

Como declara la AEPD, si bien son servicios de redirección aparentemente inocuos, se debe tener en cuenta que se está utilizando un intermediario para acceder al sitio web final, por lo que se pueden derivar algunos problemas de privacidad. Afirma la autoridad de control que muchos de estos servicios están preparados para facilitar el seguimiento posterior de los usuarios que utilizan sus enlaces.

La AEPD muestra una serie de riesgos que se pueden derivar del uso de estos enlaces, como el desconocimiento, a priori, del destino al que nos redirigirá el enlace acortado o del número de intermediarios que se pueden haber añadido antes de redirigirnos a la página web de destino, el hecho de que estamos facilitando datos de carácter personal, como la IP, o nuestro interés por acceder a una página web determinada al intermediario.

Por ello, se deben tener en cuenta distintas medidas que permitan mitigar estos riesgos como desconfiar de aquellos enlaces acortados que recibamos de una fuente no fiable y, en caso de duda, no abrirlos, comprobar el mismo mediante un servicio externo (como virustotal.com) a fin de saber a qué página va a redirigir el enlace o no facilitar datos personales (cuentas del banco, etc.) en páginas a la que se haya accedido a través de un enlace acortado.

La AEPD convoca los Premios Protección de Datos 2020

La autoridad de control española ha publicado las bases para presentarse a los “Premios Protección de Datos Personales 2020”, cuya finalidad es reconocer el trabajo llevado a cabo por los premiados para difundir el derecho a la protección de los datos de carácter personal en ámbitos tan diversos como el educativo, el empresarial, la investigación científico-técnica o el de los medios de comunicación. El plazo para la presentación de candidaturas finaliza el 15 de noviembre.

Puede acceder a las bases para presentarse a los premios de la AEPD en los siguientes enlaces:

  • Respecto al premio de Emprendimiento en protección de datos “Ángela Ruiz Robles”, aquí.
  • Respecto al premio a las buenas prácticas en relación con iniciativas del ámbito público y privado dirigidas a una mayor protección en internet de la privacidad de las mujeres víctimas de violencia por razón de género, aquí.
  • En relación con el premio a la proactividad y buenas prácticas en el cumplimiento del RGPD y la Ley Orgánica 3/2018, aquí.
  • Respecto al premio Protección de Datos de Comunicación 2020, aquí.
  • En relación con el premio a las buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet por los menores, aquí.
  • En relación con el premio de Investigación Emilio Aced, aquí.
El EDPB publica una Guía sobre la segunda Directiva de Servicios de Pago

El EDPB ha publicado una Guía sobre la segunda Directiva de Servicios de Pago, que tiene como objetivo modernizar el marco jurídico relativo al mercado de servicios de pago, siendo elaborada con posterioridad a la celebración de una sesión sobre la aplicación del RGPD a estos nuevos servicios de pago con las partes interesadas en febrero de 2019.

Resulta importante destacar que esta Directiva introduce un marco legal para aquellos nuevos servicios de inicio de pagos (PSIP) y servicios de información de cuenta (ASIP). Esta guía señala que, en este contexto, el tratamiento de datos personales de especial categoría está prohibido con carácter general (en idéntico sentido que lo dispuesto en el artículo 9.1) del RGPD), con la excepción de que dicho tratamiento encuentre su base legitimadora en el consentimiento expreso del afectado (artículo 9.2.a) del RGPD) o que el tratamiento de los datos sea necesario por razones de interés público esencial (artículo 9.2.g) del RGPD).

La Guía también recoge las condiciones bajo las que los ASPSPS otorgan acceso a la información de las cuentas de pago a los PISP (Proveedores de servicios de iniciación de pago) y AISP (Proveedores de servicios de información sobre cuenta), haciendo especial mención al acceso granular a las referidas cuentas.

Del mismo modo, esta Guía aclara que ni el artículo 66.3.g) ni el artículo 67.2.f) de la Directiva permiten ningún tratamiento de datos adicional, salvo que el afectado haya facilitado su consentimiento expreso en virtud del artículo 6.1.a) del RGPD o el tratamiento esté recogido en la legislación de la Unión Europea o de los Estados Miembros.Puede acceder a la guía publicada por el EDPB, que será sometida a consulta pública, aquí.

Actualización de la aplicación CTL

El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (Sepblac) ha emitido un comunicado en su página web en el que informa de la necesidad de proceder a la actualización de la herramienta CTL para su correcto funcionamiento. Nótese que la importancia de esta herramienta radica en su utilización por distintos organismos para dar cumplimiento a las obligaciones de comunicación por indicio y de cooperación con la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (CPBCIM) que establece la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

No obstante, el SEPBLAC declara que, con independencia de la necesidad de actualización de esta herramienta por los sujetos obligados, el resto de los sujetos deben continuar enviando sus comunicaciones por indicio en soporte papel como ha sido el procedimiento hasta ahora.

Esta actualización permite solucionar determinadas incidencias que han sido conocidas por este organismo.

Puede acceder a este documento publicado por el SEPBLAC en el que se indica cómo proceder a la actualización de la referida herramienta.

En agosto…

Tal y como es habitual, en agosto no se publicará la newsletter de ZABÍA ABOGADOS. El próximo mes de septiembre estaremos de vuelta para informarles de cualquier novedad relevante en materia de Protección de Datos. ¡Disfruten de su verano y cuídense mucho!