- Julio de 2017 -
Publicado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal

El 25 de mayo de 2018 será de plena aplicación el Reglamento Europeo de Protección de Datos, Reglamento UE 2016/679, por lo que el Gobierno tiene intención de que el anteproyecto de Ley Orgánica sea aprobado antes de esta fecha, adaptando la normativa interna a la nueva regulación comunitaria. Por ello, el Gobierno ha impulsado este Anteproyecto de Ley Orgánica, por el que, tras su tramitación parlamentaria, se derogará la actual LOPD y se adaptará nuestro sistema al reglamento.

Puede consultar el texto íntegro de Anteproyecto de Ley Orgánica haciendo clic aquí.

Si lo prefiere, puede consultar un breve comentario sobre el anteproyecto en este enlace, por Carlos García, abogado de ZABIA ABOGADOS.

Por si fuera de su interés, le facilitamos también los siguientes documentos:

Preparación de la Revisión conjunta anual del Escudo de Privacidad (Privacy Shield)

El 29 de junio de 2017, el Grupo de Trabajo del Artículo 29 (GT29), compuesto por las Autoridades de Protección de Datos de los Estados miembros, celebró una sesión plenaria para abordar la implementación del nuevo Reglamento Europeo de Protección de Datos y preparar la primera revisión anual conjunta del Escudo de Privacidad.

Puede leer la nota de prensa del Grupo de Trabajo europeo haciendo clic aquí.

La AEPD analizará el cumplimiento de la normativa de protección de datos en servicios financieros y en la contratación telefónica y por internet

La AEPD ha acordado el inicio de dos planes sectoriales de oficio centrados, el primero de ellos, en el sector de las entidades financieras, y al que se suma otro que analizará las contrataciones realizadas de forma telefónica y a través de internet.

Las inspecciones de oficio realizadas por la AEPD, que no tienen en principio carácter sancionador sino preventivo, analizan el cumplimiento de la normativa de protección de datos en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal.

Servicios financieros: El plan sectorial sobre servicios financieros tiene como base las denuncias que recibe la Agencia relacionadas con el sector de la actividad crediticia, que suponen un tercio del total de las casi 8.000 que se presentan anualmente.

Las organizaciones involucradas son las entidades financieras, pero también aquellas que dan soporte o participan en actividades de crédito.

Contratación a distancia: En cuanto al plan sectorial de oficio sobre contratación a distancia de productos y servicios (de forma telefónica y a través de internet), hay que tener en cuenta que un 40% de los españoles realiza compras online de forma habitual y que España es el cuarto país de Europa en utilización de la red para la compra de productos.

Ambas inspecciones sectoriales evaluarán cómo se están adaptando las empresas que operan en estos sectores a los requisitos legales establecidos en el nuevo RGPD y recomendarán la adopción de medidas oportunas.

La inserción indebida en ficheros de morosidad y la contratación irregular concentran más del 65% de las sanciones impuestas por la AEPD

El 29 de junio la Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria 2016. Destacamos lo siguiente:

  • Durante el año 2016 tuvieron entrada 10.523 denuncias y reclamaciones de tutela de derechos (7.935 denuncias y 2.588 reclamaciones). Mientras que las denuncias se han reducido un 6,53% respecto al año anterior, las reclamaciones se han incrementado un 24,30%.
  • La inserción indebida en ficheros de morosidad y la contratación irregular suponen respectivamente un 21,5% y 11,3% de las resoluciones sancionadoras de la Agencia.
  • Han descendido un 22% respecto a 2015 las denuncias inadmitidas, incrementándose un 23% los expedientes iniciados en el año 2016 (2.826 frente a 2.293), lo que implica la realización de un número mayor de actuaciones investigadoras.
  • Se han incrementado un 16,7% los procedimientos de apercibimiento respecto a 2015, reduciéndose un 21% el número de infracciones con sanción económica.
  • El importe global de sanciones económicas (14.190.173 euros), por su parte, ha subido un 3,48% respecto a 2015.
  • En cuanto a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la AEPD, de las 74 sentencias dictadas en 2016, un 78% confirmaron los criterios de la Agencia en cuanto al fondo del asunto, el porcentaje más elevado desde 2005.
  • En 2016 se atendieron casi 237.000 consultas planteadas por los ciudadanos a través de diferentes canales (+8,5% respecto a 2015).
  • El 1 de junio de 2016 había instaladas 320.499 cámaras de video vigilancia, casi el triple de las que estaban instaladas hace cinco años.
  • En lo relativo a las transferencias internacionales de datos, las autorizaciones concedidas por la Agencia aumentaron un 362%, pasando de 108 en 2015 a 499 en 2016 (estos datos deben ponerse en relación con la sentencia del Tribunal de Justicia de la Unión Europea que declaró inválida la Decisión de Puerto Seguro).

 

Puede consultar la Memoria 2016 íntegra aquí.

La AEPD impone a una empresa de préstamos online una sanción de 100.000 euros por infringir los artículos 6.1 y 4.3 de la LOPD

En este caso, una persona contrató un microcrédito con la entidad sancionada, presentando de manera fraudulenta al denunciante como su avalista. Al no devolver el microcrédito, la entidad financiadora incluyó sus datos en los ficheros de morosos Asnef y Badexcug. Debido a que la persona que le presentó como avalista puso una dirección falsa, el falso avalista no recibió ninguna comunicación de su inclusión en los ficheros de solvencia patrimonial y tuvo conocimiento de los hechos cuando, meses más tarde, su banco se negó a concederle un préstamo hipotecario.

A la vista de estos hechos, la Agencia imputó a la entidad financiadora la vulneración de los artículos 6.1 y 4.3 de la LOPD, sancionando con 50.000 euros cada infracción.

En el procedimiento sancionador no se acreditó la utilización de procedimiento alguno que verifique la identidad de la persona solicitante del crédito. La falta de pruebas que acrediten que la persona denunciante otorgase su consentimiento efectivo a la entidad denunciada pone de manifiesto que la entidad no ajustó su comportamiento, en el presente caso, a la diligencia que exige la actividad profesional que desarrolla.

Puede consultar la resolución íntegra aquí.

La AEPD impone una sanción de 4.000 euros a una clínica por infringir el deber de secreto impuesto por en el artículo 10 de la LOPD

En este procedimiento ha quedado acreditado que la clínica entregó a la hija de la denunciante una factura, en la que figuraban, entre otros, los datos identificativos, nombre y apellidos de la paciente, el coste de su estancia durante su ingreso y el coste de los tratamientos efectuados. En este caso, ese deber de secreto comporta que la clínica, responsable de los datos personales de sus pacientes, no puede revelarlos a terceros, salvo que cuente con el consentimiento del afectado; incluso cuando los receptores de los datos sean los familiares del paciente.

La Agencia ha considerado plenamente imputable a la clínica denunciada una falta de diligencia por haber comunicado los datos identificativos de una de sus pacientes a una tercera persona, hecho que podría haberse evitado si hubiera empleado la diligencia que le resulta exigible.

Puede consultar la resolución íntegra haciendo clic aquí.

La Agencia impone a una empresa de marketing una multa de 60.000 euros por infringir el artículo 6.1 de la LOPD

El denunciante puso en conocimiento de la AEPD la recepción de publicidad no solicitada en la que figuraba su nombre completo, así como su dirección postal, incluyendo el piso y la puerta.

La resolución de la Agencia señala que se ha producido un tratamiento de los datos personales de la persona denunciante para la realización de un envío de publicidad postal pues no se acredita relación comercial. La empresa de marketing sancionada remite ofertas de productos de sociedades terceras. Los datos personales fueron suministrados por la empresa de marketing para seleccionar el público objetivo o destinario de la campaña en función de los intereses comerciales de la beneficiaria de la publicidad. En consecuencia, la AEPD considera a la empresa de marketing responsable de este específico tratamiento de datos personales.

Al no haberse acreditado el consentimiento inequívoco del denunciante para recibir publicidad ni la existencia de una relación comercial previa de ningún tipo, la AEPD ha impuesto una sanción a la entidad denunciada.

Puede consultar la resolución íntegra aquí.

Nuevo blog sobre el Reglamento Europeo de Protección de Datos

La autoridad de control luxemburguesa (CNPD) ha habilitado un espacio en su portal web en el que recopila de manera sistemática todos los documentos importantes publicados por las instituciones europeas en relación al nuevo RGPD. Además, se incorporan presentaciones que explican de forma didáctica los principales conceptos de esta materia.

Puede consultar el portal así como todos los documentos adjuntos en la página web de la CNPD

La AEPD publica el esquema de certificación de Delegados de Protección de Datos

La AEPD presenta junto a ENAC su Esquema de certificación de Delegados de Protección de Datos y se convierte en la primera Autoridad europea de Protección de datos que elabora un marco de referencia para esta figura.

Las certificaciones serán otorgadas por entidades acreditadas por ENAC, siguiendo criterios de certificación elaborados por la AEPD en colaboración con los sectores afectados.

Con intención de que sea homologable a nivel internacional, el Esquema se ha establecido siguiendo los criterios de la norma internacional ISO/IEC 17024:2012.

Según Mar España, Directora de la AEPD, se podrán certificar DPD “con 5 años de experiencia, o con 3 o 2 pero con 50 o 100 horas de formación”. La certificación como DPD se basará en un examen tipo test que contará con 150 preguntas, exigirá un 75% de respuestas correctas y tendrá una vigencia de 3 años.

No obstante, la certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema.

Puede consultar el Esquema de certificación íntegro en este enlace.

El Tribunal Supremo rechaza la demanda de “derecho al olvido” de un hombre absuelto de un delito.

La Sala Primera ha desestimado el recurso de casación interpuesto por un hombre, absuelto de un doble asesinato, como consecuencia de la demanda de tutela de derecho al honor y a la propia imagen formulada frente a un periódico por la publicación de un artículo en el que se recogía la información de la absolución del acusado acompañado de una fotografía de este tomada lícitamente en el acto del juicio.

El TS considera que la entidad demandada respetó las exigencias de la normativa sobre tratamiento de datos personales, pues omitió el uso del nombre y apellidos y de otros datos personales para referirse al demandante, por lo que no se permite, en virtud de la indexación que realizan los motores de búsqueda, la obtención de información sobre los hechos utilizando el nombre y apellidos del afectado, aunque se pueda acceder a la noticia original en su versión digital en Internet.

Asimismo, destaca la sentencia que las hemerotecas digitales satisfacen un interés público de acceso a la información y que, en consecuencia, el «derecho al olvido» no ampara la alteración del contenido de la información original lícitamente publicada, en concreto, el borrado de datos personales que consten en la misma.

Tampoco concurre el requisito de la desaparición del interés público exigido por la jurisprudencia, pues aunque el «derecho al olvido» ampara que el afectado pueda exigir que se cancele el tratamiento de sus datos personales cuando haya transcurrido un periodo de tiempo que lo haga inadecuado, al tratarse de unos hechos de extraordinaria gravedad e impacto social que continuaban teniendo notoria actualidad en el momento de publicación de la noticia de su enjuiciamiento, aunque los hechos hubieran ocurrido quince años antes.

Puede consultar la sentencia íntegra en este enlace.

La Audiencia Nacional rechaza el "derecho al olvido" de un médico frente a críticas vertidas por pacientes en un foro de internet

Un cirujano ejercitó su derecho de oposición de sus datos personales frente a la empresa gestora del motor de búsqueda Google solicitando la retirada de un enlace que conducía a un foro en el que distintos pacientes valoraban sus experiencias con distintos profesionales de la medicina.

Para la Agencia Española de Protección de Datos (“AEPD”), de la que el doctor solicitó la tutela de su derecho de oposición, la retirada de los enlaces que dirigían a la publicación controvertida era procedente, teniendo en cuenta su carácter obsoleto por el transcurso del tiempo y su falta de “interés general” (en los términos de la pionera Sentencia del Tribunal de Justicia de  la Unión Europea en el asunto Google Spain, S.L. y Google Inc. c. AEPD y Mario Costeja).

No obstante lo anterior, la Audiencia Nacional resuelve que Google no tendría que haber sido obligado a eliminar de sus resultados enlaces que dirijan a publicaciones negativas sobre el doctor por cuatro razones: (i) las publicaciones, accesibles en su fuente original, versan estrictamente sobre aspectos profesionales del doctor; (ii) los datos tratados se refieren a una persona con relevancia pública, al menos en el ámbito sanitario; (iii) se trata de una opinión, no de información, por lo que el límite de veracidad propio de la libertad de información no es aplicable; y (iv) debe prevalecer el interés del público en conocer experiencias y opiniones manifestadas por usuarios sobre el mismo profesional.

Si lo desea puede consultar la sentencia íntegra en este enlace.

En agosto...

Tal y como es habitual, en agosto no se publicará la newsletter de ZABÍA ABOGADOS, el próximo mes de septiembre estaremos de vuelta para informarles de cualquier novedad relevante en materia de Protección de Datos.