- Julio de 2018 -
El Consejo de Ministros aprueba el Real Decreto-ley 5/2018 por el que se adapta el Derecho español a la normativa de la Unión Europea en materia de protección de datos

El Consejo de Ministros aprobó el pasado día 27 de julio de 2018, a propuesta de la ministra de Justicia, Dolores Delgado, el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Este Real Decreto-ley tendrá vigencia hasta el momento en el que entre en vigor la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (el proyecto de ley cuya tramitación parlamentaria continúa pendiente).

El Real Decreto-ley regula cuestiones fundamentales como la inspección –quién es el personal competente para el ejercicio de la actividad de investigación o su alcance- (en su capítulo primero), el régimen sancionador (capítulo segundo) o el procedimiento a seguir en caso de una posible vulneración de la normativa de protección de datos (capítulo tercero).

La Information Commissioners’s Office, autoridad de control inglesa, ha emitido una guía sobre el interés legítimo

La Autoridad en materia de protección de datos del Reino Unido, la Oficina del Comisionado de Información (ICO por sus siglas en inglés, Information Commissioners’s Office) ha elaborado una guía sobre el interés legítimo.

En esta guía, la ICO analiza diversos aspectos sobre el interés legítimo, tales como las novedades que presenta el RGPD en relación a este concepto, comparándolas con la legislación existente hasta la fecha o cuándo se puede entender que un tratamiento de datos de carácter personal tiene como base jurídica el interés legítimo, entre otros aspectos.

Procedimiento de adaptación de la normativa interna al nuevo RGPD en países de la Unión Europea

La adaptación de la normativa interna al Reglamento General de Protección de Datos se encuentra en diferentes estados en función del país de la Unión Europea que analicemos.

En España, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que derogará la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, continúa su tramitación y no hay fecha aún estipulada para su entrada en vigor, aunque se pensó que será aprobado antes de fin de año. De hecho, el Gobierno se está planteando la posibilidad de aprobar un Decreto Ley, con carácter extraordinario, para que entre en vigor de inmediato la parte de la ley que no tiene el carácter de ley orgánica.

En Francia, a finales del mes pasado, tras los trámites realizados de acuerdo a la legislación nacional, se publicó en el Diario Oficial la Ley Nº 2018-493 sobre protección de datos personales, que puede consultar aquí (en su versión en vigor a fecha en que se acceda al link) y que modifica la Ley Nº 78-17 de 6 de enero de 1978 relativa a datos, archivos y libertades (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

En Finlandia, el Proyecto de Ley de Protección de Datos propuesto por el Gobierno continúa, actualmente, en tramitación para poder ser aprobado. Por ello, la actual Ley de Protección de Datos Personales continúa en vigor hasta que sea derogada por la nueva Ley propuesta.

En Rumanía, la Ley nº 677, de 21 de noviembre de 2001 sobre la protección de las personas con respecto al tratamiento de Datos Personales y la Libre Circulación de Datos fue derogada por la Ley nº 129 de 15 de junio de 2018, que modifica y completa la Ley núm. 102/2005 sobre el establecimiento, la organización y el funcionamiento de la Autoridad Nacional de Supervisión del Tratamiento de Datos Personales.

No obstante, debemos advertir que en otros países no pertenecientes a la Unión Europea también se están llevando a cabo importantes actuaciones de cara a otorgar una mayor protección a los datos de carácter personal de sus ciudadanos.

En Brasil, el pasado martes día 10 de julio, fue aprobado por unanimidad por el Plenario del Senado brasileño, el proyecto de Ley que regula el uso, la protección y la transferencia de datos personales en el país. Dicho texto garantiza un mayor control de los ciudadanos sobre su información personal y prevé la creación de una Autoridad Nacional de Protección de Datos vinculada al Ministerio de Justicia.

En el Estado de California, el Gobernador Jerry Brown firmó la nueva Ley de Privacidad del Consumidor de California, que contiene una regulación en materia de protección de datos más estricta que las normativas derogadas anteriores. Esta nueva ley comparte ciertas similitudes con el RGPD, ya que gracias a ella los ciudadanos podrán conocer qué datos son tratados por las empresas, corregirlos, exigir que no sean cedidos a terceros sin su consentimiento o solicitar la supresión de los mismos.

Los testigos de Jehová son responsables del tratamiento de datos personales recogidos puerta a puerta

El Tribunal de Justicia de la Unión Europea ha resuelto en sentencia, de 10 de julio de 2018, en el asunto C-25/17, que la actividad de predicación realizada por los testigos de Jehová supone un tratamiento de datos personales ya que durante dicha actividad los miembros predicadores elaboran ficheros mediante la recogida de datos de terceros tales como el nombre, la dirección o la situación familiar y religiosa del tercero entrevistado, estructurando dichos datos de tal manera que puedan ser utilizados posteriormente.

Por este motivo, este tratamiento de datos debe respetar la normativa en protección de datos, siendo la “comunidad religiosa responsable, junto con sus miembros predicadores, de los tratamientos de datos personales efectuados por estos últimos en relación con una actividad de predicación puerta a puerta organizada, coordinada y fomentada por dicha comunidad, sin que sea necesario que la comunidad tenga acceso a los datos ni haga falta demostrar que la comunidad ha impartido a sus miembros instrucciones por escrito o consignas respecto a esos tratamientos”.

Puede leer la Sentencia del Tribunal de Justicia de la Unión Europea completa aquí.

Puede leer el comunicado de prensa del TJUE aquí.

La AEPD y CEPYME presentan los resultados de la encuesta sobre el conocimiento del Reglamento en las pymes españolas

La Agencia Española de Protección de Datos y la Confederación Española de la Pequeña y Mediana Empresa han elaborado un informe en el que muestran los resultados de la encuesta realizada a las PyMes españolas sobre el conocimiento del Reglamento General de Protección de Datos.

El resultado de dicho informe ha mostrado que el 63% de las pymes españolas conocen el nuevo Reglamento General de Protección de Datos (RGPD), lo que implica que cerca de cuatro de cada diez empresas no tienen conocimiento sobre dicha normativa.

Destaca en dicho informe que los tratamientos de los datos que las PyMes realizan con mayor frecuencia son los de clientes, proveedores y empleados, viniendo a continuación los relativos a la videovigilancia (38%) o a formularios en Internet (17%). El informe también destaca que la casi totalidad de estas empresas (90%) consideran que este Reglamento es mejor que la normativa anterior, mientras que el 80% consideran la aplicación del Reglamento como algo positivo.

La UE y Japón alcanzan un acuerdo para el libre flujo la transferencia de datos

El pasado martes 17 de julio, la Unión Europea y Japón firmaron el acuerdo de libre comercio que ambas partes pactaron hace un año y que prevé la eliminación de la mayoría de los aranceles sobre productos comerciados. Dicho tratado ha sido firmado por Jean-Claude Juncker (presidente de la Comisión Europea), Donald Tusk (presidente del Consejo europeo) -por parte de la UE- y Shinzo Abe (primer ministro japonés).

Además de la firma de dicho tratado, la Comisión Europea ha concedido a Japón el estándar de país con un mismo nivel de protección de datos de carácter personal que los países de la Unión Europea, lo que permitirá crear "el mayor flujo de datos seguro" del planeta, según el presidente de la Comisión, Jean-Claude Juncker.

Puede acceder a la noticia publicada por el periódico Expansión aquí.

Puede acceder a la noticia publicada por EuropaPress aquí.

El Tribunal Supremo de EEUU (Supreme Court of the United States) defiende la privacidad de los datos de ubicación de los usuarios de los teléfonos móviles

El Tribunal Supremo de Estados Unidos resolvió, a finales del mes pasado, sobre la necesidad de proteger la privacidad de los datos de geolocalización de los usuarios de teléfonos móviles.

En la Sentencia relativa al asunto Carpenter Vs. United States (asunto en la que la policía obtuvo sin una orden judicial los datos de ubicación de un sospechoso durante cuatro meses) el Tribunal Supremo ha rechazado el acceso ilimitado a los datos de geolocalización de los usuarios, con 5 votos a favor y 4 en contra, ya que, como afirma en la propia sentencia, cualquier tercero mantiene una expectativa legítima de privacidad en el registro de su movilidad física (“an individual maintains a legitimate expectation of privacy in the record of his physical movements as captured through CSLI”).

Por estos motivos, el Tribunal resuelve que será necesario que la policía solicite una orden judicial para acceder a los datos de geolocalización a excepción de que se encuentren en una situación de emergencia.

Puede leer la sentencia completa (en inglés) aquí.

La Information Commissioners’s Office ha publicado su informe anual de 2017-2018

La Information Commisioner´s Office ha publicado, el día 20 de julio de 2018, su informe anual. En dicho informe se ha puesto de manifiesto un incremento en la concienciación pública sobre cuestiones como la privacidad o el derecho de información. Estas conclusiones se extraen de los datos recogidos del informe, tales como el incremento de quejas en materia de protección de datos o las sanciones impuestas por dicha Autoridad con motivo de la protección de los datos de carácter personal (tratamientos de datos personales en contra de la ley, fallos en la seguridad, etc.).

Movistar solventa un fallo de seguridad sobre datos de sus clientes

El lunes 16 de julio de 2018, la organización FACUA-Consumidores en acción presentó una reclamación contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos, solicitando que se abriese un expediente sancionador con motivo de la existencia de un fallo de seguridad en la página web de Movistar que permitió el acceso a datos de carácter personal de sus clientes, tales como el nombre y apellidos, el DNI, la dirección de facturación, el correo electrónico o el nombre del banco donde tiene domiciliados los recibos y su histórico de facturación con todos los servicios contratados, entre otros.

Puede acceder a las distintas noticias completas aquí, aquí o aquí.

Del mismo modo, la AEPD está valorando la información suministrada por Telefónica (el RGPD establece una obligación de notificar e informar cualquier brecha de seguridad en un plazo de 72 horas, obligación que Telefónica ha cumplido ya que informó el mismo día que tuvo conocimiento de ella) sobre el reciente fallo de seguridad. Tras la notificación de dicha brecha en la seguridad, y tras su subsanación en el mismo día, la compañía llevó a cabo un análisis para conocer cuál había sido el alcance del fallo en la seguridad, llegando a la conclusión de que el número de clientes cuyos datos habían sido accedidos por terceros era inferior a un centenar.

La Asociación de Internautas denuncia falta de veracidad informativa en las enmiendas a la ley de Protección de Datos

La Asociación de Internautas (AI), junto a otras asociaciones como la Asociación por los Derechos Económicos, Civiles y Sociales (ADECES) o la Unión de Consumidores de Galicia (UCGAL) han presentado un escrito mediante el que critican las enmiendas presentadas por el Partido Socialista Obrero Español (PSOE) al Proyecto de Ley Orgánica de Protección de Datos ya que consideran que el derecho al olvido, la identificación de personas anónimas en caso de violación de derechos y la veracidad informativa no se encuentran reguladas de forma suficiente. No obstante, debemos tener en cuenta que el PSOE presentó 93 enmiendas a dicho proyecto siendo el grupo político que más enmiendas ha presentado.

Puede leer la noticia completa publicada por el periódico La Vanguardia aquí.

En agosto…

Tal y como es habitual, en agosto no se publicará la newsletter de ZABÍA ABOGADOS. El próximo mes de septiembre estaremos de vuelta para informarles de cualquier novedad relevante en materia de Protección de Datos.

¡Disfruten de su verano!