- Septiembre de 2018 -
Novedades en el Proyecto de Ley Orgánica de Protección de Datos

Finalizado el plazo de presentación de enmiendas por los diversos grupos políticos al Proyecto de Ley Orgánica de Protección de Datos el pasado miércoles día 26 de septiembre de 2018, la ponencia designada por la Comisión emitió un informe en el que se recogen diversas novedades que se incluyen en el Proyecto de Ley Orgánica.

Entre estas novedades, debemos destacar la inclusión del denominado “derecho a la desconexión digital” en el Proyecto de LOPD. De esta manera, la legislación protegerá a los trabajadores garantizando el respeto en todo momento a su tiempo de descanso, sus permisos y vacaciones por parte de la empresa. La futura Ley Orgánica (que se denominará Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales, a pesar de que la Asociación Española para la Digitalización ha realizado una petición en la que reclama una Ley de Derechos Digitales específica e independiente del Proyecto de Ley Orgánica de Protección de Datos), establecerá que las empresas deberán elaborar, previo consentimiento de los trabajadores, una política interna de uso responsable de los dispositivos en la que se especificarán las modalidades del ejercicio del derecho a la desconexión digital.

Del mismo modo, se establece en el Proyecto de Ley que la empresa podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores con la única finalidad de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. Este acceso deberá ser realizado mediante un procedimiento que será acordado entre los trabajadores y la compañía.

Respecto a las grabaciones que el empleador puede realizar, el Proyecto de Ley contempla que la empresa pueda tratar tanto aquellos datos de carácter personal obtenidos mediante grabaciones realizadas por cámaras de vídeo como los datos relacionados con la localización del trabajador siempre y cuando la finalidad de este tratamiento sea el ejercicio de las funciones de control de los empleados previstas en el Estatuto de los trabajadores y se ejerza dentro de la ley (informando a los trabajadores de la existencia y localización de los dispositivos), no pudiendo ubicarse los dispositivos de grabación en las zonas de descanso o en los baños, vestuarios y aseos.

En cuanto a los datos de carácter personal de personas fallecidas, el Proyecto de Ley Orgánica permite que aquellas personas vinculadas por razones familiares con los fallecidos o los herederos se dirijan al responsable o encargado del tratamiento para solicitar el acceso a los datos personales y la rectificación o supresión de los mismos.

Asimismo se ha fijado la edad mínima a la que los menores puedan otorgar su consentimiento para el tratamiento de sus datos de carácter personal en 14 años (el Reglamento General de Protección de Datos otorga un amplio margen a los Estados para fijar esta edad en una franja entre 13 y 16 años).

El Tribunal Supremo admite el uso del GPS para el control de un trabajador

El Tribunal Supremo ha inadmitido el recurso de casación para la unificación de doctrina interpuesto por el abogado de un trabajador (inspector encargado) que fue despedido por motivos disciplinarios debido a que la furgoneta que utilizaba el mismo para la realización de su trabajo se encontraba fuera de la zona de trabajo, “lo que pudo saberse por el GPS de localización que tenía colocado en el vehículo que utilizaba […] por exigencias del pliego de condiciones del Ayuntamiento del Puerto de Santa María”.

El trabajador alegó la nulidad de la prueba ilícitamente obtenida por vulneración del derecho a la intimidad y al tratamiento automatizado de datos. Para ello basó sus alegaciones en la Sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Madrid, de 21 de marzo de 2014, por la que se declaraba que las conclusiones obtenidas gracias al GPS y su aportación como medio de prueba para demostrar el incumplimiento contractual lesionaban los derechos fundamentales del trabajador ya que la empresa no cumplió con su deber de informar al trabajador de la colocación de este dispositivo.

 

No obstante, en el supuesto en el que nos encontramos, nuestro Alto Tribunal declara que la situación descrita en el párrafo anterior no puede ser comparada con la situación del inspector encargado ya que “la empresa había instalado un GPS de localización de los vehículos adscritos al servicio de la contrata con el Puerto de Santa María, por exigencia del propio Ayuntamiento en el pliego de condiciones administrativas y con la autorización de la Agencia de Protección de Datos, y el actor conocía de sobra ese dato porque, debido al cargo que desempeñaba como inspector-encargado, usaba la plataforma de localización para controlar a los trabajadores adscritos a su turno”.

Por ello, debido a que el propio trabajador había sido informado de la colocación del GPS (siendo plenamente consciente de su existencia), así como que el mismo había sido instalado por exigencia del Ayuntamiento y con la autorización de la Agencia de Protección de Datos, el Tribunal Supremo declara la firmeza de la sentencia recurrida e inadmite el recurso de casación.

Puede leer la Sentencia del Tribunal Supremo completa aquí.

Puede acceder a la noticia aquí.

La AEPD desestima el recurso de reposición presentado por Facebook e inadmite el presentado por WhatsApp contra la resolución de la Agencia por la que se imponía una sanción a las dos compañías

Con fecha 4 de octubre de 2016 la Agencia Española de Protección de datos ordenó que se iniciasen de oficio Actuaciones Previas de Investigación con el objetivo de determinar si las comunicaciones de datos de carácter personal llevadas a cabo entre las empresas Whatsapp INC. y Facebook Inc. así como los tratamientos que estas comunicaciones implicaban, cumplían lo estipulado en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Teniendo en cuenta los resultados de estas actuaciones llevadas a cabo por la AEPD, el día 11 de septiembre de 2017 se acordó iniciar un procedimiento sancionador a las entidades Whatsapp y Facebook. Instruido el procedimiento, con fecha 2 de marzo de 2018 se dictó resolución por la que se imponía a Whatsapp una sanción de 300.000 € por la vulneración de lo dispuesto en el artículo 11 de la LOPD y a Facebook una sanción de 300.000 € por la vulneración de lo establecido en el artículo 6 de la misma ley. Posteriormente ambas empresas recurrieron en reposición con similares resultados.

En el supuesto de Whatsapp, la AEPD ha inadmitido el recurso de reposición interpuesto contra la resolución de la Agencia por extemporáneo, ya que el plazo en el que se presentó superó “ampliamente el plazo de interposición establecido legalmente”, mientras que en el supuesto de Facebook, la Agencia ha desestimado el recurso de reposición ya que reiteran en su recurso básicamente “las alegaciones ya presentadas a lo largo del procedimiento sancionador”. Por este motivo, la Agencia afirma que “en este caso, la recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución de 02/03/2018, en la que se acordó imponer a la misma una sanción por la infracción de lo establecido en el artículo 6 de la LOPD”.

Puede acceder a la resolución completa relativa a la empresa Whatsapp aquí y Facebook aquí.

La CNMC ha incoado expedientes sancionadores a cinco operadores de telecomunicaciones por no suministrar datos de sus abonados

La Comisión Nacional de los Mercados y la Competencia ha acordado incoar cinco expedientes sancionadores a Telefónica, Vodafone, Ono, Orange y Xferia por un presunto incumplimiento de sus obligaciones de suministrar los datos de sus abonados a través del SGDA.

Este Sistema de Gestión de los Datos de Abonados, gestionado por la CNMC, es una plataforma creada en 2013 y utilizada, entre otros, por servicios de emergencia (112 Emergencias, 061 Urgencias Sanitarias…), cuerpos de seguridad del Estado, operadores que elaboran guías telefónicas, etc. para disponer de datos actualizados de abonados (los datos que aparecen en esta base son el número de teléfono, el nombre del abonado así como la dirección postal).

Como resulta lógico, este sistema puede funcionar siempre y cuando todos los operadores que empleen numeración contenida en el Plan Nacional de Numeración cumplan con su obligación y suministren los datos de sus abonados. No obstante la CNMC ha podido apreciar que los cinco grandes operadores mencionados en el primer párrafo no están actuando conforme a sus obligaciones y por ello ha decidido incoar cinco expedientes sancionadores.

Puede acceder al comunicado de prensa de la CNMC aquí.

Una compañía de Marketing en Inglaterra ha sido sancionada por el ICO por el envío masivo de correos electrónicos sin el consentimiento de los destinatarios

La Autoridad en materia de protección de datos del Reino Unido, la Oficina del Comisionado de Información (ICO por sus siglas en inglés, Information Commissioners’s Office) ha impuesto una sanción de 60.000,00 libras a la compañía Everything DM LTD, con residencia en Stevenage (Hertfordshire, Inglaterra) por enviar más de un millón de correos electrónicos sin consentimiento.

Las investigaciones de esta Agencia permitieron demostrar que en el periodo de un año comprendido entre mayo de 2016 y mayo de 2017, la compañía usó su sistema de marketing directo denominado “Touchpoint” para enviar correos de parte de sus clientes (correos que parecían enviados por los propios clientes). No obstante, EDML no ha sido capaz de probar que los destinatarios de estos correos hubieran prestado su consentimiento para recibir estas comunicaciones de marketing de los clientes o de la propia compañía.

Por ello, como afirma el Director de Investigaciones de esta autoridad, aquellas empresas que prestan servicios de marketing a terceras compañías deben llevar a cabo un mayor control para asegurarse de que se ha obtenido el consentimiento de manera válida por parte de los destinatarios.

Puede acceder a la resolución de la Agencia de Reino Unido a través del siguiente link.

La empresa “Lifecicle Marketing (Mother&Baby) Ltd” ha sido multada por vender información de carácter personal para campañas políticas

La Information Commisioner´s Office ha impuesto una sanción de 140.000,00 libras a la empresa Lifecicle Marketing (Mother&Baby) Ltd por haber recopilado ilegalmente y vendido información de carácter personal de más de un millón de personas.

Esta compañía dedicada a asesorar a familias sobre el embarazo y el cuidado de niños, vendió la información a la compañía Experian (empresa de datos, análisis y servicios de marketing), con la que se creó una base de datos a través de la que el Partido Laborista elaboró perfiles de nuevas madres durante el periodo previo a las elecciones generales de 2017. Gracias a este perfilado, el Partido Laborista pudo enviar correos electrónicos a aquellas madres que vivían en zonas en las que el porcentaje de votos estaba muy repartido entre los distintos partidos sobre las intenciones del partido de invertir en centros de cuidado infantil.

La investigación llevada a cabo por la ICO permitió advertir que la política de privacidad que tenía la compañía no informaba de que los datos de carácter personal aportados por los afectados serían usados por partidos políticos, lo que implicaba una violación del Data ProtectionAct 1998.

Puede acceder a la resolución de la Agencia de Reino Unido a través del siguiente link.

Telemarketing agresivo: multa de 600.000 euros en Fastweb

La compañía de telecomunicaciones italiana Fastweb S.p.A. ha sido sancionada por el Garante per la Protezione de iDati Personali (el equivalente a la Agencia Española de Protección de Datos en Italia) con una multa de 600.000,00 euros por llevar a cabo campañas de telemarketing sin el consentimiento de las personas contactadas, así como por elaborar perfiles en contra de lo dispuesto en la normativa.

Se ha descubierto, gracias a las investigaciones de la Agencia, que la compañía realizaba llamadas a potenciales clientes sin su consentimiento ofreciendo propuestas comerciales, llamando varias veces incluso a aquellos que ya se había opuesto al tratamiento de sus datos de carácter personal con estos fines. La compañía también había elaborado perfiles de ciertas categorías de clientes sin haber obtenido el consentimiento previo y sin haber notificado dicha actuación a esta Agencia.

Puede acceder a la nota informativa publicada por la Agencia a través de este link.

Entrada en vigor de la nueva ley Informatique et Libertés y su decreto de aplicación

La CNIL ha informadode que la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, asícomo su decreto de aplicación (Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) han sido modificados para adaptar la legislación nacional al marco jurídico europeo. Estos textos, según la CNIL, “permitirán la implementación del Reglamento General de Protección de Datos, así como de la Directiva de “policía-justicia”, aplicable a los expedientes penales”.

Como afirma esta Autoridad, la nueva ley permitirá la aplicación efectiva del texto europeo, lo que representa un gran avance para la protección de los datos personales de los ciudadanos. Resulta evidente, en este contexto, que una buena comprensión del marco legal actual implica combinar los dos niveles regulatorios, el europeo y el nacional.

En particular, se proporciona a la CNIL los poderes necesarios para llevar a cabo sus actuaciones, en un contexto marcado por el reconocimiento de nuevos derechos a los ciudadanos.

No obstante, la legibilidad del marco legal nacional se mejorará, en palabras de la CNIL, mediante la realización de una orden que prevé revisar la Ley de Protección de Datos, en el plazo de seis meses, de tal manera que se superen las dificultades que este nuevo marco jurídico compuesto existente en la actualidad presenta.

Puede acceder a la noticia completa de la CNIL aquí.

La Commission Nationale de l'Informatique et des Libertés (CNIL) ha publicado dos guías orientadas al cumplimiento del RGPD

La Autoridad en materia de protección de datos de Francia, la CNIL ha elaborado dos guías que versan sobre el procedimiento que han de seguir los profesionales para responder a una solicitud de derecho de acceso y sobre el modo en que se debe recabar el consentimiento.

En estas dos guías, a las que puede acceder a través de estos dos links (procedimiento de respuesta a la solicitud y método para recabar el consentimiento), la CNIL presenta tanto una serie de pautas que se deben seguir para poder cumplir con lo que establece el Reglamento General de Protección de Datos como diversas cuestiones que deben ser conocidas para actuar conforme a la normativa vigente (por ejemplo, qué cuestiones sobre el consentimiento modifica el RGPD).

Opinión del Supervisor Europeo de Protección de Datos sobre la propuesta de regulación que trata de reforzar la seguridad en los documentos de identidad de los ciudadanos de la Unión

El Supervisor Europeo de Protección de Datos ha emitido el día 10 de agosto de 2018 un informe en el que presenta su opinión sobre la propuesta de regulación elaborada por el Parlamento y el Consejo Europeo que versa sobre el incremento de la seguridad tanto en los documentos de identidad de los ciudadanos de la Unión Europea como en los documentos de residencia emitidos para estos ciudadanos y sus familias que desean ejercer su derecho a la libertad de movimiento en la Unión, mediante la inclusión en los mismos de huellas digitales o de la imagen facial.

En este supuesto, el EDPS (por sus siglas en inglés), apoya el objetivo de la Comisión Europea de reforzar las medidas de seguridad que se pueden aplicar en los documentos de identidad y en los documentos de residencia, tratando de mejorar, de este modo, la seguridad en la Unión europea. No obstante, considera que esta propuesta no logra justificar de modo suficiente la necesidad de llevar a cabo un tratamiento de datos biométricos (imagen facial y huellas digitales) con esta finalidad, debido a que los objetivos expuestos en la propuesta de regulación pueden ser alcanzados mediante medios menos intrusivos, ya que debemos tener en cuenta que los datos biométricos son considerados como datos de categoría especial (datos sensibles) que gozan de una especial protección.

El EDPS admite la importancia que tiene llevar a cabo estas medidas de mejora de la seguridad en la Unión Europeo, sin embargo no pueden ser llevadas a cabo de manera en que se expone en la propuesta, sino que requieren una reflexión y un análisis más exhaustivo.

Puede acceder al documento completo a través del siguiente link.

Declaración del “European Data Protection Board” sobre el impacto que genera en la protección de datos las actividades que implican una mayor concentración económica en diversos sectores

El 27 de Agosto de 2018 el EDPB emitió una declaración acerca del impacto que pueden generar las operaciones de fusiones y adquisiciones de diferentes compañías sobre la protección de datos de carácter personal. En dicha declaración el EDPB resalta la importancia de llevar a cabo una correcta evaluación a largo plazo de las implicaciones para la protección de los datos y los derechos de los consumidores que puede presentar la realización de una fusión entre dos compañías, especialmente en el sector tecnológico (con relación a la propuesta de adquisición de Shazam por parte de la compañía Apple).

Según el EDPB, el incremento de la concentración del mercado en el sector digital conlleva la posibilidad de que se genere una grave amenaza al nivel de protección de datos personales y de libertad de la que disfrutan los consumidores de servicios digitales. Por este motivo, tanto la protección de datos de carácter personal como la protección de la intimidad de los particulares son aspectos fundamentales que se deben tener en cuenta a la hora de llevar a cabo una valoración de cualquier fusión de empresas que pueden llegar a acumular una gran cantidad de información de carácter personal.

Afirma el EDPB que pueden ser las Autoridades de Protección de Datos aquellas entidades que ayuden a evaluar el impacto que pueden tener estas fusiones o adquisiciones de compañías tecnológicas sobre los consumidores y la sociedad en materia de privacidad o libertad.

Puede leer la declaración completa en inglés aquí.

El Tribunal Europeo de Derechos Humanos de Estrasburgo considera que determinados actos del servicio de inteligencia de Reino Unido relacionados con la interceptación de datos personales vulneran lo establecido en el Convenio Europeo de los Dchos Humanos

Los recurrentes (periodistas y organizaciones defensoras de los derechos civiles) en el caso “Big Brother Watch and Others V. the United Kingdom” afirmaban que sus comunicaciones electrónicas o de datos podrían ser interceptadas por los servicios de inteligencia británicos, ya que, según lo dispuesto en sus escritos presentados, existían diversas actuaciones realizadas por los servicios de inteligencia (intercepción de comunicaciones en masa, compartir datos con agencias de inteligencia extranjeras o la obtención de datos a través de proveedores de servicio) que vulneraban lo dispuesto en el Convenio Europeo de Derechos Humanos.

El Tribunal Europeo de Derechos Humanos ha declarado en su sentencia de 13 de septiembre de 2018 lo siguiente:

Que la interceptación masiva de las comunicaciones por parte del servicio secreto viola el artículo 8 (Derecho al respeto a la vida privada y familiar) del Convenio Europeo de los Derechos Humanos, ya que se ha apreciado por el Tribunal que no se ha empleado la vigilancia suficiente a la hora de elegir unos criterios de búsqueda válidos para seleccionar las comunicaciones interceptadas para su evaluación, ni tampoco han existido garantías suficientes en la selección de los datos de comunicación a examinar.

Que el sistema por el que se obtenían datos personales a través de proveedores de servicios viola el artículo 8 del CEDH, debido a que la actuación no era acorde a la ley (la normativa de la UE exige que cualquier sistema que permita la obtención de datos a través de proveedores de servicios debe estar limitado a la finalidad de combatir delitos graves y sujeto a la previa autorización por parte de un órgano administrativo independiente).

Que tanto la interceptación masiva de datos como el sistema establecido para la obtención de datos a través de proveedores de servicio viola también el artículo 10 del CEDH (libertad de expresión).

El Tribunal ha declarado, no obstante, que compartir datos con agencias de inteligencia de gobiernos extranjeros no viola el artículo 8 ni el artículo 10, debido a que considera que el procedimiento para solicitar tanto la interceptación como la transmisión de los datos de agencias de servicio extranjeras ha sido expuesto con suficiente claridad en la legislación vigente. Asimismo, se considera que no existe evidencia alguna de ninguna deficiencia en la aplicación del sistema de intercambio de información, ni de abuso por parte del servicio de inteligencia de Reino Unido.

Puede acceder a la sentencia completa en inglés aquí.

Puede acceder al comunicado de prensa del Tribunal Europeo de los Derechos Humanos desde aquí.