- Octubre de 2018 -
La AEPD publica los resultados de su informe sobre la adaptación al Reglamento de las políticas de privacidad online

La Agencia Española de Protección de Datos ha publicado el informe “Políticas de privacidad en Internet. Adaptación al RGPD”. Este informe tiene por objetivo tanto analizar la adaptación de las políticas de privacidad online de las empresas al RGPD como dictar aquellas recomendaciones que sean necesarias para su correcta aplicación. Junto al informe, la AEPD ha adjuntado un decálogo para la “adaptación al RGPD de las políticas de privacidad en internet”, que recoge aquellas cuestiones que deben tener en cuenta los responsables del tratamiento para dar cumplimiento al Reglamento, tales como informar a los interesados sobre quién trata los datos, con qué finalidad se tratan o cuál es la base legitimadora.

Entre las recomendaciones que la AEPD formula para que las empresas se adapten de manera adecuada al RGPD, aconseja que lleven a cabo una revisión de la extensión de sus documentos de privacidad, para lograr informar a los interesados de manera clara y concisa, ya que, como pone de manifiesto el informe, en muchas ocasiones la política de privacidad de las compañías no son concisas y no facilitan su comprensión. La Agencia también hace mención a la necesidad de cuidar el lenguaje utilizado en estas políticas de privacidad por parte de las compañías, ya que con carácter general se utilizan expresiones ambiguas o genéricas que no aportan información al interesado.

No obstante, y a pesar de las diversas recomendaciones que la Agencia realiza en su informe, destaca el esfuerzo realizado por parte de las compañías para poder actualizar sus apartados sobre privacidad y sus formularios de recogida de datos de carácter personal conforme al RGPD.  

El Pleno del Congreso de los Diputados remite al Senado el Proyecto de Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales para que continúe su tramitación

El Pleno del Congreso de los Diputados ha aprobado, el día 18 de octubre de 2018, el dictamen elaborado por la Comisión de la Justicia relativo al Proyecto de Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, que continuará su trámite en el Senado.

Esta iniciativa ha sido aprobada por unanimidad con 314 votos a favor, sin votos en contra ni abstenciones. Este proyecto de ley tiene como objetivo adaptar al ordenamiento jurídico español el Reglamento 2016/679 del Parlamento Europeo y el Consejo relativo a la protección del tratamiento de datos personales y libre circulación de datos, además de garantizar los derechos digitales de los ciudadanos.

Puede consultar el texto del Proyecto de Ley remitido aquí.

La Audiencia Nacional desestima el recurso interpuesto por Mapfre contra una resolución sancionadora de la Agencia Española de Protección de Datos

La Audiencia Nacional ha desestimado el recurso contencioso administrativo interpuesto por Mapfre frente a la Resolución de la Agencia Española de Protección de Datos de 11 de octubre de 2016 en la que se acordaba imponer a dicha entidad una sanción de 40.001 euros por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 43.3.b) de la norma.

En dicho recurso, Mapfre alegó que el tratamiento de los datos de carácter personal que había llevado a cabo había resultado conforme a derecho ya que el propio tomador de la póliza –quien suscribió la póliza y autorizó el tratamiento de los datos personales suministrados- facilitó su cuenta de la Caixa y autorizó su uso con las finalidades indicadas. Mapfre afirmó que el tomador otorgó su consentimiento para el tratamiento de sus datos incluso una vez terminada la relación contractual (tras la solicitud de no renovación de la póliza presentada por el tomador).

No obstante, la Sala de lo Contencioso-Administrativo ha considerado que los datos de carácter personal del tomador fueron tratados por Mapfre sin su consentimiento ya que se cargó en la cuenta corriente titularidad del tomador y, posteriormente, en la cuenta corriente de la sociedad de la que era Administrador el pago de una póliza de seguro de vehículo cuya previa voluntad de no renovar había sido manifestada por el tomador. Asimismo, la Sala ha declarado que la citada solicitud de no renovación de la póliza fue realizada conforme a la Ley del Contrato de Seguro, por lo que a partir de ese momento cualquier tratamiento de datos derivados de la misma carecía del consentimiento de su titular.

Por ello, debido a que la compañía no ha sido capaz de acreditar el consentimiento del tomador para el tratamiento de sus datos de carácter personal, la sala ha desestimado el recurso interpuesto con imposición de costas a la entidad recurrente, confirmando la resolución de la AEPD por la que se acordaba imponer una sanción de 40.100 euros.

Puede acceder a la resolución de la Agencia aquí.

Puede acceder a la Sentencia de la sala de lo contencioso administrativo aquí.

Análisis del concepto de “consentimiento” en el Reglamento General de Protección de Datos por Simon McGarr

Simon Mcgarr (experto irlandés en materia de protección de datos) analiza en su artículo los requisitos que el RGPD establece para poder recabar el consentimiento válido por parte del responsable del tratamiento. El Reglamento dispone, en su artículo 4.11, lo que debe entenderse por consentimiento del interesado, esto es, “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, […] el tratamiento de datos personales […]”.

En su análisis, Simon Mcgarr pone de manifiesto las dificultades que presenta la obtención de este consentimiento válido para las compañías de la industria tecnológica. A modo ejemplificativo, respecto al consentimiento informado, afirma que resulta complicado, desde el punto de vista práctico, poder informar a los interesados de todos aquellos elementos esenciales que deben ser comunicados en virtud de lo dispuesto en la guía del grupo de trabajo del Artículo 29 sobre el consentimiento, y a su vez cumplir con los requisitos que establece el artículo 12.1 del RGPD por el que se exige que la información otorgada por el responsable sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Del mismo modo, hace constar las dificultades que existen para recabar el consentimiento de forma inequívoca, ya que no existe un mecanismo estipulado para lograrlo. Si bien el Grupo de Trabajo del Artículo 29 considera correcto el uso de una cláusula firmada por parte del interesado, resulta complejo llevar a cabo este tipo de comunicación cuando ha de tratarse con un número muy elevado de interesados.

Tras analizar los requisitos exigidos para recabar el consentimiento de manera válida (e incluso la retirada del mismo), se puede afirmar que no existe un sistema técnico único y aceptado que permita cumplir los requisitos que establece la definición legal de consentimiento, siendo complejo conseguirlo en algunas circunstancias. Por ello, considera que resultaría muy beneficioso tanto para los interesados como para las compañías de la industria tecnológica establecer una serie de normas de cumplimiento que permitan conocer y cumplir lo dispuesto en la definición legal de consentimiento.

Puede leer el artículo completo en inglés aquí.

La Agencia Española de Protección de Datos ha impuesto una multa de 1.500 euros a un gimnasio por obligar a sus socios a usar su huella dactilar para acceder al centro

Con fecha 30 de enero de 2018, la Directora de la Agencia Española de Protección de Datos acordó iniciar un procedimiento sancionador a Fitness Murcia Promotions, S.L. por una presunta infracción del artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.c) de la citada norma.

Fitness Murcia Promotions argumentó que no existía tratamiento de datos personales puesto que no se identificaba a los clientes ya que la información que se recogía no era la huella digital completa del cliente, sino una parte de ella que se convertía en un código numérico concreto, por lo que el dato no podía ser considerado “biométrico”.

No obstante, la Agencia Española de Protección de Datos impuso a Fitness Murcia Promotions una sanción de 1.500 euros ya que consideraba que el sistema implantado para el acceso al gimnasio sí que utilizaba datos de carácter personal, por lo que para llevar a cabo su tratamiento, éste se debería haber ajustado a lo dispuesto en la LOPD. Según esta normativa los datos biométricos sólo pueden ser utilizados si son adecuados, pertinentes y no excesivos, lo que implica una evaluación estricta de la necesidad y de la proporcionalidad de los datos tratados. Habida cuenta de todo ello, la Agencia considera en su resolución que los datos de carácter personal habían sido utilizados por Fitness Murcia Promotion, S.L. de forma desproporcionada y excesiva en relación con el ámbito y las finalidades determinadas.

Puede acceder a la resolución del procedimiento sancionador de la Agencia Española de Protección de Datos aquí.

La Agencia Española de Protección de Datos procede al archivo de las actuaciones incoadas con ocasión de la publicación de noticias relativas a una víctima de violencia de género

En este supuesto concreto, el denunciante presentó diversos escritos ante la AEPD a través de los que ponía de manifiesto que la denunciada había difundido por un grupo de Facebook la Sentencia en la que se le condenaba como autor de un delito de quebrantamiento de medida cautelar, haciendo público asimismo a través de Whatsapp el fallo de la Sentencia en la que se le condenaba como responsable de un delito de maltrato en el ámbito de violencia de género.

No obstante la AEPD ha procedido al archivo de las actuaciones debido a que considera que el tratamiento de los datos denunciado se ha basado en el artículo 7.f) de la Directiva 95/46/CE en el que se establece que el tratamiento podrá efectuarse si es necesario para la satisfacción del interés legítimo.

La Agencia ha procedido a la realización del análisis de los requisitos que han de cumplirse para apreciar la existencia del interés legítimo, llegando a la conclusión de que sí se persigue un interés legítimo (ya que la denunciada tiene interés en denunciar públicamente los hechos graves sufridos, con la intención de evitar que se repita en un futuro), el tratamiento de los datos es necesario para cumplir dicho interés legítimo y que en cuanto a la ponderación de los derechos e intereses en conflicto se han de tener en cuenta las circunstancias del caso, ya que la información veraz vertida en un grupo cerrado de whatsapp fue retirada por la denunciada, considerando, por todo ello, que “la comunicación de los datos del denunciante se encuentra justificada en la regla de la ponderación de intereses analizada”.

Puede acceder a la resolución de la AEPD aquí.

Ponencia de D. Jesús Rubí en el marco de la 10ª Conferencia Internacional sobre reutilización de la información del sector público, “La información, recurso esencial para el desarrollo económico”

En el marco de la 10ª conferencia Internacional sobre la reutilización de la información del sector público celebrada en ASEDIE (Asociación Multisectorial de la Información), se presentó una ponencia por parte de D. Jesús Rubí (Adjunto al Director, Agencia Española de Protección de Datos) sobre la responsabilidad activa  de los responsables del tratamiento dirigida a garantizar y demostrar que el tratamiento de los datos de carácter personal se realiza conforme al RGPD y los Códigos de Conducta como medida concreta para ello.

En dicha presentación se puso de manifiesto el contenido mínimo que debe recoger un código de conducta según el RGPD (Intereses legítimos perseguidos por los responsables, la recogida de los datos, la seudonimización de dichos datos, la información proporcionada a los interesados, etc…), así como los efectos que dichos códigos tienen (pueden servir de elemento para demostrar el cumplimiento de las obligaciones del responsable o su importancia a la hora de evaluar en impacto en protección de datos de las operaciones de tratamiento), su nueva regulación en el Proyecto de Ley Orgánica de Protección de Datos o el proyecto de Código de Conducta del sector infomediario de protección de datos de carácter personal presentado por ASEDIE, entre otros.

Puede acceder a la página web de ASEDIE sobre la 10ª conferencia Internacional  en la que se encuentra la presentación de la ponencia de D. Jesús Rubí, entre otras, aquí.

La Autoriteit Persoonsgegevens (autoridad holandesa en materia de protección de datos) analiza el tratamiento de datos con fines de mercadotecnia directa

La autoridad holandesa de protección de datos, la Autoriteit Persoonsgegevens ha publicado en su página web un documento en el que se hace un análisis exhaustivo sobre el marketing directo. De esta manera, la autoridad estudia las consecuencias que en materia de marketing directo ha tenido la aplicación del RGPD, ya que dicho reglamento impone requisitos más estrictos a la hora de tratar los datos de interesados que la ley de protección de datos anterior.

Puede acceder a la noticia de la Autoridad aquí y al informe en el que se lleva a cabo la explicación sobre el marketing directo aquí. (Aunque la noticia aparece en holandés, puede traducirse al inglés haciendo click en el extremo superior derecho).

Dispositivos para medir la audiencia y la asistencia en espacios públicos: la CNIL recuerda las reglas

La Comisión Nacional de la Informática y las Libertades ha publicado en su página web un informe sobre las reglas que son aplicables a aquellos supuestos en los que las compañías utilizan dispositivos cuya finalidad es recopilar datos de dispositivos móviles (teléfonos inteligentes, etc…) para medir la asistencia en espacios públicos (análisis de flujos de personas para determinar la existencia de áreas con mucha actividad mediante la captura de información emitida por los dispositivos móviles) o la audiencia de los paneles publicitarios.

Estas reglas sólo son aplicables a aquellos dispositivos utilizados por las compañías para elaborar estadísticas agregadas a partir de datos personales y no cuando dichos dispositivos no recopilen datos de carácter personal (como podría ser el supuesto de un torno que únicamente cuenta el número de personas que acceden al interior de un espacio sin identificar a dichas personas).

Puede acceder a la publicación de la CNIL aquí.

El ICO impone una sanción de 500.000 libras a Facebook

La Oficina del Comisionado de la Información de Reino Unido ha impuesto una sanción de 500.000 libras (el máximo permitido en la normativa aplicable a este caso) a Facebook por una violación grave de la normativa de protección de datos.

La investigación llevada a cabo por el ICO ha permitido conocer que entre 2007 y 2014, Facebook realizó un tratamiento de datos personales de usuarios contrario a la ley al permitir que desarrolladores de aplicaciones accedieran a su información sin recabar el consentimiento de manera clara e informada.

Asimismo Facebook no fue capaz de mantener la seguridad de los datos de carácter personal de sus usuarios ya que fracasó a la hora de realizar las verificaciones de seguridad adecuadas sobre las aplicaciones y los desarrolladores que usaban su plataforma, lo que implicó que algún desarrollador tratara datos de más de 87 millones de personas sin su consentimiento (datos que luego fueron compartidos con otras compañías).

A pesar de que este uso incorrecto de los datos de carácter personal fue conocido por Facebook en diciembre de 2015, la compañía no hizo lo suficiente para asegurarse de que aquellos que continuaban manteniendo la información personal de los usuarios tomaran las medidas adecuadas (como la eliminación de los datos). 

Puede acceder al comunicado de la Oficina del Comisionado de Información aquí.

Puede acceder al  informe completo de la sanción a través del siguiente link.

La compañía que gestiona el aeropuerto de Heathrow, multada por fallos en la protección de datos de su personal por el ICO

La Autoridad en materia de protección de datos del Reino Unido, la Oficina del Comisionado de Información ha impuesto una sanción de 120.000 libras a la compañía que gestiona el aeropuerto de Heathrow (Heathrow Airport Limited) por no haber sido capaz de garantizar que los datos de carácter personal de sus trabajadores están correctamente protegidos.

Esta investigación se inició debido a que el 16 de octubre de 2017 un particular encontró una memoria USB que había sido perdida por un empleado del aeropuerto. Este pen drive contenía 76 carpetas con más de 1.000 archivos que no estaban encriptados o protegidos mediante contraseñas y que contenían datos de carácter personal de los trabajadores como nombres, números de pasaporte o fechas de nacimiento. El particular que descubrió la memoria se la entregó a un periódico que realizó copias de los datos antes de devolvérselo a la compañía.

Como afirma el Director de la investigación, la protección de los datos de carácter personal de los trabajadores de la compañía debía haber tenido mayor importancia para el aeropuerto. Por este motivo, el ICO afirma que resulta preceptivo que las empresas cuenten con políticas y procedimientos que permitan minimizar cualquier riesgo o eviten cualquier acceso indebido a la información que ha sido proporcionada por el personal.

Puede acceder a la resolución de la Agencia de Reino Unido a través del siguiente link.

El “EU Blockchain Observatory and Forum” ha publicado un informe analizando la relación que existe entre el Reglamento General de Protección de Datos y el blockchain

El Observatorio de Blockchain de la Unión Europea, una iniciativa de la Comisión Europea, ha publicado el 16 de octubre de 2018 un informe mediante el que se analiza la relación existente entre el Reglamento General de Protección de Datos y la tecnología disruptiva de blockchain.

La conciliación entre el blockchain y el RGPD resulta manifiestamente importante, por ello, desde este organismo (y a pesar de la evidente existencia de diferencias entre ambas áreas) se pretende alcanzar un cierto grado de consenso y compatibilidad.

Puede acceder al informe del observatorio aquí.

Opinión del Supervisor Europeo de Protección de Datos sobre las propuestas legislativas de la Comisión Europea presentadas en su comunicación “A New Deal for Consumers”

El Supervisor Europeo de Protección de Datos ha emitido el día 5 de octubre de 2018 un informe en el que presenta su opinión sobre las propuestas legislativas elaboradas por la Comisión Europea. Estas incluyen una propuesta de regulación que versa sobre la mejora y modernización de la normativa de protección de los consumidores, así como una Propuesta sobre las acciones ejercitables para la protección de los intereses colectivos de los mismos.

El EDPS alaba la intención de la Comisión Europea de actualizar la normativa sobre la protección de los derechos de los consumidores, ya que comparte objetivos muy similares con la normativa de protección de datos, razón por la que el organismo considera necesario que el contenido de ambas normativas se encuentre alineado.

En dicho informe se reconoce la necesidad de responder a los nuevos desafíos que presentan los actuales modelos de negocios que se basan en la recopilación y monetización de datos de carácter personal. Por este motivo, se considera que nos encontramos ante una oportunidad única para mejorar la normativa de protección de los derechos de los consumidores y así conseguir corregir las diferencias existentes entre los individuos y las grandes compañías en los mercados digitales.

No obstante, el EDPS hace notar, en su informe, la existencia de posibles dificultades que resultarían de la aplicación de la Propuesta con relación al RGPD, presentado diversas recomendaciones (por ejemplo, el EDPS enfatiza que el tratamiento de los datos personales solo puede ser realizado por los comerciantes de acuerdo con el RGPD).

A pesar de estas dificultades y recomendaciones, el EDPS menciona que resulta importante tratar de revisar la normativa de protección de los derechos de los consumidores así como tratar de explorar los puntos en común existentes entre la protección de datos y la normativa de protección del consumidor.

Puede acceder al informe completo en inglés del EDPS aquí.