- Febrero de 2019 -
Informe 173/2018 del Gabinete Jurídico de la AEPD sobre el interés legítimo

El Gabinete Jurídico de la Agencia Española de Protección de Datos ha emitido un informe complementario del Informe 195/2017 en el que analiza si el tratamiento de datos de carácter personal con fines de mercadotecnia, publicidad y comunicaciones comerciales se encuentra amparado en el interés legítimo regulado en el artículo 6.1.f) del Reglamento General de Protección de Datos.

En dicho informe, la autoridad de control distingue los supuestos en los que las comunicaciones son realizadas a través de medios electrónicos de aquellas en las que se utilizan otros medios.

En el primero de los casos, la AEPD afirma que no podrá enviarse comunicaciones comerciales por correo electrónico si las mismas no hubieran sido solicitadas o expresamente autorizadas por los destinatarios. No obstante, se establece una excepción en el supuesto de que existiera una relación contractual previa y la comunicación comercial sea referente a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación por el cliente. Remite, por tanto, al régimen de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Asimismo, se deberá ofrecer al destinatario de estas comunicaciones la posibilidad de oponerse al tratamiento de sus datos de carácter personal.

Respecto al envío de comunicaciones comerciales a través de otros medios no electrónicos, la autoridad de control establece que la conclusión alcanzada para las comunicaciones electrónicas resulta aplicable por analogía a las acciones realizadas a través de otros canales de comunicación. Asimismo menciona que se debe realizar una interpretación razonable de lo que debe ser considerado como un producto o servicio similar al previamente contratado por el cliente, basándose en una expectativa razonable del mismo.

Finalmente el informe menciona que para que el tratamiento de los datos basado en el interés legítimo sea lícito es necesario que se cumplan otros requisitos, como el cumplimiento del deber de información por capas previsto en el RGPD o la obligación de garantizar el ejercicio del derecho de oposición por el cliente.

Puede acceder al informe del Gabinete Jurídico aquí.

La AEPD publica un estudio sobre la forma en que la huella digital de los dispositivos afecta a la privacidad de los ciudadanos

La Agencia Española de Protección de Datos ha publicado un estudio titulado “Fingerprinting o huella digital del dispositivo” que tiene como objetivo analizar la citada técnica de identificación y rastreo de los usuarios a través de sus dispositivos -la huella digital del dispositivo es un conjunto de datos extraídos del dispositivo que permiten individualizar de forma unívoca dicho terminal-, para lo que ha analizado más de 14.000 páginas web dirigidas al público español.

El estudio menciona que el perfilado realizado a través de esta técnica no se limita a recopilar y analizar los hábitos de navegación o búsquedas que cada usuario realiza, sino que también permite extraer datos de geolocalización, de configuración del sistema y de las aplicaciones instaladas o de los movimientos del ratón, entre otros. En muchas ocasiones estas técnicas son utilizadas sin ofrecer información al usuario, sin solicitarle su consentimiento o sin ofrecerle medios para ejercer sus derechos recogidos en el RGPD, llegando en determinadas ocasiones a recabar incluso categorías especiales de datos.

Es por ello que el documento también propone ciertas medidas de seguridad que pueden aplicar los usuarios para tratar de evitar este tipo de riesgos, así como una serie de recomendaciones a fabricantes, desarrolladores y compañías. Entre estas medidas, la AEPD recomienda utilizar la opción Do not track del navegador - permite dejar constancia de que se quiere evitar el seguimiento-, instalar bloqueadores -permiten eludir la publicidad y el rastreo- o alternar entre distintos navegadores.

Respecto a los fabricantes, la AEPD les recomienda incluir en sus productos las opciones necesarias para que el usuario disponga de la posibilidad de denegar o aceptar el uso de estas tecnologías, así como proporcionar al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada.

Puede acceder al estudio íntegro aquí.

“Lawyers play Moneyball”, artículo publicado por Barney Thompson basado en las técnicas del big data en el Sistema legal estadounidense

Barney Thompson analiza en su artículo las posibilidades de que el análisis de los datos sobre la forma en que determinados jueces resuelven sus casos puede ayudar al trabajo que realizan los abogados. Entre los datos que pueden ser analizados destaca el tiempo que puede tardar un juez en resolver un caso, si el abogado se verá obligado a defender el mismo ante un jurado o cuáles son los casos –precedentes- en los que se suele basar el Juez para tomar una decisión. Se menciona en el artículo que un elevado número de expertos legales e informáticos están desarrollando aplicaciones que permiten analizar estos datos y cuyo conocimiento puede otorgar a los abogados enormes ventajas competitivas. Tal y como afirma uno de estos expertos, esto permitiría conocer la forma en que los jueces toman sus decisiones o qué es lo que encuentran más convincente.

Del mismo modo, estas herramientas que analizan estos datos permiten a los bufetes y a los propios abogados valorar las opciones que tienen de ganar un caso. Este tipo de información que puede ser analizada incluye también cuantas veces el abogado contrario ha interpuesto este tipo de demandas, ante qué juzgados, su ratio de éxito, a quién ha representado o ante qué otros abogados ha tenido que actuar. Debido al potencial que tienen estas herramientas de análisis jurídico en el futuro, cada vez existen más empresas que han tratado de introducirse en el mercado y se dedican a esta actividad.

No obstante, afirma Barney Thompson que estos análisis de datos jurídicos presentan un problema, y es que la mayoría de los documentos jurídicos realmente útiles para el análisis de estos casos no existen puesto que la mayoría de los casos en litigación civil se resuelven fuera de los juzgados, lo que significa que los documentos de estos casos nunca son públicos. Esto implica que a pesar de la trascendencia que estos análisis pueden tener, actualmente existen límites a lo que los datos pueden mostrar, tal y como afirma Pablo Arredondo.

A pesar de lo dispuesto en el párrafo anterior, desde las empresas que se dedican a estos análisis se afirma que sólo es cuestión de tiempo que se puedan analizar datos relativos a todas las áreas del derecho, lo que llevará a un mejor sistema jurídico y permitirá mejorar la forma en que se trabaja en el ámbito legal.

Puede leer el artículo completo aquí.

La Agencia Española de Protección de Datos ha archivado, durante el mes de febrero, un elevado número de actuaciones

Durante el mes de febrero de 2019, la autoridad de control ha archivado diversas actuaciones que fueron incoadas con ocasión de diferentes motivos, tales como el supuesto incumplimiento de la normativa de protección de datos por mostrar un dato personal (correo electrónico) sin validar la identidad del interesado o el envío de un escrito sobre la política de privacidad sin dar opción al interesado de aceptarla o no aceptarla, entre otras.

Entre ellas destaca la decisión de la Directora de la Agencia Española de Protección de Datos de archivar las actuaciones incoadas con ocasión de la inclusión de los datos personales de un particular en ficheros de solvencia patrimonial por una deuda que supuestamente desconocía y sin haber recibido la notificación de inclusión ni el requerimiento previo de pago establecidos legalmente. El interesado presentó una reclamación por una presunta vulneración del RGPD.

No obstante, afirma la AEPD que tras el análisis de los hechos denunciados y de las actuaciones de investigación llevadas a cabo, no se han aportado elementos probatorios que permitan atribuir a las entidades ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO, S.L., y EXPERIAN BUREAU DE CRÉDITO, S.A., una vulneración del RGPD, ya que acreditaron la notificación de inclusión de sus datos en sus ficheros de solvencia patrimonial, a solicitud de NBQ TECHNOLOGY, S.A.U. (DEENERO) y SEQURA WORLDWIDE, S.L. así como la realización del requerimiento de pago y aportaron certificados constatando su envío, albarán y no devolución de dicha notificación.

Del mismo modo, la entidad NBQ TECHNOLOGY, S.A.U. (DEENERO), justificó la existencia de la deuda requerida de tal manera que, debido a que el reclamante no cumplió con su obligación de pago, la empresa realizó las acciones de recobro correspondientes y, antes de su inclusión en los ficheros de solvencia, remitió el correspondiente requerimiento de pago a través de EQUIFAX. Asimismo, la compañía SEQURA WORLDWIDE, S.L acreditó que el reclamante tenía 3 créditos impagados, de tal manera que tras el impago de los mismos, se le envió requerimiento de pago por cada uno de ellos sin que constase ninguno como devuelto. Habida cuenta de todo ello, la AEPD ha archivado las actuaciones.

La AEPD inicia el trámite de audiencia sobre la Circular del tratamiento de datos relativos a opiniones políticas por los partidos

La Agencia Española de Protección de Datos ha iniciado el trámite de audiencia para recabar la opinión de los interesados acerca del proyecto de Circular sobre el tratamiento de datos relativos a opiniones políticas por los partidos al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

El objetivo del citado proyecto de circular es fijar los criterios a los que responderá la actuación de la AEPD en la aplicación de la normativa de protección de datos. Este proyecto de circular consta de una parte expositiva, diez artículos y una disposición final y se lleva a cabo tras la publicación en diciembre del informe jurídico en el que se analizaba el tratamiento de datos personales relativos a opiniones políticas por los partidos.

El referido proyecto de circular establece, entre otras garantías, la obligación de consultar a la AEPD antes de proceder al tratamiento de datos a no ser que el partido político justifique que ha adoptado medidas para mitigar los riesgos. Se pueden enviar contribuciones al texto presentado a través del correo circularpartidos@aepd.es hasta el día 5 de marzo de 2019.

El Supervisor Europeo de Protección de Datos publica su informe anual de 2018

El EDPS, por sus siglas en inglés, ha publicado su informe anual de 2018 sobre protección de datos. Este informe muestra cuáles han sido las actividades que el Supervisor Europeo ha llevado a cabo durante el año, destacando principalmente los esfuerzos que el organismo ha realizado para tratar de analizar y clarificar la nueva regulación en materia de protección de datos (el RGPD).

Puede acceder al informe íntegro del EDPS en inglés aquí y al resumen ejecutivo aquí.

Se crea el Centro de Operaciones de Ciberseguridad para la Administración General del Estado

El Consejo de Ministros ha aprobado la creación del Centro de Operaciones de Ciberseguridad, como instrumento de la Administración General del Estado (AGE) y sus organismos públicos vinculados o dependientes.

La finalidad de este Centro de Operaciones es la prestación de servicios de ciberseguridad que aumenten la capacidad de vigilancia y detección de amenazas en las operaciones diarias de los sistemas de información y comunicaciones de la AGE. Esto se debe a que los ciberataques se han convertido en una de las principales amenazas para los gobiernos y los países ya que en el año 2018 se han registrado aproximadamente 34.000 ciberincidentes de diverso tipo en las entidades del sector público y empresas de interés estratégico, un 25% más que el año anterior.

El Supervisor Europeo de Protección de Datos somete a consulta el borrador de directrices para evaluar la proporcionalidad de las medidas que limitan los derechos fundamentales a la privacidad y a la protección de datos

El EPDS, debido a su condición de asesor independiente de las instituciones y organismos de la UE (en virtud del Reglamento (UE) 1725/2018), tiene la intención de emitir unas directrices que tienen como objetivo evaluar la proporcionalidad de las medidas que limitan los derechos fundamentales a la privacidad y a la protección de datos. Para ello, antes de publicar esta guía en su versión definitiva, el organismo ha sometido el borrador de la misma a una consulta a las partes interesadas.

Estas Directrices complementan el informe emitido por el EDPS en 2017 sobre las herramientas que permiten evaluar la necesidad de medidas que limiten el derecho fundamental a la protección de datos personales.

A través de estas Directrices, así como de la consulta a las partes interesadas, el EDPS tiene como objetivo ayudar a las instituciones y organismos de la UE en la tarea de garantizar que cualquier limitación del derecho fundamental a la protección de los datos personales cumpla con los requisitos de la ley fundamental de la UE, la Carta de los Derechos Fundamentales.

Las reclamaciones ante la AEPD aumentan un 33% en 2018

La Agencia Española de Protección de Datos ha recibido, durante 2018, un total de 14.146 reclamaciones, lo que representa un incremento del 33% respecto al año anterior, ya que en 2017 se plantearon 10.651 reclamaciones ante la autoridad de control.

LA AEPD ha indicado que entre el 1 de enero y el 24 de mayo las reclamaciones pasaron de las 4.550 interpuestas en el año 2017 a las 5.036 denuncias del citado periodo de 2018. No obstante, entre el 25 de mayo (fecha en la que el RGPD era plenamente aplicable) y el 31 de diciembre, las reclamaciones crecieron un 48,9%.

La propia autoridad de control ha explicado que si bien estaba previsto este aumento de denuncias, se creía que sería algo puntal una vez iniciada la aplicación del RGPD. Sin embargo, la interposición de reclamaciones se ha mantenido constante a lo largo del segundo semestre de 2018.

El “European Data Protection Board” ha publicado una guía sobre los códigos de conducta

El EDPB ha publicado el 12 de febrero una guía relativa a los códigos de conducta. Este informe tiene como objetivo facilitar tanto la aplicación práctica de los mismos como la interpretación de lo recogido en los artículos 40 y 41 del Reglamento General de Protección de Datos. Asimismo, trata de clarificar los procedimientos necesarios para aprobar y publicar los códigos de conducta tanto a nivel nacional como a nivel europeo.

Este informe debe servir como marco jurídico claro para todas las autoridades de control o para la Comisión Europea cuando deban proceder a la evaluación de los códigos de conducta.

Puede acceder a la guía íntegra en inglés publicada por el EDPB aquí.

El “European Data Protection Board” publica una nota informativa sobre la transferencia de datos personales en caso de que no haya acuerdo de Brexit

El EDPB ha emitido una nota informativa dirigida a las entidades comerciales y a las autoridades públicas en relación con la transferencia de datos en virtud del RGPD en el supuesto de que no se alcance un acuerdo de Brexit.

Para el supuesto de transferencia de datos de países del Espacio Económico Europeo a Reino Unido, en caso de que no haya acuerdo, el Reino Unido será considerado como un tercer país. Como consecuencia, las transferencias de datos de carácter personal se podrán realizar siempre y cuando se cumplan los requisitos del RGPD relativos a las transferencias basadas en garantías adecuadas, incluidas las normas corporativas vinculantes o cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control.

En el supuesto de transferencias de datos personales del Reino Unido a países del Espacio Económico Europeo, de acuerdo con lo afirmado por el Gobierno de Reino Unido, la situación actual, que prevé la libre circulación de datos  personales continuará aun en el caso de no alcanzarse un acuerdo.

Puede acceder a la nota informativa del EDPB aquí.

Del mismo modo, la Oficina del Comisionado de la Información de Reino Unido ha emitido una publicación en la que Elizabeth Denham (UK Information Commissioner) analiza aquellas declaraciones relacionadas con la transferencia de datos de carácter personal a países del Espacio Económico Europeo por parte de las PyMes que se han repetido a lo largo del proceso de Brexit.

Afirma el ICO que en el supuesto de que Reino Unido abandone la Unión Europea sin haber alcanzado un acuerdo, la normativa europea exigirá medidas adicionales a aquellas compañías británicas que transfieran datos personales de compañías ubicadas en países del Espacio Económico Europeo.

Elizabeth Denham analiza aquellas cuestiones que han surgido en Reino Unido debido al clima de confusión que existe acerca de qué va a suceder en materia de transferencia de datos de carácter personal en el supuesto de que no se alcance un acuerdo de Brexit.

Puede acceder a la publicación del ICO aquí.