- Marzo de 2019 -
La AEPD emite unas orientaciones para la publicación de actos administrativos por parte de las Administraciones Públicas

La Agencia Española de Protección de Datos, junto a la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía, ha publicado unas orientaciones que tienen como principal objetivo promover la protección de los datos de carácter personal de los ciudadanos cuando las Administraciones Públicas realizan publicaciones de actos administrativos.

Debido a la recepción de múltiples consultas sobre la aplicación de lo establecido en el primer párrafo del apartado primero de la disposición adicional 7ª “Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos” de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales, la AEPD ha publicado estas orientaciones con el fin de facilitar un criterio práctico que permita conciliar la publicación de actos administrativos con la protección de datos.

Previamente, dicha identificación incluía el nombre, apellidos y número íntegro del DNI o documento análogo; sin embargo, para minimizar el impacto en la privacidad de los ciudadanos, se ha propuesto por parte de la autoridad de control española publicar el nombre, apellidos y cuatro cifras aleatorias del documento oficial de identidad.

Puede acceder a las orientaciones completas aquí.

La Audiencia Nacional desestima el recurso interpuesto por la Asamblea Nacional Catalana contra una resolución sancionadora de la Agencia Española de Protección de Datos

La Audiencia Nacional ha desestimado el recurso contencioso-administrativo interpuesto por la ANC frente a la Resolución de la Agencia Española de Protección de Datos de 5 de abril de 2016 que confirma en reposición la resolución de 18 de noviembre de 2015, en la que se impone a dicha entidad una sanción de 200.000 euros por una infracción del artículo 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el artículo 44.4.b) y una sanción de 40.000 euros por una infracción del artículo 9 de la Ley, tipificada como grave en el artículo 44.3.h).

Tal y como menciona la sentencia, los hechos analizados se remontan a los meses de octubre y noviembre de 2014, cuando las entidades ANC y Ómnium Cultural promovieron y gestionaron la campaña "Ara és l'Hora" para la realización de una encuesta en todo el ámbito territorial de Cataluña.

En su recurso, la ANC sustentó su pretensión, de igual manera que Òmnium, en que la información tratada no podía ser considerada dato de carácter personal, que no se acreditó que la documentación se archivara conforme a criterio alguno en un fichero, que la información obtenida de la encuesta no podía considerarse como un dato de naturaleza ideológica y que se había vulnerado su derecho de defensa, entre otras consideraciones.

No obstante, la sala de lo Contencioso-Administrativo ha considerado que sí “es aplicable al supuesto el amplio concepto que de dato personal deriva en toda la normativa de aplicación”, tal y como mencionó en la Sentencia de 21 de diciembre de 2018 que resuelve el recurso contencioso-administrativo interpuesto por Òmnium cultural.

Del mismo modo, la sentencia establece, haciendo referencia de nuevo a la Sentencia de 21 de diciembre de 2018, que existían tanto un fichero manual como un fichero automático estructurados, de tal manera que “el encuestador introducía los datos personales de los encuestados y el resultado de la encuesta a la vez, por lo que exista correspondencia entre lo que había declarado una persona y sus datos de carácter personal”. Por ello, resuelve que “nos encontramos, en presencia de un fichero de datos personales, […] pues la información que se recoge está constituida por datos personales y está también presente la nota o elemento de organización”.

Respecto a la ausencia de datos de naturaleza ideológica, la Audiencia Nacional ha resuelto, transcribiendo de nuevo lo establecido en la Sentencia de 21 de diciembre de 2018, que dado que una de las finalidades de Òmnium y de la ANC es proporcionar una consulta de naturaleza ideológica y que la encuesta plantea preguntas relacionadas con la posición ideológica de los encuestados, sí que se efectúa un tratamiento de datos de ideología de las personas que cumplimentan dicha encuesta. Menciona la sentencia que “el contenido de tales preguntas planteadas en la encuesta sí permite conocer si la persona que las responde apoya el proceso independentista”, por lo que ha quedado probado que “ANC trató los datos personales de ideología de los encuestados, sin el consentimiento reforzado que dicho tratamiento de tal categoría especial de datos personales requiere, con vulneración de lo preceptuado en el artículo 7 de la LOPD”.

En relación con la infracción del artículo 9 de la LOPD, la sala resuelve que sí ha quedado acreditada “la falta de medidas adecuadas para garantizar la seguridad de los datos personales contenidos en el fichero creado para la gestión de la asamblea de la ANC […] y en la aplicación web puesta a disposición de los asociados para que pudieran verificar la posibilidad de participar en la misma”. Debido a esta falta de medidas de seguridad, un tercero no identificado pudo acceder al perfil de los asociados registrados en el momento del acceso y obtener así sus datos personales.

Puede leer íntegramente la Sentencia de la Audiencia Nacional aquí.

La AEPD publica un estudio para analizar los flujos de información en aplicaciones realizadas para dispositivos Android

La Agencia Española de Protección de Datos ha publicado el estudio realizado en colaboración con la Universidad Politécnica de Madrid, "Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva”. Este estudio pone de manifiesto el elevado riesgo de fugas de información personal que existe en las aplicaciones móviles, y ofrece, por ello, una guía para que las organizaciones puedan auditar sus apps.

Tal y como menciona la autoridad de control, el objetivo que tiene el presente estudio es conseguir que los responsables del tratamiento de datos dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que sus políticas de privacidad cumplen con las garantías que exigen tanto el RGPD como la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales. En el mismo se destaca que en muchas ocasiones el responsable del tratamiento de los datos de una app no siempre es el desarrollador de esta, lo que puede generar un aumento de la complejidad para abordar los requisitos de cumplimiento en materia de protección de datos.

Habida cuenta de todo ello, para poder cumplir con sus obligaciones en materia de protección de datos, el estudio relaciona las técnicas existentes para analizar los flujos de información personal en aplicaciones móviles que se ejecutan en dispositivos con Android.

Ha sido publicada en el BOE la Circular de la AEPD sobre el tratamiento de datos personales relativos a opiniones políticas por los partidos

El Boletín Oficial del Estado ha publicado la Circular de la AEPD sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores. Este texto ha sido publicado después del trámite de audiencia en el que la Agencia recabó la opinión de los interesados. En la Memoria de Análisis de Impacto Normativo se recoge un resumen de las aportaciones realizadas.

Esta Circular fija los criterios conforme a los que va a actuar la autoridad de control en la aplicación de la normativa de protección de datos respecto al tratamiento relativo a opiniones políticas por los partidos al amparo del artículo 58 bis de la LOREG, con el marco del RGPD y conforme a lo establecido en la Constitución Española, de tal manera que no conculque derechos fundamentales.

El texto de la Circular dispone que sólo podrán recopilarse aquellas opiniones políticas que hayan sido libremente expresadas en el ejercicio de los derechos a la libertad ideológica y a la libertad de expresión reconocidos en la CE y que, en ningún caso, podrán tratarse otro tipo de datos personales a partir de los que se puede llegar a inferir la ideología política de una persona. Asimismo, se establece que las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son las webs y otras fuentes que sean de acceso público.

Entre las garantías que recoge la Circular (la cual mantiene aquellas definidas en el borrador sometido a trámite de audiencia), debido a la tipología de los datos que se tratan, se establece la obligación de consultar a la AEPD antes de llevar a cabo el tratamiento con la única excepción de que el responsable justifique que ha adoptado medidas para reducir los posibles riesgos.

Respecto a otros deberes, como el deber de información, la circular afirma que deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Del mismo modo, en relación con el derecho de oposición, el texto recoge la obligación de que los datos no sean tratados para el envío de propaganda electoral a excepción de que el afectado preste su consentimiento expreso para ello. Respecto a la legitimación de los partidos políticos para el tratamiento de los datos, se establece que en el caso de no participar en el procedimiento electoral, perderían la legitimación para el tratamiento de los datos y deberán cesar inmediatamente el tratamiento así como proceder a su destrucción.

La Audiencia Nacional declara la nulidad de las medidas de geolocalización implantadas por Telepizza

La Unión General de los Trabajadores y Comisiones Obreras impugnaron el denominado “Proyecto Tracker” de Telepizza por el cual los repartidores de la compañía eran geo-localizados cuando realizaban las tareas de reparto mediante una aplicación descargada en su teléfono móvil personal. Para poder descargar dicha aplicación el trabajador debía dar su número de teléfono o una dirección de correo electrónico.

La Audiencia Nacional ha estimado las demandas deducidas por CCOO y UGT contra Telepizza SAU y ha declarado la nulidad del “Proyecto Tracker”, así como la nulidad de las cláusulas introducidas en los contratos que exigen la aportación del teléfono móvil con conexión a internet del trabajador y la nulidad de las medidas disciplinarias previstas en el proyecto.

Todo ello debido a que, en primer lugar, la información que proporcionó la empresa a la representación legal de los trabajadores sobre el proyecto era insuficiente para que estos pudiesen emitir su correspondiente informe. La Audiencia Nacional estima que la información aportada por la compañía resultó insuficiente por cuanto se omitieron datos trascendentales y necesarios, “máxime cuando la geolocalización es una medida que afecta a datos personales”, para poder emitir el citado informe.

Asimismo, el proyecto vulnera el derecho a la privacidad de los trabajadores por cuanto no se proporcionó a los mismos la información exigida por la normativa en materia de protección de datos y porque la medida implantada no supera el necesario juicio de proporcionalidad, ya que “la misma finalidad se podría haber obtenido con medidas que suponen una menor injerencia en los derechos fundamentales de los empleados” tales como la implantación del sistema de geolocalización en la motocicleta o en una pulsera, medidas “que no implican para el empleado la necesidad de aportar […] datos de carácter personal”.

A mayor abundamiento, la Audiencia Nacional considera que la exigencia de aportar el teléfono móvil con conexión de datos supone un manifiesto abuso de derecho empresarial y que la compensación que se ofrecía por ello resulta insuficiente.

Puede acceder a la Sentencia completa de la Sala de lo Social de la Audiencia Nacional aquí.

La AEPD publica el estudio titulado “Análisis del software preinstalado en dispositivos Android”

La Agencia Española de Protección de Datos ha publicado el estudio elaborado por el Instituto IMDEA Networks y la Universidad Carlos III de Madrid con el objetivo de lograr su máxima difusión debido al impacto masivo que los resultados del mismo tienen en la privacidad y la protección de los datos personales de los ciudadanos.

El presente estudio tiene como objetivos, entre otros, identificar qué agentes presentes en el software preinstalado en Android utilizan el acceso a recursos del sistema para la obtención de datos personales de los usuarios, así como detectar y analizar vulnerabilidades y otras prácticas opacas o analizar la trasparencia en la información proporcionada al usuario.

El estudio permite concluir que el modelo de permisos del sistema operativo Android y de sus apps permite que un gran número de actores puedan obtener información personal de los usuarios a nivel del sistema operativo y que el usuario final desconoce la presencia de estos actores en sus terminales así como las implicaciones que dichas prácticas tienen sobre su privacidad.

El Juzgado de lo Social de Pamplona no admite las imágenes tomadas por el sistema de videovigilancia de la compañía como prueba en virtud del incumplimiento del requisito previo de información

En el presente supuesto, un trabajador demandó a la compañía en la que trabajaba debido a que consideraba que el despido comunicado por la misma constituía un despido improcedente. Asimismo, impugnó las grabaciones realizadas con el sistema de videovigilancia en las que se podía apreciar la imagen de dos trabajadores (entre ellos el demandante) que se agredieron mutuamente.  

El Juzgado de lo Social de Pamplona resolvió que la prueba obtenida de la grabación era nula porque la empresa se había limitado a poner un cartel avisando de la presencia de cámaras, pero no había informado a los trabajadores de su instalación ni de la concreta finalidad del sistema instalado. No obstante, se declaró procedente el despido disciplinario debido a la declaración de un testigo que vio la agresión.

En la sentencia se afirma que la validez de la prueba exige que la empresa cumpla con el deber de informar previamente a los trabajadores de la instalación de las cámaras de vigilancia y de la concreta finalidad del sistema instalado, de tal manera que se debe informar sobre el hecho de si las imágenes se pueden utilizar por el empleador con finalidad sancionadora en el supuesto de que se capten incumplimientos laborales por parte de los trabajadores. “Las sospechas de irregularidades graves en el desempeño de la actividad laboral no legitiman una excepción del deber de informar de la grabación que afecta al puesto objeto de sospecha, ni exonera de cumplir las exigencias del Reglamento General de Protección de Datos”.

Habida cuenta de lo expuesto, “dado que existe un deber de informar previamente al trabajador de la instalación de las cámaras de vigilancia, ya no serán posibles y quedan absolutamente prohibidas las grabaciones encubiertas u ocultas, que es tanto como decir no informadas”. Por todo ello, se considera que “el deber de informar sobre el alcance de las medidas de videovigilancia […] es una exigencia que se impone en todo caso, más allá de la mera colocación del cartel informativo, conforme a la jurisprudencia del Tribunal Europeo de Derechos Humanos y al propio Reglamento General de Protección de Datos”.

Puede acceder a la Sentencia del Juzgado de lo Social de Pamplona completa aquí.

Publicación y presentación del libro “Sociedad digital y derecho”

Durante el mes de marzo ha sido publicado y presentado el libro “Sociedad digital y derecho”, que ha sido codirigido por los profesores Tomás de la Quadra-Salcedo y José Luis Piñar Mañas y coordinado por los expertos Moisés Barrio Andrés y José Torregrosa Vázquez.

Para la elaboración del presente libro han colaborado el BOE, el Ministerio de Economía y Empresa, y su entidad RED.ES, junto al Ministerio de Industria, Comercio y Turismo. El libro, estructurado en 46 capítulos, tiene como principal objetivo analizar la situación del ciudadano frente al mundo digital y la necesidad de garantizar su acceso a los servicios públicos mediante el uso de las nuevas tecnologías. Del mismo modo, el libro analiza, entre otras cuestiones, las medidas de salvaguarda de la privacidad de los ciudadanos y de los derechos de los menores y muestra la incidencia de la robótica y de la inteligencia artificial en el mercado de trabajo (muy condicionado por las exigencias del mundo digital).

Lea las conclusiones del Abogado General del TJUE, Maciej Spuznar, sobre el consentimiento otorgado mediante una casilla premarcada

El Abogado General del TJUE ha emitido su opinión sobre la validez del consentimiento cuando este se otorga a través de una casilla premarcada. En el presente supuesto, un usuario de internet debía, previamente, marcar o desmarcar diferentes casillas para poder participar en una lotería organizada por la compañía. Una de las casillas requería al usuario aceptar que se le enviasen ofertas promocionales mientras que la otra (que estaba previamente marcada) le requería para que aceptase la instalación de cookies.  

El Abogado General ha afirmado que las páginas web no pueden redactar una cláusula (que permita otorgar el consentimiento para instalar cookies) que lleve asociada una casilla previamente marcada. Ello se debe a que el hecho de que los usuarios no desmarquen la casilla no significa que consientan que se pueden instalar cookies en sus equipos (“requiring a user to positively untick a box and therefore become active if he does not consent to the installation of cookies does not satisfy the criterion of active consent. In such a situation, it is virtually impossible to determine objectively whether or not a user has given his consent on the basis of a freely given and informed decision”).

Habida cuenta de ello, es necesario que las páginas webs modifiquen este tipo de casillas y las sustituyan por otras opciones que permitan obtener un consentimiento expreso y activo por parte de los usuarios (“requiring a user to tick a box makes such an assertion far more probable”).

Asimismo, menciona el Abogado General que la participación en la lotería y el consentimiento otorgado para la instalación de cookies no puede formar parte del mismo acto del interesado (“the participation in the online lottery and the giving of consent to the installation of cookies cannot form part of the same act”). No obstante, esto es lo que sucede en el presente caso ya que, en la práctica, el interesado únicamente clica en el botón de participación (la casilla de cookies está premarcada). Esta acción, según el Abogado General, implica que el usuario otorga dos consentimientos a la vez.

En esta situación, Maciej Spuznar afirma que no se ha informado al usuario de que se puede participar en la lotería sin necesidad de aceptar las cookies (cuya casilla está premarcada), lo que implica que el interesado no estaba lo suficientemente informado para poder otorgar su consentimiento conforme a la normativa.  

Puede acceder a la opinión emitida por el Abogado General del Tribunal de Justicia de la Unión Europea aquí.

Declaración del EDPB sobre el tratamiento de datos de carácter personal durante las campañas políticas

Con motivo de la celebración de las elecciones europeas así como de otras elecciones que se van a celebrar en distintos países de la Unión Europea en 2019, el EDPB ha emitido una declaración sobre el tratamiento de los datos de carácter personal durante las campañas electorales.

La publicación de esta declaración se debe a que el tratamiento de datos personales con objetivos políticos puede suponer un elevado riesgo no solo para el derecho a la intimidad de los terceros afectados sino también para la propia integridad del sistema democrático.

En esta declaración, el EDPB enumera un determinado número de cuestiones clave que deben ser respetadas y tenidas en cuenta en aquellos supuestos en los que los partidos políticos traten datos de carácter personal, como es, a modo ejemplificativo, la obligación de cumplir con el deber de información a los terceros afectados (quién es el responsable del tratamiento de los datos o cómo pueden ejercer sus derechos los interesados).

Puede acceder a la declaración del “European Data Protection Board” aquí.

Informe del GPDP Italiano sobre el tratamiento de datos personales de salud

El Garante per la Protezione dei Dati Personali (el equivalente a la Agencia Española de Protección de Datos en Italia) ha emitido un informe que tiene como principal objetivo aclarar diversas cuestiones sobre el tratamiento de datos personales relacionados con la salud.

Entre estas aclaraciones, la autoridad de control hace referencia a las excepciones a la prohibición general de tratamiento de categorías especiales de datos que regula el artículo 9 del RGPD, al deber de información que tiene el responsable con respecto al tercero interesado (quien debe proporcionar la información de manera concisa e inteligible, escrito en un lenguaje claro y sencillo), a la figura del Delegado de Protección de Datos o al registro de actividades del tratamiento.

Puede acceder al informe íntegro en italiano del Garante per la Protezione dei Dati Personali aquí.

Opinión del EDPB sobre el borrador enviado por la autoridad de control española relacionado con las operaciones de tratamientos de datos que requieren una evaluación de impacto previa

El EDPB ha emitido un informe en el que expone su opinión relativa a la lista sobre operaciones de tratamiento que exigen la elaboración previa de una evaluación de impacto enviada por la autoridad de control española. Esta lista es una importante herramienta para una coherente aplicación del RGPD en todo el Espacio Económico Europeo.

La Evaluación de Impacto es un procedimiento que permite identificar y mitigar los riesgos que un determinado tratamiento de datos personales puede suponer para un tercero afectado. Habida cuenta de ello, las autoridades de control deben elaborar una lista que recoja aquellas operaciones de tratamientos de datos que requieren una evaluación de impacto previa.

No obstante, respecto al borrador enviado por la autoridad competente española, el EDPB ha establecido que el mismo puede llevar a una incoherente aplicación de los requisitos estipulados para la elaboración de una evaluación de impacto, por lo que sugiere la adopción de algunos cambios.

Respecto al tratamiento de datos biométricos, debido a que las operaciones de tratamiento recogidas en la lista tienen como único objetivo identificar a una persona física y por tanto no requieren de la realización de una EI, el EDPB solicita modificar la lista.

En relación con el tratamiento de datos genéticos, debido a que el EDPB no considera que el tratamiento de estos datos genere por sí mismo un elevado riesgo, solicita modificar de nuevo la lista ya que el tratamiento de esta categoría de datos conjuntamente con otro criterio de la lista sí requeriría la elaboración de una EI.

Puede acceder a la opinión completa del EDPB aquí.

El Tribunal Constitucional admite a trámite el recurso de inconstitucionalidad del Defensor del Pueblo

El Tribunal Constitucional ha admitido a trámite el recurso de inconstitucionalidad presentado por el Defensor del pueblo contra el artículo 58 bis.1 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LREG), incorporado por la disposición final tercera, punto dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Mediante providencia, el TC ordena dar traslado de la demanda y documentos presentados al Congreso de los Diputados, al Senado y al Gobierno para que puedan personarse y formular las alegaciones que estimen convenientes.

En dicho recurso, se considera que el precepto impugnado vulnera el artículo 9.3 (principio de legalidad), el artículo 16 (derecho a la libertad ideológica), el artículo 18.4 (derecho a la protección de datos personales), el artículo 23.1 (derecho a la participación política) y el artículo 53.1 (los derechos fundamentales son vinculantes para todos los Poderes Públicos) de la Constitución Española.