- Mayo de 2019 -
El Pleno del Tribunal Constitucional declara inconstitucional el art. 58 bis. 1 de la Ley Electoral General que permite a los partidos políticos recopilar datos personales relativos a las opiniones políticas de los ciudadanos

El Pleno del Tribunal Constitucional ha declarado por unanimidad contrario a la Constitución y nulo el apartado 1 del art. 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a dicha Ley por el apartado dos de la disposición final tercera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

La sentencia ha estimado el recurso de inconstitucionalidad presentado por el Defensor del Pueblo el pasado 5 de marzo de 2019 que consideraba que el precepto impugnado vulneraba el artículo 9.3 (principio de legalidad), el artículo 16 (derecho a la libertad ideológica), el artículo 18.4 (derecho a la protección de datos personales), el artículo 23.1 (derecho a la participación política) y el artículo 53.1 (los derechos fundamentales son vinculantes para todos los Poderes Públicos) de la Constitución Española.

Puede acceder al adelanto de la parte dispositiva de la sentencia publicado por el Tribunal Constitucional mediante nota de prensa aquí.

La AEPD publica dos análisis para fomentar la privacidad en dispositivos Android

La Agencia Española de Protección de Datos ha publicado dos estudios técnicos que analizan en profundidad el sistema operativo Android. Ambos informes tienen el objetivo de ofrecer recomendaciones tanto a usuarios como a desarrolladores de aplicaciones para evitar determinadas prácticas y para detallar qué mecanismos se deben implementar por parte de los desarrolladores que garanticen el cumplimiento de la normativa de protección de datos.

El estudio titulado “Control del usuario en la personalización de anuncios en Android” tiene como finalidad explicar a los usuarios qué son los identificadores de publicidad de los dispositivos, para qué se utilizan y qué opciones de control pueden ejercer sobre los mismos, ya que el identificador de Android no evita que datos personales del usuario puedan ser comunicados a terceros. Por ello, si el usuario desea evitar el perfilado que se realiza a través de estos identificadores debe deshabilitar la personalización de anuncios en el dispositivo (de la manera que el estudio explica) así como reiniciar el identificador frecuentemente y mantener instaladas en el dispositivo únicamente aquellas aplicaciones que proporcionen un nivel de confianza adecuado. Respecto a los desarrolladores, el informe recuerda que deben cumplir con los principios que establece el RGPD y que la cesión de datos personales a terceros debe tener una base jurídica válida.

El segundo informe denominado “Acceso de aplicaciones a la pantalla en dispositivos Android” realiza un estudio de los mecanismos que están presentes en el operador Android que permiten que las aplicaciones puedan acceder a la pantalla de los dispositivos. El informe llega a la conclusión de que no se informa correctamente a los usuarios al solicitar el consentimiento para la grabación de la pantalla, ni se cumple con el principio de transparencia, puesto que la grabación se produce sin que el usuario sea consciente de en qué momento se está ejecutando. Es por ello que el estudio afirma que se deben establecer mecanismos que permitan a los usuarios conocer cuándo se está llevando a cabo la grabación de la pantalla del dispositivo.

Habida cuenta de ello, el estudio menciona que los desarrolladores de las aplicaciones deben garantizar que han obtenido el consentimiento de los interesados de acuerdo a la normativa vigente de protección de datos.

La Agencia de Protección de Datos Española publica su Memoria de 2018

La autoridad de control española ha publicado la memoria anual de 2018. En esta Memoria se hace hincapié a las dificultades a las que se ha enfrentado AEPD con motivo de la necesidad de garantizar el tránsito del anterior marco legislativo al RGPD y de la aprobación de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales. Del mismo modo, se recogen aquellas actividades que la AEPD ha llevado a cabo, los procedimientos más relevantes o las cifras de la gestión de la autoridad de control, entre otros.

Respecto a las reclamaciones dirigidas ante la AEPD, estas se incrementaron en un 32,8% en el 2018, habiéndose presentado 14.146 reclamaciones. La mayoría versaron sobre las inserciones indebidas en ficheros de morosidad (16%) o sobre cuestiones de videovigilancia (11%). Del mismo modo, la autoridad de control recoge expresamente que dos de cada tres reclamaciones que fueron enviadas al Delegado de Protección de Datos se resolvieron de forma satisfactoria para el particular, por lo que se pone de manifiesto que este mecanismo, contemplado en el Reglamento para promover la resolución amistosa de las reclamaciones y que no existía con anterioridad, ha resultado muy satisfactorio. A mayor abundamiento, la AEPD ha tramitado la inscripción de 20.043 Delegados de Protección de Datos.

Asimismo, durante 2018, la AEPD ha diseñado diversos procedimientos para la gestión de las notificaciones de brechas de seguridad y las evaluaciones de impacto. Respecto a las primeras, la autoridad de control recibió desde el 25 de mayo de 2018 un total de 547 notificaciones de quiebras de seguridad, de las que únicamente 16 fueron remitidas a la Subdirección General de Inspección de Datos. Del mismo modo, en la presente Memoria se menciona expresamente que la AEPD ha desarrollado diversas herramientas de adaptación al RGPD, como FACILITA_RGPD, que ha sido utilizada en más de 150.000 ocasiones o el canal INFORMA_RGPD, que ha atendido un total de 4.116 consultas.

Estas y otras cuestiones son recogidas en la Memoria Anual de 2018 de la Agencia Española de Protección de Datos, a la que puede acceder aquí.

Publicación de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo de 17 de abril de 2019 sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo y por la que se sustituye la Decisión Marco 2001/413/JAI

La Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo de 17 de abril de 2019 sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo y por la que se sustituye la Decisión Marco 2001/413/JAI del Consejo ha sido publicada en el Diario Oficial de la Unión Europea de fecha 10 de mayo de 2019. Esta Directiva, en virtud de su artículo 22 (“entrada en vigor”) entra en vigor a los veinte días de su publicación en el DOUE.

A efectos de protección de datos por parte de la Unión Europea, se debe destacar tanto el considerando 27 (relativo a las denuncias de los delitos de fraude a las autoridades públicas) como los artículos 14 (que versa sobre el intercambio de información) y 17 (relativo a la prevención del fraude) de la Directiva.

Puede acceder a la Directiva del Parlamento Europeo y del Consejo aquí.

Sentencia del Tribunal Superior de Justicia sobre la nulidad de la prueba obtenida por el empresario a través del acceso al ordenador de un empleado

La Sala de lo Social del Tribunal Superior de Justicia de Sevilla ha estimado el recurso de suplicación interpuesto por un trabajador y ha revocado la sentencia recurrida, que declaraba el despido procedente, dejándola sin efecto.

En los hechos probados en la Sentencia se recoge que “tras un desfase en la actividad de reparación” de los electrodomésticos por parte del empleado, la empresa decidió iniciar una investigación sobre el trabajador concluyendo que había transgredido la buena fe contractual, abusado de la confianza del empresario y desobedecido sus órdenes, motivo por el que el trabajador fue despedido. La compañía llegó a dicha conclusión “tras analizar el historial del navegador del ordenador que utilizaba el trabajador”.

En virtud del citado análisis, la compañía pudo apreciar que el trabajador accedió a páginas webs que no tenían relación con su actividad profesional. Asimismo, la empresa pudo encontrar en los ficheros del disco duro softwares para descargar juegos “piratas” o archivos sobre cómo hackear una página web. Todo ello, “produjo una disminución de su rendimiento de trabajo”, según la compañía.

El único medio de prueba utilizado por la compañía para justificar dicho despido disciplinario fue el análisis del historial del navegador y la extracción de los ficheros del disco duro. Por ello, en el recurso interpuesto por el trabajador contra la sentencia que declaró el despido procedente, solicitaba, como primer motivo de recurso, “la supresión de los hechos probados tercero y cuarto de la sentencia recurrida, al haber sido obtenidos de prueba ilícita, con vulneración del artículo 18.4 de la Constitución”.

Se recoge en la sentencia del TSJ que “la controversia suscitada en el presente recurso se centra en determinar si la empresa, al acceder al ordenador que como herramienta de trabajo tenía el trabajador, vulneró su derecho a la protección de datos personales”. La Sala de lo Social, en virtud del análisis realizado de la doctrina y jurisprudencia nacional y del TEDH, declara que en el presente supuesto “la expectativa razonable de confidencialidad del trabajador no ha quedado neutralizada por la prohibición del uso para fines privados del ordenador de la empresa, ni ha existido información al demandante”, motivo por el cual “se entiende vulnerado el artículo 18.4 de la Constitución , que consagra el derecho a la protección de datos personales, con la consiguiente declaración de nulidad de la prueba así obtenida”, estimando el recurso de suplicación y decretando  “la nulidad de la actuaciones, retrotrayéndolas al momento anterior al dictado de la sentencia”.

Puede acceder a la Sentencia del Tribunal Superior de Justicia aquí.

Sentencia del Tribunal Supremo por la vulneración del honor de un deudor incluido en un fichero de solvencia patrimonial al no haber enviado requerimiento de pago previo

Los antecedentes de hecho probados en la Sentencia de la Sala de lo Civil del Tribunal Supremo recogen la interposición por parte del perjudicado de demanda de protección del honor contra Caixabank debido a que la entidad comunicó a un fichero de solvencia patrimonial sus datos personales como consecuencia del impago de un préstamo hipotecario sin que previamente se le hubiera enviado un requerimiento de pago ni advertido de que en caso de no satisfacer dicha deuda se comunicarían sus datos personales al fichero.

El Juzgado de Primera Instancia estimó en parte la demanda ya que consideró que a pesar de que concurría el requisito de la existencia de una deuda cierta, líquida y vencida, no se había enviado el requerimiento previo de pago, por lo que se había infringido la normativa sobre protección de datos, constituyendo dicha comunicación una intromisión ilegítima del derecho al honor.

Posteriormente, tras el recurso de apelación interpuesto por la compañía, la Audiencia Provincial confirmó que no existía prueba de que se hubiera practicado dicho requerimiento. No obstante, recoge en su sentencia que no hubo intromisión ilegítima en el honor del demandante puesto que sí existía una deuda líquida, vencida y exigible, por lo que “sólo por la falta de práctica del requerimiento  previo […] no puede prosperar una acción tendente a proteger el derecho al honor del demandante […] al ser cierto los datos incluido en el fichero”. 

Finalmente, el Tribunal Supremo, ha estimado el recurso de casación interpuesto por el demandante. Ello es así debido a que el Alto Tribunal considera que no resulta correcta la “falta de trascendencia que […] la sentencia recurrida ha atribuido al incumplimiento del requisito” del envío del requerimiento de pago así como a la obligación de informar al perjudicado respecto a la comunicación de sus datos en el supuesto de no abonar la deuda. Del mismo modo, menciona que “no es correcto afirmar que la vulneración del derecho al honor se produce exclusivamente cuando se comunican al registro de morosos los datos relativos a una deuda inexistente”.

Habida cuenta de lo anterior, resuelve que “el requisito del requerimiento de pago previo no es simplemente un requisito “formal”, de modo que su incumplimiento sólo pueda dar lugar a una sanción administrativa. El requerimiento de pago previo es un requisito que responde a la finalidad del fichero”.

Puede acceder a la Sentencia íntegra aquí.

El ICO británico lanza la campaña “Be data aware” con el objetivo de concienciar a la sociedad sobre la importancia de la protección de los datos

La Oficina del Comisionado de la Información de Reino Unido ha publicado una campaña denominada “Be data aware” mediante la que pretende ayudar a comprender cómo las organizaciones podrían estar usando los datos de carácter personal para dirigirse a personas en línea y cómo estas pueden controlar quién se dirige a ellas.

Lo anterior implica comprender cómo las empresas utilizan los datos personales para tratar de llegar a potenciales clientes a través de anuncios en redes sociales sobre bienes o servicios o con fines políticos.

Respecto a lo anterior, la investigación que está llevando a cabo el ICO sobre el uso de los datos de carácter personal con finalidades políticas ha permitido conocer cómo se lleva a cabo el tratamiento de datos para este fin, incluyendo los algoritmos que son utilizados o la elaboración de perfiles. Por ello, ha sido puesto de manifiesto por parte de los investigadores de la autoridad de control la necesidad de informar a la sociedad sobre la trascendencia que tiene la protección de los datos personales así como de su posible tratamiento a través de las nuevas tecnologías.

Este resulta el principal motivo por el que la autoridad de control británica ha publicado esta campaña, que permite conocer cuáles son los derechos que recoge el Reglamento General de Protección de Datos así como el modo en que estos se pueden ejercitar.

La CNIL francesa presenta un Código de buenas prácticas para los desarrolladores de aplicaciones

La CNIL ha publicado un código que tiene como finalidad mostrar respuestas prácticas a las dudas más comunes que pueden surgir a los desarrolladores de códigos, aplicaciones, páginas webs, etc. para así garantizar la protección de los datos personales que traten con motivo de sus actuaciones. 

La finalidad de este código es mejorar la concienciación que estas organizaciones tienen sobre la protección de datos, ya que el desarrollo de sitios webs o programas supone, en muchas ocasiones, el tratamiento de datos de carácter personal, resultando necesario tomar medidas que permitan garantizar la protección de estos.  

Entre las recomendaciones prácticas que presenta la CNIL, podemos encontrar cuáles son las prácticas adecuadas para gestionar el código fuente de una mejor manera, para fortalecer la calidad del mismo o para garantizar la protección de los datos desde el diseño.

Puede acceder al “Kit développeur” aquí.