- Junio de 2019 -
Sentencia del Tribunal Constitucional que declara inconstitucional el artículo 58 bis. 1 de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general

El pleno del TC declaró que es inconstitucional por falta de garantías legales que los partidos políticos puedan tratar datos relativos a opiniones políticas de los ciudadanos ya que el precepto impugnado les permitía, en el marco de sus actividades electorales, tratar dichos datos de carácter personal. A mayor abundamiento, debemos tener en cuenta que la Sentencia declara que “las opiniones políticas son datos personales sensibles cuya necesidad de protección es superior a la de otros datos personales”.

La sentencia, del mismo modo, señala que “el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias”.

Es por ello que el Tribunal considera que el derecho fundamental afectado es el derecho de protección de datos personales. Por un lado, como derecho fundamental autónomo dirigido a controlar el flujo de informaciones que concierne a cada persona y, por otro, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

La sentencia afirma que “las garantías adecuadas deben velar porque el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva y deben procurar que los datos no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justificaron su obtención”.

El Pleno concluye afirmando que “la ley no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama nuestra doctrina, por lo que se re refiere a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales”.

En definitiva, subraya la sentencia que “la indeterminación de la finalidad del tratamiento y la inexistencia de garantías adecuadas o las mínimas exigibles a la ley constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear”.

Puede acceder a la Sentencia íntegra del Pleno del Tribunal Constitucional aquí.

La Agencia Española de Protección de Datos publica la guía “Drones y protección de datos”

La AEPD ha publicado una guía en la que analiza las operaciones realizadas con drones distinguiendo entre las que no llevan a cabo ningún tratamiento de datos personales, las que eventualmente podrían captar información y aquellas cuyo fin supone el tratamiento de datos de carácter personal (videovigilancia o grabación de eventos, entre otras).

La elaboración de la presente guía se debe a que estos dispositivos, cuyo uso se ha generalizado en la actualidad, pueden incorporar GPS, cámaras de vídeo o escáneres 3D cuyo empleo puede suponer un impacto en el derecho a la protección de datos de las personas.

Así, esta guía tiene como principal finalidad orientar a los operadores de drones que traten imágenes, vídeos, sonido o datos de geolocalización, entre otros, relacionados con personas identificadas o identificables para garantizar que cumplen con lo dispuesto tanto en el RGPD como en la Ley Orgánica 3/2018.

El presente informe ha sido dividido en cinco apartados, dedicando los tres primeros a estipular aquellas operaciones con drones que pueden ser realizadas, y a clasificar las mismas en función de la naturaleza de los datos personales que se vean afectados (operaciones que no incluyen un tratamiento de datos, como puede ser el uso de drones para el ámbito recreativo o deportivo; operaciones con riesgo de tratamiento de datos personales de forma colateral o inadvertida y uso de drones para realizar operaciones que tienen por finalidad un tratamiento de datos personales).

Del mismo modo, la guía ofrece a los usuarios una serie de recomendaciones previas a la utilización de los drones como, por ejemplo, que se ha de tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet cuando sea posible identificar a personas o se muestren espacios privados.

Puede acceder a la guía íntegra titulada “Drones y protección de datos” publicada por la autoridad de control española aquí.

Del mismo modo, la Comisión Europea ha aprobado y publicado el Reglamento de ejecución (UE) 2019/947 de la Comisión de 24 de mayo de 2019, relativo a las normas y los procedimientos aplicables a la utilización de aeronaves no tripuladas que tiene como objetivo tanto incrementar la seguridad en el tráfico aéreo como de las personas en tierra.

Puede acceder al Reglamento de ejecución íntegro en español aquí.

La AEPD ha publicado una nota técnica orientada a aquellos que realicen procesos de anonimización

La Agencia Española de Protección de Datos ha publicado una nota técnica titulada “La K-anonimidad como medida de la privacidad”, dirigida a responsables y encargados de tratamiento que lleven a cabo procesos de anonimización sobre conjuntos de datos. Esto se debe a que, en el momento actual, en que las fuentes de información de las que proceden los datos, pese a ser independientes entre sí, pueden llegar a determinar vínculos de conexión, resulta posible que se cree un rastro electrónico de las personas, incluso cuando hayan sido suprimidos los datos que explícitamente les identifican, constituyendo una amenaza para la privacidad de los interesados.

Es por ello que, tal y como afirma la autoridad de control española, “existe un riesgo de que, una vez que se ha anonimizado un conjunto de datos, se pueda revertir esa anonimización, reidentificando a la persona”. Habida cuenta de ello, y en virtud del principio de responsabilidad proactiva recogido en el RGPD, el responsable debe llevar a cabo un estudio del riesgo inherente de reidentificación de los sujetos de los datos e implementar las medidas para gestionarlo.

La presente nota técnica tiene como objetivo mostrar cómo se debe gestionar el citado riesgo de reidentificación, desarrollando una de las posibles técnicas para gestionar dicho riesgo, la K-anonimización, que permite cuantificar hasta qué punto se preserva el anonimato de los sujetos presentes en un conjunto de datos en el que se han eliminado los identificadores (la K-anonimidad es “una medida del riesgo de que agentes externos puedan obtener información de carácter personal a partir de datos anonimizados”).

Puede acceder a la nota técnica publicada por la AEPD sobre la K-anonimidad aquí.

La Comisión Europea ha publicado una nueva guía sobre la interacción entre el Reglamento de libre circulación de datos no personales y el RGPD

El objetivo de la guía publicada por la Comisión Europea es orientar a los usuarios (sobre todo a las pequeñas y medianas empresas) acerca de la interacción entre el Reglamento (UE) 2018/1807 sobre la libre circulación de datos no personales y el Reglamento General de Protección de Datos, especialmente cuando los conjuntos de datos están compuestos tanto por datos personales como no personales (“conjunto de datos mixtos”).

Ambas normativas permiten incrementar la seguridad jurídica y la confianza por parte de las empresas respecto al tratamiento de este tipo de datos, lo que implica que resulte más sencillo desarrollar servicios nuevos e innovadores. Es por ello por lo que resulta fundamental que las PyMes conozcan cuál es la interacción entre ambos reglamentos de tal manera que sepan cómo deberían aplicarse las normas cuando se traten conjuntos de datos en los que figuran tanto datos personales como datos de carácter no personal.

Habida cuenta de lo anterior, el presente informe aborda cuestiones como los conceptos de datos personales y no personales, los principios de libre circulación de datos, la prohibición de los requisitos de localización de datos en virtud de ambos Reglamentos o el concepto de portabilidad de datos dentro del Reglamento sobre libre circulación de datos no personales, entre otras. Asimismo, resulta importante mencionar que, tal y como establece la guía publicada, “en aras de la claridad, no existen obligaciones contradictorias en virtud del Reglamento General de Protección de Datos y el Reglamento de libre circulación de datos no personales”.

Puede acceder a la guía íntegra de la Comisión Europea aquí.

El “European Data Protection Board” ha publicado la versión final de su guía sobre Códigos de Conducta

El EDPB ha publicado el 4 de junio de 2019 la versión final de la guía relativa a los códigos de conducta ya que, tras la consulta pública realizada, se incluyeron nuevas cuestiones que tenían como objetivo clarificar el contenido de la guía.

Así, el EDPB afirma que el presente informe tiene como finalidad facilitar tanto la aplicación práctica de los mismos como la interpretación de lo recogido en los artículos 40 y 41 del Reglamento General de Protección de Datos. Del mismo modo, esta guía trata de clarificar los procedimientos necesarios para aprobar y publicar los códigos de conducta tanto a nivel nacional como a nivel europeo.

Este informe debe servir como marco jurídico claro para todas las autoridades de control o para la Comisión Europea cuando deban proceder a la evaluación de los códigos de conducta.

Puede acceder a la guía íntegra actualizada aquí.

La AEPD celebra su 11ª Sesión Anual Abierta centrándola en hacer balance de los 200 días de aplicación de la Ley Orgánica 3/2018

En esta sesión anual, la autoridad de control española ha hecho mención al proceso de reorganización interna que ha sufrido la AEPD con el objetivo de poder adaptarse a lo estipulado en el Reglamento General de Protección de Datos y a la aplicación de la Ley 3/2018. Entre estos procedimientos, se ha destacado la importante labor de sensibilización realizada dirigida a responsables y encargados de tratamiento en relación con las obligaciones que la normativa vigente les impone.

Del mismo modo, se ha resaltado la elaboración de herramientas dirigidas a facilitar el cumplimiento de la normativa, tales como “Facilita”, o la próxima publicación de una guía sobre las cookies. Estas medidas serán, asimismo, complementadas con otras iniciativas, como la elaboración de una nueva herramienta de análisis de riesgos y evaluaciones de impacto o una guía de protección de datos en el ámbito de las relaciones laborales, entre otras.

Del mismo modo, se ha puesto de manifiesto que la autoridad de control tiene el objetivo próximo de realizar un bloque de convenios con diversos Ministerios o con la Delegación del Gobierno para la Violencia de Género y la Fiscalía General del Estado, así como poner en marcha un cauce extraordinario y urgente en su sede electrónica para la presentación de reclamaciones en caso de difusión no consentida de contenidos violentos o de carácter sexual.

Asimismo, se han tratado otros temas en esta 11ª Sesión Anual, tales como el papel del delegado de protección de datos tras un año de aplicación del Reglamento, los criterios respecto de las figuras del responsable, encargado y corresponsable del tratamiento o la gestión del riesgo tecnológico en los tratamientos de datos, entre otros.

La CNIL francesa ha impuesto una sanción de 20.000 euros a una empresa por realizar una videovigilancia excesiva de sus trabajadores

La autoridad de control francesa ha impuesto una sanción a una compañía debido a la excesiva videovigilancia que ésta llevaba a cabo sobre sus trabajadores. Tras una serie de quejas dirigidas a la CNIL por parte de empleados, la autoridad de control informó a la empresa de cuáles eran los requisitos indispensables que debían cumplirse para instalar cámaras en el lugar de trabajo, tales como la obligación de informar a los trabajadores o el hecho de que los empleados no estuvieran siendo grabados continuamente.

No obstante, y a pesar de las recomendaciones realizadas por la CNIL, se llevó a cabo un control en las oficinas de la compañía que permitió llegar a la conclusión de que la cámara instalada grababa a los trabajadores sin interrupción y no se había proporcionado la información suficiente a los empleados. Habida cuenta de ello, la CNIL solicitó a la empresa que cumpliera con la normativa vigente y moviese la cámara de videovigilancia para que no grabase continuamente a los empleados, les informase sobre la presencia de la cámara e implementase medidas de seguridad para el acceso a los ordenadores.

Una vez finalizado el plazo que la autoridad de control otorgó a la compañía, se llevó a cabo una segunda auditoría que permitió conocer que las deficiencias continuaban. Por ello, se inició un procedimiento sancionador que ha derivado en la imposición de una sanción de 20.000 euros, ya que la CNIL ha tenido en consideración la situación actual de la empresa). 

Puede acceder a la resolución de la autoridad de control francesa aquí.

El EDPB ha publicado la versión final de diversos anexos de la Guía sobre la acreditación de los organismos de certificación en virtud del artículo 43 del RGPD y de la Guía sobre los criterios de certificación de acuerdo con los artículos 42 y 43 del RGPD

En lo referente al anexo del primer informe, relacionado con la acreditación de los organismos de certificación, el EDPB afirma que el texto ha sido revisado con el objetivo de garantizar una mayor claridad. El informe tiene como objetivo servir como guía para la interpretación y la implementación de lo recogido en el artículo 43 del Reglamento General de Protección de Datos. La principal finalidad es ayudar a los estados miembros, las autoridades de control y los organismos de certificación a establecer un sistema armonizado de acreditación de organismos de certificación que permita cumplir con lo dispuesto en el RGPD.

El anexo proporciona orientación sobre los requisitos adicionales para la acreditación de los organismos de certificación que pueden ser estipulados por las autoridades de control.

Puede acceder a la guía, en la que se incluye el anexo mencionado, aquí.

Respecto al anexo del segundo informe, tras la realización de una consulta pública, se han incluido algunas cuestiones a determinadas secciones del mismo. El anexo identifica diversos tópicos (la lista no es exhaustiva) que las autoridades de control y el EDPB considerarán y aplicarán para la aprobación de criterios de certificación.

Puede acceder a la guía aquí.

La AEPD convoca los Premios Protección de Datos 2019

La autoridad de control española ha publicado las bases para presentarse a los “Premios Protección de Datos Personales 2019”, en los que se incluyen dos nuevas categorías (premio de Emprendimiento en protección de datos “Ángela Ruiz Robles” y premio a las buenas prácticas para una mayor protección en internet de la privacidad de las mujeres víctimas de violencia de género).

La finalidad que persigue la Agencia Española de Protección de Datos al otorgar estos premios es reconocer el trabajo llevado a cabo por los premiados para difundir el derecho a la protección de los datos de carácter personal en ámbitos tan diversos como el educativo, el empresarial, la investigación científico-técnica o el de los medios de comunicación. El plazo para la presentación de candidaturas finaliza el 15 de noviembre.

Puede acceder a las bases para presentarse a los premios de la AEPD en los siguientes enlaces:

  • Respecto al premio de Emprendimiento en protección de datos “Ángela Ruiz Robles”, aquí.
  • Respecto al premio a las buenas prácticas para una mayor protección en internet de la privacidad de las mujeres víctimas de violencia de género, aquí.
  • En relación con el premio a las buenas practicas sobre iniciativas para adaptarse al RGPD y a la Ley Orgánica 3/2018, aquí.
  • Respecto al premio Protección de Datos de Comunicación 2019, aquí.
  • En relación con el premio a las buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet, aquí.
  • En relación con el premio de Investigación Emilio Aced, aquí.
Entrada en vigor del Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

En fecha 1 de junio de 2019 ha entrado en vigor el nuevo Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, con el que se da por finalizada la adaptación de la legislación nacional francesa al Reglamento General de Protección de Datos.

Tal y como afirma la CNIL, el objetivo del presente Decreto es mejorar la legibilidad del marco jurídico nacional y adaptar la legislación francesa a la normativa europea.

Puede leer el Decreto nº 2019-536 de 29 de mayo aquí.

Publicada una página web que permite conocer qué sanciones han sido impuestas por las diversas autoridades de control

Ha sido publicada una página web que contiene una lista actualizada de las sanciones impuestas en virtud del Reglamento General de Protección de Datos por las distintas autoridades de control de la Unión Europea, tales como la Datatilsynet (autoridad de control danesa), la APD (autoridad de control belga), la VDAI (autoridad de control lituana) o la CNIL, entre otras.

Puede consultar la página web a través de este enlace: aquí.