- Julio de 2019 -
La Agencia Española de Protección de Datos presenta la herramienta “Gestiona” como ayuda para realizar análisis de riesgos y evaluaciones de impacto

La AEPD ha puesto en funcionamiento el 15 de julio de 2019 la herramienta denominada “Gestiona” que tiene como principal objetivo ayudar a las empresas que lleven a cabo tratamientos de datos de carácter personal de alto riesgo a realizar análisis de riesgo y evaluaciones de impacto.

Esta herramienta sirve como guía a los responsables o encargados del tratamiento respecto de aquellas cuestiones que se deben tener en cuenta cuando se va a proceder a realizar un análisis de riesgo o una evaluación de impacto, proporcionando una adecuada base inicial. Esta aplicación está diseñada por la autoridad de control como un cuestionario online mediante el que el responsable del tratamiento deberá responder a una serie de cuestiones que le permitirán obtener la documentación básica. No obstante, con posterioridad, el responsable tendrá la obligación de completar esta documentación de tal manera que pueda demostrar que el tratamiento de los datos se lleva a cabo de acuerdo a la normativa de protección de datos.

Puede acceder a la herramienta “Gestiona” de la AEPD aquí.

Presentación por el Consejo General de la Abogacía Española del primer Registro de Impagados Judiciales

La presidenta del Consejo General de la Abogacía Española ha presentado el Registro de Impagados judiciales (RIJ). Se trata de un fichero de morosidad que tiene como finalidad recoger información y reclamar deudas líquidas, vencidas, exigibles y reconocidas mediante resolución judicial firme (como los impagos de las pensiones de alimentos, deudas entre particulares o incumplimientos en contratos de alquiler o de compraventa de mercancías) aportadas por los abogados (previa autorización de sus clientes).

El presente Registro es una herramienta de trabajo gratuita puesta al servicio de la justicia que otorga a los acreedores que han visto reconocido su derecho al cobro de una deuda por resolución judicial firme mayores garantías para el cumplimiento de la misma, garantizando que se cumpla la ejecución de la sentencia. El fichero facilitará la ejecución de deudas reconocidas por resolución judicial firme superiores a 50 euros y con un máximo de antigüedad de 5 años. Asimismo, los abogados podrán consultar, a través de este Registro, datos sobre el impago de honorarios de letrados.

Es por ello que, tal y como afirma la presidenta del Consejo General de la Abogacía Española, este fichero “supone una innovación revolucionaria en España y en el mundo, que va a favorecer el derecho a la tutela judicial efectiva y hacer que se cumplan las sentencias firmes, además de dotar de mayor transparencia al sistema judicial y financiero de España”.

Puede acceder al Registro de Impagados Judiciales a través de este enlace.

Opinión del European Data Protection Board sobre la lista provisional enviada por la Agencia Española de Protección de Datos sobre las operaciones de tratamiento de datos que no requieren la realización de una Evaluación de Impacto

El artículo 35 del Reglamento General de Protección de Datos, en su apartado quinto, establece que “la autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité (EDPB)”. Es por ello que la AEPD ha remitido el borrador de la lista relativa a aquellos tratamientos de datos que no requieren la realización de una evaluación de impacto al European Data Protection Board.

Habida cuenta de ello, el EDPB ha analizado el borrador y publicado el documento en el que manifiesta su opinión, llegando a la conclusión de que la lista de operaciones de tratamiento remitida por la autoridad de control española puede llevar a una aplicación incoherente del artículo 35 del RGPD y, por lo tanto, recoge una serie de recomendaciones que la AEPD debe seguir.

Entre otras cuestiones, el EDPB recomienda que la autoridad de control elimine la referencia al tratamiento de datos para proteger intereses vitales de los individuos o que, en relación con la lista de tratamientos de datos de Recursos Humanos, contabilidad o de Seguridad Social por Pequeñas y Medianas Empresas, este debe ser restringido a aquellas situaciones en las que resulte obligatorio por ley.

Puede acceder a la opinión publicada por el EDPB aquí.

Nota informativa del EDPS respecto a la transferencia internacional de datos después del Brexit

Debido a que Reino Unido no será estado miembro de la Unión Europea a partir del 1 de noviembre de 2019, el presente documento recoge los diversos escenarios que pueden suceder en relación con la transferencia de datos de carácter personal en caso de que no se firme ningún acuerdo de Brexit entre el Reino Unido y la Unión Europea.

Habida cuenta de la existencia de esta posibilidad, el EDPS ha redactado el presente documento y ha recogido en él  diversas recomendaciones que se deben seguir con el objetivo de que aquellas instituciones de la Unión Europea que transfieran datos personales al Reino Unido estén preparadas para el supuesto de que no haya acuerdo de Brexit y, debido a ello, el Reino Unido sea considerado como un tercer país.

Puede acceder al documento publicado por el EDPS aquí.

Publicación por el European Data Protection Supervisor de dos listas sobre los tratamientos de datos que, en virtud del Reglamento 2918/1725 requieren, o no, de la realización de una evaluación de impacto

El European Data Protection Supervisor ha publicado, tras la consulta realizada al Comité Europeo (EDPB), las listas tanto de las operaciones de tratamiento de datos personales que requieren la elaboración de una evaluación de impacto en virtud del artículo 39.4 del Reglamento 2018/1725 como de aquellos tratamientos de datos de carácter personal que, a priori, en virtud del artículo 39.5 del citado Reglamento, no requieren la realización de dicha evaluación de impacto.

Ambas listas proporcionan una guía adicional a los responsables del tratamiento en las instituciones de la Unión Europea. En virtud del informe del Grupo de Trabajo del Artículo 29 sobre las evaluaciones de impacto, estas listas proveen de diversos criterios que pueden ser utilizados por los responsables del tratamiento antedichos con el objetivo de analizar si resulta necesario elaborar una evaluación de impacto. No obstante, tal y como menciona el EDPS, no son listas cerradas, por lo que se podrían incluir más supuestos de los recogidos en ellas.

Puede acceder a las listas publicadas por el EDPB aquí.

La AEPD publica un documento en el que alerta a PyMes y autónomos de los riesgos de contratar servicios de adecuación a la normativa de protección de datos a ‘coste cero’

La Agencia Española de Protección de Datos ha publicado un documento informativo elaborado en colaboración con la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, que tiene como principal objetivo alertar a las pequeñas y medianas empresas y a los autónomos sobre los posibles riesgos que presenta la contratación de servicios de adecuación a la normativa de protección de datos a empresas que ofrecen los mismos “a coste cero”.

La autoridad de control española afirma que estos servicios pueden ser fraudulentos puesto que el servicio de adecuación a una normativa específica requiere un estudio individual pormenorizado de la entidad que contrata el servicio, de los tipos de tratamientos que esta realiza, de los sistemas informáticos y los sistemas de gestión documental, etc. y no consiste simplemente en la entrega de unos formularios cumplimentados que no tienen en cuenta la estructura o funcionamiento de la compañía.

Habida cuenta de ello, las empresas que ofertan una adecuación completa a la legislación a un precio muy bajo (o incluso gratis), y que suelen estar dirigidas a PyMes o autónomos, pueden entrañar un fraude que la autoridad de control española pretende evitar con estas recomendaciones.

Del mismo modo, el documento de la AEPD hace referencia a otras prácticas que pueden ser realizadas por estas compañías, tales como, entre otras, dar a entender a los clientes que llevar a cabo esta adecuación con sus medios propios podría suponerles un trabajo inasumible, motivo por el que deben subcontratar el servicio o incluir entre sus servicios el nombramiento de un DPD haciendo creer al cliente que su nombramiento siempre es obligatorio. Asimismo, a mayor abundamiento, la AEPD pone de manifiesto que la contratación de estos servicios puede derivar en diversas  infracciones.

Puede acceder al documento publicado por la Agencia Española de Protección de Datos aquí.

La AEPD publica un modelo de informe de Evaluación de Impacto para las Administraciones Públicas

La Agencia Española de Protección de Datos ha publicado un modelo de informe de Evaluación de Impacto elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social que está dirigido a las administraciones públicas.

El objetivo del presente modelo, que ha sido elaborado a partir de la Guía realizada por la autoridad de control española titulada “Guía práctica para las Evaluaciones de Impacto en la Protección de Datos”, es facilitar a las administraciones públicas la realización de estas evaluaciones de impacto.

El modelo de informe recoge aquellos aspectos que el responsable del tratamiento debe tener en cuenta durante la realización de una evaluación de impacto. Entre estas cuestiones, la AEPD menciona la descripción y análisis del tratamiento que se va a llevar a cabo, la base jurídica que lo justifica, los análisis de la obligación de realizar una EIPD o las medidas a adoptar para reducir el riesgo.

Puede acceder al modelo de informe de evaluación de impacto en la protección de datos para administraciones públicas aquí.

La Agencia Española de Protección de Datos impone una sanción de 250.000 euros a La Liga debido al incumplimiento de la normativa de protección de datos en su app

La AEPD ha impuesto a La Liga, de acuerdo con lo establecido en el artículo 58.2.j) del RGPD, una sanción por la comisión de una infracción del artículo 5.1.a) del Reglamento (principio de transparencia), consistente en una multa administrativa, en la cuantía de 250.000 euros y ha ordenado, de acuerdo con lo dispuesto en el artículo 58.2.d) del RGPD por la infracción del artículo citado anteriormente, que adecúe al principio de transparencia el uso de la app mediante mecanismos que permitan reforzar el conocimiento por parte de los usuarios de la aplicación de la funcionalidad del micrófono de los dispositivos que instalen la app, en el momento en que esta se produzca.

La app objeto de análisis por parte de la autoridad de control española tiene como finalidad recoger el sonido ambiente en diversos establecimientos de restauración (afirma la AEPD que “en ese audio, no hay duda de que pueden contenerse datos de carácter personal, propio y de terceros, simplemente cuando se capte una conversación” de tal manera que “se puede afirmar que, si la captación se produce durante una conversación donde se indican datos de carácter personal, estaremos ante una captación o recogida de datos de carácter personal y, por tanto, ante un tratamiento de datos personales”, lo que le hace a dicho tratamiento “tributario del cumplimiento del principio de transparencia”), codificando posteriormente dicha grabación y comparándola con audios de las emisiones de partidos facilitados por LA LIGA, de tal manera que esta pueda saber si el usuario se encuentra en un establecimiento que emite partidos de la Liga de manera ilegal, ya que la aplicación tiene asimismo acceso a los datos de geolocalización del teléfono. Todo ello, según las alegaciones de La Liga, son “actuaciones [que] se dan en el contexto de lucha contra la piratería”.

No obstante, la AEPD señala en su resolución que la información proporcionada por la app a los usuarios tanto durante su instalación (en la que se hace referencia únicamente a que se procederá a la grabación durante los partidos de la Liga) como durante la ejecución del tratamiento (se debe hacer constar que, según la AEPD, “en ese momento se puede afirmar que no hay información”) no explica, con la claridad y transparencia que requiere un tratamiento como el de esta aplicación, cuándo se procede a recoger tanto la información que capta el micrófono como la ubicación del dispositivo, por lo que la misma se muestra insuficiente en relación con el tipo de tratamiento que se realiza. Debido a la incertidumbre que la información proporcionada genera, la AEPD menciona que esta solo podrá minorarse “con la muestra de una señal o icono cuando efectivamente se esté accediendo a la información que se obtiene mediante el dispositivo”, de tal manera que “el usuario conozca que se está captando audio con su dispositivo”.

Sin embargo, La Liga, que decide cuándo poner en marcha el proceso de captación de sonido y sobre qué usuarios, manifestó que, tras el juicio de ponderación realizado, ha decidido no incluir el icono en la app, puesto que no resulta necesario y puede generar una falsa percepción de que se está grabando la voz, algo que, tal y como afirma la autoridad de control española, ocurre. A pesar de ello, La Liga sí incluye un icono que indica que se está accediendo a la geolocalización del dispositivo “sin explicar la diferencia de por qué en ese caso si incluye el icono y en el caso del micrófono no”.

Habida cuenta de todo lo recogido, la insuficiencia de la información proporcionada, de la actitud de La Liga en relación con la inclusión del icono de grabación así como el tratamiento que realiza de datos personales (como la dirección IP del usuario, entre otros) la AEPD concluye que “el tratamiento analizado reclama un especial refuerzo del principio de transparencia […] en todas sus manifestaciones y con garantías adecuadas en relación con el tipo de tratamiento, que de la instrucción practicada no es posible atribuir a la entidad investigada, lo que constituye la vulneración de lo dispuesto en el artículo 5.1 del RGPD”.

Puede acceder a la resolución de la autoridad de control española aquí.

Sentencia de la Sala de lo Contencioso de la Audiencia Nacional sobre la publicación del listado de deudores a que se refiere la Ley General Tributaria

La Sala de lo Contencioso de la Audiencia Nacional ha desestimado el recurso de apelación interpuesto por la Organización Impulsora de Discapacitados contra la sentencia de instancia por la que se desestima el recurso contencioso-administrativo presentado frente al acuerdo de la Agencia Estatal de Administración Tributaria de publicar el listado de deudores a que se refiere el artículo 95 bis de la Ley General Tributaria, listado en el que aparece mencionado dicha organización por una deuda cuyo importe asciende a 86.138,62 euros.

En la sentencia analizada, la Sala de lo Contencioso menciona el preámbulo de la Ley 34/2015 de modificación parcial de la Ley General Tributaria que establece que “la medida consistente en la publicación de listados de deudores […] hay que enmarcarla en la orientación de la lucha contra el fraude fiscal” y que dicha publicación es “totalmente respetuosa con la reserva de datos tributarios y, por tanto, con los principios en los que ésta se fundamenta, […] En definitiva, si bien los principios de transparencia y publicidad pueden colisionar en ocasiones con otros derechos constitucionalmente protegidos, como son los de intimidad y protección de datos, deben ponderarse adecuadamente los distintos intereses que se pretenden salvaguardar”.

Habida cuenta de ello, la Audiencia Nacional resuelve que la medida de publicación del listado de deudores no tiene una finalidad represiva, como se mencionaba en el recurso de apelación, sino “de compulsión indirecta al pago de las deudas tributarias relevantes que no hayan sido satisfechas dentro del período voluntario”, limitándose únicamente a constatar el hecho de que los inscritos en dicha lista no han efectuado el ingreso en plazo.

En relación con la posible colisión entre la publicidad del listado y el derecho a la intimidad y la protección de datos personales, la sentencia señala que el derecho fundamental a la protección de datos personales no es ilimitado, de tal manera que “la ciudadanía tiene derecho a la publicidad en determinados casos sobre el cumplimiento de los contribuyentes de sus deberes fiscales, sin que pueda ampararse la oposición a la publicación en la protección de datos personales, siempre que se respete el principio de proporcionalidad y exista una regulación predeterminada por la ley”, llegando a afirmar que en supuestos similares al que nos ocupa resulta muy sencillo proteger los datos personales, ya que “basta con cumplir con los deberes fiscales”.

Puede acceder a la Sentencia íntegra de la Audiencia Nacional aquí.

El ICO, autoridad de control inglesa, alerta a British Airways sobre la imposición de una sanción de 183.39 millones de libras (205 millones de euros)

La Oficina del Comisionado de la Información de Reino Unido (ICO por sus siglas en inglés) ha emitido una declaración en la que pone de manifiesto la intención, tras la exhaustiva investigación llevada a cabo, de imponer una sanción de 205 millones de euros a la compañía British Airways por razón del incumplimiento de la normativa de protección de datos.

La sanción propuesta trae causa de un incidente informático notificado a la autoridad de control por la propia compañía en septiembre de 2018. Este incidente consistió en el acceso a los servidores de la compañía y el posterior desvío de datos personales de usuarios de British Airways, entre los que se encuentran sus nombres, direcciones o tarjetas de pago, a una página web fraudulenta. Este acceso y posterior desvío de datos de carácter personal de los servidores de British Airways (que comenzó en junio de 2018) afectó a los datos de 500.000 clientes de la compañía.

La investigación realizada por el ICO junto a otras autoridades de control ha permitido esclarecer que el acceso a información personal de los clientes de la compañía se debió a las deficientes medidas de seguridad adoptadas por British Airways.

No obstante, el ICO hace constar el hecho de que la compañía ha cooperado activamente en la investigación realizada por la autoridad de control y ha implementado mejoras en sus medidas de seguridad. Es por ello que la decisión final respecto a la imposición y cuantía de la sanción será tomada teniendo en consideración tanto las alegaciones que British Airways emita durante el presente procedimiento como las opiniones de las otras autoridades de control.

Puede acceder a la declaración de la autoridad de control aquí.

Publicación de la plataforma “Data&Design” por la CNIL

La autoridad de control francesa ha creado la plataforma “Data & Design”, que tiene como principales objetivos que los diseñadores conozcan los diversos conceptos y obligaciones que recoge la normativa vigente en materia de protección de datos de carácter personal así como la creación de una comunidad de diseñadores comprometidos con la protección de dichos datos.

Es por ello que, a través de esta plataforma, se pone a su disposición diversos contenidos con la finalidad de ilustrar a los diseñadores sobre aquellos apartados de la normativa que les pueden afectar. De esta manera, la plataforma explica diversos conceptos del RGPD como el consentimiento o el ejercicio de los derechos por los afectados, difunde estudios de caso que permiten conocer cómo afecta la normativa en la práctica de los diseñadores o proporciona herramientas o métodos para crear interfaces que sean respetuosas con los datos personales.

Puede acceder a la plataforma en francés aquí y en inglés aquí.

La autoridad de control rumana impone la primera sanción por el incumplimiento de la normativa de protección de datos

La Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ha impuesto una sanción de 613.912 leu rumanos (130.000 euros) al director de la entidad UNICREDIT BANK, S.A. en virtud de una investigación que ha permitido averiguar que se ha vulnerado el artículo 25.1 del RGPD.

Esta sanción ha sido impuesta a UNICREDIT BANK, S.A. debido a que la compañía no aplicó, ni en el momento de determinar los medios del tratamiento ni durante el tratamiento de los datos de carácter personal, las medidas técnicas y organizativas adecuadas concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados.

Ello supuso que los datos de carácter personal de 337.042 personas relativos al número de identificación personal y a la dirección de aquellos que realizaban un pago a UNICREDIT BANK mediante transferencias online, fueron publicados en documentos que contenían los detalles de las transacciones y que eran accesibles online por determinados clientes.  

Puede acceder al comunicado emitido por la autoridad de control aquí.

El European Data Protection Board ha publicado una guía sobre el tratamiento de datos personales a través de dispositivos de video

El EDPB ha publicado una guía, que se encuentra sometida a consulta pública, sobre el tratamiento de datos de carácter personal a través de dispositivos de video debido al impacto que puede tener en el comportamiento de los ciudadanos el uso intensivo de estos dispositivos de grabación. Si bien el Comité afirma que los ciudadanos pueden sentirse cómodos con el uso de dispositivos de videovigilancia con fines de seguridad, se deben adoptar medidas adecuadas que permitan garantizar que dichos dispositivos no se utilizan con otras finalidades.

Es por ello que el EDPB ha publicado una guía que tiene como principal objetivo aclarar cómo se aplica el RGPD al tratamiento de los datos de carácter personal cuando se utilizan dispositivos de videovigilancia así como garantizar la coherente aplicación del Reglamento en este sentido.

La presente guía analiza tanto los dispositivos de video tradicionales como los denominados “Smart video devices” y se centra en la normativa que recoge el tratamiento de las categorías especiales de datos. Habida cuenta de lo anterior, la guía hace mención expresa, entre otros, a la legalidad del tratamiento de los datos a través de estos dispositivos o a la divulgación del material grabado a terceros.

Puede acceder a la guía publicada por el Organismo aquí. Debido a que dicha guía se encuentra sometida a consulta pública, puede enviar sus comentarios hasta el 9 de septiembre de 2019 con el asunto “Reply to public consultation –nombre de la compañía– Guidelines 3/2019” a la siguiente dirección de correo electrónico: EDPB@edpb.europa.eu.

Dictamen conjunto del EDPS y el EDPB relativo al tratamiento de los datos personales de pacientes y el papel de la Comisión Europea en el marco de “eHealth Digital Service Infraestructure (eHSDI)”

Este documento recoge la primera opinión elaborada conjuntamente por el European Data Protection Board y el European Data Protection Supervisor a respuesta de un requerimiento de la Comisión Europea en virtud del artículo 42.2 del Reglamento 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE.

En dicho dictamen conjunto, ambos organismos consideran que, en este supuesto concreto y para el tratamiento de datos personales de pacientes en el marco del eHSDI, no existe motivo alguno para discrepar de la valoración realizada por la Comisión Europea sobre su actuación como encargado del tratamiento.

A mayor abundamiento, el presente dictamen hace mención expresa a la necesidad de asegurar que las obligaciones que la normativa vigente en materia de protección de datos impone a los encargados del tratamiento (la Comisión europea en el supuesto concreto que nos ocupa), son recogidas claramente en la ley que se implemente en relación con estos tratamientos.

Puede acceder al dictamen conjunto publicado por los dos Organismos aquí.

Aplicación práctica del principio de responsabilidad activa: el EDPS publica unas guías sobre la documentación de las operaciones de tratamiento de datos personales para instituciones o agencias de la UE

Estos documentos publicados por el EDPS tienen como principal objetivo servir de guía para los responsables del tratamiento y Delegados de Protección de Datos de las instituciones de la Unión Europea sobre asuntos como el registro de actividades (artículo 31 del Reglamento 2018/1725) o la realización de una evaluación de impacto relativa a la protección de datos y el modo en que esta debe ser llevada a cabo (artículo 39), entre otros.

El EDPS estructura estas guías en dos documentos. El primero de ellos, titulado “Accountability on the ground Part I: Records, Registers and when to do Data Protection Impact Assessments”, recoge aquellas cuestiones relacionadas con el registro de actividad estipulado en el artículo 31 del Reglamento mencionado. Del mismo modo, establece cuándo se debe llevar a cabo una Evaluación de Impacto.

El segundo documento, titulado “Accountability on the ground Part II: Data Protection Impact Assessments & Prior Consultation”, recoge cómo se debe realizar una evaluación de impacto y cuándo el responsable del tratamiento deberá hacer una consulta previa al EDPS en virtud del artículo 40 del Reglamento 2018/1725.

Puede acceder al documento que recoge la importancia de la publicación de estas guías aquí; la primera parte de la guía aquí y la segunda parte aquí.

Admitida a trámite la demanda colectiva que la Organización de Consumidores y Usuarios interpuso contra Facebook

El Juzgado de lo Mercantil nº 5 de Madrid ha admitido a trámite la demanda colectiva interpuesta por la OCU contra Facebook en defensa de los intereses de los usuarios en España de la red social por haber incumplido, entre otras, la normativa de protección de datos, debido al tratamiento realizado de los datos de carácter personal sin haber informado de ello a los usuarios y sin haber recabado su consentimiento expreso.

Es por ello, que en la demanda interpuesta, y admitida a trámite, la Organización de Consumidores y Usuarios suplica al Juzgado que se consideren nulas por ser abusivas o por su falta de transparencia determinadas cláusulas incluidas en los términos y condiciones de Facebook y que se condene a la red social a cesar en su conducta desleal y a indemnizar con una cuantía de 200 euros a cada uno de los usuarios de la misma.

Opinión del European Data Protection Board sobre la competencia de la autoridad de control en aquellos supuestos en los que haya un cambio en la localización del establecimiento principal

El EDPB ha publicado, en virtud del requerimiento remitido por las autoridades de control francesa y sueca, un dictamen en el que recoge su opinión sobre la competencia de las autoridades de control en el supuesto de que haya un cambio en la localización del establecimiento principal de una compañía. Este cambio puede deberse a que el establecimiento principal es reubicado en otro país del Espacio Económico Europeo, a que el mismo se establece por primera vez en un país del Espacio Económico Europeo proviniendo de un tercer país o a que el establecimiento ya no está presente en ningún país del EEE.

En estos supuestos, en opinión del European Data Protection Board, la competencia de la autoridad de control principal podrá ser asumida por otra autoridad de control. En este caso, el procedimiento de cooperación estipulado en el artículo 60 del RGPD resulta de aplicación y la nueva autoridad de control principal estará obligada a cooperar con la anterior autoridad de control y con cualquier otra interesada, esforzándose por llegar a un consenso.

Este cambio en la competencia de las autoridades de control se podrá llevar a cabo siempre y cuando no se haya alcanzado ninguna decisión final por la autoridad de control competente.

Puede acceder al documento aquí.

En agosto…

Tal y como es habitual, en agosto no se publicará la newsletter de ZABÍA ABOGADOS. El próximo mes de septiembre estaremos de vuelta para informarles de cualquier novedad relevante en materia de Protección de Datos.

¡Disfruten de su verano!