- Septiembre de 2019 -
La Agencia Española de Protección de Datos publica el listado de tratamientos de datos personales en los que no es necesario la realización de una evaluación de impacto

La AEPD ha elaborado una lista de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, en cumplimiento con lo recogido en el artículo 35.5 del Reglamento General de Protección de Datos.

Asimismo, la AEPD comunicó, a efectos meramente informativos, dicha lista al Comité Europeo de Protección de Datos (EDPB), que publicó su opinión respecto a ella en el mes de julio de 2019.

En esta lista, que se basa en las directrices del Grupo de Trabajo del Artículo 29 sobre la evaluación de impacto relativa a la protección de datos de fecha 4 de octubre de 2017, la autoridad de control española exime de realizar una evaluación de impacto, entre otros, a aquellas operaciones de tratamiento que se realicen estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control (siempre y cuando el tratamiento no haya sido modificado desde su autorización) o bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control (siempre que se haya realizado una EIPD para la validación del código de conducta y el tratamiento se implemente incluyendo las medidas recogidas en dicha EIPD) o a aquellas operaciones de tratamiento realizadas en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual (médicos, profesionales de la salud o abogados), sin perjuicio de que pueda requerirse su realización cuando dicho tratamiento cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto.

Puede acceder a la lista en inglés aquí y en español aquí.

Sentencia del Tribunal de Justicia de la Unión Europea sobre la obligación del gestor de un motor de búsqueda de retirar los enlaces en todas las versiones de su motor de búsqueda

El Tribunal de Justicia de la Unión Europea ha resuelto en sentencia de 24 de septiembre de 2019, en el asunto C-507/17, que el gestor de un motor de búsqueda no está obligado a retirar los enlaces en todas las versiones de su motor de búsqueda.

En fecha 10 de marzo de 2016, la autoridad de control francesa impuso una sanción a Google debido a que cuando la compañía recibió una solicitud de retirada de enlaces, se negó a proceder a dicha retirada en todas las extensiones de nombre de dominio de su motor de búsqueda.

Google Inc. solicitó al Conseil d’État que anulase dicha resolución sancionadora. Habida cuenta de ello, el Conseil d’État planteó al Tribunal de Justicia de la Unión Europea diversas cuestiones prejudiciales para dilucidar si las normas del Derecho de la Unión debían interpretarse en el sentido de que, cuando el gestor de un motor de búsqueda estima una solicitud de retirada de enlaces, está obligado a retirarlos en todas las versiones de su motor de búsqueda.

Afirma el TJUE en la sentencia que, si bien en una sociedad globalizada en el que existe un acceso universal a la red, retirar todos los enlaces en el mundo respondería al objetivo de protección que persigue el Derecho de la Unión, muchos terceros Estados no contemplan el derecho a la retirada de enlaces. A mayor abundamiento, afirma el Tribunal que el Derecho de la Unión “no prevé actualmente tales instrumentos y mecanismos de cooperación en lo que se refiere al alcance de la retirada de enlaces fuera de la Unión”.

Es por ello que el TJUE resuelve en el sentido de que el gestor de un motor de búsqueda que estime una solicitud de retirada de enlaces presentada por un interesado, no está obligado a proceder a dicha retirada en todas las versiones de su motor. No obstante, sí está obligado a retirar dichos enlaces en las versiones de su motor que correspondan al conjunto de los Estados miembros y a adoptar medidas eficaces que garanticen la protección de los derechos fundamentales del interesado.

Puede acceder a la Sentencia Íntegra del Tribunal de Justicia de la Unión Europea aquí.

Sentencia del Tribunal de Justicia de la Unión Europea sobre la consideración de responsable del tratamiento del administrador de un sitio web que incluye en el mismo un botón “me gusta” de Facebook

El Tribunal de Justicia de la Unión Europea ha resuelto, en el asunto C-40/17, que el administrador de un sitio de internet que incluya en su página web un botón de “me gusta” de Facebook es, junto con Facebook, responsable del tratamiento de la recogida de los datos personales (dirección IP, datos de navegación, etc.) y su posterior transmisión a Facebook.

Fashion ID, empresa de comercio electrónico, insertó en su sitio web el módulo social “me gusta” de Facebook, siendo consciente de que servía de herramienta de recogida y de transmisión de los datos personales de los visitantes. De esta manera, los datos personales de un usuario que visitase la página web eran transmitidos a Facebook sin que el mismo fuese consciente de dicha transmisión y con independencia de que fuese usuario de Facebook o de si clicó en el botón.

Por ello, la asociación alemana de defensa de los intereses de los consumidores ejercitó una acción de cesación ante el Tribunal Regional de lo Civil y Penal de Düsseldorf, con la finalidad de que se pusiese fin a dicha práctica. El tribunal estimó parcialmente sus pretensiones, sin embargo, Fashion ID apeló la resolución ante el Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, puesto que consideró que la asociación no tenía legitimación activa para ejercitar la acción y que había sido considerada erróneamente responsable del tratamiento.

El Tribunal Superior suspendió el procedimiento y planteó al TJUE diversas cuestiones prejudiciales. El Tribunal de Justicia de la Unión Europea ha resuelto que las asociaciones de defensa de los intereses de los consumidores pueden ejercitar acciones judiciales contra los infractores de la protección de datos.

Del mismo modo, considera que el administrador de una página web que inserta en dicho sitio un módulo social que permite la transmisión de datos personales del visitante de la misma al proveedor de dicho módulo, puede ser considerado responsable del tratamiento, limitando dicha responsabilidad a la operación cuyos fines y medios hayan sido determinados por él. En este supuesto, Fashion Id sería responsable de la recogida y comunicación por transmisión de los datos en cuestión. No obstante, afirma el TJUE que no puede ser considerada responsable de las operaciones anteriores o posteriores respecto de las que no haya determinado los fines ni los medios, es decir, de aquellos tratamientos de los datos que, con posterioridad, realice Facebook.

Por ello, el responsable de las operaciones de recogida y transmisión de los datos personales tiene la obligación de solicitar el consentimiento y de informar a los visitantes exclusivamente de dichas operaciones de tratamiento de datos.

Puede acceder a la Sentencia del Tribunal de Justicia de la Unión Europea aquí.

La Agencia Española de Protección de Datos ha presentado un canal que permite que las reclamaciones que incluyen la difusión de contenido sexual o violento sean analizadas de forma prioritaria

La autoridad de control española ha presentado un canal que tiene como principal objetivo la recepción prioritaria de reclamaciones relacionadas con la difusión ilícita de contenido sensible en las que se solicita su retirada. De esta manera la AEPD ofrece una respuesta rápida en situaciones excepcionales y delicadas, como es la difusión de contenido sexual o violento, pudiendo adoptar, en aquellos casos en los que fuera necesario, medidas urgentes que garanticen la limitación de la difusión de estos contenidos y el acceso a datos personales.

De este modo, una vez planteada la reclamación (habiendo descrito las circunstancias en la que la difusión del contenido sensible se ha producido), ésta será analizada por la AEPD, que determinará si procede la adopción de las medidas urgentes. Asimismo, la AEPD valorará el inicio de un procedimiento sancionador contra los responsables del tratamiento ilegítimo de los datos.

Este proyecto surge debido a que las nuevas tecnologías pueden ser utilizadas como medios para dañar la privacidad de las personas mediante la difusión, a través de las redes sociales u otros servicios, de contenidos sexuales o violentos que tienen como única finalidad la humillación pública de las víctimas.

Este canal se apoya en seis instrumentos de colaboración suscritos con la Vicepresidencia del Gobierno y varios ministerios y organismos, como el Convenio de colaboración entre el Ministerio de Presidencia, Relaciones con las Cortes e Igualdad y la AEPD, el Protocolo de actuación entre el Ministerio del Interior y la AEPD, el Protocolo de actuación entre el Ministerio de Educación y Formación Profesional y la AEPD, Protocolo de actuación entre el Ministerio de Trabajo, Migraciones y Seguridad Social y la AEPD, el Protocolo de actuación entre la Fiscalía General del Estado y la AEPD y el Protocolo de actuación entre el Consejo General de la Abogacía y la AEPD.

Puede acceder a la presentación publicada por la AEPD aquí y al canal prioritario aquí.

La Comisión Europea Solicita al Tribunal de Justicia de la Unión Europea que imponga una sanción a España por no transponer la Directiva 2016/680

Tal y como menciona la nota de prensa emitida por la Comisión Europea (y que puede leer aquí), España no ha transpuesto, a fecha de septiembre de 2019, la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos (directiva sobre protección de datos en el ámbito penal). Dicha Directiva debería haber sido incorporada al Derecho nacional el 6 de mayo de 2018.

La finalidad de la misma es garantizar tanto la protección de los datos personales como facilitar su intercambio entre las distintas autoridades policiales nacionales. Habida cuenta de ello, la Directiva establece qué normas deben regular el  tratamiento de los datos de carácter personal por las fuerzas y cuerpos de seguridad, tratando de facilitar la coordinación entre policía, fiscales y jueces de diferentes países logrando, de esta a manera, una cooperación más eficaz en la lucha contra los delitos, como el terrorismo, en toda Europa.

Es por ello que, debido a que no se han adoptado las disposiciones legales, reglamentarias o administrativas necesarias para dar cumplimiento a la Directiva, el nivel de protección resulta diferente con otros países, obstaculizando el intercambio de datos con otros Estados miembros que sí transpusieron la Directiva. Por lo tanto, la Comisión Europea ha solicitado al Tribunal de Justicia de la Unión Europea que “imponga sanciones financieras en forma de una suma a tanto alzado de 21 321 EUR al día entre el día posterior al vencimiento de la fecha límite del plazo de transposición que se establece en la Directiva y la fecha de cumplimiento por parte de España, o bien la fecha de pronunciamiento de la sentencia prevista en el artículo 260, apartado 3, del TFUE, con un importe mínimo a tanto alzado de 5 290 000 EUR y una multa diaria de 89 548,20 EUR desde el día de la primera sentencia hasta alcanzar el pleno cumplimiento o hasta la segunda sentencia del Tribunal”.

La autoridad de control española publica unas directrices orientadas a aplicaciones móviles educativas y de actividad física, bienestar y salud

La AEPD ha emitido una nota técnica que contiene diversas directrices específicas en relación con las aplicaciones para dispositivos móviles en el ámbito educativo y el de la actividad física, bienestar y salud, sobre el deber de informar, la obtención del consentimiento u otras medidas de responsabilidad proactiva.

El documento, dirigido a aquellas entidades que intervienen en el desarrollo, distribución o explotación de las aplicaciones, entre otras, tiene la finalidad de detectar prácticas que puedan resultar lesivas para la privacidad de los usuarios, aportando soluciones o alternativas.

Entre estas directrices, la autoridad de control recuerda que la información proporcionada a los usuarios sobre el tratamiento de sus datos personales debe cumplir los requisitos establecidos en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, que el acceso a la política de privacidad debe poder hacerse de forma sencilla desde la aplicación, que el lenguaje en el que se describen las políticas de privacidad debe ser adecuado para el usuario objetivo de la aplicación teniendo en cuenta su edad y su nivel de conocimiento, que no hay que utilizar cláusulas ambiguas o vacías o que se deben evitar transferencias internacionales de datos no declaradas en la política de privacidad.

Asimismo, la AEPD recoge en sus conclusiones que la transparencia en el tratamiento de datos personales por parte de las apps para dispositivos móviles es un aspecto capital para el cumplimiento la normativa de protección de datos.

Puede acceder a la nota técnica con las directrices aquí.

La AEPD y la Fundación ProFuturo firman un protocolo para impulsar iniciativas de responsabilidad social en el ámbito de los menores y la educación

La AEPD y la Fundación ProFuturo (que tiene como principal misión tratar de reducir la brecha educativa global existente en la actualidad, proporcionando una educación digital de calidad a niños de África, América Latina y Asia) han suscrito un Protocolo General de Actuación que tiene como principal objetivo “impulsar iniciativas de responsabilidad social en el ámbito de los menores y la educación”, fomentando y reforzando la privacidad y la protección de datos de los menores.

Habida cuenta de la suscripción del presente protocolo, la autoridad de control española y la fundación trabajarán de manera coordinada para promover un uso responsable de internet por parte de los menores, así como para prevenir la comisión de delitos en las redes sociales y sensibilizar sobre los riesgos que tiene la sobreexposición de los datos personales en internet. Ello debido a que, a pesar de que la era digital permite que existan multitud de oportunidades y posibilidades en el ámbito de la educación, también expone a los menores a grandes riesgos.

Con la finalidad descrita previamente, ambas organizaciones “cooperarán en el desarrollo de materiales y recursos educativos en estas y otras materias dirigidos a docentes, alumnos y padres”.

La AEPD y ADiReLab firman un protocolo que tiene como principal objetivo fomentar el cumplimiento de la normativa de protección de datos por las empresas

La Agencia Española de Protección de Datos y la Asociación de Directivos de Relaciones Laborales han suscrito un Protocolo General de Actuación que tiene como objetivo fomentar el cumplimiento del Reglamento General de Protección de Datos así como de la Ley Orgánica 3/2018, mediante la puesta a disposición de las guías o herramientas (como “facilita_RGPD” o “gestiona_EIPD”) que permitan a las empresas cumplir con la normativa de una manera más sencilla, comprometiéndose, la asociación, a difundir estos materiales entre sus socios.

Este protocolo ha sido suscrito debido a que la AEPD considera que el fomento del conocimiento de la normativa de protección de datos entre las empresas resulta prioritario y fundamental ya que la nueva normativa recoge el principio de “responsabilidad activa”, debiendo éstas adoptar las medidas que resulten necesarias en función de las operaciones de tratamiento de datos que realicen, siendo capaces de acreditar la implementación de dichas medidas.

Un restaurante que sancionó a un empleado usando como prueba las grabaciones de móvil hechas por un compañero abona voluntariamente la sanción que le impuso la AEPD

La AEPD ha declarado la terminación del procedimiento sancionador en virtud del pago de la sanción de 9.600 euros impuesta al reclamante, haciendo uso de la reducción prevista en la propuesta de resolución.

La autoridad de control española, en su propuesta de resolución, propuso sancionar al restaurante por una infracción del artículo 5.1.a) del RGPD, tipificada en el artículo 83.5 del RGPD, con una multa de 12.000 euros, en virtud de los hechos que se detallan a continuación.

El restaurante impuso una sanción de 45 días de suspensión de empleo y sueldo a un trabajador en virtud de unas imágenes grabadas por un compañero suyo que mostraban que el trabajador no realizaba su trabajo de forma adecuada. No obstante, la AEPD menciona que una grabación de móvil que recoge imágenes de una persona a la que se puede identificar entra dentro del ámbito de la normativa de protección de datos.

En este supuesto, la empresa decidió sobre la finalidad y uso de esas imágenes, efectuando un tratamiento de datos del que es responsable al haber utilizado los mismos,  recibiéndolos, guardándolos y usándolos sin que el reclamante conociera que estaba siendo objeto de seguimiento. Es por ello que la AEPD afirma que “si esas imágenes son utilizadas por la reclamada en este caso, para producir efectos jurídicos en el seno de un control laboral, con sanción disciplinaria, la normativa de protección de datos y sus garantías son plenamente aplicables, considerando además que ni informó de la recogida de datos ni de los derechos asociados a dicha recogida”.

En virtud de lo anterior, y teniendo en cuenta que las imágenes permitieron el control de las acciones del trabajador, sin informarle previamente sobre el uso de dichas imágenes, el restaurante es responsable del tratamiento de los datos, vulnerando el artículo 5.1.a) del RGPD (“Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”).

Puede acceder a la resolución de la AEPD aquí.

Publicación de la guía titulada “Manual del Data Protection Officer: Guía para los Delegados de Protección de Datos en el sector público para garantizar el cumplimiento del RGPD”

En el marco del proyecto T4DATA (Training Data Protection Authorities and Data Protection Officers) ha sido publicado el manual del DPO elaborado conjuntamente por expertos juristas y por la Fundación Lelio e Lisli Basso – ONLUS (coordinador) y las autoridades de control de Italia (Garante per la Protezione dei Dati Personali), España (Agencia Española de Protección de Datos), Croacia (Agencija za zastitu osobnih podataka), Bulgaria (Commission for Personal Data Protection) y Polonia (Urząd Ochrony Danych Osobowych).

Este manual describe el papel y las competencias específicas de los Delegados de Protección de Datos que trabajan en el sector público y, al mismo tiempo, explica en mayor profundidad cuestiones generales tales como la evolución de la normativa en materia de protección de datos y privacidad en la Unión Europea, los derechos de los terceros interesados o las transferencias de datos de carácter personal al exterior, entre otros.

Puede acceder al manual en inglés aquí.

La CNIL francesa emite un documento en el que da respuesta a aquellas dudas que pueden surgir en caso de que haya un Brexit sin acuerdo

La Commission Nationale de l'Informatique et des Libertés ha elaborado un documento mediante el que da respuesta a aquellas cuestiones relativas a la protección de datos de carácter personal que pueden surgir como consecuencia de un Brexit sin acuerdo.

En su publicación, la autoridad de control francesa explica cuáles son las consecuencias que pueden derivarse con motivo de las transferencias de datos personales a Reino Unido, puesto que, en el supuesto de que no se alcance un acuerdo, la posición de Reino Unido será idéntica a la de un tercer país fuera de la Unión Europea y del Espacio Económico Europeo. Es por ello que el documento recoge qué pasos deben seguir las compañías que comuniquen datos personales a otras compañías de Reino Unido, qué herramientas deben ser usadas para garantizar la protección de los datos comunicados o a partir de cuándo se deberán utilizar dichas herramientas, entre otras cuestiones.

Puede acceder a la publicación de la autoridad de control francesa aquí.

La autoridad de control sueca impone la primera sanción por el uso de tecnología de reconocimiento facial

La Datainspektionen (autoridad de control sueca) ha impuesto una sanción de 200.000 coronas suecas (20.000 euros) por el uso de tecnología que permitía el reconocimiento facial con la exclusiva finalidad de controlar la asistencia de diversos alumnos de una escuela. El uso de esta tecnología por parte del colegio se enmarcaba en un programa de prueba por el que la escuela trataba de automatizar el registro de asistencia de sus alumnos.

La autoridad de control ha manifestado que esta actuación incumple diversos artículos del Reglamento General de Protección de Datos puesto que el colegio ha tratado datos de carácter personal (datos biométricos) sin realizar previamente una correcta evaluación de impacto y sin consultar esta operación de tratamiento de datos personales con la Datainspektionen. Afirma la autoridad de control además que nos encontramos ante una medida desproporcionada en relación con la finalidad perseguida, puesto que su uso supone una intrusión en la privacidad de los estudiantes.

Si bien el colegio ha informado de que dicho tratamiento de datos biométricos de los estudiantes ha sido realizado sobre la base legitimadora del consentimiento, la autoridad de control sueca ha considerado que, en el supuesto que nos ocupa, este consentimiento no era una base jurídica válida que legitimase el tratamiento, ya que el mismo no podía ser considerado como voluntario debido a la posición de desigualdad existente entre la escuela y el alumnado. A mayor abundamiento, la Datainspektionen hace constar que la automatización del registro de asistencia no podía considerarse como una medida necesaria para interés público esencial.

Puede acceder al comunicado de la autoridad de control sueca aquí y al comunicado del European Data Protection Board aquí.