- Octubre de 2019 -
La Agencia Española de Protección de Datos impone una sanción de 150.000 euros a CECOSA HIPERMERCADOS por diversas infracciones de la normativa de protección de datos

La Agencia Española de Protección de Datos ha impuesto una sanción de 100.000 euros a la entidad CECOSA HIPERMERCADOS, S.L. por una infracción del artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (por no haber implementado las medidas de seguridad necesarias para garantizar la seguridad de los datos personales y evitar así su acceso no autorizado), tipificada como grave en el artículo 44.3.h) de la citada Ley. Del mismo modo, la AEPD ha impuesto una sanción de 50.000 euros a dicha entidad por una infracción del artículo 4.1 de la referida Ley (principio de calidad de los datos), tipificada como grave en el artículo 44.3.c) de la misma.

Con fecha 25 de abril de 2018, la autoridad de control española acordó iniciar las actuaciones de investigación en relación con la publicación en diferentes medios de comunicación de imágenes que procedían de grabaciones registradas a través de un sistema de videovigilancia instalado en un establecimiento comercial.

La AEPD afirma en su resolución sancionadora que CECOSA (cadena de distribución de productos de alimentación) era la responsable de las imágenes obtenidas a través de las cámaras de videovigilancia, careciendo de base legitimadora para ceder dichos datos a los vigilantes del establecimiento (la empresa de vigilancia prestaba un servicio de mera vigilancia sin que sus empleados tuvieran acceso a los sistemas de videovigilancia). Habida cuenta de ello, era la propia entidad la que debía haber implementado las medidas de seguridad necesarias que permitiesen garantizar la protección de los datos personales, evitando su acceso no autorizado, así como haber dispuesto de un documento de seguridad que regulase estas medidas.

Afirma la autoridad de control que en el hipermercado en el que se produjeron los hechos, el modelo de videovigilancia no permitía el acceso al mismo con clave, no se realizaban auditorías sobre el sistema de grabaciones de imágenes, no se registraban los accesos a las grabaciones y no existía sistema de registro de soportes de entrada y salida, entre otras cuestiones. Es por ello que, en virtud de las investigaciones realizadas y debido a que no se implementaron las medidas de seguridad adecuadas, la AEPD ha declarado que la empresa ha vulnerado lo dispuesto en el artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos.

Asimismo, durante la investigación realizada, la AEPD pudo comprobar que CECOSA exhibía a modo de mosaico en las paredes del cuarto destinado a centro de control, numerosas fotografías de personas sospechosas de hurto (siendo la fotografía más antigua de 2005). Según la propia entidad, estas fotografías procedían de la Policía o de otros centros comerciales. No obstante, afirma la Agencia Española de Protección de Datos que “los datos de personas relacionadas con investigación de hurtos pueden ser recogidos y tratados por las Fuerzas y Cuerpos de Seguridad del Estado que […] tienen atribuida dicha función, pasando a integrarse en ficheros policiales. Sobre dichos datos no se contempla su cesión o uso por parte de una entidad privada. Asimismo, imágenes previas del autor de un hurto obtenidas en el mismo supermercado […] no deben ser objeto de recopilación […]. Ello quiebra no solo la obligación de eliminar las imágenes sino que se recogen datos sin habilitación alguna”, tipificando esta infracción como grave.

Puede acceder a la resolución de la autoridad de control española aquí.

La Agencia Española de Protección de Datos ha publicado una guía que tiene como finalidad facilitar la aplicación del principio de privacidad desde el diseño

La autoridad de control española ha publicado una guía titulada “Guía de privacidad desde el diseño” que tiene como principal objetivo proporcionar directrices que permitan facilitar la incorporación tanto de los principios de protección de datos como de los requisitos de privacidad a nuevos productos o servicios desde que comienzan a diseñarse.

El artículo 25 del Reglamento General de Protección de Datos recoge el concepto de protección de datos desde el diseño. El objetivo de la privacidad desde el diseño es que la protección de datos esté presente desde las primeras fases de desarrollo de los productos y no sea una cuestión que únicamente se tenga en consideración al final de dicho desarrollo, como “una capa añadida”. Es por ello que la Guía publicada se dirige a responsables del tratamiento y a otros actores que pueden intervenir en el tratamiento de datos de carácter personal (proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos).

La guía, que consta de 9 apartados, define el concepto y los principios de la privacidad desde el diseño, recoge los requisitos que debe reunir un determinado producto par que esta protección esté garantizada y analiza el concepto de ingeniería de privacidad, entre otras cuestiones.

Como conclusión, en la guía la AEPD afirma “que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto”.

Puede acceder a la guía publicada por la autoridad de control aquí.

Sentencia del Tribunal Europeo de Derechos Humanos que declara que la grabación a empleados sin su conocimiento en determinados supuestos no supone una vulneración del artículo 8 del Convenio Europeo de los Derechos Humanos

En 2009, los supervisores de una cadena de supermercados apreciaron que se habían producido desajustes entre el inventario realizado en la tienda en la que trabajaban y la facturación realizada. Es por ello que, teniendo sospechas fundadas de que determinados empleados habían sustraído productos de la tienda, el gerente del supermercado decidió instalar diversas cámaras de videovigilancia, estando algunas de ellas visibles y otras ocultas.

Tras la instalación de estas cámaras, el gerente pudo conocer que algunos de sus empleados sustrajeron artículos de la tienda por valor de 80.000 euros. Habida cuenta de ello, los trabajadores que habían sustraído dichos artículos fueron despedidos.

Estos despidos fueron impugnados por los empleados argumentando que la grabación de las imágenes sin haber sido previamente informados de ello vulneraba el derecho a la protección de su intimidad. El Juzgado de lo Social y el Tribunal Superior de Justicia de Cataluña confirmaron la procedencia de los despidos declarando que la medida había sido proporcionada, justificada debido a las fundadas sospechas de robo, necesaria y apropiada al objeto perseguido.

Posteriormente, en Sentencia de 9 de enero de 2018, el TEDH declaró que los tribunales españoles no habían actuado correctamente puesto que la medida adoptada por el gerente del supermercado no superaba el juicio de proporcionalidad, imponiendo, por ello, la obligación de indemnizar a cinco cajeras con 4.500 euros en concepto de daños y perjuicios así como de abonar los costes del procedimiento.

No obstante, en sentencia del 17 de octubre de 2019, dictada con motivo del recurso interpuesto contra la referida sentencia de enero de 2018, la Gran Sala del TEDH ha declarado que los principios recogidos en el asunto Barbulescu contra Rumanía pueden ser transpuestos al ámbito de la videovigilancia en el lugar de trabajo. Es por ello que la sentencia referida analiza si los Tribunales apreciaron si la videovigilancia se había realizado con las garantías adecuadas y suficientes, esto es, si los trabajadores habían sido informados, el grado de intrusión de la medida, la posibilidad de adoptar medidas menos invasivas de la propiedad, etc.

Habida cuenta de lo anterior el TEDH, ha fallado que los tribunales españoles sí identificaron los diversos intereses en juego, así como otras cuestiones, como los motivos que justificaron esta vigilancia (sospechas fundadas de robo), el alcance de la medida (las cámaras únicamente enfocaban directamente a las cajas, un área abierta al público, y no a los baños o vestuarios, lugares en los que existiría una prohibición total de grabación), la imposibilidad de que ninguna otra medida pudiera haber logrado los objetivos propuestos, la duración de la vigilancia (esta duró diez días), el número de personas que accedieron a dichas grabaciones o las consecuencias que se derivaron de las mismas (se recoge que estas grabaciones únicamente se utilizaron con la finalidad de encontrar a los responsables de los supuestos robos).

Respecto a la falta de información sobre la videovigilancia, la Sentencia señala que las sospechas razonables de la comisión de graves delitos deben considerarse relevantes y permiten justificar la falta de información previa. A mayor abundamiento, se hace constar que las recurrentes no utilizaron las vías disponibles para denunciar estas grabaciones ante las autoridades en materia de protección de datos. Es por ello que la Gran Sala del TEDH ha declarado que no hubo violación del artículo 8 del CEDH.

Puede acceder a la Sentencia en ingles aquí.

Vueling abona la sanción impuesta por la AEPD por no dar la posibilidad de oponerse a sus 'cookies'

Con fecha 6 de septiembre de 2019, la Directora de la Agencia Española de Protección de Datos acordó iniciar un procedimiento sancionador debido a que consideró que la actuación de la compañía no cumplía las condiciones que impone la normativa vigente, infringiendo, presuntamente, lo dispuesto en el artículo 22.2 de la LSSI, tipificado como leve en el artículo 38.4.g) de la LSSI.

Esto se debe a que, en el presente supuesto, el consentimiento que los interesados otorgaban para que se cediesen sus datos personales a terceros a través de las cookies era implícito en aquellos casos en los que se accediese a la segunda capa, puesto que no se daba la opción de poder oponerse a su instalación. De esta manera, la página web no ofrecía “la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador”. Asimismo, la página web no facilitaba un panel de gestión de configuración de cookies que permitiese eliminarlas de manera granular, considerando, la AEPD, que “la información ofrecida sobre las herramientas proporcionada por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido”.

La sanción que estimó adecuada imponer, en su caso, la autoridad de control española fue una multa de 30.000 euros (teniendo en cuenta los criterios que establece el artículo 40 de la ley, esto es, el plazo durante el que se ha cometido la infracción o los beneficios obtenidos, entre otros). No obstante, esta propuesta recogía que en caso de que, con anterioridad a la resolución del procedimiento, se abonase voluntariamente la sanción propuesta, se reducirá en un 20% el importe de la misma. Asimismo, esta reducción era acumulable a la que correspondería aplicar en el supuesto de que la entidad reconociese su responsabilidad dentro del plazo concedido para formular alegaciones, de tal modo que la cuantía final ascendería a 18.000 euros.

Es por ello que la entidad ha procedido al pago voluntario de la sanción impuesta cuya cuantía asciende a 18.000 euros por haber sido de aplicación ambas reducciones previstas, reconociendo, por tanto, su responsabilidad.

Puede acceder a la resolución de la autoridad de control española aquí.

La CNIL ha publicado la lista de operaciones de tratamiento de datos que no requieren de la realización de una Evaluación de Impacto

La autoridad de control francesa ha publicado, en virtud del artículo 35.5 del Reglamento General de Protección de Datos (“La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité”), su lista definitiva de operaciones de tratamiento de datos que no requieren de la realización de una Evaluación de Impacto.

El borrador de la presente lista fue enviado al Consejo Europeo de Protección de Datos, que emitió su opinión sobre diversos proyectos elaborados por distintas autoridades de control de diferentes países con el objetivo de garantizar la aplicación coherente de lo dispuesto en el RGPD.

La presente lista definitiva incluye doce tipo de operaciones de tratamiento de datos que no requieren de la realización de una Evaluación de Impacto. No obstante, la lista publicada por la CNIL no es exhaustiva, puesto que pueden existir otros tratamientos de datos que no requieran la elaboración de una Evaluación de Impacto.

Puede acceder a la lista publicada por la autoridad de control aquí.

Sentencia del Tribunal de Justicia de la Unión Europea que declara que todas las «cookies» deben ser aceptadas de forma expresa no siendo válido el consentimiento prestado a través de casillas previamente marcadas

El Tribunal de Justicia de la Unión Europea ha declarado, en el asunto C‑673/17 (que tiene por objeto una petición de decisión prejudicial planteada por el Bundesgerichtshof), que los artículos 2.f) y 5.3 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, (modificada por la Directiva 2009/136/CE), en relación con el artículo 2.h) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo y con los artículos 4.11 y 6.1. a) del RGPD deben interpretarse en el sentido de que “el consentimiento al que se hace referencia en estas disposiciones no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento”.

Ello es así por cuanto el TJUE afirma que exclusivamente se permitirá el almacenamiento de información en el equipo de un usuario cuando el mismo haya prestado su consentimiento mediante una acción activa (no admitiendo el uso de casillas premarcadas) y después de que se le haya informado de manera clara y completa sobre las finalidades del tratamiento de sus datos. 

Afirma, asimismo, en la Sentencia referida, que resulta complejo determinar objetivamente si el usuario de una página web de Internet ha prestado su consentimiento para el tratamiento de sus datos de carácter personal al no quitar la marca de una casilla ya marcada y si ha prestado el referido consentimiento con posterioridad a haber recibido información clara y precisa sobre las finalidades del tratamiento. Habida cuenta de ello, no se puede garantizar que, mediante este procedimiento, el usuario haya visto o leído toda la información que se acompaña a dicha casilla.

En lo que respecta a esta cuestión, el Tribunal hace referencia a lo dispuesto en el artículo 32 del RGPD, por cuanto el mismo establece que la expresión del consentimiento podría incluir marcar una casilla de un sitio web en Internet, excluyendo expresamente que pueda haber consentimiento en caso de silencio, casillas ya marcadas o inacción.

Del mismo modo, el TJUE declara que el artículo 5.3 de la referida Directiva 2002/58 (modificada por la Directiva 2009/136), debe interpretarse en el sentido de que “la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas”.

El Tribunal de Justicia de la Unión Europea declara en su sentencia que “la información acerca del tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas forma parte de la información clara y completa que debe facilitarse al usuario de conformidad con el artículo 5, apartado 3, de la Directiva 2002/58”. Afirma, del mismo modo, que para poder garantizar que el tratamiento de datos personales sea leal y transparente, el responsable del tratamiento debe proporcionar al interesado información, entre otras cuestiones, sobre el plazo durante el cual se conservarán los datos personales o, en el supuesto en el que esto no sea posible, los criterios utilizados para determinar dicho plazo.

Puede acceder a la sentencia íntegra del Tribunal de Justicia de la Unión Europea aquí.

La Herramienta “Facilita” recibe diversos premios en la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad

La herramienta “Facilita_RGPD”, diseñada por la AEPD como respuesta a la necesidad de adaptación al RGPD por las pequeñas y medianas empresas y que ha  sido utilizada por más de 400.000 profesionales, ha recibido el premio Global de la Conferencia en la categoría “People’s Choice” (concedido al proyecto más votado entre todas las categorías) y el premio “Accountability” (reconocimiento al proyecto presentado que más ha contribuido a promover la importancia de la responsabilidad proactiva, favoreciendo el cumplimiento de la normativa en materia de protección de datos).

Estos premios han sido entregados a la autoridad de control española durante la 41ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (ICDPPC, por sus siglas en inglés), celebrada el día 21 de octubre en Tirana (Albania). En esta Conferencia, donde las diversas autoridades de control pueden adoptar resoluciones o recomendaciones dirigidas a los gobiernos y organizaciones internacionales, se han adoptado las siguientes resoluciones (publicadas por el European Data Protection Supervisor):

  • Resolución para abordar el papel del error humano en las infracciones de datos personales (puede acceder a la resolución aquí).
  • Resolución para apoyar y facilitar la cooperación reguladora entre las autoridades de control en materia de protección de datos y las autoridades de protección al consumidor y de defensa de la competencia (puede acceder a la referida resolución aquí).
  • Resolución sobre las redes sociales y el contenido violento que se publica en ellas (puede acceder a la resolución aquí).
  • Resolución sobre la promoción de instrumentos prácticos nuevos y a largo plazo y esfuerzos legales que tienen como objetivo lograr una cooperación efectiva en la aplicación transfronteriza (puede acceder a la resolución aquí).
  • Resolución internacional sobre la privacidad como derecho humano fundamental y condición previa para ejercer otros derechos fundamentales (puede acceder a la resolución aquí).
  • Resolución sobre la dirección estratégica de la Conferencia (2019-2021) (puede acceder a la resolución aquí).
Publicación por la CNIL francesa de la guía práctica titulada “Guide pratique de la publication en ligne et de la réutilisation des données publiques (“open data”)”

La autoridad de control francesa y la Commission d’accès aux documents administratifs han publicado, en colaboración con los servicios de Etalab, una guía práctica sobre la publicación en línea y la reutilización de los datos de carácter personal, que será actualizada periódicamente. En la guía se incluye una presentación del marco legal vigente y contiene una ficha práctica sobre la anonimización.

La guía ha sido publicada con posterioridad a la realización de una consulta pública, durante la que se remitieron más de 200 propuestas y contribuciones por parte de actores de diversos sectores (públicos y privadoes), lo que prueba el interés por el asunto tratado.

Además de la publicación de la guía práctica, la CNIL ha emitido un informe (al que puede acceder aquí) sobre la anonimización de los documentos administrativos, en el que se recoge el concepto de anonimización, los supuestos en los que se debe proceder a la anonimización de los datos personales en los documentos administrativos o cómo se puede verificar la efectividad de la anonimización, entre otras cuestiones.

Puede acceder a la guía publicada por la CNIL aquí.

Decisión del Tribunal de Justicia de la Unión Europea de 1 de octubre de 2019 por la que se establecen normas internas relativas a la limitación de determinados derechos de los interesados en materia de tratamiento de datos personales en el ejercicio de f

El Tribunal de Justicia de la Unión Europea, considerando que el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE resulta de aplicación en lo que respecta al tratamiento de datos personales en el ejercicio de las funciones no jurisdiccionales del TJUE y que, por lo tanto, procede aplicar el artículo 25 del referido Reglamento mediante la adopción de las normas internas contempladas en dicho artículo, ha publicado la decisión que puede acceder aquí.

El objeto de la presente decisión, que entró en vigor el día 15 de octubre (día posterior a su publicación en el Diario Oficial de la Unión Europea), es establecer aquellas normas relativas a las condiciones en las que el Tribunal, en el ejercicio de sus funciones no jurisdiccionales, puede limitar la aplicación de los artículos 14 a 21, 35 y 36 del referido Reglamento, así como de su artículo 4.

Publicación del EDPB de la versión definitiva de la guía sobre el tratamiento de datos personales en virtud del artículo 6.1.b) del RGPD en el contexto de los servicios de la sociedad de información

El European Data Protection Board ha publicado, con posterioridad a haber sometido a consulta pública su anterior borrador, la versión definitiva de su guía sobre el tratamiento de datos personales en virtud del artículo 6.1.b) (“el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”) en el contexto de los servicios de la sociedad de información.

Habida cuenta de la consulta pública llevada a cabo, se han introducido diversas cuestiones que tienen como finalidad aclarar lo recogido en el primer borrador del texto. En esta guía, el European Data Protection Board realiza diversas observaciones generales sobre los principios de protección de datos y sobre la interacción del artículo 6.1.b) con otras bases legitimadoras del tratamiento de los datos personales.

Asimismo, estas directrices incluyen una guía práctica en relación con la aplicación del artículo 6.1.b) en caso de agrupación de servicios separados y de terminación de un contrato.

Puede acceder a la guía publicada por el EDPB aquí.

Nuevo Código de Conducta sobre los sistemas de informes de crédito aprobado por el Garante per la Protezione dei Dati Personali

La autoridad de control italiana ha aprobado un nuevo Código de Conducta para sistemas de informes de crédito operados por entidades privadas en relación con los créditos al consumo, la solvencia y la puntualidad en los pagos, propuesto por las asociaciones comerciales debido a que el anterior Código se encontraba obsoleto en virtud de los cambios introducidos por la normativa en materia de protección de datos.

Con el fin de facilitar el correcto funcionamiento del mercado financiero y crediticio, los datos podrán ser tratados sin el consentimiento de los interesados, sobre la base del interés legítimo de las empresas que participan en los sistemas de informes de crédito, siempre y cuando se garanticen los derechos establecidos en el RGPD. Únicamente podrán ser tratados aquellos datos necesarios y relevantes que no excedan de la finalidad de evaluación del riesgo de crédito, proporcionando la información completa a los interesados.

Del mismo modo, los  modelos de análisis estadístico y los algoritmos utilizados deberán revisarse y actualizarse cada dos años. Durante el análisis del presente Código de Conducta, se ha prestado especial atención a las medidas de seguridad adoptadas para proteger los datos personales de posibles vulneraciones y para garantizar la fiabilidad de los sistemas.

Entre las principales novedades que podemos encontrar, se puede destacar la mayor protección de los derechos de los interesados para garantizar su privacidad, la mayor transparencia durante la toma de decisiones o la aplicación de medidas de seguridad adicionales.