- Noviembre de 2019 -
La Agencia Española de Protección de Datos publica una guía sobre el uso de cookies adaptada a la nueva normativa

La autoridad de control española ha elaborado, en colaboración con las asociaciones Adigital, Anunciantes, Autocontrol e IAB Spain, una guía sobre el uso de cookies, a la que puede acceder aquí.

Esta guía, que tiene su origen en el importante papel que tienen las cookies en la actualidad para la prestación de servicios en Internet así como a en las implicaciones que pueden tener en la privacidad de los usuarios, recoge las obligaciones que se imponen en la normativa vigente para que las compañías puedan utilizarlas conforme a la ley.

En primer lugar, debido a la complejidad del asunto, la guía lleva a cabo una definición de los diversos términos relativos a esta cuestión. Asimismo, realiza un análisis acerca de la necesidad de obtener, mediante una acción que pueda calificarse como una clara acción afirmativa (como podría ser mover la barra de desplazamiento, cerrar el aviso de las cookies de la primera capa o clickar sobre algún contenido del servicio, entre otros), el consentimiento informado del usuario con anterioridad a la instalación de las cookies.  

Del mismo modo, hace referencia a la necesidad de cumplir con la obligación de transparencia por parte de las compañías al ofrecer información sobre las cookies (información concisa, utilizando un lenguaje claro y sencillo, evitando aquellas frases que puedan resultar confusas), todo ello debido a que la nueva normativa de protección de datos establece unos requisitos más estrictos.

Entre otras cuestiones, también se recoge en la guía que una vez que el usuario haya prestado su consentimiento de manera informada, esta información debe seguir siendo fácilmente accesible, promoviendo la presentación de la información por capas.

Concluye la autoridad de control española que “estas orientaciones no pretenden ofrecer una solución general y uniforme para el cumplimiento de la ley, sino que deben servir de guía para que las entidades adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio”.

Publicación del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones

El pasado 5 de noviembre fue publicado en el Boletín Oficial del Estado el Real Decreto-ley 14/2019 por el que se adoptan medidas urgentes por razones de seguridad pública, en materia de Administración digital, contratación del sector público y telecomunicaciones.

En relación con la contratación del sector público, las novedades que aporta este Real Decreto-Ley en materia de protección de datos se centran en la necesidad de asegurar el correcto tratamiento de los datos de carácter personal por los contratistas del sector público, puesto que un tratamiento incorrecto de dichos datos puede plantear serios riesgos para la seguridad pública.

Es por ello que, entre otras cuestiones, se añade como contenido mínimo de los contratos la referencia expresa al sometimiento a la normativa en materia de protección de datos, se añade como causa de nulidad de pleno derecho la celebración de contratos en los que se omita mencionar en los pliegos contractuales las obligaciones del contratista en materia de protección de datos o como causa de incapacidad para contratar haber sido declarado responsable por incumplimiento culpable de las obligaciones relacionadas con el tratamiento de datos. Asimismo, en aquellos contratos cuya ejecución requiera de la cesión de datos al contratista, en el expediente de contratación se deberá especificar la finalidad de los datos que vayan a ser cedidos.

Del mismo modo, el citado Real Decreto-Ley también modifica otras leyes, como la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en la que introduce un nuevo artículo 46.bis en relación con la ubicación de los sistemas de información y comunicaciones para el registro de datos estableciendo que dichos sistemas deberán ubicarse y prestarse dentro del territorio de la Unión Europea. Asimismo da una nueva redacción al artículo 155 de la citada ley, relativo a las transmisiones de datos entre Administraciones Públicas.

Sentencia de la Audiencia Nacional que estima el recurso contencioso-administrativo interpuesto por Fitness Murcia Promotions, anulando la resolución de la AEPD

La AEPD impuso a Fitness Murcia Promotions una sanción de 1.500 euros por considerar que el sistema implantado para el acceso al gimnasio (mediante el uso de huella dactilar) sí utilizaba datos de carácter personal, por lo que para llevar a cabo su tratamiento, éste se debería haber ajustado a lo dispuesto en la LOPD. Habida cuenta de ello, la autoridad de control declaró que los datos personales fueron tratados de forma desproporcionada y excesiva en relación con el ámbito y las finalidades determinadas, vulnerando lo dispuesto en el artículo 4.1 LOPD.

Contra esta resolución, la sociedad interpuso recurso Contencioso-administrativo. La recurrente fundamenta su pretensión en que los datos recogidos por la entidad, según los requerimientos técnicos, no tienen la consideración de datos de carácter personal (debido a que la información recogida no es una huella humana sino parte de la misma, que se convierte en un código numérico asociado a un número concreto, por lo que la huella del cliente no se almacena) y que dicha medida resulta adecuada en relación con lo recogido en el artículo 4.1 LOPD.

La Audiencia Nacional desestima el primer motivo puesto que la toma de parte de una huella dactilar transformada, posteriormente, en una plantilla permite identificar al usuario que acude al gimnasio. Recoge la sentencia que “aunque el registro de la huella se transforme en un algoritmo, el sistema se pone en marcha siempre y cada vez que el socio acude al gimnasio, poniendo el dedo en el lector digital lo que da lugar a la confrontación de datos con el algoritmo almacenado”, por lo que “originariamente el funcionamiento del sistema está basado en la lectura de datos de la huella que se introduce en un terminal y en su confrontación con el algoritmo o secuencia numérica […] que está en una base de datos de la recurrente, el cual permite su asociación con la identidad de los socios”.

Respecto al segundo motivo (la Audiencia Nacional realiza una matización al declarar que el RGPD “que establece una regulación más estricta para dicha categoría de datos que la hasta entonces existente” no resulta aplicable), la Sentencia de la AN estima el mismo, anulando la sanción impuesta por la autoridad de control española. Esto se debe a que la Audiencia Nacional entiende que el uso de la huella para el acceso y uso del gimnasio consigue garantizar que la persona que accede es la que dice ser al poner el dedo, por lo que se cumple el juicio de idoneidad.

Asimismo, la AN declara que la medida es necesaria ya que el uso de la huella permite evitar el fraude que se podría cometer mediante el intercambio de pulseras o tarjetas identificativas entre usuarios. Por último, la Audiencia Nacional declara que las medidas de seguridad aplicadas son proporcionales al uso y finalidades destinadas por el responsable del tratamiento. Del mismo modo, la sentencia recoge que la entidad se ha preocupado por garantizar la confidencialidad a través de la conversión de la huella a un algoritmo, sin conservar la huella digital en la base de datos, minimizando así la injerencia en el derecho a la protección de datos de los usuarios.

A mayor abundamiento, la consideración de microempresa de la sociedad recurrente hace que el volumen de los datos recogidos y almacenados no pueda ser considera masivo.

Puede acceder a la resolución sancionadora de la autoridad de control española aquí y a la Sentencia de la Audiencia Nacional aquí.

La Agencia Española de Protección de Datos publica una guía en la que se recogen diversas recomendaciones en caso de que se utilicen técnicas de hash en la seudonimización de datos

La autoridad de control española ha elaborado, en colaboración con el European Data Protection Supervisor, un informe titulado “introducción al hash como técnica de seudonimización de datos personales”. Esta guía está dirigida a aquellos responsables del tratamiento que quieran utilizar funciones hash para seudonimizar o anonimizar datos personales. El concepto de función hash es definido en la guía como un “proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, independientemente del tamaño de los datos de entrada. El resultado obtenido se denomina hash”.

Si bien se afirma en el informe que las funciones hash han sido utilizadas anteriormente con el objetivo de proporcionar una protección adicional en el tratamiento de datos personales, han surgido diversas dudas respecto a su capacidad para ser considerada una técnica efectiva de seudonimización. Para tomar la decisión de utilizar esta técnica, resulta necesario tener en cuenta diversas consideraciones tanto jurídicas como técnicas. Es por ello que en el presente informe se analizan cuáles son los fundamentos de las funciones hash o sus propiedades, entre otras cuestiones, y se recogen diversas guías que tienen como principal finalidad analizar la adecuación de un tratamiento que utilice funciones hash a la normativa vigente.

Sentencia de la Sala de lo Civil del Tribunal Supremo sobre la instalación de cámaras simuladas de videovigilancia

Con anterioridad al verano de 2006, la demandada instaló en la fachada de su domicilio dos cámaras falsas de seguridad (la instalación consistía en dos carcasas que no tenían cableado, por lo que las cámaras no eran aptas para grabar imágenes) cuya función era exclusivamente disuasoria. No obstante una de las cámaras, por su orientación, generaba la apariencia de que podía captar imágenes del jardín de la vivienda de la finca colindante.

Es por ello que el propietario de la finca colindante decidió interponer demanda de protección de su derecho a la intimidad. El Juzgado de Primera Instancia, en su sentencia, desestimó la demanda debido a la falta de aptitud de las cámaras para grabar, a que su función disuasoria descartaba la vulneración de la intimidad y a que la distancia entre las fincas imposibilitaba que la cámara pudiera captar imágenes referentes a la vida íntima del demandante. Contra la referida sentencia fue interpuesto recurso de apelación aduciendo que existían dos cámaras (la sentencia recurrida sólo hacía referencia a una), que era irrelevante que no fueran reales puesto que ello no podía saberse, siendo su intranquilidad la misma y que no se había tenido en cuenta que dicha medida no era proporcional.

La sentencia de segunda instancia estimó dicho recurso debido a que, entre otras fundamentaciones, a pesar de que las cámaras fuesen simuladas, lo determinante era que toda persona tiene derecho a gozar de una tranquilidad razonable y que la falta de aptitud de las cámaras para grabar no las hacía menos aptas para afectar a la tranquilidad del demandante o a que, para la normativa de protección de datos, la instalación de cámaras falsas puede dar lugar a sanciones administrativas ante indicios de que puedan funcionar. Contra esta sentencia la demandada interpuso recurso extraordinario por infracción procesal y recurso de casación.

La sentencia del Alto Tribunal ha desestimado ambos recursos. Entre los diversos motivos expuestos, el Tribunal Supremo declara que una de las cámaras estaba orientada de tal manera que permitía que el demandante creyera que podía ser visto dentro de su parcela, siendo ello un impedimento para que el afectado pudiera disfrutar de su derecho a la intimidad puesto que la apariencia de las cámaras era idéntica a las operativas y su orientación generaba la duda razonable de estar siendo grabado (afirma la sentencia que “el derecho del demandante a la tranquilidad de su vida privada comprende también el de no tener que soportar una incertidumbre permanente acerca de si la cámara orientada hacia su finca es o no operativa, pues su apariencia externa le impide comprobarlo”) y que la forma en la que se hizo su instalación era desproporcionada, ya que podían haberse orientado las cámaras de un modo que no despertara sospechas fundadas de que podía comprometer la vida íntima del propietario de la finca colindante.

Puede leer íntegramente la sentencia aquí.

La Agencia Española de Protección de Datos publica una guía en la que recoge los derechos de protección de datos de los pacientes y usuarios de la sanidad

La autoridad de control española ha publicado una guía titulada “Guía para pacientes y usuarios de la sanidad”, que forma parte de las actuaciones del Plan estratégico de la AEPD y que tiene como principal finalidad dar respuesta a aquellas dudas más frecuentes planteadas por los ciudadanos en relación con el tratamiento de sus datos de carácter personal por centros, administraciones o profesionales sanitarios.

Esta guía recoge, entre otras cuestiones, aquellos aspectos generales relativos al tratamiento de los datos de salud de los pacientes, como los derechos que tienen los usuarios de la sanidad en relación con el RGPD y la Ley orgánica 3/2018 (destacando la obligación de informar a dichos usuarios mediante un lenguaje claro y sencillo), la legitimación para el tratamiento de esta categoría de datos personales o los principios que deben cumplirse con ocasión de su tratamiento.

En su último apartado se hacen constar cuáles son las cuestiones que con mayor frecuencia se plantean ante la autoridad de control española, entre ellas destacan las dudas relativas a si se debe recabar el consentimiento para tratar los datos personales, qué información se debe facilitar al paciente o si se pueden ceder los datos de salud a otras entidades diferentes de las que las han recogido y tratado.

La Agencia Española de Protección de Datos presenta diversas iniciativas para fomentar la privacidad de las víctimas de violencia de género

La autoridad de control española ha presentado un espacio web que tiene como principal finalidad ayudar a la protección de la privacidad de las víctimas de la violencia de género. En esta página web se incluyen una serie de recomendaciones para proteger la privacidad de sus dispositivos móviles, mostrando diversas pautas que permiten detectar si alguien ha podido manipular el móvil e instalar aplicaciones ocultas que permitan acceder a diversos datos personales. Del mismo modo, se incluyen indicaciones sobre el modo de actuar en aquellos supuestos en los que se difundan en internet datos personales sin el consentimiento de la persona afectada. En este sentido, la autoridad de control española facilita información relativa a cómo solicitar la retirada de contenidos directamente ante los buscadores, foros, blogs y redes sociales.

Del mismo modo, la AEPD ha publicado una guía titulada “La protección de datos como garantía en las políticas de prevención del acoso: recomendaciones de la AEPD” que tiene como objetivo fomentar que empresas y administraciones públicas incorporen a sus políticas de prevención del acoso digital medidas orientadas a su erradicación en sus centros de trabajo, puesto que en el ámbito laboral también se pueden producir formas de violencia digital. Esta guía recoge qué se entiende por conductas constitutivas de ciberacoso, estableciendo qué mecanismos pueden ser útiles para abordar estas situaciones y cómo se pueden incluir estas medidas de protección de datos personales en las políticas de prevención del acoso.

La CNIL francesa ha publicado un informe sobre las cuestiones técnicas, legales y éticas relativas a la tecnología de reconocimiento facial

La Cnil ha emitido un informe titulado “Reconnaissance faciale. Pour un debat à la hauteur des enjeux”, que tiene como principal objetivo informar sobre las cuestiones técnicas, legales y éticas de la tecnología de reconocimiento facial.

Este informe recoge, entre otras cuestiones, en un primer apartado, una definición sobre qué es el reconocimiento facial y para qué se puede utilizar el mismo, puesto que cada uno de los usos puede plantear distintos problemas. Con base en ello, la autoridad de control francesa afirma que esta técnica biométrica de reconocimiento de una persona, basada en las características de su rostro no debe confundirse con otras técnicas de procesamiento de imágenes (como los dispositivos de video inteligentes que detectan emociones pero no permiten identificar a las personas).

Del mismo modo, la CNIL destaca los posibles riesgos tecnológicos, éticos o sociales asociados a esta tecnología, puesto que cualquier mal uso de los datos puede generar riesgos significativos, siendo, en la actualidad, una técnica que puede ser especialmente intrusiva. Es por ello que se debe garantizar la protección de los ciudadanos en aquellos supuestos en los que se utilice esta técnica.

Opinión de la CNIL sobre la vigilancia por medio de reconocimiento facial en las escuelas

Ha sido remitido a la CNIL un proyecto elaborado por dos escuelas francesas que consistía en la implementación de un sistema de control de acceso a los colegios mediante el reconocimiento facial de los alumnos. Este dispositivo, que únicamente sería utilizado para alumnos de secundaria que hubieran otorgado su consentimiento con anterioridad, tenía como principal finalidad ayudar a los encargados de controlar el acceso a las escuelas para evitar la entrada de terceros ajenos a los colegios.

La CNIL ha considerado que el proyecto propuesto vulnera los principios recogidos en el Reglamento General de Protección de Datos de proporcionalidad y minimización de datos. Esto es así debido a que, según la autoridad de control francesa, los objetivos pretendidos por las escuelas pueden lograrse a través de medios menos invasivos en la privacidad de los alumnos (es puesto de manifiesto que el tratamiento de datos biométricos reviste especial sensibilidad, lo que justifica una mayor protección).

Estos dispositivos de reconocimiento facial son particularmente invasivos y presentan unos riesgos elevados para la privacidad y la protección de los datos personales de los alumnos (menores de edad), pudiendo generar, además, una sensación de vigilancia reforzada.

Es por ello que, en este contexto, y debido a la posibilidad de implementar medidas menos intrusivas, la CNIL afirma que el uso de un dispositivo de reconocimiento facial para controlar el acceso a una escuela resulta desproporcionado.

Puede acceder a la nota publicada por la autoridad de control francesa aquí.

Revisión anual del Privacy shield (Escudo de privacidad Unión Europea-Estados Unidos)

La Comisión Europea ha revisado la implementación y funcionamiento del Privacy Shield, el documento que tiene como principal objetivo garantizar la seguridad jurídica y un nivel adecuado de protección de los datos de carácter personal en el marco de las transferencias de estos desde la Unión Europea a organizaciones establecidas en Estados Unidos.

El European Data Protection Board ha emitido su tercer informe sobre el funcionamiento del Privacy Shield. En dicho informe, agradece los esfuerzos realizados por las autoridades de EEUU para la implementación del referido escudo de privacidad, especialmente respecto a las acciones de supervisión relativas a cuestiones comerciales y al nombramiento de un “Ombudsman” permanente (cuyo nombramiento ya se recomendó en pasados informes). No obstante, no puede ser afirmado por el EDPB en el informe que el “Ombudsman” tenga poderes suficientes para acceder a determinada información y para impedir el incumplimiento en materia de protección de datos.

A pesar de los avances realizados, existe un número de asuntos que deben ser abordados, por lo que la aplicación del escudo de privacidad tiene un amplio margen de mejora. El EDPB afirma que aún hay cuestiones que deben ser tenidas en cuenta. Entre estas cuestiones, se establece que se debe garantizar la aplicación de los principios del Privacy Shield en relación con las transferencias de datos en curso o con el procedimiento de recertificación (“recertification process”).

En lo que respecta a la recopilación de datos llevada a cabo por las autoridades públicas, el EDPB solicita al PCLOB (Privacy and Civil Liberties Oversight Board) la realización y emisión de informes, entre otras actuaciones, que tengan como finalidad proporcionar una evaluación independiente de los programas de vigilancia realizados fuera del territorio de Estados Unidos, durante la transferencia de datos personales desde la Unión Europea a EEUU. El EDPB reitera, asimismo, que sus expertos continúan preparados y a su disposición para revisar cualquier nuevo documento.

Puede acceder al informe íntegro en inglés del European Data Protection Board aquí.

El EDPB ha publicado la versión definitiva de su guía sobre el ámbito territorial del RGPD

El EDPB ha elaborado la versión final, tras la consulta pública realizada, de la Guía relativa al ámbito territorial de aplicación del Reglamento General de Protección de Datos. El objetivo de la referida guía es proporcionar una interpretación del RGPD para las autoridades de control del Espacio Económico Europeo en aquellos supuestos en los que evalúan si un tratamiento de datos realizado por un responsable o encargado del tratamiento se encuentra dentro del ámbito territorial establecido en el artículo 3 del RGPD. La guía facilita diversas aclaraciones respecto a la aplicación del RGPD en diferentes situaciones, como, por ejemplo, cuando el responsable o encargado del tratamiento tiene su residencia fuera del Espacio Económico Europeo y se debe designar un representante en la Unión Europea, en virtud del artículo 27 RGPD.  

Esta versión final mantiene tanto la interpretación del RGPD como su metodología presentadas en la versión publicada para su consulta pública, pero añade una redacción actualizada y unos razonamientos legales que permiten dar solución a las consultas realizadas durante la referida consulta pública.

Puede acceder a la guía publicada, en su versión final, por el EDPB aquí.

Publicación de una guía sobre la protección de los datos desde el diseño y por defecto por el EDPB

El European Data Protection Board ha publicado una guía, que estará sometida a consulta pública hasta el 16 de enero de 2020, sobre la obligación recogida en el artículo 25 del Reglamento General de Protección de Datos relativa a la protección de datos desde el diseño y por defecto.

En este supuesto, tal y como estipula la guía, la principal obligación es la efectiva aplicación, mediante la protección de los datos desde el diseño y por defecto, de los principios de protección de datos así como la protección de los derechos de los interesados.

Esto implica que los responsables del tratamiento deberán implementar medidas técnicas y organizativas designadas para aplicar de forma efectiva los principios de protección de datos y para proteger los derechos de los afectados. A mayor abundamiento, en virtud de lo mencionado por el EDPB, los responsables del tratamiento deben poder demostrar que las referidas medidas aplicadas son efectivas.

Puede acceder a la guía publicada por el EDPB aquí.

El ICO británico ha publicado un informe sobre el tratamiento de datos sensibles

Tal y como afirma la autoridad de control británica, el tratamiento de los datos de carácter personal sensibles recogidos en el artículo 9 del RGPD genera unos riesgos elevados por cuanto un tratamiento incorrecto y contrario a la normativa puede vulnerar derechos fundamentales de los afectados y causar un grave daño. Habida cuenta de ello, el ICO ha publicado un informe titulado “Lawful basis for processing Special category data” con la finalidad de que sirva de guía para que los responsables del tratamiento apliquen las medidas adecuadas para proteger esta categoría de datos.

En la presente guía, la autoridad de control británica recoge una definición del concepto de dato sensible (entre los que se encuentran las opiniones políticas, las convicciones religiosas o el tratamiento de datos biométricos, entre otros) y establece por qué son considerados sensibles. Del mismo modo, lleva a cabo un análisis de las circunstancias en las que se permite el tratamiento de estos datos en virtud de la normativa vigente (que el afectado haya otorgado su consentimiento, que el tratamiento sea necesario para proteger intereses vitales del afectado, etc…).