- Diciembre de 2019 -
La Agencia Española de Protección de Datos publica el balance final de cumplimiento de su Plan estratégico 2015-2019 en el que recoge las acciones llevadas a cabo durante estos últimos años

La AEPD ha publicado su balance final del plan Estratégico que muestra las acciones llevadas a cabo por la autoridad de control española con la finalidad de cumplir con lo dispuesto en el Plan Estratégico publicado en 2015 y así  consolidarse como un organismo eficiente y participativo, estableciendo un compromiso a través de unas líneas de trabajo prioritarias. De entre las 150 iniciativas que recogía el Plan Estratégico (se han incluido nuevas acciones durante estos últimos cinco años), la autoridad de control española únicamente no ha podido cumplir con dos de ellas en el plazo fijado.

Este balance se ha estructurado en cinco grandes ejes:

  • Plan Estratégico como instrumento para un mayor control por los ciudadanos de sus derechos, a través de acciones cuyo objetivo es reforzar los derechos de los ciudadanos;
  • Plan Estratégico como instrumento para promover la proactividad y la prevención, que incluye aquellas acciones realizadas con la finalidad de promover un enfoque proactivo en el cumplimiento de la legislación por parte de los responsables del tratamiento, así como de otros profesionales (como la publicación de diversas guías o la creación de la UEET);
  • Plan Estratégico como instrumento para afrontar la adaptación al modelo de supervisión del RGPD, puesto que resultaba necesario que la autoridad de control se adaptase a nuevos objetivos e implementase nuevos procedimientos para ello;
  • Eje Internacional;
  • Eje Social, en el que se recogen los nuevos compromisos de la AEPD.

Entre otras acciones llevadas a cabo durante estos cinco años y recogidas en el presente balance, se pone de manifiesto por la Agencia que se han notificado 50.000 delegados de protección, que el canal_Informa_RGPD ha permitido dar respuesta a más de 5.000 consultas o que se han dado solución a más de 1.5 millones de consultas realizadas a través de la página web. Del mismo modo, entre otras cuestiones, la AEPD ha publicado 25 guías y herramientas para promover el conocimiento de los derechos y deberes de ciudadanos y responsables, destacando la publicación de la herramienta Facilita_RGPD, orientada a PyMes y autónomos.

Como se puede apreciar, la autoridad de control española ha llevado a cabo numerosas iniciativas y acciones que estaban orientadas al cumplimiento de lo dispuesto en el Plan Estratégico, cuyo objetivo era la anticipación a las futuras disposiciones recogidas en el RGPD.

Puede acceder al balance publicado por la autoridad de control española aquí.

La Agencia Española de Protección de Datos impone a RTVE una sanción de 60.000 euros debido a una brecha de seguridad que ha afectado a datos personales de once mil personas

La Agencia Española de Protección de datos ha impuesto a CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA S.A. (en adelante RTVE) una sanción de 60.000 euros por una infracción del artículo 32 del RGPD (inaplicación de medidas de seguridad adecuadas), tipificada en el artículo 83.4 del referido reglamento.

Con fecha 22 de noviembre de 2018, RTVE comunicó a la Dirección de Seguridad la desaparición de seis pendrives que se encontraban en una bolsa en la Oficina de atención al Participe del Plan de Pensiones. Posteriormente, la Dirección de Seguridad, interpuso una denuncia ante la Dirección General de la Policía y notificó lo sucedido a diversos departamentos internos de la compañía. Los referidos dispositivos extraíbles contenían datos de carácter personal sin cifrar (datos identificativos -nombres, apellidos, DNI, sexo o estado civil-, datos sobre los empleos de las referidas personas -nivel salarial o categoría- e incluso datos de carácter especial -datos relativos a la salud o sobre su afiliación sindical-) de aproximadamente 11.000 personas.  

Con posterioridad, en fecha 25 de enero de 2019 fue notificado formalmente a la AEPD por RTVE y por COMISIONES OBRERAS la existencia de la brecha de seguridad. Habida cuenta de todo lo anterior, la autoridad de control española consideró que RTVE no había adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos (puesto que los dispositivos extraíbles estaban guardados en una bolsa, su contenido no estaba cifrado, etc.).

A mayor abundamiento, se ha tenido en cuenta, como circunstancias agravantes, el hecho de que nos encontramos ante una acción negligente que afecta a categorías especiales de datos de un número elevado de afectados. No obstante, también han sido tenidas en cuenta como circunstancias atenuantes, las medidas adoptadas con posterioridad para minimizar los daños y perjuicios sufridos por los referidos afectados.

Durante el procedimiento sancionador, RTVE solicitó el archivo del mismo alegando que la brecha de seguridad se produjo en la oficina de Atención al Partícipe del Plan de pensiones y no en la sede de Comisiones Obreras, y que los pendrives eran propiedad de un delegado de sección sindical de CCOO, que estaba sujeto a obligaciones más exigentes que el resto de trabajadores en cuanto al cumplimiento de la normativa interna en virtud de su condición de responsable de los trabajadores. Habida cuenta de ello, RTVE afirmó que la brecha de seguridad no había sido consecuencia de una actitud negligente por su parte.

Puede acceder a la resolución de la autoridad de control española aquí.

La Agencia Española de Protección de Datos impone una sanción de 50.000 euros a un periódico por la publicación de los datos de carácter personal de la víctima de la manada

La AEPD ha impuesto a Sur Este Prensa Editorial, S.L. una sanción de 50.000 euros por una infracción del Artículo 6.1 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, tipificada en el Artículo 44.3.b) de la misma Ley.

El medio de comunicación digital hizo públicos diversos datos de carácter personal, como el nombre y apellidos, edad o universidad en la que estudia, así como una fotografía de la víctima. Estos datos fueron recabados por el periódico a través de distintas redes sociales y páginas de internet que los habían publicado previamente. Habida cuenta de ello, y creyendo que los datos ya eran públicos por su amplia difusión previa, el medio de comunicación decidió publicarlos en una noticia en la edición del 5 de mayo de 2018.  

Afirma la autoridad de control española que el tratamiento llevado a cabo por el periódico fue inconsentido, excesivo y desproporcionado, puesto que no existía un interés público en la captación o difusión de la imagen y sus datos personales prevalente frente al interés de la persona en  evitar la captación o difusión de los mismos. Del mismo modo, la publicación de estos datos no aportaba valor añadido alguno a la información difundida a través de la noticia, por lo que no era necesario publicar la fotografía o su nombre y apellidos.

Habida cuenta de ello, al ponderar los intereses enfrentados, concluye la AEPD que merece mayor protección el interés de la titular del derecho a la protección de sus datos personales y a que no se capten o difundan los mismos sin su consentimiento frente al pretendido interés público en su difusión o frente al derecho de información.

Por todo lo anterior, la autoridad de control afirma que, en este supuesto, para la publicación de los datos personales de la víctima hubiera sido necesario haber recabado su consentimiento.

Asimismo, establece que los datos no fueron obtenidos de ninguna de las fuentes accesibles al público recogidas en la normativa vigente de protección de datos (la Ley Orgánica 15/1999), por lo que ante la falta de acreditación del consentimiento inequívoco para ese tratamiento de datos personales y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, la Agencia Española de Protección de Datos ha estimado vulnerado el artículo 6.1 de la LOPD.

Puede acceder a la resolución de la Agencia Española de Protección de datos aquí.

La AEPD ha emitido una nota técnica que analiza las implicaciones que en materia de protección de datos puede tener el uso de protocolos DNS durante la navegación en internet

La Agencia Española de Protección de Datos ha elaborado una nota técnica que analiza las posibles implicaciones que pueden derivarse del uso del Sistema de Resolución de Nombres (DNS, por sus siglas en inglés, “Domain Name System”). Debido a su finalidad, este informe está dirigido a desarrolladores de software, administradores de red, prestadores de servicios DNS y proveedores de acceso a internet.

Este sistema implica que, durante la navegación de los usuarios por internet, los equipos realizan continuamente, a través del referido protocolo, consultas constantes a otros servidores. Estas consultas pueden contener, entre otros datos, una dirección IP (que permite identificar al usuario e incluso geolocalizarlo) o el nombre de las páginas webs a las que el mismo pretende acceder, lo que permitiría, a partir de la identificación del usuario, conocer sus hábitos de navegación y realizar un perfilado de sus gustos y aficiones.

En la actualidad, debido a la fecha en la que se desarrolló el DNS, muchas de estas consultas no se encuentran protegidas a través de medidas de seguridad adecuadas, como el cifrado. No obstante, se han ido aplicando nuevas medidas de seguridad, como la extensión de seguridad DNSSEC o medidas como NS over TLS (DoT) o DNS over HTTPS (DoH), que tienen como finalidad evitar la interceptación de estas consultas, así como convertir la información contenida en las mismas en ilegible, de modo que esta sea confidencial.

La AEPD, que considera que todo ello contribuye al avance y desarrollo de la protección de los datos personales, afirma que aún subsisten numerosos problemas relacionados con el protocolo DNS. Es por ello que la autoridad de control, a través de la presente nota, trata de identificar los problemas de privacidad que puede generar su uso, así como las garantías que se pueden implementar para lograr gestionar estos riesgos.

Puede acceder a la nota técnica emitida por la autoridad de control española aquí.

El European Data Protection Board ha publicado el borrador de la Guía sobre el derecho al olvido (artículo 17 RGPD) en relación con los casos de motores de búsquedas

El EDPB ha publicado un proyecto de directrices titulado “The Criteria of the Right to be Forgotten in the search engine cases under the GDPR”. Esta guía proporciona una interpretación del artículo 17 del Reglamento General de Protección de Datos en relación con los fundamentos y excepciones en las que se basan las solicitudes de olvido o supresión de datos personales dirigidas a los proveedores de servicios de búsqueda, siendo una actualización de las directrices emitidas por el Grupo de trabajo del Artículo 29 en 2014 sobre la sentencia Costeja.

Esta guía, que será sometida a consulta pública, se complementará con otras directrices relacionadas con los criterios a seguir para gestionar las reclamaciones surgidas en virtud de la denegación de las referidas solicitudes.

Puede acceder al borrador de la guía aquí.

El European Data Protection Supervisor publica el informe titulado “Leading by Example, EDPS 2015-2019”

Debido a los importantes cambios surgidos durante los últimos cinco años en Europa en relación con la protección de datos de carácter personal, el EDPS ha elaborado un informe en el que se recoge una visión general de las actividades llevadas a cabo por el organismo desde el año 2015 hasta el año 2019.

Este informe se centra, en particular, en analizar el modo en el que ha trabajado el EDPS para lograr implementar los objetivos establecidos en el “EDPS Strategy 2015-2019” en relación con la digitalización y la modernización de la protección de datos personales.

Ello ha supuesto, entre otras cuestiones recogidas en el presente informe, la publicación de nueva normativa, como el Reglamento General de Protección de Datos o el Reglamento 2018/1725, así como la definición de nuevos conceptos en materia de protección de datos como el principio de responsabilidad activa.

Puede acceder al informe publicado por el EDPS aquí.

La CNIL publica su séptimo informe sobre tecnología ciudadana y datos personales que tiene como objetivo analizar las implicaciones en materia de protección de datos derivadas de las relaciones entre democracia, tecnología y participación ciudadana

Debido al contexto de desconfianza institucional en el que se encuentra la sociedad en la actualidad ha surgido el concepto de “tecnología cívica”, que tiene como objetivo fortalecer el compromiso político, así como la participación cívica y democrática en el mismo. Esta participación política y democrática a través de las nuevas tecnologías digitales (redes sociales, plataformas asociativas, etc.) puede plantear problemas en materia de protección de datos de carácter personal y de protección de la privacidad (puesto que a través de esta “tecnología cívica” se pueden recopilar datos de identificación personal o datos sensibles relativos a las opiniones políticas de los ciudadanos), por lo que es necesario establecer modelos de actuación que permitan garantizar el cumplimiento de la normativa vigente, definiendo con claridad el tratamiento de los datos recabados que se vaya a realizar, así como con sus finalidades.

Es por ello que la autoridad de control francesa analiza, en el presente informe, los problemas éticos y sociales que se pueden derivar de esta nueva situación. Del mismo modo, la CNIL presenta una serie de recomendaciones que se deben seguir para garantizar la protección de los datos, generando un ambiente de confianza y seguridad en la sociedad que suponga un mayor uso de esta “tecnología cívica”.

Entre estas recomendaciones, la autoridad de control afirma que los responsables del tratamiento deben cumplir con las disposiciones recogidas en el RGPD, pudiendo, además, elaborar un código de conducta. Asimismo, la CNIL recomienda que no basen sus acciones exclusivamente en las redes sociales, sino que se deba mantener canales alternativos de expresión y movilización política y explorar nuevos métodos de participación social.

Puede acceder al informe de la autoridad de control francesa aquí.

El European Data Protection Supervisor ha publicado una Guía relativa a la valoración de la proporcionalidad de las medidas adoptadas por los legisladores que limitan los derechos a la protección de datos y a la privacidad

La presente guía publicada por el EDPS tiene como finalidad proporcionar diversas herramientas prácticas a los legisladores con el objeto de poder evaluar si las medidas legislativas adoptadas, limitativas de los derechos fundamentales a la protección de datos y a la privacidad, cumplen con la normativa vigente europea en materia de protección de datos.

Es por ello que esta guía ha sido desarrollada con la exclusiva finalidad de proveer de adecuadas herramientas a los responsables de crear e implementar aquellas medidas legislativas que tienen una implicación directa o indirecta en el tratamiento de datos personales con el objetivo de analizar la proporcionalidad de estas.

Habida cuenta de lo anterior, esta guía ofrece recomendaciones prácticas  que permitan alcanzar soluciones que minimicen los conflictos que puedan surgir entre las medidas implementadas (que tienen implicación en la protección de datos personales), las finalidades que persiguen dichas medidas y los derechos mencionados. Como ha quedado expuesto, esta guía no pretende evaluar si alguna medida específica propuesta puede ser o no proporcionada, sino que su finalidad es presentar una metodología práctica que permita evaluar la proporcionalidad de estas nuevas medidas legislativas. 

Puede acceder a la guía íntegra publicada en inglés por el EDPS aquí.

El Tribunal Supremo desestima el recurso de casación presentado por Òmnium y por ANC y confirma las sanciones de 200.000 euros y 40.000 euros impuestas por la vulneración de la normativa en materia de protección de datos

Las representaciones procesales de ANC y Òmnium Cultural han interpuesto dos recursos de casación contra las sentencias dictadas por la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional que desestimaba los recursos contencioso-administrativos interpuestos por ambas entidades contra las resoluciones de la AEPD por las que se imponían a ANC y a Òmnium Cultural una sanción de 200.000 euros por vulneración de lo dispuesto en el artículo 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y a ANC otra de 40.000 euros por una infracción del artículo 9 de la Ley.

En relación con el recurso de casación interpuesto por Òmnium Cultural, el Tribunal Supremo declara que “las cuestiones planteadas y las alegaciones desplegadas en el escrito de preparación deben tildarse de manifiestamente carentes de interés casacional”.

En la referida sentencia, el Alto Tribunal se pronuncia, en los fundamentos jurídicos cuarto y quinto, sobre las cuestiones relativas a si los datos recabados eran datos de carácter personal (declarando que, en virtud de los hechos expuestos en el presente caso, el recurso “presenta un cariz marcadamente casuístico, al estar ligado a la apreciación de los datos fácticos concurrentes en el caso individualmente considerado”) y a si la información obtenida en las encuestas se trataba de datos de carácter personal de ideología (en este supuesto, el Tribunal Supremo declara que “lo realmente discutido [en el recurso] es la valoración efectuada por la Sala de instancia de elementos fácticos tomados en consideración para su fallo desestimatorio”), afirmando que en el resto de las cuestiones o bien no se aprecia la existencia de un interés casacional objetivo para la formación de jurisprudencia o bien dicho interés casacional no ha sido debidamente justificado. Habida cuenta de lo anterior, el Alto Tribunal procedió a declarar la inadmisión del recurso.

Asimismo, en idéntico sentido se pronuncia el Tribunal Supremo en relación con el recurso de casación interpuesto por ANC.

Puede acceder a las sentencias del Tribunal Supremo aquí y aquí.

ZABÍA ABOGADOS OS DESEA FELIZ NAVIDAD Y PRÓSPERO AÑO 2020

.