El pasado 6 de abril, el Supervisor Europeo de Protección de Datos (“SEPD”) publicó el Comunicado 01/2022 sobre el anuncio de un principio de acuerdo político sobre un nuevo marco de protección de datos transatlántico de privacidad de datos entre la Comisión Europea y los Estados Unidos publicado el pasado 25 de marzo de 2022.
Entre otros puntos relevantes, el SEPD señala que el principio de anuncio de acuerdo no constituye un marco jurídico en el que los exportadores de datos puedan basar sus transferencias de datos a los Estados Unidos (“EEUU”). Por ello, aclara el SEPD, los exportadores de datos deben seguir tomando las medidas necesarias para cumplir con la normativa de protección de datos y la jurisprudencia del Tribunal de Justicia de la Unión Europea (“TJUE”) y, en particular, con su decisión Schrems II de 16 de julio de 2020.
Por último, se indica que el RGPD exige que la Comisión Europea solicite un dictamen del SEPD antes de adoptar una posible nueva decisión de adecuación que reconozca como satisfactorio el nivel de protección de datos garantizado por las autoridades estadounidenses.
Puede consultar el Comunicado 01/2022 aquí (solo disponible en inglés).
El pasado 4 de abril, la autoridad de protección de datos de Bélgica (“GBA”), en sus decisiones 47/2022 y 48/2022 (en adelante, las “Decisiones”), sancionó a los Aeorpuertos Charleroi Bruselas Sur y Bruselas Zaventem (en adelante, los “Aeropuertos”) con 100.000 euros y 200.000 euros respectivamente, por infracciones relacionadas con el tratamiento de datos personales derivados de las medidas de control del COVID-19.
En concreto, la GBA consideró que se incumplían los artículos 6.1. c), 6.3 y 9.2 i) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
La GBA, tras conocer que los citados Aeropuertos controlaban la temperatura de los pasajeros, decidió someter el asunto a inspección. Durante la inspección, la GBA detectó que los Aeropuertos, en el contexto de la crisis sanitaria provocada por el COVID-19, utilizaban cámaras térmicas para comprobar si los pasajeros presentaban una temperatura corporal superior a 38 grados.
La GBA concluyó que los Aeropuertos no tenían una base de legitimación válida para recabar y tratar ese tipo de datos. El artículo 9.2 i) del RGPD establece que un responsable del tratamiento puede tratar categorías especiales de datos cuando sea necesario por razones de interés público en el ámbito de la salud pública siempre que exista una base del Derecho de la Unión o los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado. En el presente caso, no existía ninguna base para realizar este tratamiento.
Puede acceder a las Decisiones aquí (solo disponible en francés) y aquí (solo disponible en neerlandés).
La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado la resolución del procedimiento sancionador PS/00476/2021 por la que se sanciona a la entidad BASER COMERCIALIZADORA DE REFERENCIA, S.A. (“Entidad Reclamada”) con 100.000 euros por la infracción del artículo 6 del RGPD, y con 50.000 euros por la infracción del artículo 32 del RGPD.
El motivo de la reclamación es que un tercero ajeno al contrato entre un particular y la Entidad Reclamada solicitó un aumento de la potencia contratada y, a causa de esta petición, la Entidad Reclamada procedió al cambio del contrato.
Ante el requerimiento de la AEPD, la Entidad Reclamada alegó que siguió el procedimiento usual para la verificación de clientes que se ponen en contacto con ellos, es decir, solicitar y cotejar el nombre, apellidos y DNI del titular del contrato.
En este sentido, la AEPD entiende, a la luz de los hechos, que el procedimiento de identificación utilizado no alcanza los niveles de seguridad exigidos. Por ello, la AEPD concluye que, en primer lugar, la Entidad Reclamada ha vulnerado el artículo 32 del RGPD al no disponer de un procedimiento adecuado y, en segundo lugar, ha vulnerado el artículo 6 del RGPD al haber procedido a la modificación de la potencia contratada sin contar con el consentimiento de su titular.
Puede consultar la resolución de la AEPD aquí.
El pasado 5 de abril de 2022, la autoridad de protección de datos de Dinamarca (en adelante, “Datatilsynet”) anunció la imposición de una sanción a la entidad bancaria Danske Bank DKK (“DKK”) por no haber podido acreditar la correcta eliminación de datos personales de sus clientes.
La Datatilsynet inició, a finales de 2020, un procedimiento de oficio para investigar el proceso de eliminación de datos personales de DKK. Tras la investigación, Datatilsynet comprobó que la entidad bancaria no había establecido ningún procedimiento interno para gestionar el almacenamiento y la eliminación de datos personales de sus clientes, no pudiendo acreditar tampoco la correcta destrucción de los datos personales.
La incidencia detectada por Datatilsynet comprometía a más de 400 sistemas de tratamiento de DKK, afectando a los datos personales de millones de personas que eran clientes de la entidad financiera.
De acuerdo con lo anterior, Datatilsynet consideró que DKK había infringido el principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD, imponiendo una sanción de 1,3 millones de euros.
Puede consultar la resolución pulsando aquí (solo disponible en danés).
El pasado 15 de abril, la autoridad de protección de datos de Francia (en adelante, “CNIL”) publicó una resolución en la que se sancionó a la entidad Dedalus Biology, S.A.S. (en adelante, “Dedalus”) con una multa económica de 1.500.000 euros por una brecha de seguridad que provocó una filtración de datos médicos de cerca de 500.000 personas.
Durante la investigación llevada a cabo por la CNIL, se detectó que Dedalus no cumplía con:
(i) la obligación del encargado del tratamiento de seguir las instrucciones del responsable del tratamiento, vulnerando así el artículo 29 del RGPD;
(ii) la obligación de garantizar la seguridad de los datos personales debido a muchas deficiencias técnicas y organizativas, vulnerando así el artículo 32 del RGPD y;
(iii) la obligación de regular mediante un acto jurídico el tratamiento realizado por cuenta del responsable del tratamiento, infringiendo de esta manera el artículo 28 del RGPD.
La multa impuesta a Dedalus se fijó teniendo en cuenta la gravedad de las infracciones detectadas y la facturación de la compañía.
Puede acceder a la resolución pulsando aquí (solo disponible en francés).
El pasado 6 de abril, la autoridad de protección de datos de Holanda (en adelante, “AP”) publicó una resolución en la que se sancionó al Ministerio de Asuntos Exteriores con una multa económica que ascendió a la cantidad de 565.000 euros tras haberse detectado insuficiencias técnicas y organizativas en las medidas de seguridad relativas a la protección de datos personales.
Durante la investigación llevada a cabo por la AP, se detectó que el Sistema Nacional de Información de Visas no disponía de la seguridad necesaria a la hora de la custodia de los datos personales debido a que personas ajenas podían tener acceso a ellos. A esto último, se añade la falta de transparencia en el tratamiento de los datos personales.
De acuerdo con lo anterior, la AP impuso una multa de 565.000 euros al Ministerio de Asuntos Exteriores de Holanda, como responsable del tratamiento, por haber infringido el principio de transparencia recogido en el artículo 5 del RGPD y el principio de seguridad del tratamiento recogido en el artículo 32 del RGPD.
Puede consultar la resolución de la AP pulsando aquí (solo disponible en neerlandés).
El pasado 28 de abril, el TJUE, en el asunto C-319/20, Meta Plataforms Ireland Limited c. Bundesverband der Verbraucherzentralen und Verbraucherverbände, concluyó que las asociaciones de defensa de los consumidores pueden ejercitar acciones de representación contra las infracciones en materia de protección de datos.
En primer lugar, el TJUE subraya que una asociación de defensa de los intereses de los consumidores tiene legitimación activa en la medida que persigue un objetivo de interés público.
En segundo lugar, el TJUE señala que el ejercicio de una acción de representación presupone que dicha asociación considera que los derechos del interesado con arreglo al RGPD han sido vulnerados por el tratamiento de sus datos personales, sin que sea necesario identificar, previamente y de forma individual, a la persona afectada por dicho tratamiento.
Finalmente, el TJUE afirma que el RGPD no se opone a disposiciones nacionales que contemplen el ejercicio de acciones de representación contra la vulneración de derechos que recoge el RGPD.
Puede consultar la sentencia del TJUE pulsando aquí.
La CNIL publicó en el mes de abril un conjunto de recursos prácticos sobre los desafíos relacionados con la inteligencia artificial. Estos recursos están destinados al público en general, profesionales y especialistas. Entre otros recursos, la CNIL pone a disposición:
Puede consultar la publicación, con el conjunto de recursos, pulsando aquí (solo disponible en francés).
La CNIL publicó, el pasado 25 de abril, una guía sobre las condiciones y garantías que deben concurrir desde el punto de vista de protección de datos para que la grabación de conversaciones como medio de prueba de la celebración de un contrato sea válido (en adelante, la “Guía”).
La Guía establece que, desde un punto de vista legal, la grabación será válida cuando sea necesaria y constituya el único medio de prueba. No obstante, la CNIL recuerdo que se deben distinguir los contratos escritos de los verbales. Para los primeros, la grabación no es necesaria. Respecto a los segundos, es decir, los contratos verbales, la Guía establece que las conversaciones telefónicas pueden ser grabadas si el objeto de la llamada es la conclusión del contrato laboral.
La CNIL incluye en la Guía las reglas a tener en cuenta a la hora de realizar estas grabaciones para realizar un correcto tratamiento de los datos personales y sobre su conformidad con el RGPD.
Puede consultar la guía aquí (solo disponible en francés).
El pasado 5 de abril, el TJUE, en el asunto C-140/20, Commissioner of the Garda Síochána, concluyó que el Derecho de la Unión se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas con fines de lucha contra la delincuencia grave.
En primer lugar, el TJUE declara que la conservación generalizada e indiferenciada de estos datos imponen la observancia de requisitos tales como aptitud, necesidad y proporcionalidad. La lucha contra la delincuencia grave, por fundamental que sea, no justifica esta conservación generalizada de datos.
En segundo lugar, el TJUE recuerda que el Derecho de la Unión no se opone a medidas legislativas nacionales que establezcan, con el objetivo de luchar contra la delincuencia grave y de prevenir amenazas graves contra la seguridad pública, una conservación: (i) selectiva de datos de tráfico y localización; (ii) generalizada e indiferenciada de direcciones IP atribuidas al origen de una conexión; (iii) generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, y; (iv) rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios.
Puede acceder a la sentencia aquí.
Puede acceder al comunicado de prensa aquí.
Tras las pasadas decisiones de la autoridad de protección de datos de Austria (“DPA”) y de la CNIL sobre el uso de Google Analitycs, el pasado 22 de abril, la DPA se volvió a pronunciar sobre el asunto declarando que la anonimización del IP propuesta por Google es una medida de protección inútil para las transferencias de datos a EEUU.
En este sentido, la DPA razona en su decisión que, en primer lugar, la anonimización del IP solo afecta a la dirección IP, pero que existe otra información que permite identificar a una persona física como los identificadores en línea establecidos por las cookies o los datos del dispositivo. Asimismo, la DPA resalta que la anonimización propuesta por Google se produce una vez que ls datos ya han sido transferido a EEUU, por lo que no es una medida eficaz.
Puede acceder a la resolución en inglés pulsando aquí y a la resolución en alemán pulsando aquí.
El pasado 26 de abril, el TJUE, en el asunto C-401/19, República de Polonia c. Parlamento Europeo, Consejo de la Unión Europea, desestimó el recurso interpuesto por Polonia contra el artículo 17 de la Directiva 2019/790 (la “Directiva”).
El referido artículo de la directiva establece el principio según el cual los prestadores de servicios para compartir contenidos en línea son directamente responsables cuando los usuarios de sus servicios cargan ilegalmente prestaciones protegidas. No obstante lo anterior, el precepto contempla una exención de responsabilidad para esos prestadores, siempre y cuando supervisen activamente los contenidos.
En este contexto, el régimen de responsabilidad que establece la directiva constituye una limitación del ejercicio del derecho a la libertad de expresión. El TJUE deduce que, “la obligación impuesta a los prestadores de servicios para compartir contenidos en línea de controlar los contenidos de que los usuarios deseen cargar en sus plataformas previamente a su difusión ha sido acompañada, por parte del legislador de la Unión, de garantías adecuadas para salvaguardar el respeto del derecho a la libertad de expresión y de información de los usuarios de este tipo de servicios”.
Puede acceder al comunicado de prensa pulsando aquí.
Puede acceder a la sentencia del TJUE pulsando aquí.
El pasado 20 de abril, se aprobó el Decreto 19/2022, de 20 de abril, del Consejo de Gobierno, de Planificación de Determinados Establecimientos de Juego en la Comunidad de Madrid (en adelante, “Decreto 19/2022”).
Se trata de un texto que, además de ordenar la oferta del sector, protege especialmente a los colectivos más vulnerables. En este sentido, el Decreto 19/2022 establece zonas de alta concentración en las que no se podrá autorizar la apertura de nuevos salones de juego, ni de locales específicos de apuestas. También, se refuerzan las medidas en relación con los establecimientos situados en las cercanías de centros educativos y se establece una distancia mínima de 300 metros entre este tipo de establecimientos de juego.
El Decreto 19/2022 también prohíbe conceder créditos, préstamos, dinero en efectivo o cualquier otra modalidad de asistencia financiera a los jugadores.
Puede consultar el Decreto 19/2022 pulsando aquí.
El pasado 7 de abril, el TJUE, en el asunto C-249/21 Fuhrmann-2, concluyó que para que un consumidor pueda quedar válidamente vinculado por un contrato por medio electrónico, debe comprender sin ambigüedad, a partir únicamente de la expresión que figure en el botón de pedido, que estará obligado a pagar desde el momento en que pulse ese botón.
Según la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, el TJUE recalca que el botón de pedido o la función similar deben etiquetarse con una expresión que sea fácilmente legible y carente de ambigüedad, que indique que, el hecho de realizar el pedido implica una obligación de pago por parte del consumidor hacia el comerciante.
En base a esto último, el tribunal nacional alemán deberá proceder, por lo tanto, a verificar si, en alemán, tanto en el lenguaje corriente como para el consumidor medio, el término “finalizar reserva” está asociado necesaria y sistemáticamente al nacimiento de una obligación de pago y en su defecto, declarar la ambigüedad de la expresión.
Puede acceder a la nota de prensa pulsando aquí.
Puede acceder a la sentencia pulsando aquí (solo disponible en francés).
El pasado 23 de abril, la Comisión publicó el acuerdo entre Parlamento y Consejo sobre la propuesta de Reglamento de Servicios Digitales (en adelante, el “Reglamento”). La versión definitiva de la propuesta de Reglamento aún no ha sido publicada, pero la nota de prensa de la Comisión señala principales novedades como:
(i) La Comisión dispondrá de competencia exclusiva de supervisión de las plataformas y motores de búsqueda de gran tamaño.
(ii) Medidas de transparencia de amplio alcance, incluidas las relativas a la publicidad en línea y a los algoritmos utilizados para recomendar contenidos a los usuarios.
(iii) Nuevas normas sobre la trazabilidad de las empresas en los mercados en línea para ayudar a localizar a los vendedores de bienes o servicios ilegales.
El acuerdo logrado entre el Parlamento y el Consejo deberá aún ser aprobado por los dos colegisladores para que el Reglamento sea directamente aplicable en la Unión Europea.
Puede acceder a la nota de prensa pulsando aquí (solo disponible en inglés).
La Comisión Nacional del Mercado de la Competencia (“CNMC”) publicó, el pasado 26 de abril, la sanción a MEDIASET ESPAÑA COMUNICACIÓN S.A. (“Mediaset”) por infracciones relacionadas con la emisión de contenidos inapropiados en horario protegido y por la emisión de comunicaciones comerciales encubiertas.
En el primer caso, el relativo a la emisión de contenido inapropiado en horario protegido durante la emisión del programa “Sálvame Naranja” (SNC/DTSA/076/21), Mediaset ha sido sancionada por la CNMC por la temática abordada y por las escenas e imágenes emitidas que resultan inadecuados para los menores de 12 años, incumpliendo lo dispuesto en los artículos 7.2 y 7.6 de la Ley General de la Comunicación Audiovisual (“LGCA”).
En el segundo de los supuestos, la infracción administrativa grave por la emisión de comunicaciones comerciales encubiertas en su canal Telecinco de los productos y empresa “Los sabores de la Esteban, S.L” (SNC/DTSA/077/21), lo que supone una vulneración del artículo 18.2 de la LGCA.
En ambos supuestos, Mediaset ha reconocido su responsabilidad y ha procedido al pago anticipado de 180.813,60 €, con la correspondiente reducción acumulada del 40%.
Puede acceder a la nota de prensa pulsando aquí.
Puede acceder a la resolución SNC/DTSA/076/21 pulsando aquí o a la resolución SNC/DTSA/077/21 pulsando aquí.
El pasado 25 de abril, la Sala de lo Penal del Tribunal Supremo (“TS”) se pronunció sobre el delito de apropiación indebida de un dominio de internet.
El TS consideró que la conducta de los acusados no encaja en un delito de apropiación indebida porque todos sus actos se produjeron cuando todavía eran miembros de la asociación.
Cabe destacar que, respecto a la apropiación indebida, el TS se refiere a “los distintos escenarios en los que el nombre de dominio puede convertirse en un instrumento para conseguir un beneficio injustificado o para perjudicar a un tercero mediante la confusión generada a cualquier usuario de la web”. Además, el TS añade que, aunque el legislador español no ha considerado oportuno criminalizar controversias que pueden tener soluciones más ágiles a través de procedimientos no necesariamente jurisdiccionales, “hay casos en los que el uso indebido del nombre de dominio tiene relevancia penal”.
Puede acceder a la resolución pulsando aquí.
El pasado 28 de abril, el Congreso de los Diputados aprobó el Proyecto de Ley General de Telecomunicaciones (en adelante, “Proyecto LGTeL”) que supone la transposición de la Directiva 2018/1972 del Código Europeo de Comunicaciones Electrónicas.
La aprobación del Proyecto LGTeL constituye una de las medidas incluidas en el Plan de Recuperación, Transformación y Resiliencia de la economía española, con el objetivo a corto plazo de apoyar la recuperación de la economía española tras la crisis sanitaria, impulsar a medio plazo un proceso de transformación estructural y lograr a largo plazo un desarrollo más sostenible y resiliente desde el punto de vista económico-financiero.
El principal objetivo del Proyecto LGTeL es el fomento de la inversión en redes de muy alta capacidad, introduciendo figuras como la de los estudios geográficos o la de la coinversión. Además, se garantiza la utilización compartida del dominio público o la propiedad privada, el uso compartido de las infraestructuras y recursos asociados y la utilización compartida de los tramos finales de las redes de acceso.
Otra de las novedades que incorpora el Proyecto LGTeL son avances en materia de protección de los derechos de los usuarios finales de los servicios de telecomunicaciones, reforzando las obligaciones de transparencia y regulando los empaquetados.
Puede acceder al Proyecto LGTeL pulsando aquí.
Norman Heckh (nheckh@ramoncajal.com)
María Luisa González (mlgonzalez@ramoncajal.com)
Antonio Borjas (aborjas@ramoncajal.com)
Pablo Tena (ptena@ramoncajal.com)
Iomar Ruiz (iruiz@ramoncajal.com)