El pasado 4 de junio de 2021, la Comisión Europea publicó las nuevas cláusulas contractuales tipo o “Standard Contractual Clauses” (“SCC”) para las transferencias internacionales de datos fuera del Espacio Económico Europeo. Estas nuevas SCC sustituirán a los tres conjuntos de cláusulas contractuales tipo que se adoptaron en virtud de la anterior Directiva 95/46/CE, derogada por el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”).
La función de las SCC, tal y como aclara el propio documento en el Considerando 3 “es asegurar que haya garantías adecuadas de protección de datos en las transferencias internacionales de datos”. En este sentido, las SCC se entienden como garantías esenciales, por lo que tanto encargados como responsables tienen discrecionalidad para estipular redacciones con un contenido más amplio, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados.
La Comisión Europa, al contrario de lo que sucedía con las anteriores cláusulas contractuales tipo, ha aprobado un único documento para validar todas las transferencias que puedan producirse. Estas SCC contemplan cuatro supuestos diversos, divididos en módulos:
En cuanto a las novedades contenidas en las nuevas SCC, cabe destacar lo siguiente:
Las nuevas SCC están ya en vigor, por lo que deben empezar a incorporarse como garantías en aquellos supuestos que se vayan a realizar transferencias internacionales de datos. No obstante, la Comisión Europea ha establecido un periodo transitorio de 15 meses, hasta el 27 de diciembre de 2022, para las SCC anteriores a las aprobadas, siempre que (i) el tratamiento sujeto a las SCC no cambie y (ii) sea posible garantizar un nivel adecuado de protección de los datos personales.
Puedes consultar el documento con las SCC aquí.
El Comité Europeo de Protección de Datos (“EDPB”) publicó el pasado 18 de junio la versión final de las Recomendaciones 01/2020, sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE (las “Recomendaciones”).
En las Recomendaciones, el EDPB resalta que, tanto los responsables como los encargados son responsables de verificar, caso por caso y, en colaboración con el importador en el tercer país, si la legislación o la práctica del tercer país afecta a la eficacia de las salvaguardas adecuadas contenidas en los instrumentos de transferencia del artículo 46 del RGPD.
En concreto, estas Recomendaciones se han publicado “para ayudar a los exportadores (ya sean responsables o encargados del tratamiento, entidades privadas u organismos públicos, que traten datos personales en el ámbito de aplicación del RGPD) en la compleja tarea de evaluar a terceros países y determinar las medidas complementarias adecuadas cuando sea necesario”. Estas Recomendaciones ofrecen a los exportadores una serie de pasos a seguir, posibles fuentes de información y algunos ejemplos de medidas complementarias que podrían aplicarse, para la aplicación en la práctica del principio de responsabilidad proactiva a las transferencias de datos:
Sumado a estos seis pasos a seguir, las Recomendaciones incluyen una serie de conclusiones que destacan la importancia de aplicar estos pasos, así como dos advertencias:
Por último, el EDPB incluye un listado extenso de ejemplos de medidas adicionales que se pueden considerar una vez alcanzado el paso cuatro y siguientes.
Puedes consultar las Recomendaciones aquí.
La Agencia Española de Protección de Datos (en adelante, la “AEPD”) publicó, el 29 de junio de 2021, la nueva “Guía del riesgo y evaluación en tratamiento de datos personales” (en adelante, la “Guía”).
Esta nueva publicación unifica las anteriores “Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales”. La AEPD presenta una visión global de la gestión de riesgos y las Evaluaciones de Impacto en Protección de Datos (en adelante, “EIPD”) aplicable a cualquier tratamiento con independencia de su nivel de riesgo.
La finalidad principal de esta Guía es favorecer la integración de la gobernanza de datos en la gestión de la organización, motivo por el cual la Guía está preferentemente dirigida a responsables, encargados y delegados de protección de datos.
La Guía incorpora los criterios publicados por parte de la AEPD, el CEPD y del Supervisor Europeo de Protección de Datos (en adelante, “SEPD”), incluyendo referencias a directrices y modelos de gestión de seguridad ampliamente implantados y que conforman los estándares de seguridad, como son la normas ISO y el Esquema Nacional de Seguridad.
Las principales novedades de la Guía son:
Junto con la publicación de la Guía, la AEPD presentó la nueva herramienta Evalúa-Riesgo RGPD. Esta herramienta tiene como objetivo facilitar la identificación de riesgos, realizando una evaluación inicial y ayudando a determinar si es necesario realizar una EIPD.
Puedes consultar el texto completo aquí.
El Gabinete Jurídico de la AEPD publica el informe jurídico 0012/2021 sobre cuál debe ser el estatus, de responsable o encargado del tratamiento, respecto de los intervinientes en la gestión del negocio referido a las Instituciones de Inversión Colectiva.
La AEPD realiza un análisis exhaustivo de la normativa que aplica a este tipo de entidades y concluye que:
Puedes consultar el informe aquí.
El 17 de junio de 2021, el Gabinete Jurídico de la AEPD publicó un informe en materia de ensayos clínicos como consecuencia de una consulta donde se solicitaba aclaración sobre la base legitimadora del monitor (o las empresas, instituciones u organismos que sean contratados por el promotor) para acceder a las bases de datos de los centros.
En el mencionado informe, la autoridad de control española analiza las diferentes partes implicadas en el tratamiento de historias clínicas, concluyendo que el acceso por parte del monitor a los datos de la historia clínica se realiza por cuenta del promotor y, por tanto, ostenta la condición de “encargado del tratamiento”. De acuerdo con ello, la base jurídica aplicable a los tratamientos de datos personales que realice el monitor será la misma que la del promotor.
En el caso analizado por la AEPD, al ser la monitorización una obligación impuesta al promotor, la base jurídica era la contemplada en el artículo 6.1.c del RGPD, es decir, el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
Puedes acceder al informe pulsando aquí.
La AEPD impone una sanción de 12.000 euros por infracción del art. 48.1 de la Ley General de Telecomunicaciones (“LGT”), en relación con el derecho de oposición (art. 21 del RGPD).
En concreto, el afectado recibió llamadas telefónicas de contenido publicitario a pesar de estar incluido en el listado de exclusión publicitaria Robinson de ADigital desde el 16 de marzo de 2010.
En este supuesto, la entidad reclamada entiende que ella no es responsable del tratamiento puesto que tiene encomendada esta tarea a un tercero que realiza estas acciones comerciales. No obstante, esta apreciación viene desestimada por la AEPD al entender que “el reclamado es el responsable del tratamiento ahora analizado, toda vez que el reclamado confirma que es quien facilita las instrucciones para el tratamiento objeto de encargo a las entidades que usan sus propias bases de datos sobre finalidad y medios”.
La AEPD entiende que la empresa reclamada ha infringido la normativa de telecomunicaciones, en concreto el artículo 78.11 de la LGT sancionado con multa de hasta 50.000 euros. No obstante, la AEPD gradúa la cuantía de acuerdo con el artículo 80.1) y 2) de la LGT fijando finalmente la sanción en 12.000 euros.
Puedes acceder a la resolución aquí.
La AEPD impone una sanción de 10.000 euros a una empresa de mensajería por una infracción del artículo 5.1.d) del RGPD, correspondiente al principio de exactitud de los datos.
El principio de exactitud obliga a que los datos que se traten sean exactos y, en su caso, sean actualizados, debiendo aportarse todas las medidas razonables para evitar datos inexactos.
En el caso de la resolución, la AEPD considera que una empresa de mensajería no ha respetado el mencionado principio al vincular, sin autorización previa, los datos personales de uno de sus clientes particulares a una cuenta de cliente de empresa, emitiendo la correspondiente factura del servicio solicitado por el cliente a favor de la empresa.
La AEPD considera que emitir una factura a la empresa con los datos del cliente particular supone un incumplimiento del principio de exactitud, dando lugar a que el cliente particular tenga que preocuparse por arreglar la situación por la falta de exactitud de los datos.
Puede acceder a la resolución aquí.
El 17 de junio la autoridad de control francesa (“CNIL”) publicó la sanción de 500.000 euros a BRICO PRIVÉ por vulneración de varios preceptos del RGPD. La empresa sancionada se dedica a la venta privada de materiales de bricolaje, jardinería y de mejora del hogar a través del sitio web: bricoprive.com, y opera principalmente en Francia, España, Italia y Portugal.
En concreto, la CNIL ha efectuado 3 inspecciones durante los años 2018 y 2021, en los que se han encontrado diversas infracciones por las que finalmente se han impuesto la sanción:
Sumado a estas cuatro infracciones, la CNIL también procede a sancionar a BRICO PRIVÉ por dos infracciones en materia de cookies y por el envío de comunicaciones comerciales sin el consentimiento del usuario final.
Puedes leer la resolución (sólo disponible en francés) aquí.
La autoridad de control de Reino Unido (“ICO”) ha sancionado a la entidad Papa John’s (GB) Limited (“Papa John’s”) con una multa de 10.000 £ tras recibir 15 reclamaciones de los clientes de tal entidad en la que exponían que estaban recibiendo publicidad no solicitada por SMS y por correo electrónico.
La investigación llevada a cabo por el ICO determinó que, entre el 1 de octubre de 2019 y el 30 de abril de 2020, la entidad investigada había enviado más de 210.000 mensajes a clientes que no habían prestado su consentimiento para recibir comunicaciones comerciales.
El ICO consideró que Papa John’s enviaba comunicaciones comerciales legitimando dicho tratamiento en la excepción recogida en la Privacy and Electronic Communications Regulations que permite a las entidades enviar comunicaciones comerciales por medios electrónicos a clientes de los que se hayan obtenido sus datos para prestar servicios similares, ofreciéndole, en cualquier caso, la posibilidad de que rechacen (“opt-out”) el tratamiento en el momento de recogida de los datos.
Papa John’s no daba la opción de opt-out cuando recogían los datos de los clientes por teléfono y, por tanto, la autoridad de control del Reino Unido concluyó que la entidad estaba llevando a cabo un tratamiento de datos sin contar con una adecuada base legitimadora.
Puedes acceder a la resolución (en inglés) aquí.
Después de más de seis años de litigios entre Facebook y la autoridad de control belga de protección de datos, el Tribunal de Justicia de la Unión Europea ha publicado su sentencia contra Facebook en la que se establece que, “en determinadas condiciones”, las autoridades de control de protección de datos pueden ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado Miembro cualquier supuesta infracción en el tratamiento de los datos personales de los usuarios, aunque no sea la autoridad de control principal.
De acuerdo con lo anterior, cualquier autoridad de control de protección de datos podrá denunciar el incumplimiento de las obligaciones en materia de protección de datos y, por tanto, podrá suponer un aumento de los procedimientos judiciales contra las malas prácticas de las grandes tecnológicas.
Puedes leer la noticia completa pulsando aquí.
El Tribunal de Apelación de Versalles ha fijado una sanción de 1 millón de euros a la filial francesa de Ikea (“Ikea Francia”), y ha impuesto dos años de cárcel a los directores de la filial sueca en Francia durante los años 1996 y 2009.
La noticia que, por el momento, solo ha sido publicada en prensa, destaca que Ikea Francia realizó un seguimiento de los empleados, llegando a investigar incluso sobre los antecedentes penales o su estilo de vida. En este sentido, el Tribunal de Apelación de Versalles destaca que la empresa carecía de base de legitimación para el tratamiento de estos datos y que en ningún momento se informó a los afectados de estas prácticas.
Puedes acceder a la noticia del diario Le Monde (en francés) aquí.
El pasado 22 de junio, el Garante publicó la sanción de casi 3 millones de euros a la compañía Iren Mercato S.p.A. por el envío de comunicaciones comerciales careciendo de base de legitimación. Sumado a este incumplimiento del artículo 6 del RGPD, el Garante entiende que la empresa sancionada por infracción del principio de responsabilidad proactiva en relación con el artículo con los contratos de encargado del tratamiento que tenía firmado con sus proveedores de servicios con acceso a datos.
Puedes consultar la resolución (disponible en italiano) aquí.
La autoridad de control islandesa (“AC islandesa”) ha sancionado con 34.000 euros a una empresa que gestiona una cadena de heladerías por colocar y grabar imágenes de los empleados en el vestuario y en zonas de descanso.
La AC islandesa, en la resolución emitida el pasado 29 de junio, entiende que el tratamiento de estos datos vulnera los principios generales del tratamiento (artículo 5 del RGPD), así como los principios de información y transparencia al no haber informado a sus empleados de la colocación de dichas cámaras.
Por otro lado, la AC islandesa, entiende que la empresa tampoco cuenta con una base de legitimación para este tratamiento.
Por todo ello, se le impone la sanción monetaria de 34.000 euros más la obligación de eliminar las imágenes captadas y proceder a la desinstalación de las cámaras de videovigilancia.
Puedes acceder a la noticia aquí.
Puedes consultar la resolución (en islandés) aquí.
El 28 de junio se publicó en el Diario Oficial de la Unión Europea la Decisión del Consejo de Administración de la Agencia Europea de Medio Ambiente (la “Agencia”) relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia Europea de Medio Ambiente (la “Decisión”).
Esta Decisión limita los derechos de los afectados contemplados en el Reglamento (UE) 2018/1725 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos.
En concreto, la Decisión se publica con el objetivo de conciliar los derechos de los interesados con los objetivos de las investigaciones administrativas y auditorías. Los Considerandos de la Decisión incluyen diversos ejemplos en los que los derechos de los interesados se podrían ver limitados, por ejemplo: “Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la Agencia podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades.”
Adicionalmente, el artículo 3 de la Decisión entiende que “las evaluaciones de los riesgos para los derechos y libertades de los interesados que suponga la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento”.
Por último, debemos mencionar que la Decisión también alude a la participación del delegado de protección de datos, la información que deberá otorgarse a los interesados sobre las limitaciones de sus derechos etc.
Puedes acceder a la Decisión aquí.
La autoridad de control española ha abierto procedimientos sancionadores contra el Ministerio de Sanidad y otro contra el Ministerio de Economía para investigar un posible incumplimiento de la normativa de protección de datos en la aplicación Radar Covid de rastreo del Covid-19.
La apertura de estos procedimientos sancionadores se produce tras las reclamaciones presentadas por la ONG Rights International Spain y la organización Reclamadatos. Entre otras cuestiones, las reclamantes denunciaban que la aplicación Radar Covid no informa de forma suficientemente clara de las distintas finalidades del tratamiento, las bases legitimadoras ni de los plazos de conservación.
Puedes leer la noticia completa pulsando aquí.
La AEPD ha actualizado el formulario habilitado para que los responsables de los tratamientos de datos personales cumplan con su obligación de notificar las brechas que se hayan producido.
Este nuevo sistema simplifica la notificación de brechas de datos personales guiando a los responsables a través de preguntas concretas, de forma que los responsables conozcan los puntos que deben abordar en la misma.
Puedes acceder al formulario aquí.
Después de que la Comisión Europea presentará el 21 de abril de 2021 la Propuesta de Reglamento (UE) de la Comisión Europea sobre el marco jurídico aplicable a los sistemas de Inteligencia Artificial, el CEPD y el SEPD publicaron, el pasado 18 de junio de 2021, la Opinión Conjunta 5/2021 sobre la mencionada propuesta.
Tanto el CEPD como el SEPD resaltan el gran impacto que tendrá la inteligencia artificial en la tecnología y en la forma en la que los seres humanos interactúan con ella. Asimismo, se hace especial mención a la posición clave que tienen los datos personales en los sistemas de inteligencia artificial.
Como consecuencia del gran impacto que tendrán estos sistemas de inteligencia artificial en la vida de las personas, el CEPD y el SEPD han analizado las implicaciones más relevantes en materia de protección de datos de la propuesta presentada por la Comisión Europea. Entre otras cuestiones, el CEPD y el SEPD solicitan que se prohíba el uso de la inteligencia artificial para el reconocimiento automático de rasgos humanos en espacios de acceso público, así como algunas otras finalidades de los sistemas de inteligencia artificial que puedan dar lugar a situaciones de discriminación.
Puedes consultar la opinión conjunta pulsando aquí.
El Comité Europeo de Protección de Datos publicó en junio una guía explicativa sobre qué esperar cuando se es inspeccionado. La guía está enfocada a empresas que puedan verse investigadas o auditadas por el CEPD.
Estas auditorías, como explica el CEPD, “se realizan de acuerdo con nuestro Plan Anual de Inspección. Para establecer este plan, realizamos un análisis de riesgos y tenemos en cuenta los recursos disponibles para llevar a cabo las auditorías”. Entre otros puntos, la guía sintetiza los pasos que sigue el CEPD a la hora de auditar una empresa.
Puedes consultar la guía aquí.
El Dictamen, publicado el pasado 18 de junio, sobre el uso de la tecnología de reconocimiento facial en lugares públicos (el “Dictamen”) amplía el anterior dictamen publicado por el ICO sobre el reconocimiento facial en el contexto policial.
En concreto, el Dictamen se enfoca en el uso de esta tecnología en aquellos supuestos en los que no exista una normativa que obligue a ello. Como se explica en la introducción del Dictamen, “el reconocimiento facial en vivo es un tipo de tecnología que a menudo implica la recogida automática de datos biométricos. Esto significa que tiene un mayor potencial para ser utilizado de manera intrusiva en la privacidad”.
El Dictamen tiene un enfoque práctico que analiza el uso de esta tecnología, las obligaciones que existen para responsables y encargados del tratamiento, así como las expectativas del ICO en las evaluaciones de riesgos que se realicen a este efecto.
El ICO, en este sentido, entiende que “Los responsables del tratamiento son responsables del cumplimiento de la ley y deben demostrar que su tratamiento cumple con sus requisitos. Antes de decidir utilizar esta tecnología en lugares públicos, deben completar una evaluación de impacto.
Como parte de este proceso, deben evaluar los riesgos y las posibles repercusiones en los intereses, derechos y libertades de las personas. Esto incluye cualquier impacto directo o indirecto sobre sus derechos de protección de datos y derechos humanos más amplios, como la libertad de expresión, asociación y reunión”.
Puedes consultar el Dictamen aquí.
El pasado 28 de junio se adoptó por parte de la Comisión Europea la decisión de adecuación para las transferencias de datos personales a Reino Unido, por lo que los datos personales ya pueden circular libremente entre la Unión Europeo y dicho país.
La aprobación de las decisiones de adecuación, que implica el reconocimiento por parte de la Comisión Europea de que la legislación del Reino Unido cuenta con un nivel de protección garantizado por las normativas europeas, suponen un componente esencial de las nuevas relaciones entre la Unión Europea y Reino Unido.
Puedes acceder a la decisión de adecuación pulsando aquí.
Puedes acceder a la noticia completa pulsando aquí.
La eliminación de las cookies de terceros en el navegador Google Chrome estaba fijada para principios del año 2022. No obstante, el pasado 24 de junio Google anunció que posponía la eliminación de las cookies de terceros en su navegador a finales de 2023.
El motivo principal de retrasar la eliminación de las cookies de terceros ha sido que se necesita más tiempo para garantizar el ecosistema y no poner en riesgo los modelos comerciales.
Puedes acceder a la noticia completa pulsando aquí.
El 2 de junio se publicó en el Boletín Oficial del Estado el Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos (el “Estatuto”).
El Estatuto se estructura en cinco capítulos. El primero de ellos incluye las disposiciones generales sobre la naturaleza, régimen jurídico, autonomía e independencia, funciones y potestades, circulares, acción exterior, colaboración en el ámbito de la Administración de Justicia, programación, memoria anual, sede y transparencia y publicidad.
Puedes acceder a la publicación aquí.
En relación con el accidente del teleférico de Mottarone (Piamonte, Italia), y la publicación de los vídeos del mismo por los medios de comunicación, la autoridad de control italiana (el “Garante”) ha emitido un comunicado instando a la no publicación de este vídeo.
La petición del Garante responde al cumplimiento del principio de esencialidad de la información de la actividad periodística, así como la salvaguardia de la dignidad de las personas.
Puedes leer el comunicado de prensa (disponible en italiano) aquí.
La Comisión Europea ha publicado una actualización de las “Preguntas y respuestas-Nuevas normas de la UE sobre derechos de autor”.
En esta publicación la Comisión explica algunas cuestiones básicas sobre la Directiva 2019/790 de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital, como por ejemplo sus principales objetivos, nuevas normas aplicables para las plataformas de intercambio de contenidos en línea, o cómo afecta esta nueva regulación a distintos colectivos como autores y artistas, intérpretes o ejecutantes, prensa y periodismo, editoriales o usuarios.
Puedes acceder a las preguntas y respuestas aquí.
El procedimiento tiene su origen en las demandas de un productor musical contra Youtube (plataforma de intercambio de vídeos) y de un editor contra Cyando (plataforma de alojamiento e intercambio de archivos), ambas centradas en la puesta en línea por parte de usuarios de contenido sobre el que los demandantes alegaban ser titulares de derechos.
El Tribunal Supremo de lo Civil y Penal de Alemania, que conoció de ambos litigios, planteó varias cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea (“TJUE”) con el fin de este precisase la responsabilidad de los operadores de las plataformas en línea respecto de las obras protegidas por derechos de autor que los usuarios suben a dichas plataformas de forma ilícita.
En su sentencia, el TJUE considera, entre otras cuestiones, que los operadores de plataformas en línea:
Se debe tener en cuenta que las cuestiones prejudiciales planteadas y el pronunciamiento del TJUE no atañen al régimen establecido por la Directiva 2019/790 sobre derechos de autor y derechos afines en el mercado único digital, que entró en vigor con posterioridad al momento de los hechos.
Puedes acceder a la Sentencia aquí.
El procedimiento tiene su origen en la demanda interpuesta ante el Tribunal de Empresas de Amberes por la entidad Mircom, una empresa que disponía de contratos con diversos productores de películas que le facultaban a investigar y perseguir los actos de violación de los derechos exclusivos de estos.
En la demanda, Mircom solicitaba que se ordenara a Telenet BVBA, -proveedor de acceso a internet-, que proporcionase los datos de identificación de los usuarios cuyas conexiones a internet se hubieran utilizado para compartir en redes peer-to-peer películas incluidas en el catálogo de Mircom, con el propósito de iniciar reclamaciones contra los mismos. El Tribunal belga albergaba dudas sobre la procedencia de las pretensiones de Mircom y planteó al TJUE cuatro cuestiones prejudiciales.
En la sentencia, el TJUE señala que:
Puedes acceder a la Sentencia aquí.
La Comisión Europea presentó el pasado 3 de junio una Propuesta de Reglamento por el que se modifica el Reglamento 910/2014 en lo que respecta al establecimiento de una identidad digital europea.
Según el comunicado de la Comisión Europea, la identidad digital europea:
Esta propuesta viene acompañada de una recomendación. La Comisión Europea emplaza a los Estados Miembros a crear un conjunto común de herramientas (arquitectura, normas técnicas y directrices de mejores prácticas) hasta septiembre de 2022 y a emprender de inmediato los preparativos necesarios.
Puedes acceder a la Propuesta de Reglamento aquí.