El 16 de octubre, la AEPD publicó su “Guía de Privacidad desde el diseño” con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad en las fases previas de planificación de productos y servicios.
La denominada “Privacidad desde el Diseño” persigue que la protección de datos personales esté presente desde las primeras fases de concepción de un sistema o producto, de forma que se pueda cumplir con los requisitos definidos en la normativa de protección de datos y se garanticen los derechos de los interesados. Es decir, busca que se incorporen los principios de privacidad dentro de los procesos de diseño, operación y gestión de los sistemas de la organización para alcanzar un marco de protección integral. Asimismo, la aplicación de este principio debe perseguir la integración de la privacidad en todo el ecosistema de la compañía, tanto en los procesos técnicos como en su organización.
El RGPD, bajo la rúbrica “Protección de datos desde el diseño y por defecto”, incorpora en su artículo 25 la obligación de tener en cuenta los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios.
La AEPD establece que, con carácter previo, deben identificarse los posibles riesgos y minimizarlos mediante la adopción de medidas proactivas que permitan anticiparse a las amenazas. Por otro lado, los responsables del tratamiento deberán aplicar las medidas técnicas y organizativas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Para acceder a la Guía de Privacidad desde el Diseño de la AEPD, pinche aquí. Recientemente se ha publicado su versión en ingles.
El 8 de noviembre se publicó la “Guía sobre el uso de las cookies” a la que hemos dedicado una alerta especial que puede consultarse aquí. Poco después, el 14 de noviembre se difundió la “Guía para pacientes y usuarios de la sanidad” con el objetivo de resolver las principales cuestiones generales de la normativa de protección de datos que se aplican a los tratamientos de datos de salud realizados por los profesionales sanitarios.
En esta Guía la AEPD contempla qué derechos tienen los usuarios de la sanidad en relación con la protección de sus datos personales, considerados por la legislación como datos sensibles objeto de una especial protección. Además da respuesta a cuestiones que preocupan de forma especial a los usuarios de la sanidad referidas al tratamiento de sus datos personales.
La AEPD, incorpora también un decálogo básico dirigido al personal sanitario y administrativo de los centros de salud que incluye los puntos más relevantes de la normativa de protección de datos que deben atender. Puede consultar el Decálogo a través del siguiente link.
Para acceder a la Guía para pacientes y usuarios de la Sanidad, pinche aquí.
En la segunda mitad del año 2019, la AEPD ha publicado las siguientes Guías y Notas Técnicas:
Guías:
- Recomendaciones para empresas y AAPP en las políticas de prevención del acoso. Publicada el 16 de diciembre de 2019.
- Guía sobre el uso de las cookies. Publicada el 12 de noviembre de 2019. Esta Guía también ha sido publicada en inglés.
- Guía de Privacidad desde el diseño. Publicada el 12 de noviembre de 2019.
- Fichas de protección de datos para la prevención de delitos. Publicada el 10 de septiembre 2019.
- Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas. Publicado el 14 de agosto de 2019.
Notas técnicas:
- El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles. Publicada el 30 de noviembre de 2019.
- Privacidad en DNS. Publicada el 29 de noviembre de 2019.
Las empresas que utilizan el botón “Me gusta” deben pedir autorización a los usuarios para transmitir sus datos personales a Facebook
El Tribunal de Justicia de la Unión Europea (“TJUE”), en su Sentencia de 29 de julio de 2019, se pronunció sobre la inclusión en determinadas páginas web del botón “Me gusta” de Facebook. De acuerdo con la sentencia, las empresas que lo incorporan son responsables de la recogida y transmisión a Facebook de los datos personales de los visitantes y deben solicitar su autorización.
El procedimiento que da origen a esta sentencia se inició con la denuncia presentada por una asociación de protección de los consumidores alemana (Verbraucherzentrale NRW) frente a la entidad Fashion ID GmbH & Co. KG (“Fashion ID”), empresa de comercio electrónico dedicada a la venta de prendas de ropa. En concreto, la citada asociación alegaba que la página web de Fashion ID transmitía datos personales a Facebook incumpliendo sus obligaciones de información y consentimiento.
El Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, órgano encargado de decidir sobre la citada denuncia, planteó una cuestión prejudicial al TJUE que tenía por objeto la interpretación de una serie de artículos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo (información al interesado, legitimación del tratamiento, entre otros), en concreto los artículos 2, 7, 10 y 22 a 24.
De acuerdo al criterio marcado por el TJUE en la resolución dictada en este asunto:
- Cuando un visitante consulta la página web en cuestión sus datos personales se transmiten a Facebook Ireland sin que el visitante sea consciente de ello, e independientemente de si es o no miembro de la red social Facebook o si ha hecho clic en el botón “Me gusta”. Los usuarios no han sido informados de esta transmisión ni se les ha solicitado su consentimiento para ello.
- Considera que Fashion ID y Facebook serían corresponsables de este tratamiento puesto que ambos determinan conjuntamente los fines y medios del mismo.
- La responsabilidad de Fashion ID no abarca las actividades de tratamiento posteriores que lleve a cabo Facebook con la información cedida, sino que es responsable en cuanto al tratamiento para el cual efectivamente tome las decisiones sobre los fines y los medios.
- El consentimiento de los usuarios para dicha transmisión de datos debe recabarse por el propietario de la página web y no por Facebook.
La red social, por su parte, alegó que este tipo de botones son comunes en la actualidad y se utiliza por más de una red social a parte de Facebook, como por ejemplo, LinkedIn o Twitter. Ha manifestado que están revisando las condiciones de la utilización de este tipo de botones, para que tanto ellos como sus socios puedan continuar beneficiándose de los mismos de acuerdo con la Ley.
Puede acceder a la resolución completa a través del siguiente link.
El Tribunal de Justicia de la Unión Europea se pronuncia sobre las condiciones del consentimiento para la instalación de cookies
El TJUE, en su resolución de 1 de octubre de 2019, resolvió una cuestión prejudicial planteada por el Tribunal Supremo de lo Civil y Penal de Alemania sobre el consentimiento necesario para la instalación de cookies.
La cuestión prejudicial tiene por objeto la interpretación de determinados artículos de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva e-Privacy), en relación con (i) la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Directiva 95/46/CE); y (ii) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (RGPD).
La cuestión se planteó por un litigio entre la Federación de Organizaciones y Asociaciones de Consumidores — Federación de Organizaciones de Consumidores de Alemania (la “Ferecación”) y Planet49 GmbH (“Planet49”), autoridad especializada en ofrecer juegos en línea. La Federación detectó diversas irregularidades en la recogida del consentimiento prestado por los participantes en un juego con fines promocionales organizado a través del sitio web. En la página web de Planet49 aparecían dos cláusulas acompañadas por dos casillas: una relativa al envío de comunicaciones comerciales, y otra que solicitaba el consentimiento para la instalación de cookies.
La segunda casilla, sobre la que versa la cuestión prejudicial, estaba marcada por defecto y textualmente, establecía lo siguiente: “Presto mi consentimiento para el uso del servicio de análisis de páginas web Remintrex. En consecuencia, el organizador del juego con fines promocionales, [Planet49], instalará cookies una vez me haya registrado en el juego, lo que le permitirá analizar mi comportamiento de navegación y uso de páginas web de socios publicitarios y enviarme publicidad específica conforme a mis intereses a través de Remitrex. Puedo cancelar las cookies en cualquier momento. Aquí puede obtener más información”.
A raíz de lo anterior, el Tribunal alemán solicitó al TJUE que se pronunciase sobre la validez de un consentimiento prestado mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de no desear prestarlo.
La normativa reguladora de la protección de datos personales en el contexto de los servicios de la sociedad de la información, establece que el consentimiento prestado debe provenir de un comportamiento activo del usuario, y el hecho de que la casilla para prestarlo esté premarcada no cumple los requisitos de que éste se preste de forma “libre, específica, informada e inequívoca”.
Además, el TJUE concluyó que “no puede descartarse que el usuario no haya leído la información que acompaña a la casilla marcada por defecto, o que ni tan siquiera la haya visto, antes de proseguir con su actividad en el sitio de internet que visita”.
El Tribunal alemán, en relación con lo anterior, solicitó el esclarecimiento por parte del TJUE de si la colocación de cookies constituye un tratamiento de datos personales. Al respecto, el TJUE resolvió que la Directiva sobre privacidad y comunicaciones electrónicas tiene como finalidad proteger la esfera privada del usuario frente a cualquier injerencia, independientemente del tipo de información que pueda afectarse, es decir, sea esta personal o no.
Por otra parte, en la cuestión prejudicial también se planteaba la cuestión de si la información que debe proporcionarse al usuario debe incluir el tiempo durante el cual las cookies están activas y la posibilidad de acceso a la información por parte de terceros.
El TJUE, que confirmó lo que ya había sido anunciado por el Abogado General al respecto, resolvió que “una información clara y completa debe permitir al usuario determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa”.
Lo anterior, sumado a que la información previa establecida por la normativa para solicitar el consentimiento del usuario no se considera una lista exhaustiva (en la Directiva 95/46 se utiliza la expresión “por lo menos”), desembocó en que el Tribunal considerase que, para que el tratamiento de los datos sea leal, dicha información sí debería proporcionarse puesto que la instalación de cookies en los dispositivos de los usuarios implica la recogida de información de sus servidores (entre otros, los hábitos de navegación y la frecuencia de visitas del usuario a los sitios web).
Para acceder a la resolución del TJUE, pinche aquí.
Airbnb tiene la consideración de prestador de servicios de la sociedad de la información
El pasado día 19 de diciembre, el Tribunal de Justicia de la Unión Europea (“TJUE”) publicó una resolución relevante que afecta a los nuevos negocios basados en internet: la Sentencia del Tribunal de Justicia (Gran Sala) de 19 de diciembre de 2019 (Asunto C‑390/18), que establece la condición de Airbnb Ireland UC (“Airbnb”) como prestador de servicios de la sociedad de la información, considerando que no se trata de un agente inmobiliario.
La cuestión prejudicial planteada por el Tribunal de Primera Instancia de París tiene como objeto la interpretación del artículo 3 de la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (“Directiva de comercio electrónico”).
La cuestión prejudicial surgió a raíz de un procedimiento en el que las partes eran (i) Airbnb y (ii) Association pour un hébergement et un tourisme professionnels (Asociación para el turismo y el alojamiento), “AHTOP”. AHTOP inició el procedimiento porque consideraba que Airbnb no estaba en posesión de la tarjeta profesional que se exige para sujetos encargados de realizar transacciones inmobiliarias, considerando a la plataforma como un agente inmobiliario. Así, el Tribunal francés solicitó aclaración al TJUE sobre si el servicio prestado por Airbnb debe considerarse un servicio de la sociedad de la información y por lo tanto estaría sujeto a lo dispuesto por la Directiva de comercio electrónico, o por el contrario debería aplicársele la normativa aplicable al ejercicio de la profesión de agente inmobiliario en Francia.
El Tribunal hace referencia al artículo 2.a)[1] de la Directiva en cuestión, en cuanto a la definición de lo que debe considerarse un servicio de la sociedad de la información.
Por otra parte, y en cuanto a Airbnb, el TJUE sostiene que se trata de un servicio de intermediación que, a través de medios electrónicos y a cambio de una comisión, pone en contacto potenciales huéspedes con anfitriones (profesionales o no), que ofrecen servicios de alojamiento a corto plazo. Además, ofrece a los arrendadores otro tipo de prestaciones (fotografía, seguro de responsabilidad civil y garantía por daños de 800.000 euros).
Mientras que AHTOP consideraba que los anteriores servicios adicionales vinculaban directamente a Airbnb con la actividad de un agente inmobiliario, en opinión del TJUE, el servicio de intermediación es disociable de la transacción inmobiliaria en la medida en que “sobre la base de una lista estructurada de los alojamientos disponibles en la plataforma electrónica que correspondan a los criterios de las personas que buscan un alojamiento de corta duración, proporciona un instrumento que facilita la conclusión de contratos en futuras transacciones. La creación de esa lista en beneficio tanto de quienes dispongan de alojamientos para arrendar como de quienes buscan ese tipo de alojamiento constituye el principal rasgo de la plataforma electrónica gestionada por Airbnb”.
Conclusiones del Abogado General sobre el caso “Schrems II”
También a punto de finalizar el 2019 hemos conocido las conclusiones del Abogado General Saugmandsgaard Øe en relación al denominado caso “Schrems II” (Asunto C-311/28).
Recordemos que el activista austriaco Maximilian Schrems adquirió relevancia pública con la presentación de una reclamación frente a Facebook que desembocó en la anulación de los Acuerdos de Puerto Seguro (caso “Schrems I”), generando inseguridad jurídica respecto a las condiciones en las que se podían llevar a cabo transferencias de datos a Estados Unidos legalmente.
El caso “Schrems II” tiene un alcance mayor ya que se refiere a las cláusulas contractuales tipo aprobadas por la Comisión en su Decisión 2010/87/UE[2]. La firma de dichas cláusulas contractuales entre el importador y el exportador de los datos es uno de los mecanismos o garantías que garantizan las transferencias internacionales sin autorización de la autoridad de control competente a cualquier estado fuera del Espacio Económico Europeo (no solo a Estados Unidos).
El Abogado General no ha encontrado en su análisis elementos que afecten a la validez de las cláusulas contractuales tipo, resaltando, entre otros aspectos, que el nivel de protección adecuado se logra en este caso a través de compromisos contractuales que obligan al exportador de los datos. De esta forma, las cláusulas contractuales tipo adoptadas por la Comisión prevén un mecanismo general aplicable a las transferencias independientemente de cuál sea el país de destino y la normativa vigente en el mismo.
La opinión del Abogado General no es vinculante y quedamos, por tanto, pendientes de la sentencia del TJUE que conoceremos en 2020.
[1] Según este artículo, que a su vez redirige a la Directiva 98/48/CE, de 20 de julio de 1998, "servicio", será “todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios. A efectos de la presente definición, se entenderá por:
· "a distancia", un servicio prestado sin que las partes estén presentes simultáneamente;
· "por vía electrónica", un servicio enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético;
· "a petición individual de un destinatario de servicios", un servicio prestado mediante transmisión de datos a petición individual”.
[2] Decisión de la Comisión, de 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
La AEPD ha publicado diversos informes jurídicos durante el año 2019, analizando las consultas planteadas por los responsables y encargados del tratamiento. Resumimos su contenido a continuación.
|
Referencia |
Título |
Palabras Clave |
Resumen |
Decisión de la AEPD |
Link |
|---|---|---|---|---|---|
|
012007/2019 |
Investigación histórica datos de Autoridades y Funcionarios
|
Publicación, finalidad de investigación científica e histórica, interés público. |
Se planteó a la AEPD una consulta sobre el libro “Derecho penal franquista y homosexualidad: del pecado y la aberración sexual al estado de peligrosidad”, que el Ministerio de Justicia estaba interesado en publicar, y en el que se incluían datos personales de funcionarios públicos (médicos y jueces, entre otros) que, en aplicación de las leyes del régimen anterior, cometieron actos discriminatorios sobre personas homosexuales.
|
Ante esta consulta, la AEPD considera que los datos personales de dichos profesionales pueden ser publicados ya que se trata de una investigación histórica y de datos personales correspondientes a autoridades y funcionarios públicos relacionados con el ejercicio de sus funciones que revisten un claro interés público. La publicación de dichos datos no es contraria a la normativa sobre protección de datos de carácter personal. La AEPD, además realiza una diferenciación respecto a las personas que hubieran fallecido a las cuales no es de aplicación la normativa de protección de datos.
|
|
|
0030/2019 |
Publicación de las calificaciones de asignaturas impartidas en los estudios de Grado |
Calificaciones, interés legítimo, principios protección de datos |
A petición de una Universidad, la AEPD emitió un informe en el que valora si se ajusta a la normativa de protección de datos la publicación de las calificaciones de asignaturas impartidas en los estudios de Grado entre los compañeros de un mismo grupo, a través de los tablones de anuncios de la Universidad. |
La AEPD concluye que resulta lícita la publicación de las notas obtenidas en los estudios de Grado, siempre y cuando se respeten en todo caso los principios recogidos en el artículo 5 RGPD de modo que suponga la menor injerencia en los derechos y libertades de los interesados. Esto excluye la posibilidad de un conocimiento generalizado de las calificaciones. Las calificaciones se podrán publicar a través del acceso a un aula virtual, intranet o bien un tablón de anuncios ubicados fuera de las zonas comunes de los centros que estuviera limitado al acceso por parte de profesores y compañeros del grupo.
|
|
|
010601/2019 |
Tratamiento de datos en el ámbito universitario
|
Universidad, tratamiento de datos personales. |
La consulta planteaba numerosas cuestiones relativas al tratamiento de datos personales en el ámbito universitario (como por ejemplo, publicación de artículos científicos, acceso al contenido de los trabajos de los alumnos, a datos académicos de cargos públicos, o acceso de los progenitores a las calificaciones de sus hijos económicamente dependientes, entre otras muchas cuestiones).
|
La AEPD concluye elaborando un Informe Jurídico de 85 páginas. Entre todas, por su interés, destacan las siguientes: · Acceso a los datos académicos de cargos públicos y a la publicación de dichos datos en el portal de transparencia de las universidades: procederá el acceso a datos de cargos de la propia Universidad siempre que, se realice conforme a los supuestos contemplados en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (“LTAIBG”) y aplicando las cautelas que en la misma se establecen, especialmente lo previsto en su artículo 15, y de conformidad a lo señalado en los criterios interpretativos conjuntos que puedan adoptar el Consejo de Transparencia y Buen Gobierno y la AEPD. · Publicación de la producción científica del personal investigador: podría procederse a la publicación siempre que las normas internas de cada universidad concreten el procedimiento de elaboración de los índices, de tal manera que se previera dicha publicación, lo cual podría estar amparado por el artículo 6.1.b) del RGPD.
|
|
|
000809/2019 |
Consulta sobre las entidades concesionarias administrativas de servicios públicos, conforme al artículo 33.2 |
Contratación administrativa, sujetos implicados en el tratamiento |
La consulta plantea si, conforme a lo previsto en el artículo 33.2 LOPDGDD, las entidades concesionarias administrativas de servicios públicos (encargadas del tratamiento en la gestión municipal en diversas tareas) deben seguir siendo consideradas como tal y no como responsables (la AEPD, en su informe 541/2008 apuntó a un “doble carácter”). |
La AEPD hace referencia a la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público para resolver el asunto. Dicha norma considera a la entidad pública contratante como el responsable del tratamiento, derivado de la actividad contractual en la gestión de los servicios públicos de competencia local.
El criterio de la AEPD es que, con carácter general, las entidades contratadas tendrán la consideración de encargadas del tratamiento. En el supuesto consultado se da un acceso a los datos por un tercero (la entidad concesionaria), correspondiendo al responsable la determinación de los fines y medios. Por lo tanto, el título jurídico habilitante derivará del propio contrato administrativo suscrito, que le confiere la condición de encargada del tratamiento.
|
|
|
013704/2019 |
Tratamiento de los datos del Padrón municipal en unos supuestos determinados |
Padrón, legitimación del tratamiento |
La consulta del Consejo de Empadronamiento a la AEPD versa sobre la posibilidad de plasmar en los certificados y volantes de empadronamiento, los nombres y apellidos de las personas empadronadas en un mismo domicilio aun sin disponer de su consentimiento expreso siempre que el solicitante sea una de ellas y con la finalidad de acreditar la convivencia en el domicilio.
La consulta solicita que se haga mención expresa a (i) inscripciones efectuadas conjuntamente o con la autorización de un mayor de edad previamente inscrito en la vivienda e (ii) inscripciones efectuadas sin autorización de ningún mayor de edad previamente inscrito (personas que ya no residen en la vivienda). |
La AEPD establece en su informe que el interesado deberá ser informado del tratamiento de sus datos personales y de la base jurídica del mismo (en este caso, el interés legítimo).
La AEPD da la posibilidad al Consejo de Empadronamiento de, con base en el art. 17.4.c) de la Ley 7/1985, Reguladora de las Bases del Régimen local), puede establecer criterios de ponderación entre el interés legítimo del responsable o del tercero que lo invoca y los derechos de los interesados atendiendo a la concreta finalidad del tratamiento y a sus circunstancias.
En el caso concreto en el que se fundamenta la consulta, la AEPD apunta a que la ponderación podría ser favorable al interés legítimo invocado por el tercero. En el caso de las personas que figuran empadronadas y han dejado de residir en la vivienda, podrían prevalecer sus derechos e intereses. Sin perjuicio de los criterios generales determinados, siempre habrá de atenderse al caso concreto.
|
