La Comisión Europea ha publicado una nueva Propuesta de Reglamento sobre Inteligencia Artificial (“IA”). El objetivo de la Comisión Europea es generar confianza en los sistemas de IA, mitigar los riesgos asociados a estos, e impulsar la inversión y la innovación en el desarrollo futuro de la IA en Europa.
La propuesta contempla distintos niveles de sistemas de IA y los categoriza según el nivel de riesgo que supone para los derechos y libertades de las personas: riesgo inadmisible, alto riesgo, riesgo limitado y riesgo mínimo o nulo. Cada nivel de riesgo implicará la sujeción a unas determinadas obligaciones y requisitos.
El Comité Europeo de Protección de Datos (“CEPD”) adoptó el pasado 13 de abril una nueva versión de la Guía 8/2020 sobre targeting de usuarios en redes sociales. El targeting de usuarios permite conocer en detalle los usuarios y categorizarlos en base a una amplia gama de criterios sin que los interesados sean conscientes de ello.
Como parte de su modelo de negocio, las empresas proveedoras de redes sociales suelen ofrecen la posibilidad de impactar con mensajes publicitarios a los usuarios de la red social según sus comportamientos e intereses.
El objetivo principal de esta guía es aclarar las funciones y responsabilidades de las empresas proveedoras de redes sociales y los targeters, esto es, las personas físicas o jurídicas que impactan con mensajes a los usuarios de las redes sociales con el objetivo de dirigir su comportamiento hacia determinados intereses comerciales, políticos o de otro tipo.
La Agencia Española de Protección de Datos (“AEPD”) ha publicado una guía que establece determinadas recomendaciones en materia de protección de datos para las solicitudes de acceso al “Sandbox financiero”, el espacio de pruebas para experimentar con modelos de negocio novedosos que aún no cuentan con un marco regulatorio claro, de conformidad con lo previsto en la Ley 7/2020, de 13 de noviembre, para la transformación digital del sistema financiero.
El 27 de abril, la AEPD publicó el documento “10 malentendidos relacionados con la anonimización” con el objetivo de sensibilizar al público sobre algunos malentendidos relacionados con el proceso de anonimización
El informe 57/2020 responde a una consulta que plantea si el contenido del derecho al olvido, regulado en el artículo 17 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 elativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), y en el artículo 93 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”), comprende los resultados de la búsqueda en Internet cuando esta se realiza a partir de otras informaciones que no sean necesariamente el nombre.
De acuerdo con el criterio de la AEPD, como regla general, el derecho al olvido frente a buscadores abarca únicamente la búsqueda realizada a partir del nombre y apellidos. No obstante, la AEPD considera que, con carácter excepcional, se podrá admitir el derecho al olvido frente a buscadores cuando se realice la búsqueda utilizando otros términos que produzcan los mismos efectos que el nombre y apellido en cuanto a la identificación y singularización de una persona física. La invocación de estos términos y su correspondiente acreditación corresponderá al afectado en cuestión.
Por lo tanto, para que el derecho al olvido pueda reconocerse sobre la base de otra información diferente al nombre y apellido, deberán analizarse las circunstancias concurrentes en cada caso para llevar a cabo una ponderación que ofrezca un “justo equilibrio” entre los derechos afectados (principalmente, el derecho a la libertad de expresión e información y el derecho al olvido del interesado).
El Informe 149/2019 del Gabinete Jurídico de la AEPD analiza distintos aspectos relacionados con el acceso por terceros a datos personales de participantes en procesos públicos de contratación cuando uno de los criterios de valoración es la condición de víctima de violencia de género.
En relación con el acceso al expediente administrativo por parte de un participante en el proceso de contratación, la AEPD recuerda que la normativa administrativa aplicable contempla el derecho de los participantes a acceder a los datos obrantes en el proceso público de contratación.
De acuerdo con lo anterior, la autoridad de control española considera lícito el acceso al expediente administrativo (en el que se pueden contener datos personales de todos los participantes del proceso) por parte de un participante al estar legitimado para dar cumplimiento a una obligación legal aplicable al responsable del tratamiento.
No obstante lo anterior, la AEPD recalca que la finalidad del derecho de acceso al expediente no es otra que la de garantizar un derecho fundamental (derecho de defensa), pero este derecho no es absoluto y deben respetarse, en cualquier caso, los principios aplicables en materia de protección de datos.
Respecto al acceso a la información por parte de un tercero que no ostente la condición de participante en el proceso de contratación, y que quiera acceder a información relacionada con la situación de víctima de violencia de género, la AEPD considera que deberá darse audiencia al titular de los datos. La AEPD entiende que, dependiendo de las circunstancias particulares del caso, se puede considerar que prevalece el derecho a la protección de datos frente a la trasparencia.
Por último, en relación con la posibilidad de acceso por parte de un miembro de la corporación local, es lícito siempre y cuando el acceso sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, observando, en cualquier caso, los principios en materia de protección de datos y, en especial, al principio de limitación de la finalidad del tratamiento.
El Informe 81/2019 del Gabinete Jurídico de la AEPD responde a la consulta planteada sobre la licitud del tratamiento de datos en un sistema de información crediticia que contiene tanto información relativa al cumplimiento de obligaciones dinerarias (información positiva o “ficheros positivos”), como información relativa al incumplimiento de tales obligaciones (información negativa) al amparo de la base jurídica del artículo 6.1.f) del RGPD (interés legítimo).
En opinión de la AEPD, los tratamientos de datos personales por los responsables en los “ficheros positivos” no pueden ampararse en el interés legítimo del responsable o del tercero, al prevalecer los intereses, derechos y libertades fundamentales de los afectados ya que el legislador nacional ni ha regulado los ficheros positivos como un supuesto de interés público, ni ha establecido una presunción, iuris tantum de prevalencia del interés legítimo, identificando los requisitos y las garantías adecuadas.
En fecha 23 de abril, la AEPD ha impuesto a EQUIFAX IBÉRICA, S.L. (“EQUIFAX”) una sanción de 1 millón de euros por la infracción de varios principios de protección de datos y el tratamiento ilícito de datos personales. En particular, la AEPD considera que la conducta de EQUIFAX supone una infracción de los artículos 5.1.b) RGPD; 6.1, en relación con el artículo 5.1.a RGPD; 5.1.d) RGPD; 5.1.c) RGPD y 14 del RGPD.
La AEPD había recibido noventa y seis reclamaciones por presunta vulneración de la normativa de protección de datos. Estas reclamaciones versaban sobre la incorporación de datos personales de los reclamantes en un Fichero de Reclamaciones Judiciales y Organismos Públicos (“FIJ”) asociado a supuestas deudas de estos.
Además de esta multa administrativa de 1 millón de euros, la AEPD ha impuesto a EQUIFAX la prohibición de que continúe con el tratamiento de datos personales que realizaba a través del FIJ y le ha obligado a que proceda a la supresión de todos los datos personales que son objeto de tratamiento a través del FIJ asociados a presuntas deudas.
La AEPD ha impuesto una sanción de apercibimiento a IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. (“IBERIA”) por llevar a cabo la instalación de un nuevo sistema de control de asistencia mediante huella dactilar sin facilitar la información requerida por el artículo 13 del RGPD.
No obstante lo anterior, la AEPD tiene en cuenta las alegaciones realizadas por IBERIA, en las que la mencionada entidad acreditó haber adoptado medidas razonables para cesar en la infracción. En particular, IBERIA acreditó haber realizado una comunicación a los interesados informándoles sobre todas las exigencias contempladas en el artículo 13 del RGPD.
De conformidad con lo anterior, la AEPD impone a IBERA una sanción de apercibimiento.
En fecha 16 de abril, la AEPD ha impuesto una sanción de apercibimiento al Ministerio de Defensa por infracción del principio de minimización de datos por considerar que el Ministerio dispone de un sistema de cámaras de videovigilancia cuya captación de imágenes es excesiva.
La AEPD considera que las cámaras captaban ángulos de visión excesivos respecto a la finalidad perseguida, en concreto pudiendo afectar a derechos de los vecinos colindantes.
La AEPD inició un procedimiento sancionador frente a KUTXABANK, S.A. (“KUTXABANK”) por presunta infracción del artículo 17 del RGPD en relación con el artículo 32 de la LOPDGDD por no disponer de los mecanismos adecuados, según la normativa de protección de datos, para atender el ejercicio del derecho de supresión.
Por esta infracción, la AEPD impuso a KUTXABANK una multa administrativa de 100.000 euros que fue abonada por la compañía haciendo uso de las reducciones previstas abonando la cuantía final de 60.000 euros.
La Autoridad de Control de Rumanía (“ANSPDCP”) ha impuesto una sanción del equivalente a 10.000 euros a TELEKOM ROMANIA MOBILE COMMUNICATIONS S.A. (“TELEKOM”) por incumplimiento del artículo 32.1 y 2 del RGPD.
La ANSPDCP considera que TELEKOM no aplicó las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento, lo que condujo a la divulgación no autorizada de datos personales.
La autoridad de protección de datos holandesa ha impuesto a la compañía Booking.com (“BOOKING”) una sanción de 475.000 euros por comunicar una brecha de seguridad de datos personales fuera de plazo. En concreto, BOOKING notificó la brecha de seguridad con 22 días de retraso respecto del plazo máximo de 72 horas tras tener constancia de esta.
La brecha de seguridad sufrida por BOOKING afectó a más de 4.000 clientes que habían realizado una reserva a través del portal web de BOOKING para hoteles en Holanda. Esta sanción es de fecha 10 de diciembre de 2020 pero no ha sido publicada por la DPA Holandesa hasta el 31 de marzo de 2021.
El CEPD ha publicado la Guía 03/2021 sobre la aplicación del artículo 65.1.a) del RGPD (“Guía 03/2021”). Actualmente se encuentra en fase de consulta pública hasta el 28 de mayo de 2021.
El artículo 65.1.a) del RGPD contempla la adopción de una decisión vinculante del Comité Europeo de Protección de Datos en el caso de que una autoridad de control haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal, o esta haya rechazado dicha objeción por no ser pertinente o no estar motivada.
La Guía 03/2021 aclara la aplicación del artículo 65.1.a) del RGPD, delimitando las principales etapas del procedimiento y aclarando las competencias del CEPD al adoptar una decisión jurídicamente vinculante sobre la base del artículo 65.1.a) del RGPD.
El CEPD ha publicado una Guía-Adenda que complementa la Guía 1/2018 sobre criterios de certificación (“Guía-Adenda”) con orientaciones sobre la evaluación de criterios de certificación en materia de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el RGPD.
La Guía-Adenda ha sido publicada como anexo a las “Directrices 1/2018 sobre la certificación y la determinación de los criterios de certificación de conformidad con los artículos 42 y 43 del RGPD”. Este documento está abierto a consulta pública hasta el 26 de mayo de 2021.
El CEPD ha adoptado en fecha 13 de abril la Declaración 04/2021 sobre los acuerdos internacionales que incluyen transferencias internacionales. El CEPD emplaza a los Estados Miembros a evaluar y revisar sus acuerdos internacionales que impliquen transferencias internacionales de datos personales.
El CEPD y el Supervisor Europeo de Protección de Datos (“SEPD”) han emitido el Dictamen Conjunto 04/2021 sobre la “Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a un marco para la expedición, verificación y aceptación de certificados interoperables de vacunación, de test y de recuperación para facilitar la libre circulación durante la pandemia de COVID-19” (“Digital Green Certificate”).
En fecha 15 de abril, la AEPD ha publicado el proyecto “Lo paras o lo pasas”, una iniciativa para fomentar el uso del Canal Prioritario para denunciar la difusión de contenidos sexuales o violentos.
La Agencia de la Unión europea para la Ciberseguridad (“ENISA”) ha lanzado una herramienta online para ayudar al sector sanitario a identificar riesgos de ciberseguridad y facilitarle el uso de las “Directrices de Contratación para la ciberseguridad en Hospitales” publicadas en 2020.
En el caso TUNELN INC, WARNER MUSIC UK LIMITED y SONY MUSIC ENTERTAIMENT UK LIMITED, el Tribunal de Apelación de Reino Unido ha rechazado los argumentos referentes a que Reino Unido debe apartarse de la jurisprudencia del TJUE sobre lo que constituye “comunicación al público”.
La ministra de Industria, Comercio y Turismo, Dña. Reyes Maroto, ha presentado el “Plan Estratégico 2021-2024 de la Oficina Española de Patentes y Marcas” (“OEPM”). Se trata de un plan de acción en el que se desglosan los objetivos y estrategias que serán la hoja de ruta de la OEPM durante los próximos años.
Este protocolo constituye un Código de Conducta voluntario que autorregula la colaboración entre el sector de la cultura y el sector de los operadores de acceso a internet. El mencionado código será firmado por la Coalición de Creadores e Industrias de contenidos, DigitalES y los operadores de acceso a Internet que forman dicha asociación, además de Euskatel y Eurona.
El Centro Español de Derechos Reprográficos (“CEDRO”) ha conseguido cerrar 23 grupos de Facebook que sumaban cerca de 1 millón de usuarios en los que se compartían miles de títulos de libros sin contar con la autorización de sus titulares de derechos.
La empresa WALLMART INC deberá pagar a ECOARK HOLDINGS, INC (propietaria de ZEST LABS INC) la cantidad de 115 millones de dólares. El tribunal ha considerado que WALLMART se apropió indebidamente y con mala fe de secretos comerciales de ZEST, además de incumplir las obligaciones contractuales asumidas entre ambas compañías.