La AEPD ha publicado la versión traducida al inglés de la Guía para la gestión y notificación de brechas de seguridad publicada el pasado mes de junio. Como comentamos en el anterior boletín de noticias, la Guía tiene la finalidad de guiar a los responsables de los tratamientos de los datos personales a la hora de cumplir con su obligación de notificarlas ante las autoridades de protección de datos, así como a las personas afectadas por los datos.
Puedes consultar la versión de la Guía en inglés aquí, y en español aquí.
Nuestra reseña de la Guía se encuentra disponible aquí.
El Gabinete Jurídico de la Agencia Española de Protección de Datos (“AEPD”) ha emitido un informe analizando un tratamiento de datos biométricos, basados en el reconocimiento facial, con fines de identificación de clientes en el marco de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (“LPBCFT”).
La base jurídica propuesta por la entidad consultante era el interés público general (artículo 9.2.g) del RGPD) en relación con el artículo 3 LPBCFT. No obstante, la AEPD entiende que la aplicación de esta base de legitimación no resulta posible, por no cumplir el supuesto planteado con los requisitos establecidos en el citado artículo 9.2.g).
En opinión de la AEPD, el legislador no ha previsto el uso de datos biométricos para la identificación de las personas físicas en la normativa propia de prevención de blanqueo de capitales. Por ello, la AEPD considera que la propuesta de tratamiento de datos basados en el reconocimiento facial con fines de identificación en el marco de la ley LPBCFT no está autorizada de acuerdo con el artículo 9.2.g) del RGPD, siendo contraria a los principios de necesidad, proporcionalidad y minimización.
Puedes consultar el informe aquí.
El pasado 27 de julio, la AEPD publicó el PS/00120/2021 por el que sanciona a MERCADONA, S.A. (“Mercadona”) con más de 2.5 millones de euros diversos infracciones del RGPD, entre ellas, por carecer de base de legitimación para el tratamiento y por infracción del deber de información y transparencia.
En concreto, Mercadona inició un proceso de la instalación de cámaras de reconocimiento facial para identificar a personas que tuvieran una condena firme por haber cometido delitos en Mercadona. En opinión de la AEPD, este tratamiento no solo carece de base de legitimación, sino que no respeta los principios generales del tratamiento de necesidad, proporcionalidad y minimización.
El texto completo de la resolución se encuentra disponible aquí.
La reclamación se dirige contra la entidad PRA IBERIA, S.L. (“PRA IBERIA”) por la presunta falta de base de legitimación para reclamar una deuda por la utilización de una tarjeta de crédito contratada por teléfono, y por no atender correctamente el derecho de acceso del interesado a sus datos.
La AEPD entiende que en el presente caso corresponde a PRA IBERIA la carga de la prueba a la hora de acreditar que las entidades de las que adquirió la deuda recabaron el consentimiento inequívoco del titular de los datos objeto de tratamiento o que, al menos, ha adoptado las medidas necesarias que se le exige en el cumplimiento diligente.
Sumado a ello, la reclamante se puso en contacto con PRA IBERIA con el fin de ejercer su derecho de acceso a la información que poseen de ella sin recibir respuesta oficial al respecto.
Por todo ello, la AEPD impone una sanción de 30.000 euros por infracción del artículo 6.1 del RGPD y 30.000 euros por infracción del artículo 15 del RGPD.
Puedes consultar la resolución de la AEPD aquí.
La reclamación se dirige contra la entidad bancaria por el envío de un correo postal a un cliente que, previamente, había ejercido el derecho de oposición al envío de comunicaciones comerciales.
A pesar de que la entidad bancaria entienda que esta comunicación no se tratara de una comunicación comercial personalizada, la AEPD entiende que se trata de una acción de marketing directo y que esta “se envió al reclamante por su condición de cliente de la entidad, así como a todos los clientes” y que, “el tratamiento efectuado por la reclamada, en principio, puesto que evidentemente no existe consentimiento del interesado, únicamente podría ampararse en la concurrencia de la circunstancia del artículo 6.1.f) del RGPD”.
Por todo ello, la AEPD sanciona a la entidad bancaria con 50.000 euros por falta de legitimación del tratamiento.
Puedes leer la resolución aquí.
La AEPD publica el procedimiento sancionador PS/00180/2021 contra Telefónica Móviles España S.A.U. (“Telefónica”) por el que se le sanción con 45.000 por realizar llamadas telefónicas con fines comerciales a un cliente careciendo de base de legitimación para ello.
En la propia resolución Telefónica reconoce su propio error:
“La reclamada ha reconocido dicho error y ha señalado que ha analizado el registro de las llamadas aportadas por el reclamante en el presente expediente, y observa que, tras confirmar la recepción de estas, se ha detectado que por error se incluyó al reclamante y a su numeración en una campaña organizada por la reclamada al objeto de comprobar la existencia de averías técnicas que pudieran sufrir los clientes”.
Por ello, la AEPD sanciona a Telefónica por infracción del artículo 6.1 del RGPD.
Puedes consultar la resolución de la AEPD aquí.
La autoridad de control francesa (“Commission Nationale de lIInfromatique et des Libertés” o “CNIL”) ha sancionado a la empresa aseguradora SGAM AG2R LA MONDIALE por infracción del principio de limitación del tratamiento (artículo 5.1.e) del RGPD) y por infracción del principio de información y transparencia (artículo 13 y 14 de RGPD).
En este sentido, la CNIL entiende que a pesar de contar con una política de conservación de datos esta no fue implantada y, por lo tanto, se trataban datos personales de clientes por tiempo indeterminado. Sumado a ello, la CNIL entiende que la empresa no cumple con los requisitos de información y transparencia en las llamadas telefónicas a sus clientes.
Puedes consultar el texto de la sanción aquí.
La Autoridad de Control Noruega (“Datatilsynet”), ha sancionado con 15.000 euros a una empresa por acceder al correo electrónico de un exempleado. En concreto, la empresa sancionada cambió y accedió a la cuenta de correo electrónico durante las seis semanas posteriores a que el empleado dejará de formar parte de la plantilla. La empresa sancionada alegó, como base de legitimación, la necesidad de mantener la relación con los clientes y gestionar sus posibles consultas.
No obstante, la Datatilsynet ha considerado que la entidad empleadora carecía de base de legitimación para el tratamiento de datos derivado del uso de la cuenta de correo electrónico del exempleado infringiendo, por tanto, diversos preceptos del RGPD y sancionando a la empresa con 15.000 euros.
Puedes consultar el comunicado de prensa del CEPD aquí.
La autoridad de control italiana (“Garante per la Protezione dei Dati Personali”) ha sancionado, a raíz de una investigación desarrollada de forma conjunta con la AEPD, con 2,6 millones de euros a Foodinho (plataforma del grupo Glovo en Italia) por diversas infracciones de la legislación de protección de datos, de la ley italiana de relaciones entre empleadores y empleados, y de la recientemente promulgada legislación para proteger a los trabajadores que utilizan plataformas digitales.
En este sentido, el Garante entiende que:
Puedes consultar la resolución aquí.
La autoridad de control de Luxemburgo (“Commission Nationale pour la Protection des Données”) publicó el pasado 1 de julio una sanción de 15.000 euros por infracción de los artículos 38.1, 38.3, 39.1.a) y 39.1.b) del RGPD. En concreto, la CNPD entiende que no la empresa impedía al DPO ejercer las funciones que se le atribuyen en el RGPD llegando incluso a no convocarle a las reuniones.
Puedes consultar la sanción aquí.
La autoridad de control holandesa (“Autoriteit Persoonsgegevens”) sanciona a TikTok con 750.000 euros, por una infracción del artículo 12 del RGPD. En concreto, la AP considera que, durante el período comprendido entre el 25 de mayo de 2018 y el 28 de julio de 2020, inclusive, TikTok Inc. proporcionó su política de privacidad a los usuarios neerlandeses -incluidos los niños- únicamente en inglés.
Puede consultar el texto completo de la resolución aquí.
El pasado 9 de julio se publicó la Ley 10/2021 de trabajo a distancia que dedica varios artículos a la protección de datos de los empleados relacionados con el uso de medios digitales. En concreto, se garantiza expresamente el derecho a la intimidad de la persona que trabaje a distancia, y se indica que los mecanismos de control que pudieran existir serán idóneos, necesarios y proporcionados.
Puedes consultar la ley aquí.
Puedes consultar la nota de nuestro departamento de derecho laboral aquí.
El pasado 7 de julio, el Comité Europeo de Protección de Datos publicó las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD que actualiza las anteriores directrices publicadas el pasado 2 de septiembre de 2020.
Puedes consultar las directrices actualizadas aquí.
El pasado 14 de julio de 2021, fue presentada la Carta de Derechos Digitales. Este documento ha sido elaborado a partir del trabajo realizado por un grupo asesor de expertos seleccionado por la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital.
La Carta de Derechos Digitales no tiene carácter normativo y está sometida al ordenamiento jurídico vigente. Su objetivo es describir los retos de aplicación e interpretación que la adaptación de los derechos al entorno digital plantea, así como sugerir principios y políticas referidas a ellos.
Puedes consultar el documento aquí.
El Garante publica una nueva guía con el objetivo de reforzar el poder de decisión de los usuarios sobre el uso de sus datos personales cuando navegan por Internet. Entre otras novedades, el Garante determina que el mecanismo de obtención del consentimiento online debe garantizar que, por defecto, cuando se accede por primera vez a un sitio web, no se coloquen cookies u otros medios no técnicos dentro del dispositivo del usuario, ni se utilice ninguna otra técnica de seguimiento activa (por ejemplo, cookies de terceros) o pasiva (por ejemplo, huellas dactilares).
También se introducen novedades en relación con el deber de información y transparencia.
Puedes consultar el documento aquí.
El Ministerio de Cultura y Deporte realizó una consulta pública con carácter previo a la elaboración del Anteproyecto de Ley de modificación de la Ley 55/2007, de 28 de diciembre, del cine (“Ley del Cine”).
La consulta pretendía recabar la opinión de personas y organizaciones representativas potencialmente afectadas por la futura norma a través de la formulación de una serie de preguntas, sin perjuicio de que se pudieran presentar otras iniciativas y propuestas que se considerasen oportunas.
En la consulta, se describen los cinco objetivos que persigue el nuevo proyecto:
Según se señala, es necesario realizar una revisión de la Ley del Cine que la adapte a los avances, tanto tecnológicos como en el consumo audiovisual, que se han producido desde su aprobación en 2007.
La consulta estuvo abierta hasta las 24 horas del día 25 de julio.
Puedes acceder a la consulta aquí.
El procedimiento tiene su origen en la solicitud, por parte de la empresa Ardagh Metal Beverage Holdings GmbH & Co. KG (“Ardagh”), ante la Oficina de la Propiedad Intelectual de la Unión Europea (“European Union Intellectual Property Office” o “EUIPO”) del registro como marca de un signo sonoro producido al abrir la lata de una bebida.
La solicitud fue denegada por el examinador al considerar que carecía de carácter distintivo en el sentido del artículo 7.1 b), del Reglamento 2017/1001 sobre la marca de la Unión Europea.
El solicitante interpuso recurso contra la resolución del examinador, que fue desestimada por la Segunda Sala de Recurso de la EUIPO mediante resolución de 24 de julio de 2019. La citada resolución de la EUIPO declaró, entre otras cuestiones, que:
Ante esta resolución, Ardagh interpuso recurso ante el Tribunal General de la Unión Europea (“TGUE”). El TGUE resolvió en la sentencia de 7 de julio de 2021 desestimando el recurso interpuesto y confirmando la decisión de la Sala de Recursos de la EUIPO indicando que:
Puedes acceder a la sentencia aquí.
La patente unitaria (Unitary Patent) y el Tribunal unificado de patentes (Unitary Patent Court) son dos proyectos impulsados por la Oficina Europea de Patentes (“European Patent Office” o “EPO”). Estas iniciativas de la EPO pretenden complementar y reforzar el actual sistema de patentes europeas ofreciendo a los usuarios una protección en hasta 25 estados miembros con una única solicitud y la resolución centralizada de litigios a través de un tribunal unitario especializado.
El Tribunal Constitucional Federal Alemán anunció el 9 de julio la desestimación de dos solicitudes de medidas cautelares contra la Ley alemana de aprobación del Acuerdo sobre el Tribunal Unificado de Patentes. Esta decisión marca un paso adelante en la implementación de la Unitary Patent y el Unitary Patent Court).
Puedes consultar el comunicado de prensa de la EPO aquí.
El pasado 12 de julio, se publicó el proyecto de Real Decreto por el que se regula el desarrollo de entornos más seguros de juego (“Real Decreto”).
El proyecto de Real Decreto se centra en la protección de los consumidores en general, de determinados colectivos de participantes en particular y, de manera más amplia, en la garantía de la salud pública como razón de interés general subyacente a toda la concepción de la norma.
Puedes consultar el proyecto de Real Decreto aquí.
El Gobierno de Cantabria publica el Decreto 60/2021, de 1 de julio, por el que se modifica el Reglamento de Máquinas Recreativas y de Azar, aprobado por Decreto 23/2008, de 6 de marzo (“Decreto”).
Uno de los puntos más importantes se refiere al procedimiento de autorización de los Salones de Juego, donde se introduce una autorización provisional de funcionamiento que se elevará a definitiva solamente en el caso de que se obtenga la licencia municipal de apertura.
Se establece un régimen para las empresas que ya hubieran obtenido antes de la promulgación del Decreto la mencionada consulta previa favorable de viabilidad, teniendo un mes para acreditar los correspondientes trámites municipales.
Puedes leer el Decreto aquí.