El pasado 9 de febrero, el Tribunal de Justicia de la Unión Europea (en adelante el “TJUE”) se pronunció, en el marco de un caso alemán, sobre las circunstancias en las que un Delegado de Protección de Datos (en adelante “DPD”) puede incurrir en conflicto de interés y que, por consiguiente, pueden dar lugar a su destitución.
En el caso que ocupó al TJUE, se planteaba la destitución de un DPD que además de este cargo ejercía funciones de presidencia y vicepresidencia en el seno de varios comités de empresa. La destitución venía motivada por la existencia de un conflicto de interés entre los cargos que ocupaba.
El artículo 38.3 del Reglamento General de Protección de Datos (en adelante “RGPD”) impide destituir o sancionar a un DPD con motivo del desempeño de sus funciones, pero no se determina el alcance específico de esta prohibición, por lo que el TJUE se basa en una sentencia previa en la que se confirma que una destitución, cuya consecuencia es relevar al DPD de sus funciones, entraría dentro de la prohibición del 38.3 independientemente del tipo de relación laboral que exista entre el responsable/encargado y su DPD.
Esta prohibición se basa en la preservación del espíritu de la norma, la cual pretende que se garantice un nivel de protección equivalente en toda la Unión; algo que sería imposible si los DPD estuviesen sometidos a instrucciones específicas por parte de responsables o encargados en el ejercicio de sus funciones. El 38.3 viene pues a proteger la necesaria independencia funcional del DPD.
Según el TJUE, esta prohibición no es contraria a que los Estados miembros definan disposiciones específicas más protectoras de la figura del DPD, siempre y cuando sean compatibles con los preceptos del RGPD y con la consecución del objetivo que persigue, a saber: “garantizar un nivel uniforme y elevado de protección de las personas físicas […] y que la aplicación de las normas […] sea coherente y homogénea”. En este sentido, no serían compatibles normas que impidiesen la destitución de un DPD que no mantuviese las cualidades profesionales necesarias para ejercer sus funciones, que no cumpliese con estas conforme al RGPD o que no mantuviese la independencia funcional, por constatarse un conflicto de interés que impidiese garantizar los objetivos que persigue el RGPD.
El TJUE confirma la compatibilidad general de una norma nacional que limite la destitución de un DPD por causa grave por motivos distintos al desempeño de sus funciones siempre que sea compatible con el Derecho de la Unión y con los objetivos que persigue.
Por lo que respecta a la cuestión del conflicto de interés, el RGPD no impide que un DPD ejerza funciones adicionales a las que le corresponden en su calidad de DPD, aunque el art. 38.6 excluye explícitamente aquellas que puedan suponerlo. Para abarcar lo que se entiende por conflicto de interés, el TJUE se remite a su significado en el contexto del lenguaje corriente: toda aquella encomienda que pueda perjudicar el correcto desempeño de sus funciones como DPD. Una vez más, el TJUE pretende con esta interpretación, garantizar la independencia funcional del DPD y los objetivos que persigue el RGPD en su conjunto.
Ateniéndose a las funciones que tiene asignadas un DPD, en particular la de supervisar el cumplimiento de las políticas del responsable/encargado, se infiere que cualquier función que implique determinar los fines y medios de los tratamientos de datos personales es directamente incompatible por infringir el principio básico de segregación de funciones.
En este sentido, el TJUE aclara que puede existir un conflicto de interés en aquellos casos en los que el DPD tenga funciones asignadas que impliquen la determinación de los fines y medios de los tratamientos, pero que la valoración debe ser individualizada, conociendo la situación de conjunto, la estructura organizativa del responsable/encargado, el alcance de esas otras funciones, así como las políticas y normas internas de la compañía.
Puede encontrar el texto completo de la resolución en este enlace.
Desde el 23 de febrero, se encuentra disponible en la web de la Agencia Española de Protección de Datos (en adelante, “AEPD”) el informe preceptivo emitido en relación con el Anteproyecto de Ley reguladora de la protección de personas que informen sobre infracciones normativas y de lucha contra la corrupción por el que se transpone la Directiva (UE) 2019/1937 (el “Anteproyecto”).
Recordamos que la norma finalmente aprobada se publicó en el Boletín Oficial del Estado de 20 de febrero y puede consultarse aquí.
Los puntos más destacados del citado informe son los siguientes:
1º. Sobre la posición jurídica de los intervinientes en la gestión del canal denuncias, la AEPD explica que, en virtud de las funciones que se le atribuyen en el Anteproyecto, el responsable del tratamiento es el órgano de administración u órgano de gobierno de cada entidad u organismo obligado. Los terceros externos contratados por las entidades obligadas para atender el canal tendrán la consideración de encargados del tratamiento. El texto final de la norma ha recogido expresamente esta categorización.
2º. En relación con la presentación de denuncias anónimas, nuestra autoridad de control aclara que, para excluirlas del ámbito de aplicación de la normativa de protección, las comunicaciones no deben contener ninguna información que se pueda relacionar con una persona física identificada o identificable. No basta con que la denuncia sea anónima: tampoco puede incluir en su texto referencias a presuntos infractores o terceros que sean personas físicas. Por otro lado, garantizar el anonimato de las denuncias no consiste únicamente en no solicitar el nombre del denunciante. Por ejemplo, los sistemas de denuncias deberían evitar almacenar la IP o número de teléfono; o incluso la voz sin distorsión (puesto que la voz se considera dato personal).
3º. La AEPD resalta la importancia de cumplir con los principios del artículo 5 del RGPD y aplicar medidas de responsabilidad proactiva a lo largo de todo el informe. Así, los responsables deberán velar por la aplicación del principio de minimización de datos, de modo que los datos que se incluyan en los sistemas sean necesarios, adecuados y pertinentes para la finalidad pretendida. Puesto que no deberían ser objeto de tratamiento datos no necesarios para el conocimiento e investigación de las actividades objeto de denuncia, se recomienda que se supriman todos aquellos datos innecesarios, incluyendo los que se refieran a conductas que no estén dentro del ámbito de aplicación de la ley. También deberán suprimirse las informaciones facilitadas o las partes de las comunicaciones que se demuestre que no son veraces para cumplir con el principio de exactitud.
4º. Curiosamente, en el informe encontramos dos recomendaciones que no han sido recogidas en el texto final de la norma:
Por último, indicaremos que la AEPD recuerda, como viene haciendo en sus informes preceptivos más recientes, la necesidad de que el legislador al introducir normas que implican tratamientos de datos relevantes analice el riesgo de estos en la Memoria de Análisis de Impacto Normativo. Igualmente, propone que se modifique el Real Decreto 931/2017, de 27 de octubre, que regula el contenido de dichas memorias. De seguirse la recomendación de la AEPD, las Memorias de Análisis de Impacto Normativo se convertirían en un documento de gran utilidad para responsables y encargados del tratamiento (por no mencionar que las normas aprobadas contendrían previsiones más precisas que facilitarían su aplicación práctica).
El texto completo del informe puede consultarse aquí.
La parte reclamante había adquirido unos billetes de avión y, tras detectar un error en su nombre, se puso en contacto con el servicio de atención al cliente para que rectificara dicho error. Esta modificación implicó que se le hiciera un cargo adicional de 50 euros en el billete en concepto de gestiones realizadas por VACACIONES EDREAMS, S.L. (“Edreams”). Sin embargo, las políticas internas de Edreams establecen que la corrección de un error en el nombre que figura en billetes adquiridos en sus páginas webs deberá entenderse como un ejercicio de derecho de rectificación y, por ende, deberá ser tratado gratuitamente.
Al abrirse procedimiento sancionador, Edreams alega que se trata de un error humano, y que una vez detectado, han tomado medidas como la revisión de su política de privacidad, el envío de un recordatorio a nivel interno de la misma y el rembolso de la cantidad cobrada al interesado.
Sin embargo, para la AEPD el hecho de que la empresa cobrara al interesado una cantidad por haber rectificado sus datos personales constituye una infracción del artículo 12 del RGPD. Por lo tanto, la AEPD le impone una sanción de apercibimiento.
Puede encontrar la resolución completa aquí.
La AEPD inició procedimiento sancionador contra la empresa Hays Personnel Service S.A. (“HAYS”), después de que enviara comunicaciones comerciales a un interesado sin su consentimiento. Hays alega haber extraído la información del destinatario de LinkedIn, donde este dio su autorización para compartir esos datos. Además, está estipulado en la política de privacidad de la empresa la posibilidad de acceder al perfil de cualquier candidato mediante medios de comunicación públicos.
La AEPD considera que Hays ha vulnerado lo establecido en el artículo 21.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, ya que en ningún momento el interesado prestó consentimiento expreso para recibir comunicaciones comerciales. Por lo tanto, le impone una sanción de 5.000 euros, que al final se reduce en un 20% por haber procedido al pago voluntario.
Puede encontrar la resolución aquí.
El pasado 2 de febrero, la autoridad italiana de protección de datos (en adelante, el “Garante”) ordenó al proveedor de servicios de la aplicación Replika cesar temporalmente el tratamiento de datos de usuarios italianos. Replika es un chatbot basado en inteligencia artificial que, mediante una interfaz tanto oral como escrita, genera un “amigo virtual”. Con Replika, se perseguía mejorar el bienestar del usuario, ayudándole a gestionar sus emociones y pensamientos.
No obstante, dado que la herramienta es susceptible de interferir sobre el estado anímico de la persona, conlleva un riesgo para aquellos sujetos aún en etapa de desarrollo o en estado de fragilidad emocional. Ello, sumado a la inexistencia de controles de verificación de edad –pues únicamente solicita nombre, correo electrónico y género–, y a las múltiples y recientes acusaciones de contenido sexual inapropiado en el chatbot, ha acabado suponiendo el cese temporal de la operativa de la herramienta en Italia.
Puede consultar más información aquí (disponible en italiano y en inglés).
En el año 2022, la autoridad de protección de datos de Francia (en adelante, la “CNIL”) había publicado una serie de recomendaciones sobre los dispositivos de verificación de la edad en Internet y, en particular, sobre los sitios pornográficos. El control de edad de los que acceden a sitios de Internet reservados a mayores de edad sigue resultando problemático, conduce a la recopilación de datos personales y plantea riesgos de privacidad.
En el mes de febrero, la CNIL, en colaboración con un profesor de l’École Polytechnique y el Centro de Expertos para la Regulación Digital del Estado, diseñó el prototipo de un dispositivo que permite asegurar el control efectivo de la edad en internet, así como garantizar la protección de la privacidad. La CNIL recomienda que los mecanismos de control de edad sean implementados por un tercero independiente del editor del sitio web.
Puede acceder a las recomendaciones de la CNIL de 2022 aquí (disponibles en francés).
Puede encontrar más información sobre el prototipo del dispositivo de control de edad en el siguiente enlace (disponible en francés).
Considerando la especial relevancia y sensibilidad de los datos que se gestionan en una organización sindical, la CNIL ha elaborado una guía para ayudar estas estructuras a entender y poder poner en práctica la normativa de protección de datos.
Se trata de una guía extensa que recoge las obligaciones de las organizaciones sindicales, desde los principios más básicos como qué es un dato personal, hasta cuestiones avanzadas sobre los roles de responsable o encargado en los que pueden encajar dichas organizaciones sindicales, dependiendo de su estructura a nivel territorial, profesional, participación en comités nacionales, etc.
Otros temas tratados son las bases legitimadoras de cada tipo de tratamiento, periodos de conservación de datos, transmisión y comunicación a otras entidades y las precauciones de seguridad a adoptar.
Posiblemente uno de los puntos más interesantes de esta guía es la claridad con la que se presentan cuestiones complejas, orientando con ejemplos ilustrativos y modelos de actuación específicos.
Puede encontrar la guía completa (disponible en francés) aquí.
La Autoridad Catalana de Protección de Datos (en adelante “APDCAT”) ha emitido una guía sobre la privacidad desde el diseño y la privacidad por defecto (en adelante la “Guía”). La obligación de la protección de los datos desde el diseño y por defecto viene establecida en el artículo 25 del RGPD. Por un lado, el concepto de privacidad desde el diseño hace referencia a la necesidad de tener en cuenta el impacto en términos de privacidad de los productos o servicios, especialmente los tecnológicos, ya desde la fase de diseño. Por otro lado, la privacidad por defecto requiere aplicar medidas técnicas y organizativas adecuadas para garantizar que, sin que el usuario tenga que hacer ningún tipo de acción, únicamente se traten los datos personales indispensables para cada una de las finalidades específicas del tratamiento.
Mediante la Guía, la APDCAT pretende facilitar a los desarrolladores, así como a los responsables del tratamiento, la identificación de los elementos relevantes para la protección de los datos personales, y las medidas que se pueden adoptar para afrontarlos, ya desde el momento del diseño.
Puede encontrar la Guía en el siguiente enlace.
Continúan las negociaciones para alcanzar un acuerdo entre la Unión Europea y los Estados Unidos con el nuevo EU-US Data Privacy Framework.
Si bien el Comité Europeo de Protección de Datos (en adelante “CEPD”) reconoce las mejoras aportadas en el nuevo borrador del Proyecto EU-US Data Privacy Framework, sobre todo en cuanto a la introducción de los principios de necesidad y proporcionalidad para la recopilación de datos por parte de los servicios de inteligencia estadounidenses y el nuevo mecanismo de recurso para los interesados de la Unión Europea, no ha dejado de poner de manifiesto algunas carencias que necesitarían cubrirse de forma más efectiva.
Temas como los derechos de los interesados, las garantías de protección de las transferencias de datos ulteriores, el alcance de las exenciones, la recogida masiva temporal de datos, el perfilado y el funcionamiento práctico del mecanismo de recurso son algunos de los aspectos que, en opinión del CEPD, necesitarían profundizarse y concretarse más.
Aunque parece que el proceso avanza y podría ser una realidad, a corto plazo, el CEPD sugiere que, tras alcanzar el acuerdo de adecuación, este debería someterse a revisión trienal como mínimo, con el fin de garantizar la durabilidad de los acuerdos.
Puede encontrar el dictamen completo en el siguiente enlace (disponible en inglés).
Sigue pendiente de aprobación el Proyecto de Real Decreto por el que se establece la relación de equipos, aparatos y soportes materiales sujetos al pago de la compensación equitativa por copia privada prevista en el artículo 25 de la Ley de Propiedad Intelectual (en adelante el “Documento”), cuyo fin era determinar por primera vez, con carácter no transitorio, los equipos, aparatos y soportes materiales sujetos al pago de la compensación equitativa, las cantidades a abonar por este concepto y la distribución de dicha compensación entre las distintas modalidades de reproducción.
El Documento recoge en su único anexo una extensa lista de dispositivos gravados a los que se les asocia la cuantía de compensación equitativa correspondiente, según su mayor o menor capacidad de almacenamiento, si bien haciendo una comparativa esta compensación gradual no siempre parece consistente. Si bien dicho anexo queda sujeto a revisión periódica trienal, el Documento recoge también la posibilidad revisión más frecuente o en todo caso cuando las circunstancias del mercado o la evolución tecnológica así lo demanden.
Dado que se trata de un documento vivo, desconocemos todavía la fecha de su entrada en vigor, prevista para “el primer día del trimestre natural inmediatamente siguiente al de la fecha de publicación en el BOE”.
El texto original del proyecto puede consultarse aquí.
La Oficina de Propiedad Intelectual de la Unión Europea (“EUIPO”) ha denegado parcialmente el registro de la solicitud de marca de Burberry Limited por la que pretendía registrar su clásico diseño de los cuadros de líneas rojas, blancas y negras sobre fondo beige para identificar artículos como los NFTs, tokens y los servicios digitales (clases 9,35 y 41 de Niza). De este modo, Burberry pretendía registrar como marca sus icónicos cuadros para incluirlos en versiones descargables y virtuales de prendas de vestir, calzado y artículos de decoración. El tipo de signo solicitado para su registro había sido considerado por la EUIPO como patrón y carecía de carácter distintivo.
Finalmente, la EUIPO deniega el registro para los servicios relacionados con los NFT por considerar que no tiene un carácter suficientemente distintivo. Sin embargo, si acepta el signo para identificar avatares y ropa de personajes virtuales y de videojuegos.
Puede encontrar la Decisión aquí (disponible en inglés).
El 14 de julio de 2022, la Asociación Española del Juego Digital solicitó al Tribunal Supremo la suspensión del Real Decreto de Comunicaciones Comerciales de las actividades de Juego (“Decreto de Publicidad Online”) hasta que el Tribunal Constitucional dictase sentencia en una cuestión prejudicial.
En dicha cuestión prejudicial de inconstitucionalidad se planteaba que la remisión a la norma reglamentaria para establecer las condiciones y los límites de la actividad publicitaria en materia de Juego era contraria al principio de reserva de ley.
Sin embargo, el Tribunal Supremo ha desestimado la petición de suspensión cautelar considerando que dicha suspensión era una medida demasiado restrictiva y que la situación no recogías las condiciones necesarias para poder aplicarla, concluyéndose así que el Decreto de Publicidad Online seguirá aplicándose a la espera de la sentencia del Tribunal Constitucional.
Puede consultar la sentencia en el siguiente enlace.
El pasado jueves 16 de febrero se aprobó la ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (“Ley de Protección al Informante”). Entre otras cosas, la Ley de Protección al Informante obliga a incorporar canales internos de información a empresas y entidades públicas, dado que se considera conveniente que la comisión de infracciones se conozca por la propia organización para corregir y reparar los daños lo antes posible. También deben ofrecerse canales externos que permitan a los informantes comunicar los hechos a una autoridad pública especializada, por si generasen más confianza. Asimismo, la Ley de Protección al Informante establece una serie de previsiones sobre el tratamiento de los datos personales resultado de la gestión de los sistemas de denuncias.
Desde el equipo de Tecnologías de la Información de Ramón y Cajal hemos querido resumir las principales características de esta norma en 7 puntos básicos, artículo disponible aquí (en español) y aquí (en inglés).
Podrá encontrar el texto completo de la Ley de Protección al Informante en el siguiente enlace.