La Agencia Española de Protección de Datos (en adelante, la “AEPD”) publicó, el pasado 25 de mayo de 2021, la nueva versión de su “Guía para la Notificación de Brechas de Datos Personales” (en adelante, la “Guía”).
La autoridad de control española había publicado la primera versión de la Guía en junio de 2018, año en el que empezó a aplicarse el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
La principal finalidad de la Guía es dar instrucciones a los responsables del tratamiento respecto a sus obligaciones de notificar las brechas de seguridad que afecten a datos personales a las autoridades de control (artículo 33 del RGPD) y, en su caso, a los propios afectados por la brecha (artículo 34 del RGPD).
La nueva versión de la Guía incluye la experiencia recogida desde la aplicación del RGPD por la AEPD, otras autoridades de control y el Comité Europeo de Protección de Datos. Asimismo, la nueva versión de la Guía recoge algunas indicaciones más claras respecto a la versión anterior sobre las obligaciones de los responsables del tratamiento en esta materia. Por ejemplo, algunas de estas novedades son:
Puedes consultar la nueva versión de la Guía pulsando aquí [2].
Desde que comenzó la actual crisis sanitaria provocada por el Covid-19, la AEPD ha mostrado su preocupación por la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos.
La AEPD, como se recoge en su Comunicado de 30 de abril de 2020 [3], considera que la toma de temperatura puede suponer un tratamiento de datos personales de especial injerencia porque afecta a categorías especiales de datos y, además, porque a partir de tal información puede deducirse si una persona o no padece una enfermedad.
De acuerdo con lo anterior, la AEPD ha establecido que los controles de temperatura deben ajustarse a una de las bases jurídicas del artículo 6 del RGPD y, además, deben concurrir alguna de las excepciones específicas recogidas en el artículo 9 del RGPD
No obstante lo anterior, es importante resaltar que la AEPD entiende que no todos los casos de toma de temperatura suponen un tratamiento de datos personales. Un ejemplo de ello es el archivo de actuaciones del procedimiento E/03884/2020 publicado por la AEPD el pasado 24 de mayo de 2021 contra Metro Bilbao, S.A. (“Metro Bilbao”) por medir la temperatura de los pasajeros sin su identificación.
Metro Bilbao, como consecuencia de la crisis sanitaria, toma la temperatura corporal a los usuarios del metro sin requerirles identificación y mediante cámaras termográficas sin reconocimiento y sin grabación que permiten captar sólo un mapa de calor de la persona.
La autoridad de control española establece que la medición de la temperatura solo supondrá el tratamiento de datos de salud cuando la persona pueda ser identificada o identificable. Para determinar la anterior cuestión, se deberá analizar: (i) el tipo de dispositivo empleado, y; (ii) otras circunstancias del proceso de toma de temperatura que puedan hacer identificable a la persona, como el registro de la temperatura o la captación de la temperatura en establecimientos abiertos al público que permitan a terceros conocer que una persona tiene una temperatura corporal más alta de lo habitual.
En el expediente de Metro Bilbao, la AEPD considera que, al utilizarse cámaras termográficas y termómetros manuales para la medición de temperatura sin que el proceso vaya acompañado del registro de la temperatura obtenida, y no haberse constatado ninguna otra circunstancia que permita vincular la toma de temperatura con una persona identificada o identificable, no resulta de aplicación el RGPD.
Puedes leer el procedimiento aquí [4].
La AEPD ha publicado la guía actualizada de “Protección de datos y relaciones laborales” elaborada con la participación del Ministerio de Trabajo, la patronal y organizaciones sindicales. La mencionada guía analiza diversos tratamientos de datos de empleados y candidatos (selección, contratación, indagación de perfiles de candidatos en redes sociales, tratamiento de datos de mujeres supervivientes de violencia de género, etc.), tratamiento de datos en las relaciones con los sindicatos y los servicios de prevención de riesgos laborales y vigilancia de la salud.
La guía hace especial mención al Real Decreto-ley 9/2021, habilitando al comité de empresa a acceder a parámetros y/o sistemas establecidos por el empleador que pueden incidir en las condiciones, el acceso y mantenimiento del empleo, que en ciertos casos conlleva el acceso a datos personales.
Puedes consultar el resumen de la guía que publicamos aquí [5].
El Gabinete Jurídico de la AEPD ha publicado un nuevo informe jurídico en el que se plantea la aplicación del apartado 2.f) del artículo 9 del RGPD a los efectos de levantar la prohibición general de tratamiento de datos de salud en relación con el acceso a la historia clínica por parte de los facultativos del Hospital para poder defenderse de reclamaciones que les planteen los pacientes en relación con la asistencia médica recibida.
El informe jurídico analiza el acceso a la historia clínica diferenciando si se trata de reclamaciones judiciales o extrajudiciales, y a su vez, si interviene una compañía aseguradora o no:
Sumado a todo lo dicho, la AEPD recuerda que cualquier tipo de acceso o cesión debe realizarse en cumplimiento de los principios generales del tratamiento del artículo 5 del RGPD.
Puedes leer el informe jurídico aquí [6].
Durante los últimos años, la AEPD ha publicado dos entradas en su blog sobre dispositivos inteligentes con conectividad a Internet: (i) IoT: Qué es IoT y cuáles son sus riesgos [7], y; (ii) Del Internet de las Cosas al Internet de los Cuerpos [8].
Durante el mes de mayo, la AEPD ha realizado la tercera entrega sobre esta materia en la que, en vistas del aumento que se espera de este tipo de dispositivos con la tecnología 5G, alerta a los ciudadanos de que estos dispositivos inteligentes son más que un electrodoméstico tradicional y que deben tenerse en cuenta las garantías que ofrecen respecto al tratamiento de sus datos personales, así como su impacto en el ámbito doméstico.
Puedes acceder a la publicación en el siguiente enlace aquí [9].
La AEPD ha impuesto dos multas por un importe conjunto de 1.500.000 euros a la entidad EDP Energía, S.A.U. (“EDP”) tras analizar con detalle su proceso de contratación por distintos canales.
La primera multa, por un importe de 500.000 euros, ha sido por una infracción de los principios de privacidad por diseño y por defecto establecido en el artículo 25 del RGPD. En concreto, la autoridad de control española determina que EDP debería haber valorado los riesgos que supone para la protección de datos de los afectados aceptar que un representante preste consentimiento en nombre del afectado para determinados tratamientos y establecer mecanismos para mitigarlos.
La segunda multa, la cual asciende a una cantidad de 1.000.000 euros, se ha impuesto por una infracción del deber de transparencia e información a los afectados sobre el tratamiento de sus datos personales que se establece en el artículo 13 del RGPD. La AEPD considera que no es suficiente incluir en las políticas de protección de datos facilitadas a los interesados un apartado sobre la legitimación de los tratamientos sin asociar las bases de legitimación a las finalidades específicas.
Puede acceder al texto completo de la resolución pulsando aquí [10].
El pasado 6 de abril, la AEPD publicó el archivo de actuaciones del procedimiento E/5175/2020 contra Wizink Bank, S.A.U. (“Wizink”) por actuar diligente y proporcionalmente con la normativa sobre protección de datos personales. En concreto, la AEPD entiende que la quiebra de seguridad provocada por una empleada al enviar seis correos electrónicos a destinatarios no autorizados con datos personales de hasta 743 clientes (categorizada como brecha de confidencialidad), fue detectada inmediatamente y notificada diligentemente.
En este sentido, la AEPD entiende que consta que Wizink disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidencia, no obstante, una vez detectada esta, se produce una diligente reacción al objeto de notificar a la AEPD, e implementar medidas para eliminarla.
Puedes leer el procedimiento aquí [11].
La Autoridad de Control de Protección de Datos Portuguesa (“CNPD”) ha ordenado al Instituto Nacional de Estadística (“INE”) a suspender, en el contexto del cuestionario Census 2021, cualquier transferencia de datos a Estados Unidos, o a cualquier otro tercer país que no cuente con un nivel adecuado de protección de datos.
Después de haber recibido varias peticiones, la CNPD comprobó que el INE, para la realización del cuestionario Census 2021, subcontrataba los servicios de Cloudflare, Inc. (“Cloudflare”), una entidad con sede en Estados Unidos.
Cloudflare, por el tipo de servicios que ofrece, está obligado a proporcionar cualquier dato personal a las autoridades estadounidenses con motivo de la seguridad nacional. De conformidad con la sentencia Schrems II del Tribunal de Justicia de la Unión Europea, se entiende que la normativa estadounidense es desproporcionada y no garantiza un nivel adecuado de protección de datos equivalente al de la Unión Europea.
Por los motivos expuestos, el CNPD ha obligado a suspender con carácter inmediato cualquier transferencia de datos a terceros países que no garanticen un nivel adecuado de protección de datos.
Puedes consultar más información aquí [12].
La Autoridad de Control de Protección de Datos de Noruega (“Datatilsynet”), ha impuesto una sanción de 2,5 millones de euros a la entidad estadounidense Disqus Inc. (“Disqus”) por infringir los principios de responsabilidad proactiva, licitud y transparencia.
Disqus ofrece una plataforma online de gestión de comentarios que puede ser integrada en diferentes páginas webs. Disques llevaba a cabo un seguimiento y perfilado de los usuarios que accedían a las páginas webs que integraban su plataforma, siendo dicha información cedida posteriormente a terceros colaboradores de la entidad.
La Datatilsynet ha considerado que el tratamiento de datos llevado a cabo por Disqus no podía legitimarse en su interés legítimo, debiéndose haber recabado el consentimiento de los usuarios. Asimismo, la autoridad de control noruega detectó que Disqus no informaba a los usuarios acerca del tratamiento.
Por otro lado, la Datatilsynet consideró que Disqus infringió el principio de responsabilidad proactiva al considerar erróneamente que el RGPD no era aplicable en Noruega.
La autoridad de control noruega ha justificado el importe de la sanción por haber afectado a miles de personas, incluyéndose datos de menores, así como datos que revelan la opinión política de los usuarios, realizando el seguimiento de los usuarios de forma invasiva y sin informar a los afectados.
Puedes consultar más información aquí [13].
La Ley Orgánica 7/2021 se aprobó el 27 de mayo y transpone al derecho interno la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
Los principios del tratamiento se regulan en términos similares a lo establecido en el RGPD, con algunas especialidades que proporcionan la seguridad jurídica necesaria para facilitar la cooperación policial y judicial y, por tanto, una mayor eficacia en el desempeño de sus funciones por las Fuerzas y Cuerpos de Seguridad y del sistema judicial penal en su conjunto, incluido el penitenciario.
Puedes acceder a la Ley Orgánica 7/2021 aquí [14].
El Supervisor Europeo de Protección de Datos (en adelante, “SEPD”) ha abierto dos investigaciones: (i) la primera en relación con el uso de servicios en la nube prestados por Amazon Web Services (“AWS”) y Microsoft en el marco de contratos Cloud por parte de instituciones, organismos y agencias de la Unión Europea, y; (ii) la segunda, sobre el uso de Microsoft Office 365 por parte de la Comisión Europea.
El objetivo de la primera investigación es evaluar el cumplimiento por parte de las instituciones europeas de la sentencia “Schrems II” cuando utilizan servicios en la nube proporcionados por AWS y Microsoft y, en particular, cuando se transfieran datos personales a países no pertenecientes al Espacio Económico Europeo.
Por otro lado, la segunda de las investigaciones tiene como finalidad verificar el cumplimiento por parte de la Comisión Europea de las Recomendaciones [15] emitidas previamente por el SEPD sobre el uso de productos y servicios de Microsoft por parte de las instituciones de la Unión Europea.
Puedes consultar más información aquí [16].
El 3 de mayo de 2021, la Comisión Europea ha publicado una consulta pública abierta sobre el espacio europeo de datos sanitarios que estará abierta hasta el 26 de julio de 2021.
La Comisión Europea invita a participar a cualquier interesado (ciudadanos, profesionales, organizaciones y cualquier otra parte interesada) en la consulta pública con el objetivo de: (i) facilitar un mejor acceso a los datos sanitarios y su intercambio, garantizando una mayor accesibilidad, disponibilidad y asequibilidad de la asistencia sanitaria; (ii) estimular la innovación en la salud y la asistencia para mejorar el tratamiento y los resultados, y; (iii) fomentar soluciones innovadoras que hagan uso de las tecnologías digitales, incluida la inteligencia artificial (IA).
Puedes consultar más información aquí [17].
En el pasado mes de mayo, el Supervisor Europeo de Protección de Datos (“SEPD”), con arreglo al artículo 64 del RGPD, adoptó dos Dictámenes sobre los primeros proyectos de códigos de conducta transnacionales presentados al Consejo por las Autoridades de Control belgas y francesas.
Por otro lado, el 19 de mayo publicó la Guía 02/2021 sobre la base legal para el almacenamiento de los datos de la tarjeta de crédito con el único fin de facilitar las transacciones posteriores. En este sentido, el SEPD entiende que el consentimiento (artículo 6.1.a) del RGPD) es la única base de legitimación válida para este tratamiento.
Puedes consultar ambos proyectos de códigos de conducta transnacionales aquí [18] y aquí [19].
Puedes consultar la Guía 02/2021 aquí [20].
A principios de año, la Autoridad de Control Italiana (el “Garante”), anunció el inicio de una investigación a la red social Tiktok por posible vulneración del principio de información y transparencia, así como por no incluir mecanismos que prevengan a los menores de 13 años registrarse en la aplicación. El Garante entiende dicho mecanismo de registro podría vulnerar la normativa estatal en protección de datos puesto que el tratamiento de datos de los menores de 13 años sólo sería lícito si constase el consentimiento del titular de la patria potestad o tutela. En paralelo, el Garante exigió a Tiktok implementar medidas adicionales para impedir el acceso a los menores de 13 años (entre otras medidas, eliminar, en un plazo de 48 horas, las cuentas denunciadas que sean propiedad de usuarios menores de 13 años tras las comprobaciones pertinentes).
El pasado 12 de mayo, el Garante anunció en un segundo comunicado que, a raíz de las medidas exigidas a Tiktok, la red social había eliminado alrededor de 500.000 cuentas de menores de 13 años. Adicionalmente, el Garante ha anunciado que vigilará el cumplimiento de estos compromisos por parte de TikTok y continuará con las investigaciones y controles que ya ha iniciado en el marco del procedimiento en curso sobre la plataforma.
Puedes consultar el comunicado de inicio de investigación aquí [21].
Puedes leer el segundo comunicado [22]aquí [23].
La resolución de la Oficina de Propiedad Intelectual de la Unión Europea publicada el pasado 25 de febrero ha devenido firme. En ella, se entiende que el término "torta", con relación a quesos, es exclusivo de la Torta del Casar al tratarse de un signo de identidad de forma típica de un queso procedente de la Comarca de El Casar.
Puedes acceder a la resolución aquí [24].
El Centro Español de Derechos Reprográficos EGDPI (“CEDRO”) ha comenzado a ofrecer a sus socios y clientes una nueva solución tecnológica que excluye, a través de listas automáticas, webs y dominios piratas de contenidos culturales, entre ellos libros y periódicos.
Con ello, no solo se busca evitar la financiación de páginas piratas, sino que además se pretende ayudar a los socios y organizaciones que tienen licencias de CEDRO a que su marca no esté asociada a actividades ilícitas.
Puedes consultar más información aquí [25].
La plataforma “Seguir Creando en Digital”, compuesta por autores españoles, ha solicitado al Gobierno español que la próxima transposición al ordenamiento jurídico nacional de la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo de 17 de abril de 2019 sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE, incluya la negociación colectiva, la irrenunciabilidad del derecho y una tarifa legal como única forma de gestión eficiente entre titulares de derechos y plataformas tecnológicas.
Puedes consultar más información aquí [26].
La Comisión de Hacienda del Congreso de los Diputados ha aprobado, con competencia legislativa plena, el Proyecto de Ley de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego, que continúa su tramitación parlamentaria en el Senado.
Puedes leer el Informe de ponencia aquí [27].
Puedes leer el Proyecto de Ley aquí [28].
La Junta de Andalucía publicó el pasado 14 de mayo el Decreto 161/2021, de 11 de mayo, por el que se modifican los reglamentos aplicables en materia de juego y apuestas. Entre otros puntos relevantes destacamos la modificación del artículo 2 del Reglamento de Casinos de Juego de la Comunidad Autónoma de Andalucía, aprobado por Decreto 229/1988, limitando la publicidad, el uso de rótulos e imágenes en fachadas, etc.
También se adoptan nuevas medidas de prevención del juego en personas menores de edad, estableciendo un régimen de distancias mínimas de 150 metros respecto de los accesos de centros educativos de enseñanza reglada no universitaria.
Puedes consultar el Decreto 161/2021 aquí [29].
El Consejo de Gobierno de Aragón aprobó el pasado 19 de mayo la reforma de la Ley del Juego de Aragón, que ahora se trasladará a las Cortes de Aragón para su tramitación. Entre las medidas más destacadas están el endurecimiento en los controles de acceso a los locales, restricciones en la apertura de locales, prohibición de publicidad o refuerzo de los programas de prevención de la ludopatía.
Puedes consultar la nota del Consejo de Gobierno aquí [30].
El pasado 6 de mayo, la Dirección General de Ordenación del Juego remitió una carta del Ministerio de Finanzas de la República de Polonia, actuando como Autoridad Polaca de Juego, informando a todos los operadores de juego con licencia en España de la entrada en vigor de una nueva enmienda a la Polish Gambling Act que entra en vigor el 1 de junio de 2021.
La modificación de la normativa está enfocada a la lucha contra el juego ilegal y en simplificar los procesos administrativos de comunicación entre operadores y la autoridad competente.
El Ministerio de Asuntos Económicos y Transformación Digital ha publicado la Orden de Bases que establece las condiciones que regirán la licitación de concesiones en la banda de 700 MHz (banda considerada como una de las principales para el despliegue de la tecnología 5G).
La subasta dará comienzo antes del día 21 de julio de 2021 y se licitarán siete concesiones en total. Cuatro concesiones corresponden a dos bloques de 2x10 MHz y dos bloques de 2x5 MHz, en la banda pareada 703-733 y 758-788 MHz para comunicaciones ascendentes y descendentes.
Puedes consultar la nota de prensa aquí [31].
La Orden de Bases está disponible pulsando aquí [32].
Links
[1] https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd
[2] https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf
[3] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos
[4] https://www.aepd.es/es/documento/e-03884-2020.pdf
[5] https://www.ramonycajalabogados.com/es/noticias/principales-novedades-en-materia-de-proteccion-de-datos-en-el-entorno-laboral
[6] https://www.aepd.es/es/documento/2020-0098.pdf
[7] https://www.aepd.es/es/prensa-y-comunicacion/blog/iot-i-que-es-iot-y-cuales-son-sus-riesgos
[8] https://www.aepd.es/es/prensa-y-comunicacion/blog/iot-ii-del-iot-al-iob
[9] https://lnkd.in/ePCEz3k
[10] https://www.aepd.es/es/documento/ps-00037-2020.pdf
[11] https://www.aepd.es/es/documento/e-05175-2020.pdf
[12] https://www.cnpd.pt/decisoes/deliberacoes/
[13] https://www.datatilsynet.no/en/news/2021/intent-to-issue--25-million-fine-to-disqus-inc/
[14] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-8806
[15] https://edps.europa.eu/data-protection/our-work/publications/investigations/outcome-own-initiative-investigation-eu_en
[16] https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en?utm_source=ActiveCampaign&utm_medium=email&utm_content=EDPO+weekly+Newsletter&utm_campaign=Newsletter+24+May+-+28+May+2021
[17] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12663-A-European-Health-Data-Space/public-consultation_es
[18] https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-172021-draft-decision-french-supervisory_en
[19] https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-162021-draft-decision-belgian-supervisory_en
[20] https://edpb.europa.eu/system/files/2021-05/recommendations022021_on_storage_of_credit_card_data_en_1.pdf
[21] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9508923
[22] https://www.enisa.europa.eu/news/enisa-news/procurement-guidelines-for-cybersecurity-in-hospitals-new-online-tool-for-a-customised-experience
[23] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9584923#english_version
[24] https://tortadelcasar.eu/wp-content/uploads/2021/05/Decision-Recurso-R0696-2018.pdf
[25] https://www.cedro.org/sala-de-prensa/noticias/noticia/2021/05/31/servicio-bloquear-publicidad-digital-paginas-piratas
[26] https://www.cedro.org/sala-de-prensa/noticias/noticia/2021/05/20/creadores-gobierno-transposici%C3%B3n-directiva-europea-derechos-digitales-tarifa-legal
[27] https://www.congreso.es/backoffice_doc/prensa/notas_prensa/82550_1621945440770.pdf
[28] https://transparencia.gob.es/servicios-buscador/contenido/normaelaboracion.htm?id=NormaEV12L0-20184202&lang=gl&fcAct=2020-10-23T09:21:45.544Z
[29] https://www.juntadeandalucia.es/eboja/2021/91/BOJA21-091-00021-8174-01_00192058.pdf
[30] http://www.aragonhoy.net/index.php/mod.noticias/mem.detalle/area.1341/id.277628
[31] https://lnkd.in/dZUUjk9
[32] https://portal.mineco.gob.es/es-es/comunicacion/Paginas/210531_np_5g.aspx
[33] mailto:nheckh@ramoncajal.com
[34] mailto:mlgonzalez@ramoncajal.com
[35] mailto:aborjas@ramoncajal.com
[36] mailto:ptena@ramoncajal.com
[37] mailto:aruiz@ramoncajal.com
[38] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[39] https://twitter.com/RamonyCajalAbog
[40] https://www.ramonycajalabogados.com/es/search