La autoridad de control de Irlanda (“Data Protection Commission” o “DPC”) publicó, a principios del mes de septiembre, su decisión sobre la investigación a WhatsApp Ireland Ltd. (“WhatsApp”) por el incumplimiento del deber de transparencia impuesto por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“Reglamento General de Protección de Datos” o “RGPD”).
La investigación, que había comenzado a finales del año 2018, detectó infracciones en el deber de información que, principalmente, afectaban a: (i) el tratamiento de datos personales de clientes del servicio (artículo 13 del RGPD); (ii) el tratamiento de datos personales de usuarios no clientes del servicio (artículo 14 del RGPD), y; (iii) el intercambio de datos personales entre WhatsApp y empresas de Facebook.
La Data Protection Commission recalca que la información sobre protección de datos debe ser detallada y, además, debe ser accesible, sin utilizar enlaces a múltiples documentos que dificulten a los usuarios encontrar la información relativa al tratamiento de sus datos personales.
Es importante también destacar que, puesto que el tratamiento de datos llevado a cabo por WhatsApp afecta sustancialmente a interesados de más de un Estado Miembro y que su único establecimiento en la Unión Europea está en Irlanda, se aplicaron las disposiciones correspondientes a los principios de cooperación y coherencia del artículo 60 del RGPD.
De conformidad con lo anterior, la DPC emitió un borrador de decisión al resto de autoridades de control afectadas. Seis autoridades de control hicieron comentarios al citado borrador de decisión, sin que finalmente hubiese consenso entre todas. Por ello, la DPC remitió el borrador al Comité Europeo de Protección de Datos (“CEPD”) para que adoptara una decisión sobre esta materia en virtud del artículo 65 del RGPD.
El 28 de julio de 2021, el CEPD adoptó una decisión vinculante que obligaba a la autoridad de control de Irlanda a reevaluar y aumentar su propuesta de multa. Después de realizar la mencionada reevaluación, la DPC impuso, finalmente, a WhatsApp una sanción de 225 millones de euros.
Puedes acceder a la decisión vinculante de la CEPD pulsando aquí [1].
Si deseas consultar el texto completo de la resolución emitida por la autoridad de control de Irlanda, pulsa aquí [2].
La Agencia Española de Protección de Datos (“AEPD”) publicó el pasado 2 de septiembre la resolución del PS/00315/2020 por el que sanciona a la entidad Signalia Marketing Distribution, S.A. (“Signalia”) con 100.000 euros por incumplimiento de sus obligaciones como encargado del tratamiento.
Signalia era proveedor de servicios de mantenimiento preventivo y correctivo de equipos informáticos de Excel Hotels Resort, S.A. (“Excel”). Como resultado de dichos servicios, almacenaba y accedía a datos personales responsabilidad de Excel.
Excel y Signalia habían suscrito el correspondiente contrato de encargado de tratamiento conforme al artículo 28 del RGPD. En el referido contrato, ambas entidades habían acordado que Signalia procedería a devolver al responsable del tratamiento los datos personales a los que haya accedido tras finalizar su relación contractual.
Signalia, después de que la relación contractual con Excel hubiera llegado a su fin, se negó a devolver al responsable del tratamiento los datos alegando incumplimiento en los pagos de los servicios.
A pesar de ello, la AEPD entiende que dicha negativa a la devolución de los datos supone una infracción del artículo 28.3.g) del RGPD que regula la relación entre responsable y encargado, así como del artículo 74.k) de la LOPDGDD.
Puedes acceder a la resolución aquí [3].
El pasado 10 de septiembre, la AEPD publicó la resolución del PS/00231/2021 por el que sanciona con 10.000 euros al operador de juego Aconcagua Juegos, S.A. (“Aconcagua”) por no haber designado a un Delegado de Protección de Datos (“DPD”).
El procedimiento en cuestión fue iniciado tras haberse recibido una reclamación de un interesado en la que se indicaba que la entidad Aconcagua no había atendido su derecho de supresión, y además no constaba que hubiese designado un DPD.
Respecto a la designación de un DPD, la AEPD considera que, al ser Aconcuaga un operador que desarrolla la actividad de juego a través de Internet, tiene la obligación de designar a un DPD conforme al artículo 34.1.n de la LOPDGDD.
Conforme a lo anterior, y dado que no constaba en el registro de la AEPD que Aconcagua haya designado formalmente esta figura, se impone una sanción económica que asciende a la cantidad de 10.000 euros.
Puedes consultar la resolución aquí [4].
La AEPD ha impuesto una sanción de apercibimiento al Servicio Público de Empleo Estatal (“SEPE”) por infringir el principio de integridad y confidencialidad establecido en el artículo 5.1.f) del RGPD, así como por vulnerar el principio de seguridad del tratamiento contenido en el artículo 32.1 del RGPD.
En el caso analizado por la autoridad de control española, se recibe una reclamación de un ciudadano en la que informa que, al descargar un certificado del SEPE, ha tenido acceso a los datos personales de otra persona.
La AEPD entiende que los hechos puestos de manifiesto evidencian el quebrantamiento de las medidas técnicas y organizativas, vulnerando la confidencialidad de los datos y permitiendo el acceso a los datos de terceros al proceder a descargar vía web el certificado del Servicio de Empleo.
Puedes consultar el texto completo aquí [5].
El Tribunal Supremo, en su sentencia de 21 de julio de 2021, se ha pronunciado sobre la posibilidad de justificar un despido de un trabajador aportando imágenes de una cámara de vigilancia.
La Sala de lo Social del Tribunal Supremo ha considerado que, aunque la finalidad del sistema de videovigilancia era exclusivamente garantizar la seguridad, el conocimiento por parte del empleado de la existencia de estas, es suficiente para que las imágenes grabadas puedan ser utilizadas como prueba en un procedimiento judicial de despido.
Tal y como establece la sentencia, “lo relevante es que el trabajador conocía de la existencia del sistema de videovigilancia”. En este sentido, el Tribunal Supremo recuerda que la STC 39/2016, 3 de marzo de 2016, sienta la doctrina de que, “cuando el trabajador conoce que se ha instalado un sistema de control por videovigilancia, como era aquí el caso, no es obligado especificar "la finalidad exacta que se le ha asignado a ese control".
Adicionalmente, se entiende que la propia empresa “tenía un interés legítimo amparado en sus facultades empresariales de control y en la carga de la prueba que sobre ella recaía a la hora de probar la veracidad de los hechos reprochados al trabajador”.
Por todo ello, Sala de lo Social del Tribunal Supremo estima el recurso de casación para la unificación de doctrina admitiendo como prueba las imágenes captadas por el sistema de videovigilancia para el despedido del empleado.
Puedes consultar la sentencia completa pulsando aquí [6].
El 24 de septiembre, el Comisionado de Protección de Datos de Hamburgo (“HmbBfDI”) anunció una sanción de 900.000€ a Vattenfall Europe Sales GMbH (“Vattenfall”) por la vulneración de los principios de información y transparencia regulados en los artículos 12 y 13 del RGPD.
El HmbBfDI constató que Vattenfall había comparado los datos de nuevos clientes con datos de facturación de vinculados a contrataciones anteriores. El objetivo de esta práctica era evaluar la efectividad de promociones a la contratación en la captación de nuevos clientes. Conforme a la legislación tributaria aplicable, los datos de facturación deben ser conservados por 10 años. La sanción impuesta a Vattenfall atiende a la falta de información facilitada a los clientes, no sobre la realización del tratamiento.
Puedes consultar la resolución aquí [7] (sólo disponible en alemán).
El pasado 27 de septiembre, la Autoridad de Control de Noruega (“Datatilsynet”) sancionó con 498.065 euros a la entidad Ferde AS (“Ferde”).
Ferde es una entidad que se dedica a la gestión de peajes, utilizando para ello un sistema para el control de peajes de lectura automática de matrículas. Cuando la lectura de la matrícula no es completa, Ferde recurre a un sistema de comprobación manual de las imágenes para la que se subcontrata los servicios de Unitel Braseth Services (“Unitel”), entidad que actúa en calidad de encargado del tratamiento de Ferde y que cuenta con empleados en China.
La autoridad de control de Noruega verificó que Ferde no suscribió un contrato de encargado del tratamiento con Unitel, infringiéndose con ello el artículo 28 del RGPD. Asimismo, el DatDatatilsynet también constata la ausencia de haber realizado un análisis de riesgos sobre la transferencia de datos internacional a un país fuera del Espacio Económico Europeo (Art. 32.2 del RGPD). Además, y también sobre esta cuestión, la autoridad de control también comprueba que Ferde no ha adoptado un mecanismo para garantizar la seguridad de la transferencia internacional de datos y, por tanto, se vulnera el artículo 44 del RGPD.
Puedes consultar la resolución aquí [8] (solo disponible en noruego).
El 16 de septiembre, el Garante per la Protezione dei Dati Personali (“Garante”) sancionó con 200.000 euros a la Universidad “Luigi Bocconi” por la vulneración de múltiples preceptos del RGPD, siendo de especial interés el incumplimiento de los artículos 44 y 46 del RGPD.
El procedimiento sancionador se inició con la reclamación interpuesta por un alumno de la universidad por la utilización de un sistema de supervisión “proctoring” durante la realización de exámenes escritos a distancia. Estos sistemas de supervisión utilizan, entre otras medidas, software de reconocimiento facial y de análisis de la actividad del dispositivo durante la realización del examen, a fin de identificar comportamientos anómalos por parte del estudiante.
Respondus, Inc. proveedor del software y encargado de tratamiento de la Universidad está localizado en EE.UU., por lo que la Universidad firmó un acuerdo de encargado de tratamiento junto con las cláusulas contractuales tipo aprobadas por la Comisión Europea en 2010. Sin embargo, la Autoridad ha comprobado lo siguiente: (i) el contrato de encargo de tratamiento no estipula de forma expresa las medidas de seguridad adicionales adoptadas para garantizar el nivel de protección de los datos personales transferidos a EE.UU.; (ii) no queda acreditada la realización de una evaluación de la efectividad de las medidas adoptadas por parte del importador de datos.
La documentación aportada por la Universidad no refleja que estas medidas hayan sido establecidas respecto de las transferencias al encargado de tratamiento, Respondus, Inc., ni respecto al subencargado de tratamiento, Amazon Web Services, Inc., localizado también en EE.UU.
Puedes consultar la resolución aquí [9] (sólo disponible en italiano).
El Servicio de Salud de las Illes Balears recibió un requerimiento de información de la Oficina de Prevención y Lucha contra la Corrupción en relación con los protocolos de vacunación y, en concreto, sobre el nombre, apellidos y DNI de las personas vacunadas.
En este sentido, el Servicio de Salud de las Illes Balears consulta a la AEPD si proporcionar esta información es conforme a los principios y obligaciones del RGPD y resto de normativa aplicable en materia de protección de datos.
Por su lado, la AEPD considera que la lucha contra la corrupción puede considerarse, a los efectos del artículo 9.2.g) del RGPD, como de interés público esencial puesto que se encuentra recogida, entre otras normas europeas, en el Convenio relativo a la lucha contra los actos de corrupción en los que estén implicados funcionarios de las Comunidades Europeas o en los Estados miembros de la Unión Europea, hecho en Bruselas el 26 de mayo de 1997.
Además, la AEPD considera que debe tenerse en cuenta el deber de suministrar información impuesto por el artículo 10 de la Ley 16/2016, de 9 de diciembre, de creación de la Oficina de Prevención y Lucha contra la Corrupción en las Illes Balears.
No obstante, aunque las circunstancias anteriores podrían llevar a considerar admisible, en un caso concreto y debidamente justificado, el acceso a determinados datos de salud, la AEPD considera que el requerimiento de información en el caso analizado es excesivo y contrario a la normativa de protección de datos porque el requerimiento:
Puedes consultar el informe del gabinete jurídico de la AEPD pulsando aquí [10].
El pasado 24 de septiembre, el CEPD adoptó la Opinión 32/2021 sobre el Proyecto de Decisión de Adecuación de la Comisión Europea sobre la protección de datos personales en la República de Corea con el Reglamento (UE) 2016/679.
El CEPD reconoce las similitudes existentes entre algunos elementos centrales de la legislación de protección de datos como son, entre otros, (i) los conceptos básicos, (ii) las bases de legitimación, o (iii) el principio de transparencia. Igualmente, se muestra de acuerdo con las conclusiones de la Comisión Europea en las que se pone en valor las decisiones adoptadas por parte de las autoridades coreanas para alcanzar un nivel de protección equivalente al establecido en el RGPD. En concreto, el CEPD cita la “Notification No 2021-1” adoptada, el 21 de enero, por la Autoridad de Protección de Datos de Corea del Sur a raíz de las negociaciones con la Comisión Europea. Este documento realiza aclaraciones interpretativas vinculantes de la normativa de protección de datos de Corea del Sur que favorecen la adopción de una decisión de adecuación en los términos del art. 45 del RGPD.
Sin embargo, el CEPD solicita a la Comisión Europea más información acerca de la evaluación de adecuación realizada y, en concreto, que aclare cuáles son los requisitos necesarios para presentar una reclamación ante la Autoridad de Control de Corea del Sur o sus tribunales y si los ciudadanos europeos son susceptibles de cumplir esos requisitos o condiciones.
Puedes consultar el texto completo aquí [11].
La autoridad de control de Irlanda ha comunicado el inicio de dos investigaciones a la entidad TikTok Technology Limited’s para comprobar si cumple con los principios y obligaciones en materia de protección de datos que impone el RGPD.
La primera de las investigaciones examinará el cumplimiento del principio de privacidad desde el diseño y por defecto en el contexto de su plataforma destinada a usuarios menores de edad. Se comprobará, asimismo, si la entidad ha cumplido con sus obligaciones en materia de transparencia.
Por otro lado, la segunda de las investigaciones se centrará en la transferencia internacional de datos a China y del cumplimiento o no de las obligaciones en esta materia que impone la normativa de protección de datos.
Puedes consultar el comunicado de la autoridad de control de Irlanda aquí [12].
Esta investigación se suma a las ya iniciadas por la Autoridad italiana durante este año. Puedes consultar las investigaciones del Garante aquí [13].
Durante el mes de septiembre, la Autoridad de Control de Francia (“CNIL”) ha publicado un documento en el que propone un modelo de autoevaluación de madurez que permite cuantificar el rigor y la formalidad con que se gestionan las actividades relacionadas con la gestión de la protección de datos.
El objetivo de este documento es:
Puedes consultar el modelo aquí [14].
El pasado 29 de septiembre, la CNIL publicó una nueva recopilación de preguntas y respuestas referentes al tratamiento de datos personales en el contexto de la pandemia.
En concreto, las publicaciones se centran, por un lado, en las obligaciones de empleados y empleadores y, por otro, en el tratamiento de datos relacionados con los certificados de vacunación.
Puedes consultar el documento sobre el tratamiento de datos en el ámbito laboral aquí [15] y el texto relativo al denominado “pase COVID” aquí [16].
Primera reunión del “EU-US Trade and Technology Council”
El pasado 29 de septiembre tuvo lugar la reunión inaugural del “Trade and Technology Council” (“Consejo EU-US”). La creación del Consejo EU-US responde a la voluntad de las autoridades europeas y norteamericanas de coordinar sus acciones en cuestiones tecnológicas, económicas y comerciales.
En esta reunión, se definieron las áreas de cooperación en las que se centrará el trabajo del Consejo EU-US, así como se crearon los Grupos de Trabajo encargados de mantener la actividad del Consejo EU-US hasta la siguiente reunión. Entre los Grupos de Trabajo creados destacan los siguientes:
Puedes consultar las conclusiones publicadas por la Unión Europea aquí [17].
El Tribunal de Justicia de la Unión Europea (“TJUE”) ha dictado sentencia en el asunto C-783/19, surgido de las cuestiones prejudiciales elevadas desde la Audiencia Provincial de Barcelona. El litigio tiene su origen en la demanda presentada por el “Comité Interprofessionnel du Vin de Champagne” contra la entidad GB, titular de los establecimientos de hostelería “Champanillo”, por considerar que el uso de esta denominación constituía una infracción de la DOP “Champagne”.
En esta sentencia, el TJUE responde a las cuestiones prejudiciales planteadas y clarifica el alcance del artículo 103.2.b) del Reglamento 1308/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, por el que se crea la organización común de mercados de los productos agrarios y por el que se derogan los Reglamentos (CEE) no 922/72, (CEE) no 234/79, (CE) no 1037/2001 y (CE) no 1234/2007 (“Reglamento 1308/2013”); reglamento que establece la regulación de las DOP.
A este respecto, las principales consideraciones del TJUE son:
Puedes consultar la sentencia aquí [18].
El TJUE, en sentencia de 15 septiembre, desestimó el recurso presentado por la bodega Celler Lagravera, S.L.U. (“Celler Lagravera”) ante la denegación del registro como marca comunitaria de “Cíclic” por parte de la Oficina de Propiedad Intelectual de la Unión Europea (“EUIPO”).
La EUIPO estimó la oposición formulada por Cyclic Beer Farm, S.L. y denegó el registro de la marca “Cíclic” fundamentando que existía riesgo de confusión con la marca registrada “CYCLIC” en el sentido del artículo 8.1.b) del Reglamento 2017/1001 del Parlamento Europeo y del Consejo, de 14 de junio de 2017.
El litigio versa, en esencia, sobre el riesgo de confusión entre la marca figurativa solicitada “Cíclic”, que se refiere a vinos, y la marca denominativa anterior “CYCLIC” que designa, entre otros productos, cerveza.
El TJUE, desestima el recurso de Celler Lagravera y entiende que existe riesgo de confusión entre ambas marcas en base a que:
Puedes consultar la sentencia aquí [19].
El 23 de septiembre de 2021, la Comisión Europea anunció la toma de acciones contra los diecinueve Estados miembros que aún no han finalizado la transposición a legislación nacional de la Directiva de Servicios de Comunicación Audiovisual y el Código Europeo de Comunicaciones Electrónicas. Ninguno de los diecinueve Estados afectados por este anuncio de acciones, entre los que se encuentra España, ha notificado a la Comisión la adopción de medidas con vistas a la trasposición total o parcial de las Directivas. El plazo ordinario para la transposición de ambas Directivas finalizó a finales de 2020.
El proceso de trasposición en España comenzó en 2020, con la presentación por parte del Ministerio de Asuntos Económicos y Transformación Digital de los anteproyectos de Ley General de Comunicación Audiovisual y Ley General de Telecomunicaciones. Ambos textos se sometieron a audiencia pública en la segunda mitad de 2020.
La Comisión Europea ha otorgado un periodo de dos meses a contar desde el 23 de septiembre para finalizar la trasposición. Además de España, estas Directivas continúan pendientes de transposición en países como Irlanda e Italia.
Puedes consultar la comunicación aquí [20].
El pasado 23 de septiembre, la Comisión Europea publicó la propuesta de revisión de la Directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva 2014/53/UE, relativa a la armonización de la legislación de los Estados miembros sobre la comercialización de equipos radioeléctricos.
Uno de los objetivos perseguidos en la reducción de los residuos electrónicos y las molestias que los consumidores experimentan debido a la prevalencia de diferencias e incompatibilidades entre los cargadores para los dispositivos electrónicos.
Entre las propuestas planteadas, se encuentran el establecimiento de un puerto de carga armonizado para los dispositivos electrónicos; la armonización de la tecnología de carga rápida; la venta por separado de los cargadores y los dispositivos electrónicos, así como una mejora de la información dirigida a los consumidores.
Puedes consultar más información pulsando aquí [21].
Links
[1] https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12021-dispute-arisen_en
[2] https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf
[3] https://www.aepd.es/es/documento/ps-00315-2020.pdf
[4] https://www.aepd.es/es/documento/ps-00231-2021.pdf
[5] https://www.aepd.es/es/documento/ps-00203-2021.pdf
[6] https://www.poderjudicial.es/search/AN/openDocument/bce4db80a8f8fdd3/20210803
[7] https://datenschutz-hamburg.de/pressemitteilungen/2021/09/2021-09-25-vattenfall2
[8] https://www.datatilsynet.no/contentassets/7121f4f2de614186bc535823c9da7102/20_01727-3vedtak-om-overtredelsesgebyr---ferde-as.pdf
[9] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9703988
[10] https://www.aepd.es/es/documento/2021-0032.pdf
[11] https://edpb.europa.eu/news/news/2021/edpb-adopts-opinion-draft-south-korea-adequacy-decision_en
[12] https://www.dataprotection.ie/en/news-media/latest-news/dpc-launches-two-inquiries-tiktok-concerning-compliance-gdpr-requirements-relating-processing
[13] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9632773
[14] https://www.cnil.fr/sites/default/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf
[15] https://www.cnil.fr/fr/covid-19-questions-reponses-sur-la-collecte-de-donnees-personnelles-sur-le-lieu-de-travail
[16] https://www.cnil.fr/fr/covid-19-questions-reponses-sur-le-passe-sanitaire-et-lobligation-vaccinale
[17] https://ec.europa.eu/commission/presscorner/detail/en/statement_21_4951
[18] https://curia.europa.eu/juris/document/document.jsf?text=&docid=245745&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=5659842
[19] https://curia.europa.eu/juris/document/document.jsf?text=&docid=246026&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=1077837
[20] https://ec.europa.eu/commission/presscorner/detail/en/ip_21_4612
[21] https://ec.europa.eu/commission/presscorner/detail/es/IP_21_4613
[22] mailto:nheckh@ramoncajal.com
[23] mailto:mlgonzalez@ramoncajal.com
[24] mailto:aborjas@ramoncajal.com
[25] mailto:ptena@ramoncajal.com
[26] mailto:aruiz@ramoncajal.com
[27] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[28] https://twitter.com/RamonyCajalAbog
[29] https://www.ramonycajalabogados.com/es/search