El 21 de octubre, la Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado el PS/00500/2020 por el que sanciona a la entidad CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. (en adelante, “CPC” o la “Entidad Bancaria”) con 3.000.000 de euros por infracción del artículo 6.1 del Reglamento (UE) 2016/679, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”), tipificada en el artículo 83.5 del RGPD.
El procedimiento tiene su origen en una reclamación presentada contra CPC, que supuso el posterior inicio de las actuaciones de investigación por parte de la AEPD con el propósito de verificar la adecuación a la normativa de protección de datos del perfilado de datos realizado por CPC a sus clientes. En particular, la AEPD realizó sus actuaciones con el objeto de analizar el procedimiento de obtención del consentimiento en los tratamientos llevados a cabo por CPC.
Después de las investigaciones realizadas y el análisis de la documentación presentada por la Entidad Bancaria, la AEPD expone en la resolución las siguientes conclusiones:
Según lo expuesto, la AEPD concluye que el consentimiento prestado para las finalidades de perfilado no es conforme a lo establecido en el RGPD, de modo que los tratamientos basados en él carecen de legitimación contraviniendo lo previsto en el artículo 6.1 del RGPD, por ello impone la citada multa de 3.000.000 millones de euros a CPC.
Además, la AEPD requiere a la Entidad Bancaria que, en el plazo de 6 meses, adopte las medidas necesarias para adecuar a la normativa los procedimientos mediante los que recaba a sus clientes el consentimiento para la elaboración de perfiles.
Puedes consultar la resolución aquí [1].
La AEPD abrió expediente sancionador tras recibir una reclamación en la que se indicaba que una entidad dedicada a realizar cursos de aprendizaje de esquí había publicado un vídeo de una menor sin contar con el consentimiento de uno de sus tutores legales. Asimismo, la reclamante también informaba a la autoridad de control que la política de privacidad de la página web de la reclamada no cumplía con la normativa vigente de protección de datos.
La AEPD procede a iniciar un procedimiento de investigación, verificando que:
(I) El formulario de inscripción a los cursos de esquí de la página web contenía una casilla premarcada, obligando a los usuarios a aceptar obligatoriamente todas las estipulaciones indicadas en su política de privacidad. La AEPD considera que, con la inclusión de casillas premarcadas, no se garantiza que el consentimiento sea informado y entiende que los hechos vulneran el artículo 6 el RPGD. No obstante, y como la entidad reclamada procedió a corregir la infracción tras iniciarse el procedimiento, decide sancionar a la entidad con apercibimiento.
(II) La entidad reclamada ha tratado las imágenes obtenidas de los alumnos inscritos en los cursos de esquí sin base legitimadora puesto que el tratamiento excede la relación contractual existente y el consentimiento recogido a través del formulario de inscripción con casillas premarcadas no se puede considerar como un consentimiento libremente otorgado. Por lo tanto, la AEPD entiende que se ha infringido el artículo 7 del RGPD al no posibilitar al usuario otorgar un consentimiento libre, imponiendo a la entidad reclamada una sanción económica que asciende a 5.000 euros.
(III) La reclamada ha tratado las imágenes de una menor de edad con la finalidad de promoción de una campaña para potenciar la participación de niñas, adolescentes y mujeres adultas en actividades deportivas sin haber obtenido previamente el consentimiento de ambos progenitores. La AEPD sanciona a la entidad con una multa económica de 5.000 euros.
Puedes consultar la resolución completa pulsando aquí [2].
Una antigua usuaria de un club deportivo interpuso una reclamación ante la AEPD contra el mismo tras haber sido incluida a un grupo de WhatsApp sin su consentimiento.
La AEPD considera que el club deportivo ha tratado datos personales de la reclamante sin su consentimiento, vulnerando con ello el artículo 6 del RGPD. Asimismo, como la reclamante dejó de ser cliente hace más de diez años del club deportivo y aún se conservaban sus datos personales, la AEPD entiende que se ha vulnerado también el artículo 5.1.e del RGPD en el que se establece que los datos personales no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron recogidos.
La autoridad de control española también considera que el club deportivo ha facilitado datos personales de la reclamante a terceros al incluirle en un grupo de WhatsApp, infringiendo con ello la obligación de confidencialidad.
La AEPD, por todas las infracciones detectadas, ha impuesto al club deportivo una multa económica que asciende a la cantidad de 4.000 euros.
Puedes consultar la resolución completa pulsando aquí [3].
La AEPD resuelve un procedimiento sancionador relacionado con el ejercicio de un derecho de limitación contra un Ayuntamiento en calidad de responsable del tratamiento y la entidad Estacionamientos y Servicios S.A.U en calidad de encargado del tratamiento.
El expediente sancionador se inició tras recibirse una reclamación de un particular que había solicitado al encargado del tratamiento, entre otras cuestiones, el derecho a la limitación del tratamiento de todos sus datos personales, oponiéndose al borrado o supresión de los mismos.
El ejercicio del derecho a la limitación no fue respondido por el responsable del tratamiento. Sobre esta cuestión, la AEPD resalta dos cuestiones: (i) el encargado del tratamiento está obligado a asistir al responsable del tratamiento en la tramitación de ejercicios de derecho, y; (ii) el responsable del tratamiento, en el presente caso, ni siquiera había dispuesto mecanismos y procedimientos necesarios para atender el ejercicio de derechos por los ciudadanos en el sentido de que no había impartido instrucciones precisas al encargado del tratamiento sobre cómo actuar ante tales solicitudes.
De acuerdo con lo anterior, la AEPD considera que se ha infringido el artículo 18 del RGPD, por lo que se procede a apercibir al Ayuntamiento por la mencionada infracción de sus obligaciones como responsable del tratamiento.
Puedes consultar la resolución completa pulsando aquí [4].
La AEPD procedió a abrir dos actuaciones de inspección diferentes, que fueron iniciadas tras recibir notificaciones de dos brechas de seguridad de datos personales remitidos por una empresa de distribución eléctrica y una asociación audiovisual.
En ambos casos, la autoridad de control determinó que ambos responsables del tratamiento habían adoptado medidas de seguridad técnicas y organizativas acordes con el nivel del riesgo de los tratamientos llevados a cabo por ambas entidades.
La AEPD también establece en ambas resoluciones que no existen evidencias de que las entidades hayan actuado de forma diligente una vez conocida la brecha de seguridad, adoptando medidas con posterioridad a la incidencia para paliar sus consecuencias negativas. La autoridad de control resalta que ambas entidades han cumplido con su obligación de notificar las brechas en el plazo establecido en el artículo 33 del RGPD y, además, la AEPD destaca la rápida actuación de la asociación audiovisual y su posición activa para resolver la brecha de seguridad.
Puedes consultar las resoluciones completas pulsando aquí [5] y aquí [6].
La AEPD publica la resolución de terminación del procedimiento por pago voluntario PS/00279/2021, que se dirige contra ORANGE ESPAGNE, S.A.U. (la “Empresa”) por realizar llamadas telefónicas a un tercero que nunca fue cliente de la Empresa y que, además, ejerció su derecho de supresión.
En el presente caso, la AEPD entiende que de la documentación obrante en el expediente se evidencia que la Empresa vulneró el artículo 6 del RGPD, puesto que trato los datos personales de la reclamante sin que concurra alguna de las condiciones previstas en la norma imprescindibles para que el tratamiento sea lícito.
Consta acreditado que, con posterioridad al ejercicio del derecho de supresión de los datos por la reclamante, que fue atendido por el reclamado, le remitió a su número de telefonía móvil sin su consentimiento y sin que conste acreditado que existiera una relación contractual que legitimara el tratamiento, numerosas llamadas y SMS lo que supone vulneración del principio de licitud.
Por todo ello, la AEPD propone una sanción de 50.000 euros por infracción del artículo 6.1.a) del RGPD. Esta propuesta de sanción debido al pago voluntario se reduce hasta los 30.000 euros.
Puedes consultar la sanción aquí [7].
La reclamación interpuesta contra la empresa Servicios Logísticos Martorell Siglo XXI, S.L. (la “Empresa”) ante la AEPD se inicia por la implantación de un sistema de control presencial de los trabajadores a través de huella dactilar.
En concreto, la sección sindical entiende que el sistema que se pretende implantar es desproporcionado, innecesario y, además, no se ha requerido el consentimiento de los trabajadores. En relación con el consentimiento de los empleados, la Empresa entiende que este no es necesario y que los empleados fueron informados de la implantación del sistema de control de acceso de conformidad con las exigencias en la normativa de protección de datos.
Por su lado, una vez analizado todos los hechos, la AEPD entiende que el consentimiento de los empleados no es necesario siempre y cuando el tratamiento sea necesario para el cumplimento de obligaciones legales. Por ello, en el supuesto caso, no resultaría necesario el consentimiento expreso de los empleados.
Por último, en el presente caso, la AEPD entiende que la huella dactilar que se pretende tratar por el sistema de control de acceso es un dato especialmente protegido. Por ello, de acuerdo con el artículo 35 del RGPD, la Empresa tiene la obligación de realizar una evaluación de impacto en la protección de los datos personales.
En el caso analizado, no se llevó a cabo y, por ello, la AEPD impone una sanción de 20.000 euros.
Puedes acceder a la resolución aquí [8].
La Irish Data Protection Commission (en adelante, el “CPD”) publicó el pasado 18 de octubre su decisión de sancionar a Twitter International Company (“Twitter”) con una multa administrativa de 450.000 euros por falta de diligencia a la hora de notificar una brecha de seguridad.
La investigación se inició en enero de 2019 tras la recepción de una notificación de brecha de seguridad por parte de Twitter. Según ha dado a conocer la CPD, Twitter notificó la brecha de seguridad sobrepasando el plazo de 72 horas establecido en la normativa. En concreto, Twitter notificó el día 8 de enero de 2019, cuando en realidad se tuvo conocimiento de la misma el 1 de enero de 2019.
Puedes consultar el anuncio de la CPD aquí [9].
El Garante per la protezione dei dati personali (en adelante, el “Garante”) publicó el pasado día 19 una sanción por importe de 3.300.000 euros a Sky Italia, S.r.l. (“Sky”) por realizar llamadas telefónicas promocionales careciendo de base de legitimación y, por lo tanto, incumpliendo la normativa de protección de datos.
La investigación se inicia tras varias reclamaciones de los afectados en las que se pone de manifiesto que Sky no ha atendido el ejercicio de los derechos de oposición efectuados. Cabe resaltar que Sky adquirió estos números de teléfono tras la adquisición de una tercera empresa. En este sentido, el Garante entiende que el consentimiento dado por los usuarios a la empresa adquirida para comunicar sus datos a terceros, no la autorizaba a utilizar sus datos con fines promocionales.
El Garante aclara que, para realizar correctamente la actividad de comercial llevada a cabo, Sky debería haber informado al usuario del origen de los datos y, sólo tras obtener el consentimiento, proceder a la propuesta comercial.
Por todo lo anterior, el Garante impone una sanción de 3.300.000 euros por diversas infracciones del RGPD, entre ellas, por el tratamiento de datos careciendo de base de legitimación, falta de información y transparencia e incumplimiento del artículo 28.
Puedes consultar la resolución aquí [10].
La Autoridad de Control de protección de datos de Luxemburgo (en adelante, “CNPD”) ha publicado la Deliberation nº 31FR/2021 du 5 août 2021, por la que sanciona a una compañía aseguradora con 135.000 euros por infracción de los artículos 5, 32 y 33.5 del RGPD.
En concreto, la infracción de estos artículos se produce por una brecha de seguridad derivada del envío de correos electrónicos a terceros ajenos al responsable del tratamiento. Dichos correos electrónicos contenían datos sensibles (principalmente de salud) e identificativos de un asegurado (nombre, apellidos, dirección, etc.).
Teniendo en cuenta, además del incidente el incumplimiento del deber de documentar la brecha de seguridad previsto en el artículo 33.5 del RGPD, la CNPD impone una sanción de 135.000 euros.
Puedes leer la deliberación, sólo disponible en francés, aquí [11].
El Gabinete Jurídico de la AEPD ha emitido un informe analizando la petición realizada por el Ministerio de Igualdad a la Comisión Nacional de los Mercados y la Competencia (en adelante, “CNMC”) en la que se le solicita la comunicación de una muestra de números de teléfono para realizar una encuesta que forma parte del Plan Estadístico Nacional.
La citada petición, plantea la comunicación de datos personales que se encuentran en poder de la CNMC, al objeto de que sean tratados para una finalidad distinta, para realizar encuestas telefónicas por motivo de las limitaciones derivadas del actual escenario de la pandemia.
En este informe, la AEPD analiza dicha cuestión haciendo referencia a los distintos pronunciamientos sobre la misma realizados desde el inicio de la pandemia. Según la autoridad de control, el criterio relevante para determinar la forma en la que proceden este tipo de comunicaciones de datos deriva de la voluntariedad u obligatoriedad en el cumplimiento de la encuesta por parte de los afectados, exigiéndose la adopción de garantías adicionales en los supuestos en los que la misma es voluntaria.
En el caso analizado en este informe, la encuesta implica el tratamiento de categorías especiales de datos que solo podrán ser facilitados voluntariamente, tal como señala el Art. 11.2 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública. Por consiguiente, al tratarse de una encuesta de cumplimentación voluntaria por los afectados, para que la CNMC proceda a la comunicación de los números de teléfono de los abonados deberán adoptarse garantías adicionales, además de las genéricas derivadas de la normativa sobre la Función Estadística Pública.
Según el informe del DPD del Ministerio de Igualdad, estas garantías consistirían en la limitación de la muestra de teléfonos comunicada, la realización de estrictos controles de anonimización y disociación de datos, y la no inclusión de números de teléfono de personas que hayan ejercido su derecho de oposición a figurar en los listados telefónicos.
La AEPD considera que las garantías adicionales señaladas podrían considerarse suficientes, sin embargo, no considera acreditada la necesidad de la comunicación de datos personales por motivo de las limitaciones derivadas del actual escenario de la pandemia.
Según la autoridad de control, únicamente procederá la comunicación de datos, con las garantías señaladas, si se acredita debidamente que la pandemia lo hace estrictamente necesario ante la imposibilidad de llevar a cabo las encuestas presencialmente o si, como consecuencia de la pandemia, la tasa de respuesta de la entrevista personal es baja.
Puedes consultar el Informe aquí [12].
El Gabinete Jurídico de la AEPD ha emitido un informe analizando la comunicación planteada por el Ministerio de Universidades al Instituto de Mayores y Servicios Sociales (en adelante, el “IMSERSO”) de una base de datos con identificadores de personas, con el objetivo de que el IMSERSO realice un cruce de estos datos con los obrantes en la Base Estatal de personas con Valoración del Grado de discapacidad, remitiéndole posteriormente al Ministerio la información obtenida para cada identificador de su grado de discapacidad.
Según el IMSERSO consultante, el Ministerio realizaría posteriormente determinados cruces de datos sobre esta base de datos obtenidos, con indicaciones respecto a grado de discapacidad, habilitando un procedimiento para publicar tablas agregadas con información anonimizada.
Tal como señala la AEPD, en materia sanitaria y de datos de salud, el artículo 9 del RGPD incorpora una prohibición inicial de tratamiento, no obstante, de manera específica, a efectos de la materia sobre la que versa la consulta, en el artículo 9.2 j) del RGPD permite el tratamiento de esta tipología de datos para fines estadísticos.
No obstante, en este informe, la AEPD concluye que, de las facultades de publicación estadística del Ministerio de Universidades reguladas en el Plan Estadístico Nacional 2021-2024, no se extrae que se haya contemplado normativamente la realización de estadísticas de datos de salud de discapacidad referidos a personas físicas identificadas o identificables. En consecuencia, solo podrán recogerse estos datos previo consentimiento expreso de los interesados según el artículo 11.2 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.
Por lo tanto, la petición realizada desde el Ministerio de Universidades al IMSERSO, a efectos de la realización del cruce de información de datos personales objeto de la consulta, no es conforme a la normativa de protección de datos.
Puedes consultar el Informe aquí [13].
El 13 de octubre, el Comité Europeo de Protección de Datos (en adelante, el “CEPD”) ha adoptado la versión final de las “Directrices 10/2020 sobre restricciones en virtud del artículo 23 del RGPD”. El artículo objeto de análisis por el CEPD prevé la posibilidad de que los derechos y obligaciones de los titulares de datos personales se limiten cuando sea necesario para salvaguardar, entre otras, la seguridad del Estado y, la defensa y seguridad pública.
El documento publicado por el CEPD tiene como objetivo ayudar al legislador europeo y a los legisladores nacionales de los Estados Miembros a delimitar el alcance que pueden tener las limitaciones a los derechos de los interesados. Para ello, el CEPD establece la necesidad de aplicar el test de proporcionalidad a las medidas limitadoras de los derechos de los interesados antes de su aprobación.
Puedes consultar el documento aquí [14].
La ICO ha proporcionado su opinión sobre el establecimiento de medidas para la acreditación de la edad del menor en los servicios de la sociedad de la información, la cual está recogida en dictamen del Comisionado para la garantía de la edad para el código de la infancia. Indica cómo se debe aplicar la ley y facilita una regulación coherente y clara para aquellas personas que busquen la utilización de la garantía de edad para cumplir con el código para niños.
En su opinión, la ICO indica que los servicios de la sociedad de la información es necesario que establezcan un estándar, de tal manera que se reconozca la edad de sus usuarios y se analice el riesgo que tiene la información proporcionada para ellos.
Puedes consultar el documento aquí [15].
La AEPD explica en su blog las principales cuestiones que se deben tener en cuenta cuando una organización implanta un sistema de canal de denuncias interno.
Por ejemplo, la AEPD recuerda la importancia del deber de información a los trabajadores sobre la existencia de un canal de denuncias y del tratamiento de sus datos personales. Asimismo, entre otras obligaciones, también informa sobre la necesidad de respetar el principio de proporcionalidad y limitación de la finalidad del tratamiento derivado del canal de denuncias interno y de la obligación de suprimir los datos personales transcurridos tres meses.
Puedes consultar la entrada del blog de la AEPD aquí [16].
El Consejo de la Unión Europea publicó, durante el mes de octubre, un comunicado de prensa en el que expresa su posición sobre la futura Ley de Gobernanza de Datos.
El Consejo entiende que el éxito de la transformación digital y la consecución de los objetivos climáticos dependen, en gran medida, de la innovación basada en los datos que, a su vez, dependen de su disponibilidad. Por lo tanto, el Consejo considera que es fundamental generar confianza en el intercambio de información.
La Ley de Gobernanza de Datos conllevará, por ejemplo: (i) promover la reutilización de los datos del sector público; (ii) un nuevo modelo empresarial para la intermediación de datos; (iii) fomentar la cesión altruista de datos; (iv) la creación del Comité Europeo de Innovación en materia de datos, y; establecer garantías contra la transmisión internacional ilícita de datos no personales.
Puedes consultar el comunicado de prensa del Consejo de la Unión Europea aquí [17].
La AEPD, durante el mes de octubre, ha publicado en su blog dos entradas sobre los conceptos de anonimización y pseudonimización en la que la autoridad de control nos recuerda las diferencias entre ambos conceptos y las implicaciones de usar una u otra técnica.
La autoridad de control española nos informa de nuevo que el conjunto de datos anonimizados queda fuera del ámbito de aplicación del RGPD en la medida que sea posible demostrar objetivamente que no existe capacidad material para asociar los datos anonimizados a una persona física determinada, sin embargo, recalca que el tratamiento que generan los datos anonimizados sí es un tratamiento de datos personales y, por tanto, sujeto a los principios y obligaciones del RGPD.
La segunda publicación está dedicada a la privacidad diferencial, que busca establecer garantías de protección de datos desde el diseño mediante la implementación práctica de estrategias de abstracción de la información para encontrar un equilibrio entre la explotación legítima de la información y el respeto a la privacidad.
Puedes consultar las entradas del blog de la AEPD aquí [18] y aquí [19].
El ICO ha publicado un borrador de la guía sobre cómo anonimizar datos de carácter personal de forma efectiva. En este sentido, recuerda que el factor fundamental es determinar si es razonablemente probable que se pueda volver a reidentificar a las personas cuyos datos personales hayan sido anonimizados. Se recalca también la necesidad de revisar los procesos de anonimización de forma continua como consecuencia de que la identificabilidad de los datos puede variar dependiendo de las circunstancias de cada momento.
Puedes consultar el borrador de la guía aquí [20].
La CNIL ha publicado el Libro Blanco “Cuando la confianza paga: los medios de pago de hoy y de mañana ante el reto de la protección de datos” ante el aumento del uso de medios de pago electrónicos.
El mencionado Libro Blanco está destinado al público en general para concientizar a la población sobre los riesgos en sus datos personales a la hora de utilizar medios de pago electrónicos. Asimismo, el mencionado Libro Blanco también está dirigido a los profesionales del sector para conocer los puntos de supervisión que la CNIL considera relevantes a tener en cuenta en esta materia sobre la aplicación del RGPD.
El Libro Blanco es solo el primer paso del diálogo que la CNIL quiere abrir con las partes interesadas sobre los medios de pagos electrónicos y la protección de datos personales. De acuerdo con ello, junto la publicación del Libro Blanco, la CNIL ha abierto una consulta pública en línea abierta hasta el próximo 15 de diciembre.
Puedes consultar el Libro Blanco, solo disponible en francés, aquí [21].
La resolución publicada por el Parlamento Europeo presta atención al alto volumen de errores en la identificación de grupos étnicos minoritarios, personas LGTBI, ancianos y mujeres. El Parlamento considera que este alto volumen de errores es especialmente preocupante al tratarse de identificaciones que se utilizaran por autoridades policiales en un contexto de vigilancia del comportamiento de la población.
La resolución del Parlamento establece que las decisiones finales sobre los sujetos monitorizados por medio de sistemas de inteligencia artificial deberán ser realizadas siempre por operadores humanos y no tratarse de decisiones automatizadas.
La resolución del Parlamento presenta las siguientes conclusiones para ser remitidas al Consejo y a la Comisión Europea:
Puedes consultar la resolución aquí [22].
El día 6 de octubre, el Tribunal de Justicia de la Unión Europea (“TJUE”) ha dictado sentencia en el asunto C-13/20, respondiendo a una petición de decisión prejudicial planteada por el Tribunal de Apelación de Bruselas respecto a la interpretación del artículo 5.1 de la Directiva 91/250/CEE del Consejo, de 14 de mayo de 1991, sobre la protección jurídica de programas de ordenador (en adelante, “Directiva 91/250”).
Esta petición se presentó en el contexto de un litigio entre Top System S.A. y el Estado belga, en relación con la descompilación realizada, por parte de la entidad pública Selor, de un programa de ordenador desarrollado por Top System y sobre el que Selor poseía una licencia de uso.
En la primera de las cuestiones prejudiciales el órgano jurisdiccional remitente pregunta al TJUE si el artículo 5.1 de la Directiva 91/250 debe interpretarse en el sentido de que el adquirente legítimo de un programa de ordenador, como Selor, tiene derecho a descompilar total o parcialmente dicho programa con el fin de corregir errores que afecten a su funcionamiento, incluso cuando la corrección consista en desactivar una función que afecta al buen funcionamiento de la aplicación de la que forma parte ese programa. El TJUE responde de forma afirmativa a esta pregunta planteada.
En segundo lugar, se pregunta al TJUE si, en caso de respuesta afirmativa a la primera cuestión, el adquiriente que desee descompilar el programa de ordenador debe cumplir los requisitos establecidos en el artículo 6 de la Directiva 91/250 u otros requisitos.
A este respecto, el TJUE señala que dicho adquiriente legítimo no debe cumplir los requisitos previstos en el artículo 6 de la citada Directiva, ya que dicho artículo tiene un ámbito de aplicación y finalidades distintas de las previstas en el artículo 5.1, por consiguiente, sus requisitos no son aplicables a este caso.
No obstante, el adquiriente solo tiene derecho a proceder a tal descompilación en la medida en que sea necesaria para poder utilizar el programa, en particular para corregir errores, y respetando, en su caso, las condiciones establecidas contractualmente con el titular de los derechos de autor sobre el programa de ordenador.
Puedes consultar la sentencia aquí [23].
El pasado 19 de octubre de 2021 la Comunidad Autónoma de Galicia publicó el Anteproyecto de Ley del Juego en Galicia (el “Anteproyecto”), la cual consta de un título preliminar y seis títulos, 56 artículos, tres disposiciones adicionales, ocho disposiciones transitorias, una disposición derogatoria y siete disposiciones finales.
Según el Anteproyecto, en Galicia existen actualmente 40 tiendas de apuestas, dos casinos y una sala adicional, 11 bingos y 115 salones de Juego. Con el objetivo de proteger la salud y la seguridad de las personas usuarias al mismo tiempo de mantener una oferta real del juego, este Anteproyecto pretende poner un límite a este tipo de establecimientos.
Además, indica que “esta norma establece un máximo de dos casinos y dos salas adicionales, 12 bingos, 118 salones de juego y 41 tiendas de apuestas, fijando una duración de 15 años para todas las autorizaciones, tanto las existentes como las futuras, y fijando un sistema de concurso público para poder acceder a las nuevas autorizaciones de instalación”.
Puede consultar el Anteproyecto aquí. [24]
El pasado 19 de octubre de 2021 el Ministerio de Consumo publicó el Proyecto de Real Decreto por el que se desarrollan entornos más seguros del juego (el “Proyecto de Real Decreto”).
En el Proyecto de Real Decreto adquiere gran importancia las medidas sobre juego responsable o seguro, en concreto el Proyecto de Real Decreto menciona como punto clave “la prevención de conductas adictivas, la protección de los derechos de grupos en riesgo y, en general, la protección de las personas consumidoras”. En este sentido, se indica que las medidas sobre juego responsable o seguro puestas en marcha por los Operadores de Juego deben hacer hincapié en los siguientes puntos:
Puede consultar el Proyecto de Real Decreto aquí [25]
El recurso de casación resuelto por la sala de lo Civil del Tribunal Supremo (en adelante, “TS”), en sentencia 3668/2021, de 11 de octubre, versa sobre la reclamación presentada por una clínica veterinaria ante otra clínica que le suministró maquinaria para el desarrollo de su actividad económica. El conflicto entre las partes surgió cuando la compradora trato de ejercer el derecho de desistimiento en los contratos a distancia y las compraventas fuera de los establecimientos mercantiles prevista en el Texto Refundido de la Ley de Defensa de los Consumidores y Usuarios (en adelante, “TRLDCU”).
Valdelasfuentes 25, S.L., entidad a la que la clínica veterinaria Practice Clínicas Veterinarias Móviles S.L.L adquiere la maquinaria, alega que, al destinarse el bien adquirido al desarrollo de la actividad productiva de la compradora, esta no reúne los requisitos legales para ser considerada como consumidor y por tanto no puede beneficiarse de la aplicación de la normativa de protección de los consumidores. Por su parte, la clínica veterinaria que adquiere el bien considera que su posición se subsume bajo el concepto de usuaria final y, por tanto, sí puede beneficiarse del derecho de desistimiento. Establecido lo anterior, el debate a resolver por el TS gira en torno a la existencia o no de una interpretación diferenciada entre los conceptos consumidor y usuario final recogidos en los artículos 2 y 3 del TRLDCU.
Ante este caso, el TS concluye no existe un concepto diferenciado entre consumidor y usuario final. Por lo tanto, la tratarse de una sociedad mercantil y adquirir la máquina para su uso en el desarrollo de su actividad empresarial o profesional, no puede ser considerada consumidora y, por tanto, no puede beneficiarse del derecho de desistimiento previsto en el TRLDCU para los consumidores.
Puedes consultar la sentencia aquí [26].
El Boletín Oficial del Estado de 14 de noviembre publicó la Ley de 25 de octubre publica la Ley 15/2021, de 23 de octubre que modifica el apartado 1 del artículo 49 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, que regula la Guía de abonados. En concreto, se modifican los dos últimos apartados del punto 1, quedando la redacción del artículo así:
“1. La elaboración y comercialización de las guías de abonados a los servicios de comunicaciones electrónicas y la prestación de los servicios de información sobre ellos se realizará en régimen de libre competencia.
A tal efecto, las empresas que asignen números de teléfono a los abonados habrán de dar curso a todas las solicitudes razonables de suministro de información pertinente para la prestación de los servicios de información sobre números de abonados y guías accesibles al público, en un formato aprobado y en unas condiciones equitativas, objetivas, orientadas en función de los costes y no discriminatorias, estando sometido el suministro de la citada información a su posterior utilización en la normativa en materia de protección de datos vigente en cada momento.
La Comisión Nacional de los Mercados y la Competencia deberá suministrar gratuitamente a las entidades que vayan a elaborar guías telefónicas de abonados, a las que presten el servicio de consulta telefónica sobre números de abonado, a las que presten los servicios de llamadas de emergencia y a los servicios estadísticos oficiales para la elaboración de encuestas y el desarrollo de las competencias estadísticas que la Ley les confiere, los datos que le faciliten los operadores, de conformidad con las condiciones que se establezcan mediante real decreto.
La cesión de estos datos en favor de los servicios estadísticos oficiales deberá basarse en los principios recogidos en la normativa de protección de datos y, especialmente, en los de minimización y limitación de la finalidad.”
Puedes consultar la publicación oficial del BOE aquí [27].
Links
[1] https://www.aepd.es/es/documento/ps-00500-2020.pdf
[2] https://www.aepd.es/es/documento/ps-00104-2021.pdf
[3] https://www.aepd.es/es/documento/ps-00260-2021.pdf
[4] https://www.aepd.es/es/documento/ps-00431-2020.pdf
[5] https://www.aepd.es/es/documento/e-01236-2021.pdf
[6] https://www.aepd.es/es/documento/e-08549-2020.pdf
[7] https://www.aepd.es/es/documento/ps-00279-2021.pdf
[8] https://www.aepd.es/es/documento/ps-00050-2021.pdf
[9] https://dataprotection.ie/en/news-media/press-releases/confirmation-fine-twitter-international-company
[10] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9706389
[11] https://cnpd.public.lu/content/dam/cnpd/fr/decisions-fr/2021/Decision-31FR-2021-sous-forme-anonymisee.pdf
[12] https://www.aepd.es/es/documento/2021-0060.pdf
[13] https://www.aepd.es/es/documento/2021-0007.pdf
[14] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-102020-restrictions-under-article-23-gdpr_en
[15] https://ico.org.uk/media/about-the-ico/documents/4018659/age-assurance-opinion-202110.pdf
[16] https://www.aepd.es/es/prensa-y-comunicacion/blog/privacidad-en-sistemas-de-denuncia-o-whistleblowing
[17] https://www.consilium.europa.eu/es/press/press-releases/2021/10/01/eu-looks-to-make-data-sharing-easier-council-agrees-position-on-data-governance-act/
[18] https://www.aepd.es/es/prensa-y-comunicacion/blog/anonimizacion-y-seudonimizacion
[19] https://www.aepd.es/es/prensa-y-comunicacion/blog/anonimizacion-y-seudonimizacion-ii-la-privacidad-diferencial
[20] https://ico.org.uk/media/about-the-ico/documents/4018606/chapter-2-anonymisation-draft.pdf
[21] https://www.cnil.fr/sites/default/files/atoms/files/cnil_livre_blanc_2-paiement.pdf
[22] https://www.europarl.europa.eu/doceo/document/TA-9-2021-0405_EN.pdf
[23] https://curia.europa.eu/juris/document/document.jsf;jsessionid=B1CA7A63C964A58DA9966C26C070B267?text=&docid=247056&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=17890537
[24] https://www.azarplus.com/wp-content/uploads/2021/10/ANTEPROYECTO-GALICIA.pdf
[25] https://www.azarplus.com/wp-content/uploads/2021/10/notification_draft_2021_665_E_ES.pdf
[26] https://www.poderjudicial.es/search/AN/openDocument/db1778b2766738e7/20211022
[27] https://www.boe.es/buscar/act.php?id=BOE-A-2021-17276#df-2
[28] mailto:nheckh@ramoncajal.com
[29] mailto:mlgonzalez@ramoncajal.com
[30] mailto:aborjas@ramoncajal.com
[31] mailto:ptena@ramoncajal.com
[32] mailto:aruiz@ramoncajal.com
[33] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[34] https://twitter.com/RamonyCajalAbog
[35] https://www.ramonycajalabogados.com/es/search