El pasado día 5 de enero, el Supervisor Europeo de Protección de Datos (en adelante, “SEPD”), publicó su decisión (en adelante, la “Decisión”) sobre la reclamación 2020-1013 presentada contra el Parlamento Europeo por transferir datos fuera del Espacio Económico Europeo (“EEE”) en una de sus páginas webs (en adelante, el “Sitio Web”) sin cumplir con la normativa de protección de datos.
La investigación del SEPD se inició tras las reclamaciones presentadas por miembros del Parlamento Europeo y por la organización sin ánimo de lucro European Center for Digital Rights (en adelante “Noyb”) que denunciaban la existencia de transferencias de datos de la información recogida a través de las cookies de las herramientas Google Analytics y Stripe a Estados Unidos.
Según la Decisión, de conformidad con la Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 en el caso Data Protection Commissioner v. Facebook Ireland LTD and Maximillian Schrems ("Sentencia Schrems II"), las transferencias de datos personales a Estados Unidos solo pueden realizarse adoptando medidas complementarias que garanticen un nivel de protección de los usuarios equivalente al de la Unión Europea, debiendo evaluar individualmente cada caso. A este respecto, el Parlamento Europeo no proporcionó ninguna prueba o información relativa a las medidas existentes para garantizar un nivel de protección equivalente en el contexto del uso de las citadas cookies.
Asimismo, durante el pasado mes de enero, la autoridad de protección de datos de Austria o Datenschutzbehörde (en adelante “DSB”), también se pronunció respecto a las transferencias internacionales de datos producidas por el uso de Google Analytics respondiendo a una reclamación realizada por Noyb que denunciaba violación del artículo 44 del Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
Según la resolución de la DSB, la cual no implicó una sanción para los demandados, la utilización de Google Analytics no ofrece el nivel de protección exigido por el artículo 44 del RGPD ya que es un proveedor sujeto a vigilancia de las agencias de inteligencia de Estados Unidos y las medidas que se tomaron -además de la firma de cláusulas contractuales tipo-, no son efectivas, ya que no eliminan las opciones de seguimiento y acceso por los citados servicios estadounidenses.
Por su parte, el 13 de enero de 2022, Google emitió un comunicado en el que señalaba que, antes de transferir datos a Estados Unidos a través de Google Analytics, estos se recopilan en servidores locales donde las direcciones IP se anonimizan. Asimismo, la empresa tecnológica anunció que su herramienta incluye medidas complementarias exigidas por las autoridades europeas en las transferencias internacionales de datos como cifrado de datos, seguridad física en centros de datos, políticas para el manejo de solicitudes gubernamentales de información, o cumplimiento de estándares reconocidos, como la ISO 27001.
Puedes consultar la Decisión del SEPD aquí [1], la resolución de la DSB aquí [2], y el comunicado de Google aquí [3].
B) RESOLUCIONES Y SENTENCIAS RELEVANTES
La asociación RIGHTS INTERNATIONAL SPAIN interpuso una denuncia ante la Agencia Española de Protección de Datos (“AEPD”) a distintas aplicaciones tecnológicas, entre ellas GRINDR, LLC (en adelante, “Grindr”), por uso sistemático de datos personales sin el conocimiento o control por parte de los usuarios, la generación de perfiles y categorización de los consumidores, la carencia de información proporcionada para la toma de decisiones respecto al uso de datos personales en tecnología publicitaria y las bajas posibilidades de detener o controlar la explotación de datos personales por parte del usuario.
Tras la denuncia, la AEPD inició un procedimiento para conocer el funcionamiento de esta aplicación comprobando la licitud de los tratamientos de datos efectuados, la posible elaboración de perfiles y el tratamiento de categorías especiales de datos.
Después de su investigación, la AEPD procede al archivo de las actuaciones y concluye que los tratamientos analizados son lícitos sin que existan evidencias de actuaciones contrarias a la normativa de protección de datos.
No obstante lo anterior, la resolución es de interés porque, a pesar de que Grindr se presenta al público como una aplicación para gays, bisexuales, transexuales y personas queer, la AEPD ha considerado que no realizan tratamiento de categorías especiales de datos sobre la base de los argumentos defendidos por Grindr de que: (i) no recopila de forma directa información sobre orientación sexual, y (ii) no ofrece ningún campo al usuario para especificarla, salvo que los usuarios puedan optar por revelarla voluntariamente en campos de texto libre de su perfil.
El criterio de la AEPD se diferencia de la posición adoptada por parte de otras autoridades de protección de datos europeas, como la de Noruega que el mes pasado impuso una multa de 6,5 millones a Grinder por enviar categorías especiales de datos a posibles socios publicitarios sin el consentimiento de los usuarios.
Puede consultar la resolución de la AEPD aquí [4] y la resolución de la autoridad de protección de datos de Noruega pulsando aquí [5].
La AEPD recibe una reclamación contra el Consorcio para la Construcción, Equipamiento y Explitación de la Sede Española de la Fuente Europea de Neutrones por Espalación (“Consorcio”) por parte de un antiguo representante sindical de la entidad.
El reclamante informa a la autoridad de protección de datos española que el Consorcio había implantado un sistema de control de presencia y fichaje horario por reconocimiento biométrico de la huella desde el 2019.
Una vez recibida la reclamación, la AEPD procede a investigar las circunstancias determinando que el Consorcio legitima el tratamiento en el cumplimiento de la obligación legal que tienen los empleadores de contar con un sistema de registro de jornada laboral. Además, a efectos de mayor transparencia, el Consorcio decidió solicitar el consentimiento de los empleados antes de implantar el mencionado sistema de control horario a través de datos biométricos.
Sin perjuicio de que la AEPD no considera válido el consentimiento otorgado por los empleados al proporcionarse en un contexto de desequilibrio claro entre el interesado y el responsable del tratamiento, la AEPD se centra en que se tratan categorías especiales de datos sin haberse llevado a cabo la preceptiva evaluación de impacto en materia de protección de datos antes de implantar el sistema de registro horario mediante la huella dactilar.
De acuerdo con lo anterior, al no haber realizado el Consorcio la correspondiente evaluación de impacto, la AEPD sanciona al Consorcio por una infracción del artículo 35 del RGPD.
Puede consultar la resolución pulsando aquí [6].
El pasado 19 de enero de 2022, la autoridad de protección de datos italiana (“Garante per la Protezione dei Dati Personali” o “GPDP”) sancionó a Enel Energia S.P.A. (“Enel Energía”) por tratar datos personales de usuarios con fines de marketing sin contar con una base legal adecuada para el tratamiento.
La autoridad de protección de datos de Italia procedió a abrir una investigación contra Enel Energía después de recibir cientos de denuncias de usuarios informando de que habían recibido llamadas no solicitadas realizadas en nombre de Enel Energía. Asimismo, el GPDP comprobó que, al ser llamadas con mensajes pregrabados, no se permitía ejercer con facilidad los derechos reconocidos en la normativa de protección de datos a favor de los interesados.
El GPDP impuso una sanción a Enel Energía de, aproximadamente, 26 millones de euros por las infracciones detectadas en materia de protección de datos. Además, la autoridad de protección de datos de Italia exige a Enel Energía la implementación de medidas técnicas y organizativas adicionales para gestionar de una forma eficaz los ejercicios de derechos de los interesados.
Puede consultar el texto completo de la resolución pulsando aquí [7] (solo disponible en italiano).
El pasado 4 de enero de 2022, la AEPD publicó el acuerdo de finalización del PS/00475/2021 por pago voluntario de MYHERITAGE, LTD (“MYHERITAGE”). El procedimiento se inició el 1 de julio de 2020 mediante la reclamación de la Organización de Consumidores y Usuarios (“OCU”) por posibles incumplimientos de protección de datos por parte del responsable del portal web https://www.myheritage.es [8], en el que se ofrecen a residentes españoles servicios genealógicos, incluyendo análisis y comparativas de ADN.
En concreto, la OCU reclama infracción del principio de información y transparencia, falta de base de legitimación para el tratamiento de los datos de los afectados (que incluye el tratamiento de datos especialmente protegidos), en la utilización e información sobre cookies en la página web, por realizar transferencias internacionales de datos careciendo de garantías adecuadas para ello, infracción del principio de limitación del plazo de conservación y, por último, por el envío de comunicaciones comerciales sin el consentimiento de los interesados.
La AEPD, tras la recepción de la denuncia y el análisis de la información entregada por MYHERITAGE propone una sanción de 20.000 euros por infracción del artículo 22.2) de la LSSI por la instalación de cookies no necesarias sin recabar el consentimiento del afectado y una sanción de apercibimiento por infracción del artículo 13 del RGPD.
En fecha 2 de noviembre de 2021, MYHERITAGE procedió al pago de la sanción en la cuantía de 16.000 euros haciendo uso de una de las dos reducciones previstas en el acuerdo de inicio de procedimiento.
Puede leer el acuerdo pulsando aquí [9].
El pasado 31 de enero de 2022, la autoridad de protección de datos griega (en adelante, “HDPA”) sancionó a Cosmote Mobile Telecommunications S.A. (en adelante, “Cosmote”) con 6.000.000 euros, y con 3.200.000 euros a una entidad de su grupo empresarial, Hellenic Telecommunications Organisation S.A. (en adelante, “OTE”).
HDPA, tras la notificación de una brecha de seguridad por parte de Cosmote, investigó las circunstancias en las que se produjo el incidente de seguridad. A raíz de esta investigación, la autoridad de protección de datos detectó: (i) deficiencias en la información facilitada a los interesados en el momento de la recogida de sus datos por parte de Cosmote (art. 13 RGPD); (ii) falta de medidas de seguridad adecuadas que debieron ser adoptadas por Cosmote (art. 5.1.f RGPD), y; (iii) deficiencias en la regulación de la relación entre Cosmote y OTE, que actuaba en calidad de encargado en algunos tratamientos y, en otras ocasiones, como corresponsable junto a Cosmote.
Puede consultar la resolución contra Cosmote pulsando aquí [10] y a la resolución contra OTE pulsando aquí [10] (solo disponibles en griego).
El 26 de enero, la AEPD publicó la resolución de terminación del PS/00506/2021 por pago voluntario contra VODAFONE ESPAÑA, S.A.U. (en adelante “Vodafone”).
La investigación contra Vodafone se inició por la reclamación de un cliente de la compañía que manifestó que, sin actuación alguna por su parte, Vodafone modificó su dirección postal con la de un vecino, poniendo sus líneas de móvil a nombre de ambos y revelando sus datos personales a esta persona.
De acuerdo con la resolución, el fallo de seguridad se produjo porque un tercer cliente solicitó el alta de un conjunto de servicios facilitando la dirección del reclamante. Estos hechos provocaron la existencia de una brecha de seguridad de datos personales que afectó a la confidencialidad, disponibilidad e integridad de estos.
La AEPD, tras realizar un balance de las circunstancias, fijó inicialmente una propuesta de sanción que ascendía a la cantidad de 50.000 euros por infracción del artículo 5.1f) del RGPD al no garantizar la seguridad de los datos, y de 20.000 euros por infracción del artículo 32 del RGPD, al no aplicar esta entidad las medidas técnicas y organizativas apropiadas al riesgo.
La AEPD declaró la terminación del procedimiento por pago voluntario de Vodafone de la cuantía de 56.000 euros haciendo uso de una de las reducciones previstas, pero sin reconocer su responsabilidad.
Puede consultar la resolución aquí [11].
El pasado 31 de enero de 2022, la autoridad de protección de datos de España publicó la resolución del procedimiento sancionador PS/00469/2021 a través del cual sancionaba a la entidad INCOPROSOL, S.L. (“INCOPROSOL”) por grabar una conversación telefónica mantenida con uno de sus empleados.
Tras la investigación de la AEPD, se determina que INCOPROSOL grabó una conversación telefónica con uno de sus empleados sin solicitar su consentimiento con carácter previo.
La AEPD considera que se ha vulnerado la normativa de protección de datos al tratar INCOPROSOL datos personales sin contar con una base legal del artículo 6 del RGPD, procediendo a sancionar a la entidad con una multa económica que asciende a la cantidad de 5.000 euros.
Puede acceder a la resolución pulsando aquí [12].
La AEPD resolvió recientemente una consulta remitida por la Asociación Española de Compliance (“ASCOM”) en relación con el período de conservación de los datos personales recabados a través de los canales de denuncias internos.
En primer lugar, cabe aclarar que el artículo 24.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”) estipula que “transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica”.
El pronunciamiento de la AEPD señala que lo indicado en el artículo 24.4 de la LOPDGDD no implica que los datos deban suprimirse de los sistemas de la entidad en el plazo indicado, sino que únicamente procederá su supresión del concreto sistema de la información de denuncias internas, pasando a integrarse en los sistemas propios del órgano de cumplimiento o, en su caso, del que se tenga a su cargo la gestión de recursos humanos.
Puedes acceder a la consulta aquí [13].
El pasado 18 de enero de 2022, el CEPD abrió el período de consulta pública de las “Directrices 01/2022 sobre el Derecho de Acceso” (“Directrices 01/2022”) hasta el próximo 11 de marzo de 2022.
Las Directrices 01/2022 tienen el objetivo de analizar diferentes aspectos sobre el derecho de acceso, proporcionando una orientación más precisa sobre cómo debe aplicarse en diferentes situaciones. Asimismo, también proporcionan aclaraciones sobre el alcance del derecho de acceso, la información que el responsable del tratamiento debe proporcionar al interesado cuando ejerce este derecho, el formato
El CEPD, en sus Directrices 01/2022, también proporcionan ejemplos para ayudar a los responsables del tratamiento a responder a las solicitudes de acceso de conformidad con el RGPD.
Puede consultar las Directrices 01/2022 pulsando aquí [14].
Puede acceder a la consulta pública de las Directrices 01/2022 pulsando aquí [15].
El pasado 20 de enero de 2022, el SEPD publicó su “Opinión 2/2022 sobre la Propuesta de Reglamento sobre transparencia y la segmentación de la publicidad política” (“Opinión 2/2022”).
El SEPD, en su Opinión 2/2022, recomienda al legislador de la Unión Europea que, además de las medidas propuestas para aumentar la transparencia sobre la publicidad en línea dirigida con fines políticos, considere adoptar normas más estrictas. En concreto, el SEPD recomienda que se incluya una prohibición total de microsegmentación con fines políticas, es decir, que se prohíba con carácter general dirigirse a un individuo o a un pequeño grupo de individuos con mensajes políticos en función de sus preferencias o intereses que su comportamiento en línea pueda revelar.
La Opinión 2/2022 también hace referencia a que se establezcan más restricciones en relación con las categorías de datos personales que pueden o no tratarse con fines de publicidad política.
El SEPD también formula otras observaciones y recomendaciones específicas sobre determinados elementos de la Propuesta de Reglamento sobre transparencia y segmentación de la publicidad política como, por ejemplo, la relación con la normativa en materia de protección de datos, las funciones y responsabilidades de los agentes que intervienen en la publicidad política y la cooperación entre las autoridades de control competentes.
Puede consultar la Propuesta de Reglamento sobre transparencia y la segmentación de la publicidad política pulsando aquí [16].
La Audiencia Provincial de Barcelona, en su sentencia de 13 de enero de 2022, resuelve el recurso de apelación presentado por LIDL Supermercados, S.A. (en adelante, “LIDL”) a la sentencia de primera instancia dictada por el Juzgado de lo Mercantil nº 5 de Barcelona, el 19 de enero de 2021.
La sentencia del Juzgado de lo Mercantil estimó la demanda presentada por Vorwerk & Co. Interholding Gmbh (en adelante, “Vorwerk”), considerando válida la patente española de su titularidad y declarando que el producto comercializado por la demandada infringía la citada patente.
Sin embargo, la reciente sentencia de la Audiencia Provincial estima el recurso presentado por LIDL y declara nula la patente de Vorwerk. La Audiencia Provincial fundamenta la nulidad de la patente en los siguientes motivos:
Adicionalmente, pese a que, tras la declaración de nulidad de la patente la supuesta infracción de la misma deviene imposible, la sentencia se pronuncia sobre la infracción alegada por Vorwerk. La Audiencia Provincial considera que el sistema de seguridad utilizado por LIDL no reproduce las características del sistema de seguridad utilizado por Vorwerk. Por lo tanto, aunque la patente no hubiere sido declarada nula, tampoco se habría producido ninguna infracción de la misma.
Puede consultar la sentencia de la Audiencia Provincial de Barcelona pulsando aquí [17].
El Decreto del Régimen Administrativo del Juego en Castilla-La Mancha, se publica en las mismas fechas en las que entre en vigor la Ley 5/2021, de 23 de julio, del Régimen Administrativo y Fiscal del Juego en Castilla-La Mancha (en vigor desde el 30 de enero, excepto el capítulo I del título V, relativo a los tributos sobre el juego, que entrará en vigor el 1 de julio del 2022).
Entre las novedades que presenta la nueva legislación, consideramos relevante destacar la prohibición en general de la publicidad y las promociones (ej. consumiciones gratuitas o por precio inferior al de mercado) establecida por la nueva normativa. Esta prohibición general cuenta con excepciones tasadas como la publicidad que se realiza en el interior de los propios locales, aquella que se realiza en publicaciones específicas dirigidas al sector, los patrocinios que consistan simplemente en insertar el nombre comercial de la empresa u organizador del juego. Conforme a la anterior regulación estas actividades no requerían de autorización administrativa, sin embargo, ahora quedan sometidas a un régimen de autorización administrativa previa. En concreto, el Decreto del Régimen Administrativo del Juego en Castilla-La Mancha prevé un periodo de seis meses para la obtención de estas autorizaciones administrativas desde la fecha de su entrada en vigor.
Puedes consultar el documento aquí [18].
El pasado 26 de enero, la Comisión Europea propuso al Parlamento Europeo y al Consejo de Europa que suscribiesen la “European Declaration on Digital Rights and Principles for the Digital Decade”, una declaración de derechos y principios que guíe la transformación digital en la Unión Europea (en adelante, la “Declaración”).
Este proyecto de Declaración de derechos y principios pretende establecer referencias claras sobre el tipo de transformación digital que La Unión Europea promueve, sirviendo además de guía para responsables políticos y organizaciones al abordar las nuevas tecnologías.
Según el comunicado de prensa en la página web oficial de la Comisión Europea, entre los próximos pasos, se invita al Parlamento y al Consejo a debatir el citado proyecto de Declaración y a aprobarlo al más alto nivel para el verano.
Puedes consultar el texto de la Declaración aquí [19].
El Banco de España ha puesto a disposición, a través de su web, la guía de implementación del marco de pruebas TIBER-ES para que el sector financiero pueda comprobar la ciberseguridad de sus sistemas frente a un posible ciberataque.
El marco nacional “TIBER-ES” tiene como objetivo fundamental fortalecer la “ciberresiliencia” de las entidades financieras que operan en España. El marco se adopta desde una perspectiva de estabilidad financiera; es voluntaria la participación de las entidades en las pruebas, de modo que se les ofrece que las realicen, pero no se les exige.
El propósito del documento es especificar las condiciones para la realización de pruebas de TLTP bajo el esquema de requisitos de TIBER-ES. Los conceptos fundamentales y los principios básicos del marco TIBER-EU han sido recogidos en el documento con detalle, y las pruebas deberán ajustarse a ellos. Al margen de dichos requisitos, el documento pretende ser una guía, y no un catálogo prescriptivo de actividades.
Puede consultar la guía pulsando aquí [20].
El pasado 17 de enero de 2022 se publicó en el Boletín Oficial del Estado la Circular 1/2022, de 10 de enero, relativa a la publicidad sobre criptoactivos presentados como objeto de inversión (en adelante, la “Circular”), elaborada por la Comisión Nacional del Mercado de Valores (en adelante, “CNMV”).
La citada Circular, entre otras cuestiones: (i) define el ámbito de aplicación objetivo y subjetivo de las actividades consideradas publicitarias de criptoactivos; (ii) establece los requisitos de formato que deben cumplir las campañas publicitarias, por ejemplo, exigiendo que la publicidad sea clara, equilibrada, imparcial y no engañosa, y; (iii) establece el régimen de comunicación previa para las campañas calificadas como masivas.
La Circular de la CNMV no contiene ninguna disposición sobre los criptoactivos como producto o sus características, sino exclusivamente sobre los requisitos que deberá cumplir la actividad publicitaria que persiga su ofrecimiento como posible inversión.
Puede consultar la Circular aquí [21].
Links
[1] https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf
[2] https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf
[3] https://www.blog.google/around-the-globe/google-europe/google-analytics-facts/
[4] https://www.aepd.es/es/documento/e-03624-2021.pdf
[5] https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-imposes-fine-against-grindr-llc_es
[6] https://www.aepd.es/es/documento/ps-00052-2021.pdf
[7] https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9735672
[8] https://www.myheritage.es/
[9] https://www.aepd.es/es/documento/ps-00475-2021.pdf
[10] https://www.dpa.gr/sites/default/files/2022-01/4_2022%20anonym%20%282%29_0.pdf
[11] https://www.aepd.es/es/documento/ps-00506-2021.pdf
[12] https://www.aepd.es/es/documento/ps-00469-2021.pdf
[13] https://www.asociacioncompliance.com/wp-content/uploads/2021/12/CONTESTACION-DE-LA-AEPD-22-11-21.pdf
[14] https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf
[15] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en
[16] https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:52021PC0731
[17] https://www.poderjudicial.es/search/AN/openDocument/de52a1201d0902ea/20220126
[18] https://docm.jccm.es/docm/descargarArchivo.do?ruta=2022/01/28/pdf/2022_573.pdf&tipo=rutaDocm
[19] https://digital-strategy.ec.europa.eu/en/library/declaration-european-digital-rights-and-principles
[20] https://www.bde.es/f/webbde/INF/MenuHorizontal/Servicios/TIBER-ES/Guia_implantacion_Tiber.pdf
[21] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2022-666
[22] mailto:nheckh@ramoncajal.com
[23] mailto:mlgonzalez@ramoncajal.com
[24] mailto:aborjas@ramoncajal.com
[25] mailto:ptena@ramoncajal.com
[26] mailto:aruiz@ramoncajal.com
[27] mailto:iruiz@ramoncajal.com
[28] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[29] https://twitter.com/RamonyCajalAbog
[30] https://www.ramonycajalabogados.com/es/search