El pasado 23 de mayo, la autoridad de protección de datos de Reino Unido, el Information Commissioner Office (“ICO”), hacía pública la imposición de una sanción 7.552.800 £ a la entidad Clearview AI [1], tras una larga investigación.
Clearview AI, con sede en Estados Unidos, es una start-up que ha desarrollado un software de reconocimiento facial que utiliza imágenes obtenidas de distintas fuentes, incluyendo páginas de Internet y perfiles en redes sociales.
Está especializada en prestar soporte a fuerzas y cuerpos de seguridad. En su página web (www.clearview.ai [2]), se pueden consultar distintos “casos de éxito” en los que el software de la compañía ha sido utilizado para localizar a delincuentes. Se nos informa, por ejemplo, que gracias a sus servicios se pudo encontrar y condenar a 34 años de prisión a un pederasta acusado de abusar de varios menores en Las Vegas.
De acuerdo con nota de prensa del ICO, Clearview habría podido reunir un banco de 20 billones de imágenes. El ICO considera que esta entidad ha incumplido con la normativa de protección de datos vigente en UK por distintos motivos, entre otros, los siguientes:
El ICO destaca que los datos biométricos tienen la consideración de categorías especiales de datos y por tanto requieren altos estándares de protección.
Las actuaciones del ICO se han llevado a cabo en colaboración con la autoridad australiana de protección de datos. Distintas autoridades de control ya han mostrado su preocupación por la utilización de datos biométricos. En Francia, la Commission Nationale de l’Informatique et des Libertés también [3]investigó a Clearview recientemente.
En este contexto, no extraña que el Comité Europeo de Protección de Datos (“CEPD”) haya dedicado uno de sus últimos documentos al uso de la tecnología de reconocimiento facial en el ámbito de las actividades de las fuerzas y cuerpos de seguridad de Estado: Las Directrices 05/2022 sobre el uso de la tecnología de reconocimiento facial en el ámbito de la aplicación de la ley (Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement [4]), adoptadas el 12 de mayo de 2022 y sometidas a consulta pública hasta el 22 de junio.
Como explica el citado documento, el reconocimiento facial es una tecnología probabilística que permite reconocer de forma automática individuos basándose en sus rasgos faciales. Tomando la imagen de una cara (una fotografía o vídeo que se denomina “muestra biométrica”), es posible extraer una representación digital de distintas características de la misma (que se denomina “modelo” o “template”) y almacenarla en una base de datos. El modelo biométrico se considera único y específico para cada persona y, en principio, es permanente en el tiempo. Puede utilizarse para llevar a cabo actividades de autenticación (identificación de uno a uno) o de identificación (identificación de uno a varios).
Las tecnologías biométricas (no solo las basadas en reconocimiento facial) se han difundido considerablemente en los últimos años. En el sector privado, resultan habituales en los sistemas de control de acceso físico. También están empezando a sustituir a las contraseñas, entendiéndose, además, que constituyen un mecanismo de autenticación reforzada. Las Directrices 05/2022, sin embargo, no se ocupan de este tipo de tratamientos, sino de los efectuados en el ámbito de la prevención e investigación de delitos por fuerzas y cuerpos de seguridad del Estado.
El CEPD resalta cómo el uso de tecnologías de reconocimiento facial en dicho ámbito resulta especialmente problemático y puede vulnerar no solo el derecho a la protección de datos sino otros derechos fundamentales de los ciudadanos, como el derecho a la libertad de expresión o el derecho a la libre reunión o asociación. Uno de los principales riesgos asociados al reconocimiento facial es que, al presentar un porcentaje variable de error, existe la posibilidad de identificación errónea de un ciudadano con consecuencias graves para este (en este sentido, se asimilan a las decisiones automatizadas).
Por todo lo anterior, el CEPD señala que el recurso a las tecnologías de reconocimiento facial debe ser analizado con detalle y atenerse de forma estricta a las normas nacionales vigentes. Un posible marco legal de utilización podría venir constituido por la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo [5].
La parte probablemente más interesante y práctica del documento son los anexos, donde se facilita:
El pasado 18 de mayo de 2022, la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicó la resolución del procedimiento sancionador PS/00140/2020 [6] en la que se declara la existencia de dos infracciones muy graves de la normativa de protección de datos cometidas por la compañía californiana GOOGLE, LLC. (“Google”) por: (i) ceder datos personales a terceros sin base de legitimación, y; (ii) obstaculizar el derecho de supresión de datos personales.
La multa impuesta por las dos infracciones asciende a la cantidad de 10 millones de euros, lo que constituye la sanción más alta impuesta por la AEPD hasta la fecha. Para un mejor entendimiento de la resolución, se explica a continuación los antecedentes de la misma, analizando posteriormente el criterio de la AEPD respecto a las infracciones detectadas.
Antecedentes
Un interesado interpuso 8 denuncias contra Google ante la AEPD entre el 13 de septiembre de 2018 y el 9 de enero de 2020. El motivo principal de todas estas denuncias es que Google dispone de diferentes canales de comunicación para que los interesados puedan solicitar la retirada de contenidos en línea en los productos y servicios de Google, condicionando la interposición de estas solicitudes a la comunicación de los datos personales de los solicitantes al proyecto de la organización Lumendatabase.org (“Proyecto Lumen”).
El Proyecto Lumen tiene como finalidad estudiar las cartas de cese y desistimiento relativas a contenidos en línea con fines de transparencia y rendición de cuentas, así como para evitar abusos y fraudes. Para ello, se recaba y analiza solicitudes de retirada de materiales de la web de diferentes actores importantes de la sociedad digital, entre los que se encuentre Google. La participación de Google en esta iniciativa implica que se envíe una copia de cada una de las reclamaciones de retirada de contenido recibidas por Google al Proyecto Lumen.
Tras recibir las mencionadas denuncias, la AEPD dio traslado de las mismas a la autoridad de control de Irlanda, la Data Protection Commision (“DPC”), para que valorase si ostentaba la condición de autoridad de control principal sobre la base del artículo 56 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).
El análisis sobre la competencia territorial de la AEPD tiene su origen en que Google cuenta con la filial irlandesa GOOGLE IRELAND LTD. que actúa, desde el 22 de enero de 2019, como responsable del tratamiento de datos personales de los usuarios de los servicios de “Google” que se encuentren en el Espacio Económico Europeo (“EEE”).
Tras el traslado de las denuncias recibidas por parte de la AEPD, DPC comunicó a la autoridad de protección de datos española que no se consideraba competente en este caso porque las denuncias se interpusieron con anterioridad a que DPC se convirtiera en la autoridad de control principal para asuntos relacionados con privacidad en los que se vea involucrado Google en el EEE.
Tras determinarse la competencia de la AEPD, se continúa con el procedimiento con el objetivo de analizar la presunta ilicitud de la comunicación de datos personales al Proyecto Lumen al no contar con una base de legitimación del artículo 6 del RGPD, así como la posible infracción respecto a las obligaciones de Google sobre el derecho de supresión de datos personales regulado en el artículo 17 del RGPD.
Infracción del artículo 6 del RGPD: cesión de datos sin legitimación
La AEPD considera acreditado que Google comunica datos personales al Proyecto Lumen y, en concreto, que proporciona a esta entidad toda la información de las solicitudes de retirada o eliminación de contenidos en línea de usuarios, junto con sus datos de identificación, correo electrónico, el texto de la reclamación, la URL reclamada y la documentación que sirviese como soporte, en su caso.
Google alega que la comunicación de datos al Proyecto Lumen se fundamenta en su propio interés legítimo, así como en el interés legítimo del Proyecto Lumen. A estos efectos, según Google, su interés legítimo radica en la importancia que tienen las comunicaciones de datos para asegurar que sus prácticas de retirada de contenidos sean transparentes y responsables, además del beneficio que esta transparencia representa para la comunidad de investigadores, el público en general y las autoridades públicas.
La AEPD, en relación con este interés legítimo, expone que Google no ha justificado haber realizado un análisis de su interés legítimo o del interés legítimo de terceros invocado. Asimismo, la AEPD resalta que los usuarios no son debidamente informados sobre la base jurídica de la comunicación de sus datos, ni tampoco sobre los intereses legítimos propios o de terceros. Por lo tanto, como consecuencia de la deficiente información que el responsable del tratamiento ofrece, la AEPD determina que se ha privado a los interesados de su derecho a conocer la base jurídica del tratamiento y su derecho a conocer cuáles son dichos intereses legítimos.
Se considera también fundamental por parte de la AEPD que los usuarios, al faltar la información relativa a la prueba de ponderación, son privados de su derecho a alegar por qué causas el interés legítimo del responsable podría ser contrarrestado por los derechos o intereses del interesado. Al no haberse dado la oportunidad al interesado de alegarlos al responsable mediante el correspondiente derecho de oposición, cualquier sopesamiento que Google lleve a cabo está viciado por ser un acto contrario a la normativa de protección de datos.
Aunque la AEPD considera que el interés legítimo no es aplicable por los motivos expuestos, la autoridad de control española analiza igualmente algunos de los requisitos que resultaría necesario observar para aplicar el interés legítimo como base de legitimación de este tratamiento, estableciendo, entre otros, que:
Infracción del artículo 17 del RGPD: obstaculizar el derecho de supresión
La resolución de la AEPD se centra en analizar la idoneidad y legalidad de los mecanismos habilitados por Google para que un usuario pueda solicitar la supresión de sus datos personales. En este sentido, la AEPD verifica que Google pone a disposición de los interesados diferentes formularios para solicitar la retirada de contenido en línea de conformidad con la correspondiente legislación aplicable (por ejemplo, derechos relacionados con propiedad intelectual, marcas o derecho al honor).
De acuerdo con las alegaciones de Google, estas solicitudes de retirada de contenido en línea no están relacionados con derechos reconocidos en la normativa de protección de datos (y en conceto, con el derecho de supresión del artículo 17 del RGPD). No obstante, la AEPD no comparte este criterio y considera que muchos de estos formularios sí están directamente relacionados con el tratamiento de datos personales, sin que Google haga ninguna referencia a la normativa de protección de datos.
Respecto a la gestión del derecho de supresión por parte de Google, su Política de Privacidad de no hace referencia ni contiene ningún enlace que conduzca a un formulario específico de ejercicio de derechos en materia de protección de datos. De acuerdo con la resolución de la AEPD, Google solo cuenta con un formulario relacionado con protección de datos denominado “Retirada en virtud de la ley de privacidad de la UE”.
La AEPD considera que el sistema implantado por Google para gestionar los derechos reconocidos en la normativa de protección de datos, y en concreto el derecho de supresión, no es conforme con el RGPD por los siguientes motivos:
Sanciones
La AEPD considera que Google ha infringido el artículo 6 del RGPD al comunicar datos personales al Proyecto Lumen sin contar con una base de legitimación para ello, por lo que se impone una multa económica de 5 millones de euros.
Por otro lado, la AEPD también considera que se ha obstaculizado a los interesados el ejercicio del derecho de supresión reconocido en el artículo 17 del RGPD, imponiendo una multa económica de 5 millones de euros.
Además de las multas económicas, la AEPD también ha requerido a Google para que, en el plazo de seis meses:
La Comisión Europea, tras la publicación el 4 de junio de 2021 de las cláusulas contractuales tipo (en adelante, las “Cláusulas Contractuales Tipo” o “CCT”) entre responsables y encargados del tratamiento [7] ("CCT del Responsable del Tratamiento") y para la transferencia de datos a terceros países [8] ("CCT de Transferencia de Datos"), publicó el pasado 25 de mayo de 2022 la guía “Las nuevas cláusulas contractuales tipo – Preguntas y respuestas [9]” (la “Guía”) que pretende dar respuesta a algunas de las cuestiones surgidas en el uso de las CCT.
La Guía se ha redactado con la ayuda de los comentarios recibidos por diversas partes interesadas tras su adopción por la Comisión Europea. La intención de la Comisión Europea es que la Guía sea una fuente de información “dinámica” que se vaya actualizando a medida que surjan nuevas cuestiones futuras.
La Guía contiene un total de 44 cuestiones divididas en tres secciones. La primera de ellas se refiere a cuestiones generales sobre las Cláusulas Contractuales Tipo y, las dos últimas están dedicadas a cada conjunto de Cláusulas Contractuales Tipo aprobadas.
Cuestiones generales
La primera parte (cuestiones 1 a 13 de la Guía), responde a cuestiones generales como qué son las Cláusulas Contractuales Tipo, cuáles son las ventajas derivadas de su uso, la posibilidad de modificar o no el texto aprobado por la Comisión Europea, cómo incorporar las Cláusulas Contractuales Tipo a contratos comerciales, aspectos técnicos en torno a la firma, y cómo funciona la denominada “docking clause”.
Una de las cuestiones más relevantes de esta primera sección es la relativa a la posibilidad de modificar las Cláusulas Contractuales Tipo (pregunta número 7 de la Guía). La Comisión Europea aclara, en la cuestión 6 de la Guía, que las CCT no pueden verse modificadas excepto:
para seleccionar los módulos y/o las opciones específicas ofrecidas en el texto,
completar el texto cuando sea necesario (indicado con corchetes), por ejemplo, para indicar los tribunales competentes y la autoridad de control, y para especificar los plazos,
para rellenar los Anexos, o
para añadir garantías adicionales que aumenten el nivel de protección de los datos.
Además, respecto a las CCT de Transferencia de Datos, en la Guía se señala que si las partes modifican el texto (es decir, más allá de elegir los módulos y/u opciones pertinentes y rellenar los corchetes y los anexos), las cláusulas modificadas no podrán utilizarse como base para las transferencias de datos a terceros países, a menos que sean aprobadas por una autoridad nacional de protección de datos como “cláusulas ad hoc” (de conformidad con el artículo 46, apartado 3, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).
No obstante lo anterior, la cuestión 7 aclara que “The parties may supplement the SCCs with additional clauses or incorporate them into a broader commercial contract, as long as the other contractual provisions do not contradict the SCCs, either directly or indirectly, or prejudice the rights of data subjects”.
Por último, como se mencionaba más arriba, este primer bloque de cuestiones generales aclara la finalidad y puesta en práctica de la llamada “docking clause”, que en esencia es una cláusula opcional por la que las partes de las CCT pueden optar por acordar que futuras terceras partes puedan unirse al contrato. Este mecanismo proporciona una flexibilidad adicional en caso de que se produzcan cambios con respecto a las entidades que participan en el acuerdo de tratamiento de datos a lo largo del ciclo de vida del contrato (por ejemplo, para incluir nuevos sub-encargados del tratamiento).
En este sentido, la Comisión Europea aclara que:
“Once this authorisation is formalised, the new party will need to complete the Annexes and sign Annex I of the SCCs in order to make such accession effective. Amending the main agreement to which the SCCs are annexed, by adding parties to that agreement, is not sufficient to add parties to the SCCs”
Cláusulas Contractuales Tipo entre responsables y encargados del tratamiento
La segunda de las secciones contenidas en la Guía (cuestiones 14 a 19 de la Guía), relativa a las CCT entre responsables y encargados del tratamiento, analiza cuestiones relevantes para completar correctamente las CCT.
En primer lugar, si bien es cierto que las CCT no aclaran cómo debe dar las instrucciones el responsable del tratamiento al encargado, sí que se especifica que debe ser de forma documentada (cláusula 7.1 de las CCT). En este sentido, la Comisión Europea aclara que el responsable del tratamiento puede decidir proporcionar esas instrucciones de la forma que considere adecuada (por ejemplo, por escrito u oralmente, a través de herramientas en línea y señales técnicas), pero con la condición de que las instrucciones estén documentadas.
Por último, en relación con el periodo para informar al responsable del tratamiento de una brecha de seguridad del encargado, la Guía no fija un plazo concreto y se remite a lo señalado en el artículo 9.1 de las CCT que señala que debe hacerse “sin demora indebida”. Por tanto, corresponde a las partes determinar este plazo teniendo en cuenta las circunstancias particulares del tratamiento de datos en cuestión.
Cláusulas Contractuales Tipo para la transferencia de datos a terceros países
La tercera, y última sección de la Guía, está dividida en 5 subapartados (a) motivos para la renovación y principales novedades; (b) ámbito y escenarios de transferencias; (c) Particulares: sus derechos cuando sus datos se transfieren basándose en las CCT; (d) obligaciones de los exportadores e importadores de datos, y; (e) Legislación local y acceso del gobierno.
El primero de los subapartados, como se ha señalado, trata temas generales como el por qué de unas nuevas CCT, cuáles son las novedades más significativas respecto a las CCT previamente aprobadas, o si, para el caso en el que se firmasen las anteriores CCT, los responsables y encargados deben actualizar sus acuerdos.
Respecto a este último punto la Guía aclara que aquellos acuerdos de transferencias de datos firmados antes del 27 de septiembre de 2021 deben estar basados en las CCT. No obstante, aquellas entidades que celebraron un acuerdo de transferencia antes del 27 de septiembre de 2021 y, por tanto, basado en las anteriores CCT, cuentan con un período transitorio (hasta el 27 de diciembre de 2022) para adoptar las nuevas CCT.
Por otro lado, en relación con el ámbito y escenarios de transferencias, en la cuestión 23 de la Guía se aclara que las CCT pueden ser utilizadas por los responsables o encargados del tratamiento que estén sujetos al RGPD para transferir datos personales a responsables o encargados del tratamiento fuera del Espacio Económico Europeo (“EEE”) cuyas actividades no estén sujetas al RGPD.
Por el contrario, la Comisión Europea entiende (cuestión 24) que las CCT no pueden ser utilizadas para transferencias de datos a responsables o encargados cuyos tratamientos estén sujetos a la aplicación del RGPD:
“They do not work for importers whose processing operations are subject to the GDPR pursuant to Article 3, as they would duplicate and, in part, deviate from the obligations that already follow directly from the GDPR”
Al final de esta cuestión, se menciona que la Comisión Europea está en proceso de desarrollar un set adicional de cláusulas contractuales tipo para este escenario concreto.
En relación con los diferentes módulos que se incluyen en las CCT (explicados en la cuestión 27), la cuestión 28 señala que las partes pueden incluir varios de estos módulos en sus acuerdos siempre y cuando sean de aplicación para el caso concreto:
“the parties have to choose the module(s) that correspond to their situation. It may occur that the parties assume different roles for different data transfers taking place between them as part of their overall contractual relationship. If this is the case, they should use the appropriate module for each such transfer”
La cuestión 32, que se incluye en el subapartado tercero, relativo a los derechos de los interesados, se indica que si el interesado solicita una copia de las CCT las partes deben entregársela (con los anexos incluidos).
En este sentido, al facilitarle al interesado una copia de las CCT las partes sólo pueden eliminar la información que se refiera a secretos comerciales u otra información confidencial (por ejemplo, datos personales de otros individuos, firmas, etc.), pero tienen que explicar por qué se ha eliminado. Si el texto restante resulta demasiado difícil de entender, las partes deberán proporcionar un resumen significativo de lo firmado entre las partes de las CCT.
Por su lado, el subapartado cuarto responde a dos cuestiones relevantes de las CCT, que son la limitación de la responsabilidad de las partes en el acuerdo comercial y la legislación aplicable. Por lo que respecta a la limitación de la responsabilidad, la cuestión 35 señala que la responsabilidad de las partes incluida en las CCT solo aplica por infracciones de estas cláusulas y, en ningún caso, la responsabilidad fijada en el acuerdo comercial alcanzado entre las partes debe contradecir este régimen de responsabilidad:
“Other clauses in the broader (commercial) contract (e.g. special rules on the distribution of liability, liability caps in the relationship between the parties) may not contradict or undermine these liability schemes of the SCCs”
Por su lado, respecto a la elección de la normativa aplicable en el contrato, la cuestión 37 de la Guía señala que para los módulos 1, 2 y 3 siempre debe fijarse una la ley de uno de los Estados Miembros de la Unión Europea o de un país del EEE. No obstante, en lo que respecta al módulo 4 de las CCT, se señala en la Guía que se puede fijar ser la legislación de un país no perteneciente al EEE. En cualquier caso, la Guía señala que:
“For all modules, this must be a domestic legal regime that allows for “third party-beneficiary rights” within the meaning of Clause 3. This means that the chosen law must allow private parties to create contractually rights that can be invoked by the individuals concerned, i.e. the data subjects whose personal data will be transferred based on the SCCs.”
Con relación a la elección de la autoridad competente, la cuestión 38 señala que si el exportador de datos tiene un establecimiento en el EEE se deberá fijar aquella autoridad que sea competente para supervisar el cumplimiento del RGPD por parte del exportador de datos. No obstante, si el exportador de datos no está establecido en el EEE, pero está directamente sujeto al RGPD, la autoridad de protección de datos competente será (i) la autoridad de protección de datos del país del EEE en el que esté establecido el representante; (ii) la autoridad de protección de datos del país del EEE en el que se encuentran los interesados cuyos datos se transfieren.
Por lo que se refiere a los anexos de las CCT, la cuestión 39 de la Guía aclara cómo deben completarse y en qué grado de detalle. En este sentido, se indica que las partes debe clarificar qué transferencias de datos específicas pretenden aplicar las CCT, en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren. Del mismo modo, respecto a las medidas de seguridad las partes no están obligadas a enumerar cada una de estas medidas, sino que deben describir las medidas que realmente aplica el importador de datos para garantizar un nivel de seguridad adecuado.
El último de los subapartados da respuesta a cuestiones sobre las leyes locales y el acceso del gobierno con la finalidad de aclarar las obligaciones de las partes contratantes en virtud de la Cláusula 14 de las CCT de transferencia de datos en relación con la sentencia del Tribunal de Justicia de la Unión Europea en el asunto Comisario de protección de datos contra Facebook Irlanda. Limitado, Maximillian Schrems, C-311/18 [10] (el llamado “Caso Schrems II”).
En particular, las preguntas y respuestas aclaran, entre otras cosas, que con respecto al impacto en el cumplimiento de las CCT de Transferencia de Datos, las partes pueden considerar diferentes elementos como parte de una evaluación general, como información confiable sobre la aplicación de la ley en la práctica (como jurisprudencia e informes de órganos de control independientes), la existencia o ausencia de solicitudes en el mismo sector y, bajo estrictas condiciones, la experiencia práctica documentada del exportador y/o importador de datos. En este sentido, las preguntas y respuestas destacan que la Cláusula 14 de las CCT de transferencia de datos no debe leerse de forma aislada, sino que debe utilizarse junto con las Recomendaciones 01/2020 del Consejo Europeo de Protección de Datos sobre medidas que complementan las herramientas de transferencia [11].
El pasado 13 de mayo de 2022, la AEPD publicó una nueva resolución sancionadora a Mercadona, S.A. (en adelante, “Mercadona” o “la denunciada”), en este caso, por no atender el derecho de acceso solicitado por una cliente a las grabaciones de videovigilancia realizadas en el interior de una de sus instalaciones.
La investigación de la AEPD se originó en la denuncia presentada en diciembre de 2020 por una clienta que, tras sufrir un accidente dentro de las instalaciones de Mercadona, solicitó, en menos de un mes desde la fecha del accidente, el acceso a las grabaciones de las cámaras de videovigilancia de las instalaciones de la demanda. La denunciante presento esta solicitud por medio del formulario de Atención al Cliente puesto a disposición de los usuarios en la página web de Mercadona. Sin embargo, tal y como ha presentado la denunciada en su escrito de alegaciones a la apertura del procedimiento sancionador, esta solicitud no fue trasladada a su Delegado de Protección de Datos (en adelante, “DPD”), por lo que no fue tramitada.
En concreto, Mercadona comunicó a la AEPD que el motivo de la falta de respuesta a la solicitud presentada por la demandante se debió a una incidencia en la gestión interna de la solicitud de derecho de acceso. En concreto, la denunciada explicó en su escrito de alegaciones que la solicitud nunca llegó al DPD de la entidad debido a un error humano en la sección del procedimiento interno de gestión de derechos que se realizaba de forma manual, debido a lo cual, la denunciada considera que no puede apreciarse concurrencia de culpa y, por tanto, no se puede imponer sanción alguna en el caso analizado.
Adicionalmente, Mercadona alega que, una vez ha tenido conocimiento del caso, se ha puesto en contacto con la representación de la denunciante y ha alcanzado un acuerdo con la misma para reparar los daños y perjuicios sufridos, tanto por el accidente, como por la falta de atención del derecho de acceso ejercitado. Por este motivo, Mercadona considera que no procede la apertura de un procedimiento sancionador en el caso analizado, ya que este se fundamenta únicamente en la falta de atención del ejercicio de derechos, y la denunciada ya ha resarcido a la interesada por los perjuicios sufridos.
Dicho esto, el procedimiento sancionador iniciado por la AEPD finaliza con la resolución PS/00267/2021 [12], en la que se impone a la denunciada, dos sanciones por incumplimiento de los artículos 6 y 12 del RGPD que, conjuntamente ascienden a 170.000 €. A continuación, analizaremos los motivos por los que la AEPD sanciona a la denunciada:
Infracción del artículo 12 del RGPD: No atender un ejercicio de derechos
Como avanzábamos, Mercadona, en su respuesta a la apertura del procedimiento sancionador, alegó que cuenta con un procedimiento de gestión de ejercicios de derechos que funciona correctamente, siendo el caso analizado una anomalía del procedimiento debida a un error humano en una parte del procedimiento de gestión no automatizada. En atención a esta circunstancia, la demandada considera que no se cumplen los requisitos de tipo subjetivo de la infracción y que, por tanto, no es posible atribuirle responsabilidad alguna por el error cometido.
En este sentido, la AEPD no ha discutido que lo ocurrido en el presente caso se deba a un incidente puntual dentro de un sistema que, en circunstancias generales, funciona de correctamente y que ha sido tenido en cuenta como circunstancia atenuante a la hora de determinar la cuantía de la sanción. Dicho esto, la AEPD ha dejado claro que, el nivel de cumplimiento general no es suficiente para justificar una actuación diligente en la gestión de solicitudes de derechos, sino que esta diligencia debe demostrarse en el caso concreto.
La AEPD recurre a la jurisprudencia reiterada del Tribunal Supremo y de la Audiencia Nacional para aclarar que, en aquellos casos en los que la legislación establece un especial deber de diligencia, la actuación culposa o negligente es suficiente para que concurra el elemento subjetivo del tipo sancionador, no siendo necesario que se haya realizado una acción voluntaria o deliberada por parte del responsable o sus trabajadores.
Por lo tanto, en la resolución analizada, la AEPD equipara el fallo en el procedimiento de gestión a no dar trámite a la solicitud, quedando enmarcado lo ocurrido en el caso analizado dentro del ámbito de responsabilidad de Mercadona, cuyo deber de cumplimiento y atención de los ejercicios de derechos presentados por el interesado se establece en el artículo 12 del RGPD. Llegando a concluir que, “No exigir responsabilidad a Mercadona por estos hechos sería tanto como vaciar de contenido las normas que regulan el ejercicio de derechos en materia de protección de datos personales”.
En atención a lo expuesto, la AEPD impone una sanción a Mercadona de 70.000€ por la infracción del artículo 12 del RGPD. La fijación de esta cuantía se establece teniendo en cuenta la concurrencia, entre otras, de las siguientes agravantes: la intencionalidad o negligencia en la infracción, las categorías de datos afectados en la infracción o la vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
Infracción del artículo 6 del RGPD: Supresión de las grabaciones solicitadas
En segundo lugar, la AEPD sancionó a Mercadona por la supresión de las imágenes del accidente sufrido por la denunciante en sus instalaciones y captadas por el sistema de videovigilancia, a las que se había solicitado el acceso.
Mercadona alegó que no se pudo facilitar el acceso a las grabaciones ya que, en cumplimiento de los plazos de conservación establecidos en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras [13] (“Instrucción 1/2006”), se había procedido al borrado de las mismas al haber transcurrido un mes desde su grabación. Sin embargo, en la resolución analizada, la AEPD recuerda que este plazo no es de aplicación en “aquellos supuestos en los que se deban conservar las imágenes para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”.
En el presente caso, la denunciante puso en conocimiento de Mercadona en dos ocasiones la necesidad de conservar las imágenes de su accidente. Inicialmente, mediante una reclamación interpuesta a los cuatro días del accidente, en la que la denunciante reclamaba el pago de una indemnización por los daños sufridos a causa del accidente y, posteriormente, mediante la solicitud de acceso a las grabaciones. A este respecto, Mercadona justificó la eliminación de las grabaciones en la falta de claridad de la solicitud presentada por la denunciante ante el servicio de Atención al Cliente que, según la denunciada no identificaba claramente que se trataba de un derecho de acceso.
En cambio, la AEPD considera que la presentación de ambas reclamaciones a través del sistema de Atención al Cliente se debe considerar indicativo suficiente que las imágenes debían ser conservadas por un plazo superior a un mes con el objetivo de preservar el derecho a la tutela judicial efectiva (art. 24 CE) de la denunciante. La AEPD entiende que, una vez presentada la primera reclamación referente al accidente, Mercadona debiera de haber identificado la importancia de las grabaciones para un posible procedimiento relacionado con el accidente y haber evitado su eliminación.
La AEPD deja claro que no se impone una obligación a la entidad de revisar todas las imágenes captadas con el objetivo de identificar aquellas que deban conservarse por un periodo superior a los 30 días establecidos en la Instrucción 1/2006, sino que, en el caso analizado, las acciones de la denunciante fueron suficientes para poner de manifiesto la necesidad de conservar las grabaciones, por lo menos, hasta que estas le fueran facilitadas a la misma.
De acuerdo con lo anterior, y teniendo en cuenta que la eliminación de las grabaciones por si sola constituye un tratamiento de datos personales, la AEPD ha concluido que, la eliminación de las grabaciones se realizó sin que concurriera una base de legitimación para el tratamiento. Circunstancia que, adicionalmente, limita la capacidad de la denunciada a ejercer el control sobre sus datos personales y su derecho a la tutela judicial efectiva. En atención a lo expuesto, la AEPD impone una sanción de 100.000€ por la infracción del artículo 6 del RGPD.
Por último, queremos resaltar el fundamento jurídico II de la resolución. En este fundamento, la AEPD expone los motivos por los que el acuerdo alcanzado entre la denunciante y Mercadona para resarcir los daños causados por el accidente y por no atender adecuadamente su derecho de acceso, no justifican el archivo del procedimiento sancionador. En concreto, la AEPD se remite a al artículo 63.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y, al artículo 64.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, para aclarar que, el procedimiento sancionador, una vez adoptado el acuerdo de inicio, no requiere del impulso de la denunciante para continuar. No siendo, por tanto, un argumento válido para archivar el procedimiento sancionador que se haya alcanzado un acuerdo con la denunciante para la retirada de la denuncia o la existencia de un acuerdo entre las partes para resarcirle por los daños, lo que en ningún caso afectaría a la continuidad del procedimiento.
Norman Heckh (nheckh@ramoncajal.com [14])
María Luisa González (mlgonzalez@ramoncajal.com [15])
Antonio Borjas (aborjas@ramoncajal.com [16])
Pablo Tena (ptena@ramoncajal.com [17])
Iomar Ruiz (iruiz@ramoncajal.com [18])
Links
[1] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/
[2] http://www.clearview.ai/
[3] https://www.ramonycajalabogados.com/es/noticias/cierre-de-ano-intenso-para-la-autoridad-francesa-de-proteccion-de-datos-nuevas-resoluciones
[4] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-052022-use-facial-recognition_en
[5] https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016L0680&from=EN
[6] https://www.aepd.es/es/documento/ps-00140-2020.pdf
[7] https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors
[8] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en
[9] https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
[10] https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-court-justice-european-union-judgment-case-c_es
[11] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
[12] https://www.aepd.es/es/documento/ps-00267-2021.pdf
[13] https://www.boe.es/buscar/act.php?id=BOE-A-2006-21648
[14] mailto:nheckh@ramoncajal.com
[15] mailto:mlgonzalez@ramoncajal.com
[16] mailto:aborjas@ramoncajal.com
[17] mailto:ptena@ramoncajal.com
[18] mailto:iruiz@ramoncajal.com
[19] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[20] https://twitter.com/RamonyCajalAbog
[21] https://www.ramonycajalabogados.com/es/search