La Agencia Española de Protección de Datos (en adelante, “AEPD”), ha sancionado a la entidad aseguradora DKV SEGUROS Y REASEGUROS, S.A.E. (“DKV”) por una brecha de seguridad de protección de datos sufrida como consecuencia de no haber adoptado medidas técnicas y organizativas apropiadas.
El procedimiento sancionador se inicia tras presentarse una reclamación por parte de un interesado que recibía correos que contenían información de terceros con los que no mantenía ningún vínculo. Tras la investigación llevada a cabo por la AEPD se establece que, a pesar de que el reclamante había puesto en conocimiento estos hechos a la compañía aseguradora, DKV no adoptó ninguna medida para impedir el envío de este tipo de comunicaciones ni notificó a la AEPD acerca de la brecha de seguridad que afectaba a datos personales.
La AEPD considera que se ha producido un incumplimiento del artículo 5.1.f) del RGPD al no respetarse el principio de confidencialidad, imponiendo una sanción de 100.000 euros. Asimismo, la autoridad de control española considera que se ha infringido los artículo 32 y 33 del RGPD por no contar con medidas técnicas y organizativas adecuadas, imponiendo una sanción inicial que asciende a la cantidad de 60.000 euros.
Puede consultar la resolución pulsando aquí [1].
La AEPD sanciona a una comercializadora de luz y gas por desvelar datos personales
La AEPD ha sancionado a la entidad comercializadora de luz y gas COMERCIALIZADORA REGULADA, GAS & POWER, S.A. por enviar un contrato de suministro eléctrico de la nueva casa de uno de sus clientes, en el que se incluían todos sus datos personales (incluida su nueva dirección), a la dirección de su antiguo domicilio, donde vive la persona sobre la que tiene una orden de alejamiento.
La autoridad de control española considera, tras analizar las evidencias correspondientes, que se ha producido un tratamiento ilícito de datos personales contrario al principio de exactitud, al remitir a una dirección incorrecta el contrato de suministro de la reclamante donde constan sus datos personales.
La AEPD impone una sanción de 100.000 euros a la entidad comercializadora de luz y gas por no tener los datos actualizados, infringiendo con ello el artículo 5.1.d) del RGPD.
Puede consultar la resolución pulsando aquí [2].
La autoridad de control de Grecia (“HDPA”) ha impuesto una sanción a la compañía Clearview AI por infringir el RGPD. La compañía sancionada es una empresa de Inteligencia Artificial centrada en el reconocimiento facial. Su función principal es la de recabar imágenes públicas, ejecutarlas a través de este reconocimiento facial y agruparlas, generando así perfiles detallados que se archivan en un servidor y que posteriormente se venden a distintas autoridades públicas y privadas.
El expediente sancionador se inicia tras recibirse una reclamación por parte de un interesado al no haber gestionado correctamente Clearview AI un derecho de acceso a los datos personales.
Una vez que recibida la reclamación, la HDPA procede a analizar las prácticas de la compañía en Grecia. Tras llevar a cabo el mencionado análisis, la autoridad de control de Grecia destaca que el tratamiento de datos biométricos, salvo ciertas excepciones, está completamente prohibido y señala que, en el caso en cuestión, no se cumplen con las obligaciones de transparencia ni existe una base legal que permita la licitud de los datos tratados. Todo ello sumado al incumplimiento del artículo 27 RGPD que obliga a aquellas entidades de terceros países que operan en el territorio europeo a designar un representante dentro de la Unión Europea.
La HDPA resuelve considerando que el tratamiento no respeta los principios y obligaciones del RGPD y obliga a Clearview Al a eliminar todos los datos personales de su base relativos a ciudadanos griegos y prohíbe cualquier tipo de actividad en su territorio.
Puede consultar la resolución pulsando aquí [3] (disponible solo en griego).
La autoridad de control de Italia (“GPDP”) ha impuesto una sanción que asciende a 2.6 millones de euros a la empresa Foodinho, S.r.l. (“Foodinho”), perteneciente al Grupo Glovo, por la mala praxis en el uso de sus algoritmos.
El modus operandi de la empresa sancionada consiste en el empleo de algoritmos que permiten identificar a los “mejores riders” para el servicio. El GPDP entiende que el tratamiento de estos datos es desproporcionado y los derechos de los trabajadores se ven desprotegidos. El GPDP justifica la sanción impuesta en virtud de los siguientes motivos: (i) la cantidad en el tratamiento de los datos y la aplicación de criterios objetivos para seleccionar a los trabajadores; (ii) la situación de los “riders” que se ven directamente perjudicados, pues la oferta de servicios depende de estos algoritmos, y; (iii) la falta de información de los criterios de valoración. Todo ello sumado a la falta de colaboración por parte de la compañía ha derivado en una sanción tan elevada.
Puede ver el resumen de la resolución pulsando aquí [4] (solo disponible en italiano).
El Comité Europeo de Protección de Datos (“EDPB”) y el Supervisor Europeo de Protección de Datos (“SEPD”) han emitido un dictamen conjunto acerca de la propuesta de la Comisión Europea relativa al Espacio Europeo de Datos Sanitarios.
El objetivo del dictamen conjunto es favorecer la transferencia de los datos de salud entre los Estados Miembros, promoviendo un verdadero mercado único de servicios sanitarios. Asimismo, el dictamen conjunto busca apoyar la libre circulación y propulsar tanto las actividades de investigación como las de innovación en el ámbito de la salud.
Por otro lado, el EDPB y el SEPD consideran imperante reforzar la seguridad y proponen la idea de aumentar el control de los particulares sobre su información de salud personal. En particular, recuerdan que, aunque el intercambio y uso de los datos sanitarios supone un beneficio para el bien público en la Unión Europea, las actividades de tratamiento implican un riesgo para los derechos y libertades de los individuos. Por ello, instan al Parlamento Europeo y al Consejo a tomar medidas decisivas sobre las actividades de tratamiento, y delimitar las finalidades del uso secundario de los datos de salud.
Puede consultar el dictamen conjunto pulsando completa aquí [5] (solo disponible en inglés).
La EDPB ha adoptado una serie de directrices y criterios para calificar las transferencias internacionales de datos personales como de "importancia estratégica". La identificación de estos supuestos permite intensificar la cooperación entre los estados y cumplir los principios y obligaciones de protección de datos de una forma más eficaz.
Entre estas directrices y criterios cabe destacar aquellos supuestos que planteen un riesgo significativo para los derechos y libertades de las personas físicas de varios Estados Miembros del Espacio Económico Europeo (“EEE”), así como el tratamiento de categorías especiales de datos. En caso de que una de las autoridades europeas de control considere que un determinado supuesto cumple con alguno de los presupuestos establecidos, podrá elevarlo a la junta para que esta determine si efectivamente se podría encuadrar dentro de los casos de importancia estratégica a nivel europeo. Actualmente, ya han sido seleccionados por el EDPB los primeros casos pilotos.
Puede consultar las directrices del EDPB pulsando aquí [6] (solo disponible en inglés).
Hasta la fecha, no existe regulación sobre aquellos dispositivos de vídeo que permiten el análisis de forma automatizada, en tiempo real, para recopilar información (las denominadas cámaras “aumentadas”). Aunque su objetivo no es identificar de forma única a una persona, este tipo de cámaras realizan un tratamiento masivo de datos, lo cual presenta un riesgo para los derechos y libertades fundamentales de las personas.
De acuerdo con lo anterior, la autoridad francesa de protección de datos (“CNIL”) ha publicado una guía en la que se recoge su posición acerca del uso de este tipo de cámaras aumentadas o inteligentes. La CNIL considera necesario implementar mecanismos efectivos para garantizar la protección de datos y hace incidencia, principalmente, sobre tres cuestiones:
En primer lugar, es necesario contar con una base legal habilitante para instalar y utilizar un sistema de vídeo “aumentado”. En este sentido, la CNIL recalca que cuando la base jurídica del tratamiento sea el “interés legítimo” las condiciones de aplicación del sistema deberán ser proporcionales a las expectativas razonables de las personas grabadas.
En segundo lugar, considera que la legislación francesa no autoriza el uso por parte de los servicios de policía y demás autoridades públicas de cámaras “aumentadas” para la detección y persecución de delitos.
Por último, recalca que tratar los datos de estas cámaras frecuentemente limita los derechos de las personas. Tal limitación de derechos solo podrá darse en dos casos: (i) si la única finalidad del tratamiento es producir resultados estadísticos, o (ii) si es autorizado por las autoridades públicas y, como consecuencia, el derecho oposición de los interesados es dejado sin efecto.
Puede consultar la guía de la CNIL pulsando aquí [7] (solo disponible en francés).
Desde el 16 de marzo de 2022, Rusia ha sido excluida del Consejo de Europa, y a partir del 16 de septiembre, dejará de ser alta parte contratante del Convenio Europeo de Derechos Humanos como consecuencia de la situación bélica contra Ucrania. Ante esta situación, el EDPB publicó, el pasado 12 de julio, la Declaración 02/2022 sobre las transferencias de datos personales entre los Estados Miembros y Rusia.
El EDPB recuerda que, al tratarse de una transferencia de datos personales a un tercer país que no se beneficia de una decisión de adecuación de la Comisión Europea de conformidad con el artículo 45 del RGPD, los exportadores de datos son los responsables de definir y aplicar las garantías necesarias para alcanzar un nivel de protección equivalente al europeo. Si los exportadores no son capaces de asegurar un nivel mínimo de seguridad, como por ejemplo el que se debe al acceso a dichos datos por parte de las autoridades rusas, deberán suspender la transferencia de los datos.
Puede consultar la declaración pulsando aquí [8].
Las operaciones con datos biométricos están cada vez más extendidas y son utilizadas de forma habitual para distintos fines, como la identificación, la autenticación, el seguimiento de personas o la detección de seres humanos. Este tipo de operaciones tienen un grado distinto de intrusión e impacto en la privacidad de los individuos, dependiendo de las técnicas empleadas, la finalidad del tratamiento, su naturaleza, alcance y su contexto.
La AEPD ha publicado un comunicado en su blog con pautas para el empleo y la evaluación desde la perspectiva de protección de datos de los tratamientos que incluyen operaciones con datos biométricos. En el comunicado, se recalca que cualquier tratamiento debe cumplir con los principios y obligaciones del RGPD, evaluando el riesgo que puede suponer el tratamiento de los datos biométricos para los derechos y libertades tanto de los individuos como de la sociedad.
Puede consultar el comunicado pulsando aquí [9].
El Ministerio del Interior del Gobierno de España publica el Informe sobre criminalidad en España 2021
El pasado agosto, el Ministerio del Interior del Gobierno de España, publicó el Informe sobre la cibercriminalidad en España para el año 2021 (el “Informe”) que, según se explica en el mismo, pretende “poner de manifiesto los aspectos más relevantes de este fenómeno criminal, alertando de los peligros reales y potenciales, y convirtiéndose en un elemento facilitador e imprescindible para la concienciación frente a este fenómeno”.
Entre muchos puntos destacados en el Informe, los más relevantes son:
Puedes acceder al Informe pulsando aquí [10].
Links
[1] https://www.aepd.es/es/documento/ps-00080-2022.pdf
[2] https://www.aepd.es/es/documento/ps-00087-2022.pdf
[3] https://www.dpa.gr/sites/default/files/2022-07/35_2022%20anonym.pdf
[4] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677377
[5] https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032022-proposal_en
[6] https://edpb.europa.eu/system/files/2022-07/edpb_document_20220712_selectionofstrategiccases_en.pdf
[7] https://www.cnil.fr/sites/default/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf
[8] https://edpb.europa.eu/system/files/2022-07/edpb_statement_20220712_transferstorussia_en.pdf
[9] https://www.aepd.es/es/prensa-y-comunicacion/blog/datos-biometricos-evaluacion-perspectiva-proteccion-datos
[10] https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2021/Informe-Cibercriminalidad-2021.pdf
[11] mailto:nheckh@ramoncajal.com
[12] mailto:mlgonzalez@ramoncajal.com
[13] mailto:aborjas@ramoncajal.com
[14] mailto:ptena@ramoncajal.com
[15] mailto:iruiz@ramoncajal.com
[16] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[17] https://twitter.com/RamonyCajalAbog
[18] https://www.ramonycajalabogados.com/es/search
