Durante el mes de septiembre se publicó en el Boletín Oficial del Estado la Ley 18/2022, de Creación y Crecimiento de Empresas que, en su Disposición Final 2ª, modifica la Ley de Prevención del Blanqueo de Capitales y de Financiación del Terrorismo (“LPBCFT”) para adaptarla al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).
Por un lado, se modifica el artículo 32 y se introduce el deber de realizar una evaluación de impacto en la protección de datos a fin de que los sujetos obligados adopten medidas técnicas y organizativas reforzadas que garanticen tanto la integridad, confidencialidad y disponibilidad de los datos, como la trazabilidad de los accesos y comunicaciones de los mismos.
Por otro lado, se incluye el artículo 32 ter y se modifica el artículo 33, los cuales facultan a los sujetos obligados pertenecientes a una misma categoría –como entidades de crédito, aseguradoras o casinos de juego– a crear, en calidad de corresponsables del tratamiento y previa comunicación a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias con una antelación mínima de 60 días, sistemas comunes de información, almacenamiento y, en su caso, acceso a la información y documentación recopilada para el cumplimiento de las obligaciones de diligencia debida, con excepción de la relacionada con el seguimiento continuo de la relación de negocios. En ciertos supuestos se prevé la potestad de los sujetos obligados para intercambiar información de estos ficheros, para lo cual se señala como base legitimadora del tratamiento el interés público. Además, el acceso a los referidos sistemas podrá efectuarse tanto por los sujetos obligados como por las autoridades judiciales, policiales y administrativas en esta materia siempre y cuando sea necesario para las finalidades previstas y de acuerdo con lo dispuesto en la normativa sobre protección de datos.
Puede encontrar el texto íntegro de la modificación publicada aquí [1].
La Agencia Española de Protección de Datos ("AEPD”) inició un procedimiento sancionador contra BANCO BILBAO VIZCAYA ARGENTARIA, S.A. (“BBVA”), tras recibir una reclamación en la que un interesado declaraba que la reclamada le remitió un certificado de movimientos de una cuenta bancaria, en el que se indicaba que, para solicitar aclaraciones respecto a los movimientos, debía contactar con otra oficina. Posteriormente, la reclamante solicitó a la entidad reclamada que le facilitara los datos de contacto de dicha oficina, derivándole a un teléfono de atención en el que le indicaron que no podían darle tal información y le instaron a solicitarla nuevamente al departamento de atención al cliente a través de correo electrónico. Este departamento de atención al cliente, para atender su solicitud, le requirió la aportación de copia de su DNI.
La AEPD entiende que requerir una copia del DNI para proporcionar los datos de contacto de una oficina bancaria es desproporcionado y que vulnera el art.5 c) del RGPD al no respetar el principio de minimización de datos. De acuerdo con lo anterior, la AEPD impone una multa de 70.000 euros en el presente caso.
Puede encontrar más información aquí [2].
La reclamante interpuso reclamación en la AEPD contra SOPHIE ET VOILA, SL ("SOPHIE”) por publicar en Instagram una foto de la reclamante vestida con su traje de boda sin el consentimiento de ésta última.
SOPHIE alegó que publicó la imagen por ser ella quien confeccionó el vestido de boda y para lograr que la reclamante abonase el precio del vestido. Tras revisar la reclamación, la AEPD considera que la reclamada era claramente identificable en las imágenes publicadas, las cuales, por ende, constituyen un dato personal. La AEPD considera que SOPHIE, para publicar las imágenes en Instagram, debió recabar el consentimiento de la reclamada.
La AEPD, por los hechos anteriormente descritos, impone una sanción a SOPHIE de 10.000 euros por infracción del artículo 6 del RGPD.
Puede encontrar más información aquí [3].
La Dirección General de la Policía interpuso una reclamación ante la AEPD contra la entidad MUXERS CONCEPT, S.L., (“MUXERS”). MUXERS había implantado un sistema de videovigilancia en el local abierto al público en el que desarrolla su actividad. El mencionado sistema de videovigilancia cuenta, además, con micrófonos para grabar la voz.
La finalidad del sistema de videovigilancia, incluido el sistema de grabación de sonido, era tanto garantizar la seguridad como controlar la calidad y rendimiento laboral. Durante la investigación, la AEPD considera que MUXERS no justificó suficientemente el tratamiento de datos derivado de la grabación de sonidos. Además, la AEPD resalta que este tratamiento no respeta: (i) los límites previstos en el artículo 20.3 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, ni; (ii) las disposiciones del artículo 89.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD”).
De acuerdo con lo anterior, la AEPD considera que MUXERS no ha respetado el principio de proporcionalidad e intervención mínima, imponiendo una multa de 20.000 euros por una infracción del art.6 RGPD.
Puede encontrar más información aquí [4].
Un interesado interpuso una reclamación ante la AEPD contra el INSTITUTO NACIONAL DE LA SEGURIDAD SOCIAL (“INSS”) al haber enviado a una dirección de correo incorrecta sus datos personales como la solicitud de su prestación de paternidad/maternidad.
Los hechos anteriores conllevan haber desvelado a terceros datos personales del reclamante. Tras la investigación llevada a cabo por la AEPD, se determina que el INSS no había adoptado medidas de seguridad técnicas y organizativas para garantizar la seguridad del tratamiento.
De acuerdo con lo anterior, la AEPD impone al INSS una sanción de apercibimiento por la infracción de los artículos 5.1.f) y 32 del RGPD.
Puede encontrar más información aquí [5].
La Sala de lo Social de la Audiencia Nacional publica la sentencia 114/2022, de 22 de julio (rec. 178/2022) tras recibir una demanda planteada por la Federación de Sindicatos de Banca, Bolsa, Ahorro, Entidades de Crédito, Seguros, Oficinas y Despachos, Empresas Consultoras de Planificación y de Ingenierías, y Oficinas de Estudios Técnicos de CGT (“FESIBAC-CGT”).
En la mencionada sentencia, la Audiencia Nacional analiza el uso de dispositivos digitales puestos a disposición del trabajador por el empresario y su compatibilidad con los derechos a la intimidad y a la protección de datos. La empresa empleadora venía admitiendo el uso personal –si bien limitado– de los dispositivos electrónicos puestos a disposición de los empleados. Así constaba en diversos documentos internos como el Código de Ética Profesional o el Código de Conducta de la empresa. No obstante, en un determinado momento, la empresa notificó a los trabajadores que el uso de los dispositivos debía reservarse para el desarrollo de la prestación de servicios contratada, quedando prohibido su uso para fines particulares y reservándose la posibilidad de acceder, analizar, formatear y resetear en todo momento tales dispositivos. Asimismo, señalaba que el incumplimiento de estas obligaciones constituiría una falta muy grave de transgresión de la buena fe contractual y que podría dar lugar a sanciones disciplinarias, incluyendo la extinción del contrato. La representación de los trabajadores señaló que esto constituía un cambio radical de la política empresarial contrario al artículo 87 LOPDPGDD.
La Audiencia Nacional determina, tras analizar el precitado artículo, que los empleados tenían derecho a la protección de su intimidad en relación con el uso de los dispositivos digitales puestos a su disposición, y que, de producirse el acceso a tales dispositivos por parte del empleador, este no debía ser indiscriminado, sino que debía obedecer a una finalidad de control del cumplimiento de las obligaciones laborales y regirse por unos criterios pactados con los representantes legales de los trabajadores. Además, para aquellos dispositivos respecto de los que se permitiera el uso privado, el acceso por parte del empleador requeriría (i) una especificación precisa de los usos autorizados y (ii) el establecimiento de garantías para preservar la intimidad de los trabajadores –como la determinación de los períodos en los que los dispositivos puedan usarse para fines privados–.
Por todo ello, y dado que la determinación de los criterios de uso de los dispositivos se realiza obviando a la representación laboral de los trabajadores, la Audiencia Nacional estima parcialmente la demanda y declara nula la comunicación de prohibición de uso personal de los dispositivos antes referida, reservando el conocimiento del resto del asunto a los Juzgados de lo Social.
Puede encontrar el texto completo de la resolución aquí [6].
La autoridad de protección de datos de Francia (“CNIL”) ha impuesto una multa de 250.000 euros al editor de un sitio web que permite consultar información de empresas y solicitar documentos oficiales de tribunales de comercio (www.infogreffe.fr [7]). Aunque se indicaba que los datos de usuarios registrados se conservarían durante 36 meses, aunque este plazo no se respetaba en la práctica.
Asimismo, también se imputa a esta entidad un incumplimiento del artículo 32 del RGPD, relativo a medidas de seguridad. Entre otras cosas, enviaba contraseñas temporales de acceso en claro por correo electrónico, y las almacenaba igualmente sin cifrar.
Puede encontrar más información aquí [8] (únicamente disponible en francés).
La autoridad de protección de datos de Italia (“Garante”) envió una solicitud urgente de aclaración a Facebook Italia (”Meta”) sobre las medidas adoptadas en relación con las elecciones nacionales. La petición se realiza tras el anuncio de Meta de una campaña de información en las elecciones para contrarrestar las interferencias y eliminar los contenidos de desincentivo del voto.
De este modo, Meta tendrá que proporcionar información detallada sobre esta iniciativa, incluyendo la naturaleza y las modalidades de las actividades de tratamiento, para saber hasta qué punto se han respetado los derechos a la libertad de expresión y a la protección de datos.
Puede encontrar más información aquí [9].
La autoridad de protección de datos del Reino Unido (“ICO”) ha multado a la entidad Halfords Limited (“Halfords”), el principal proveedor de productos y servicios de automoción y ciclismo del Reino Unido, con casi 30.000 libras esterlinas por enviar 498.179 correos electrónicos de publicidad no solicitados a personas sin su consentimiento.
Tras la implementación por el Reino Unido de un plan de vales de 50 libras cada uno destinados a la reparación de bicicletas en cualquier tienda o taller mecánico autorizado de Inglaterra, Halfords envió los mencionados correos animando a los ciudadanos a canjear los vales en sus establecimientos. Sin embargo, el ICO determinó que esos correos anunciaban claramente un servicio prestado por la empresa, y que tales envíos no podían basarse en el interés legítimo puesto que los destinatarios no habían adquirido productos similares previamente en Halfords. El ICO resalta que el interés legítimo no puede utilizarse como alternativa al consentimiento en el envío de correos electrónicos, y que únicamente gracias al denominado “soft opt-in” es posible enviar estas comunicaciones comerciales, siempre y cuando se envíen a clientes cuyos datos se hayan obtenido en una venta o negociación previa de servicios similares.
Puede encontrar más información aquí [10].
TikTok podría enfrentarse a una multa de 27 millones de libras esterlinas tras una investigación del ICO, que concluyó que la compañía habría incumplido la normativa aplicable al no proteger la privacidad de los niños cuando utilizan la plataforma.
En la investigación del ICO se descubrió que la empresa podría: (i) haber tratado los datos de personas menores de 13 años sin el correspondiente consentimiento paterno, y; (ii) no haber proporcionado información adecuada a sus usuarios de forma concisa, transparente y fácilmente comprensible, procesando datos de categoría especial, sin fundamento legal para ello.
De este modo, el ICO ha emitido un “aviso de intención” que establece la opinión provisional, en la que entiende que TikTok ha infringido la ley de protección de datos de Reino Unido entre mayo de 2018 y julio de 2020. De esta fase no se debe sacar ninguna conclusión definitiva, sino que se procederá a examinar detenidamente las alegaciones de TikTok.
Puede encontrar más información aquí [8].
La autoridad de protección de datos de Irlanda (“DPC”) ha impuesto una multa de 405 millones de euros y diversas medidas correctoras a Meta Platforms Ireland Limited (“Instagram”) tras una investigación de dos años. La sanción se refiere a distintos incumplimientos de la plataforma en relación con el tratamiento de datos de menores. En particular, la DPC examinó la divulgación pública de las direcciones de correo electrónico y/o los números de teléfono de los menores que utilizan la función de cuenta empresarial de Instagram y la configuración pública por defecto para sus cuentas personales.
Puede encontrar más información aquí [11].
La AEPD ha publicado su informe preceptivo al texto del Anteproyecto de Ley Orgánica por el que se establecen normas que faciliten el uso de información financiera y de todo tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales (Informe Jurídico 0051/2021), a través de la cual se traspone al ordenamiento jurídico español la Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio, de 2019, por la que se establecen normas destinadas a facilitar el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales y por la que se deroga la Decisión 2000/642/JAI del Consejo.
La mencionada normativa tiene como finalidad mejorar el acceso a la información por parte de las Unidades de Información Financiera y las autoridades públicas responsables de la prevención, detección, investigación o enjuiciamiento de delitos graves. Este objetivo debe conciliarse con el respeto del derecho fundamental a la protección de datos personales y, por lo tanto, la propia norma recoge diferentes garantías específicas para respetar el derecho a la protección de datos personales.
No obstante, a pesar de las garantías recogidas para garantizar el derecho fundamental de protección de datos en el texto del anteproyecto, la AEPD ha detectado deficiencias. Algunas de estas deficiencias son:
1º) No existe un control previo al acceso a los datos personales al no hacerse referencia a ningún control judicial o fiscal previo al acceso de los ficheros. Además, tampoco se indica que las Fuerzas y Cuerpos de Seguridad que acceden a los datos lo hacen en su condición de policía judicial.
2º) El texto sometido a informe incluye nuevos supuestos de acceso a los datos contenidos en el fichero de titularidades financieras, siendo necesario valorar si todas ellas pueden considerarse adecuadas a la finalidad de dicho fichero y si las mismas encuentran cobertura legal. La AEPD considera que el acceso a los ficheros contenidos en el texto cuenta con fundamentación suficiente, salvo el acceso a los datos por parte de la Comisión Nacional del Mercado de Valores. Este acceso se lleva a cabo en el marco de competencias para la persecución e investigación de conductas constitutivas de abuso de mercado en los mercados de valores, tratándose de un acceso basado en competencias administrativas y no de naturaleza judicial o vinculadas a ellas, lo que podría resultar excesivo a los efectos de la jurisprudencia del TJUE.
3º) La AEPD considera necesario incluir en el texto del anteproyecto las garantías que actualmente existen en la normativa española para el acceso por las autoridades competentes a la información obrante en el Fichero de Titularidades Financieras.
4º) La AEPD entiende que debe limitarse el acceso a las autoridades estrictamente indispensables, debiendo justificarse dicho acceso. En relación con el acceso por parte de las Fuerzas y Cuerpos de Seguridad del Estado, Policías Autonómicas y Vigilancia Aduanera, debería limitarse a su actuación como Policía Judicial y, en todo caso, supeditarlo a la previa obtención de la correspondiente autorización judicial.
5º) Se recomienda, por parte de la AEPD, incorporar todas las garantías que se estimen adecuadas para salvaguardar el derecho a la protección de datos, como son la de ordenar la supresión de los datos cuando dejen de ser necesario en relación con la finalidad perseguida, o la necesidad de adoptar medidas de seguridad adecuadas al nivel de riesgo derivado del tipo de datos que se tratan.
El texto completo del informe puede consultarse aquí [12].
En el mes de septiembre, la AEPD ha publicado su informe preceptivo sobre el Anteproyecto de Ley Orgánica por la que se modifica la Ley Orgánica 2/2010, de 3 de marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo (“Informe Jurídico 0041/2022”).
La mayor parte del informe se dedica a analizar la creación del polémico registro de objetores de conciencia, previsto de forma expresa en el nuevo artículo 19.ter de la norma.
De acuerdo con este precepto: “A efectos organizativos y para una adecuada gestión de la prestación se creará en cada comunidad autónoma un registro de personas profesionales sanitarias que decidan objetar de conciencia respecto de la intervención directa en la práctica de la interrupción voluntaria del embarazo. Quienes se declaren personas objetoras de conciencia lo serán a los efectos de la práctica directa de la prestación de interrupción voluntaria del embarazo tanto en el ámbito de la sanidad pública como de la privada”.
La AEPD entiende justificada la creación del registro, al resultar necesario desde el punto de vista de la organización de recursos sanitarios para garantizar que el acceso o la calidad de la prestación no se vean afectados por el ejercicio del derecho individual a la objeción de conciencia.
En su comentario, la AEPD se remite a un informe previo, el Informe 272/2010 donde responde la consulta formulada por la Consejería de Sanidad del Gobierno de Navarra sobre diversas cuestiones relacionadas con el ejercicio por parte de los profesionales sanitarios del derecho a la objeción de conciencia. Igualmente, cita la Sentencia del Tribunal Constitucional, núm. 151/2014 de 25 septiembre, que analiza la constitucionalidad de la Ley Foral de Navarra 16/2010, de 8 de noviembre, por la que se crea el Registro de profesionales en relación con la interrupción voluntaria del embarazo.
La AEPD recuerda que, la referida sentencia del Tribunal Supremo, la existencia de este tipo de registros se considera lícita. No obstante, puesto que suponen una limitación del derecho fundamental a la protección de datos, deben establecerse determinadas garantías. Entre ellas, señala las siguientes:
1º) La finalidad del tratamiento deberá limitarse a la correcta organización y la adecuada gestión de la prestación, prohibiendo su utilización para fines distintos.
2º) Los datos personales deben ser los estrictamente necesarios para la identificación del profesional y la organización del servicio, así como la circunstancia de haber ejercido su derecho y, en su caso, el alcance del mismo, sin referencia alguna a las razones que lo motiven.
3º) Sólo la Administración sanitara debería tener acceso al registro para la gestión de recursos sanitarios. En principio, y salvo en supuestos excepcionales, las pacientes que quisieran someterse a intervención no podrán consultarlo, salvo que demuestren un interés legítimo (por ejemplo, que su médico hubiese manifestado objeción a la práctica). Tampoco podrá tratarse de un registro público.
4º) Se ha de informar al profesional sobre el tratamiento de sus datos personales en los términos previstos en el RGPD.
5º) Se tendrá que realizar una evaluación de impacto en la protección de datos a fin de adoptar medidas técnicas y organizativas reforzadas para garantizar los derechos y libertades de los afectados, incluidas las que garanticen la integridad, confidencialidad y disponibilidad de los datos personales.
El texto completo del informe puede consultarse aquí [13].
El pasado 14 de septiembre, la Agencia Española de Protección de Datos (“AEPD”) ha publicado la versión web de la herramienta “Evalúa Riesgo RGPD”. La herramienta, basada en una guía de la propia AEPD, tiene como objetivo ayudar a los responsables a identificar riesgos de tratamientos de manera no exhaustiva.
“Evalúa Riesgo RGPD” permite efectuar tanto análisis de riesgos como evaluaciones de impacto sencillas, emitiendo un informe de resultados. No obstante, su utilización no está recomendada para tratamientos complejos. Así, advierte la AEPD que el responsable del tratamiento debe ajustar la evaluación para determinar con precisión el nivel de riesgo de los tratamientos.
Puede encontrar más información aquí [14].
El pasado 8 de septiembre de 2022, el Tribunal de Justicia de la Unión Europea (“TJUE”), en su sentencia C-263/21, resolvió la cuestión prejudicial planteada por nuestro Tribunal Supremo sobre la adaptación del actual sistema de compensación por copia privada al Derecho europeo. El Alto Tribunal planteó esta cuestión en el marco de un litigio iniciado por la Asociación Multisectorial de Empresas TIC (“AMETIC”) frente a la Administración General del Estado, la Entidad de Gestión de Derechos de Productores Audiovisuales (“EGEDA”), la Sociedad General de Autores y Editores (“SGAE”), y el Centro Español de Derechos Reprográficos (“CEDRO”).
AMETIC solicitó a la anulación del sistema de compensación por copia privada vigente, que resulta de la derogación por el propio TJUE del sistema anterior. El sistema vigente hasta 2016 funcionaba con cargo a los Presupuestos Generales del Estado y, tal y con estaba configurado, no aseguraba que el importe de la compensación fuera repercutido al beneficiario de la copia privada. El sistema creado en sustitución de este se basa en que el control recaiga sobre las entidades de gestión de derechos de autor, algo a lo que AMETIC se opone. No obstante, el TJUE ha determinado que este sistema es válido siempre y cuando (i) la concesión de los certificados de exceptuación y los reembolsos se sujete a unos criterios objetivos y a unos plazos que no permitan a las entidades gestoras denegar una solicitud sobre la base de consideraciones que impliquen el ejercicio de un margen de apreciación, y (ii) las decisiones por las que se deniegue tal solicitud puedan ser objeto de impugnación ante una instancia independiente. El TJUE determina igualmente que las entidades ostentan la potestad para acceder a la información necesaria para el ejercicio de sus funciones, aun cuando esté sujeta al secreto de contabilidad empresarial, si bien las entidades deben respetar esta naturaleza confidencial.
La Comisión Europea, con la clara voluntad de adaptar el ordenamiento jurídico vigente a la nueva era digital, ha publicado una Propuesta de Directiva de armonización y modernización de la normativa de responsabilidad civil en materia de Inteligencia Artificial (“IA”).
La mencionada propuesta de directiva, en consonancia con el Libro Blanco sobre la IA y la Propuesta de Ley de IA, está diseñada para salvaguardar los derechos de los consumidores cuando se utilice la IA, promoviendo a la vez la innovación tecnológica.
La propuesta de Directiva alivia la carga de la prueba de aquellas personas que se hayan visto perjudicadas por el uso de sistemas de IA y, además, facilita el acceso a las pruebas pertinentes por parte de los demandantes.
Puede encontrar más información aquí [15].
Links
[1] https://www.boe.es/boe/dias/2022/09/29/pdfs/BOE-A-2022-15818.pdf
[2] https://www.aepd.es/es/documento/ps-00170-2022.pdf
[3] https://www.aepd.es/es/documento/ps-00066-2022.pdf
[4] https://www.aepd.es/es/documento/ps-00178-2022.pdf
[5] https://www.aepd.es/es/documento/ps-00020-2022.pdf
[6] https://www.poderjudicial.es/search/AN/openDocument/52572263981ffe11a0a8778d75e36f0d/20220804
[7] http://www.infogreffe.fr/
[8] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/09/ico-could-impose-multi-million-pound-fine-on-tiktok-for-failing-to-protect-children-s-privacy/
[9] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9806898#%20english
[10] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/09/halfords-fined-for-sending-nearly-500-000-unwanted-marketing-emails/
[11] https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-instagram-inquiry
[12] https://www.aepd.es/es/documento/2021-0051.pdf
[13] https://www.aepd.es/es/documento/2022-0041.pdf
[14] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-lanza-la-version-online-de-evalua_riesgo-rgpd-que
[15] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52022PC0496
[16] mailto:nheckh@ramoncajal.com
[17] mailto:mlgonzalez@ramoncajal.com
[18] mailto:aborjas@ramoncajal.com
[19] mailto:ptena@ramoncajal.com
[20] mailto:iruiz@ramoncajal.com
[21] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[22] https://twitter.com/RamonyCajalAbog
[23] https://www.ramonycajalabogados.com/es/search