Han pasado tres años desde que quedase invalidado el Privacy Shield y por fin las transferencias de datos personales entre la Unión Europea y Estados Unidos vuelven a tener un marco de garantías adecuado. Esta versión de 2023 se denomina “Marco de Privacidad de Datos UE-EE.UU.” y viene a cubrir las carencias de los anteriores marcos, aportando los mecanismos de protección adicionales que la Comisión pedía en la Opinión 5/2023 [1] que emitió hace unos meses.
Recordemos que algunos de los puntos más conflictivos que estuvieron obstaculizando durante largo tiempo la aprobación de un marco de garantías, evocaban los accesos a datos constantes y masivos por parte de los servicios de inteligencia estadounidenses o la complejidad entorno a las reclamaciones por parte de ciudadanos europeos debido a tratamientos indebidos por empresas estadounidenses. Estas y otras cuestiones quedan ahora resueltas con el nuevo acuerdo, entre otros medios, mediante el firme compromiso de que el acceso a los datos se limitará a “lo necesario y proporcionado” cuando se trate de preservar la seguridad nacional estadounidense.
Entre estas nuevas garantías, se encuentra el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos, al que los ciudadanos de la UE tendrán acceso y desde donde se podrá investigar y resolver las reclamaciones de manera independiente con potestad sancionadora vinculante; garantías en materia de acceso de los poderes públicos a los datos; mecanismos de resolución independiente y gratuita de controversias, y un tribunal arbitral.
En términos generales, las garantías alternativas como la adhesión a cláusulas contractuales tipo o las normas corporativas vinculantes serán mecanismos igualmente válidos.
Por lo que respecta al proceso de suscrición a este nuevo marco, existe algún matiz relevante con respeto al mecanismo anterior: ahora las empresas estadounidenses que deseen adherirse deberán comprometerse a cumplir una serie de obligaciones como el borrado de los datos personales cuando ya no sean necesarios para el fin para el que fueron recogidos, o garantizar el cumplimiento de los requisitos de privacidad con respecto a sus propios subcontratistas.
Con el fin de evitar la situación de falta de control que existía con los mecanismos anteriores, en esta ocasión la Comisión Europea, junto con representantes de las autoridades de protección de datos europeas y de las autoridades competentes estadounidenses, revisarán periódicamente el correcto funcionamiento del acuerdo, garantizando así la efectiva implantación de los compromisos adquiridos.
Otro de los puntos clave del nuevo acuerdo es que el Departamento de Comercio estadounidense se hará cargo de la administración y supervisión del acuerdo, mientras que la Comisión Federal de Comercio de los Estados Unidos se encargará de hacerlo cumplir por parte de las empresas estadounidenses.
De nuevo, uno de los flujos de información más potentes a nivel trasatlántico vuelve a contar con un nivel de seguridad jurídica confortable.
Se puede consultar la decisión de adecuación en el siguiente enlace [2].
En el marco de un litigio que enfrentaba a Meta Platforms Ireland y la Autoridad Federal de Defensa de la Competencia alemana (en adelante, “AFDC”) por cuestiones de explotación abusiva de posición dominante, se plantearon siete cuestiones prejudiciales ante el TJUE (en adelante, “TJUE”) relativas a potenciales infracciones del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”), constatadas por la propia AFDC.
En su sentencia, el TJUE aclara que, si bien es posible o incluso necesario que la autoridad de defensa de la competencia que esté examinando una cuestión de abuso de posición dominante, valore también la conformidad del comportamiento a normas ajenas (como sería el RGPD), ello no sustituye el rol que necesariamente tiene que jugar la autoridad de control de protección de datos. La habilitación de la AFDC se limita a apreciar el respeto del RGPD desde el punto de vista del abuso de la posición dominante. Además, el TJUE aclara que es necesaria una colaboración cohesionada entre las distintas autoridades de la competencia y las autoridades de control de protección de datos, a la hora de analizar el cumplimiento del RGPD en cuestiones relacionadas con la materia, ateniéndose a decisiones previas de éstas o del TJUE (si las hubiera).
Otro de los puntos clave de la sentencia hace referencia al tratamiento de datos pertenecientes a categorías sensibles, por parte de Meta. En este sentido, el TJUE es tajante: “el mero hecho de que un usuario consulte sitios de Internet o aplicaciones que puedan revelar tal información no significa […] que haga manifiestamente públicos sus datos […] a menos que haya manifestado expresamente su decisión previa de hacer que los datos que le conciernen resulten públicamente accesibles a un número ilimitado de personas”. Es más, el TJUE va más allá aclarando que la excepción al tratamiento de datos sensible por la ejecución contractual no aplica en este caso conceto porque considera que “la personalización de la publicidad mediante la cual se financia […] Facebook no puede justificar, como interés legítimo […] el tratamiento de datos”; sería necesario disponer del consentimiento expreso de los interesados.
Acceso directo al comunicado de prensa del TJUE aquí [3].
Se puede consultar el texto completo de la sentencia en el siguiente enlace [4].
El pasado 23 de diciembre de 2022, la Audiencia Nacional anulaba la sanción de 5 millones de euros que la Agencia Española de Protección de Datos (en adelante, la “AEPD”) había impuesto a BBVA por incumplimiento de varios preceptos de la normativa vigente en materia de protección de datos. Recordemos que para ello la Audiencia Nacional esgrimió varios argumentos basándose en la desconexión entre las reclamaciones contra BBVA y la supuesta naturaleza infractora de la propia política de privacidad.
Seis meses después, el Tribunal Supremo (en adelante, “TS”) admite a trámite el recurso de casación presentado por la AEPD. Resulta muy interesante la argumentación del TS en cuanto a los motivos por los cuales se admite:
En primer lugar, se pone de manifiesto el argumento principal de la AEPD quién alega que la reclamación de un afectado, al margen del interés que pueda suscitar el caso concreto, puede servir como medio para poner en conocimiento de la autoridad de control un eventual incumplimiento de la normativa, sirviendo como punto de partida para una investigación de mayor amplitud.
En segundo lugar, el TS declara que la cuestión tiene interés casacional objetivo para la formación de jurisprudencia en este sentido.
Así pues, el TS estudiará si la actuación de la AEPD frente a una reclamación debe limitarse al alcance de dicha reclamación o si puede tramitar y resolver un procedimiento sancionador a margen de la cuestión específica.
Puede consultar el Auto en este enlace [5].
La AEPD ha actualizado su Guía sobre el uso de cookies para adaptarla a las Directrices 03/2022 del Comité Europeo de Protección de Datos (en adelante, “CEPD”), sobre patrones engañosos en redes sociales. En las mencionadas Directrices, el CEPD establece que las acciones de aceptar o rechazar las cookies tienen que presentarse en un lugar y formato destacados, estando ambas opciones al mismo nivel y con un nivel de dificultad equivalente. La AEPD acompaña esto con nuevos ejemplos y ofreciendo indicaciones sobre el color, el tamaño y el lugar en el que aparecen.
En lo que respecta a las cookies de personalización, la versión previa de la Guía de cookies ya establecía que, cuando es el propio usuario quien toma decisiones sobre ellas (como la elección del idioma o de la moneda), se trataría de cookies técnicas que no requieren de consentimiento, si bien no podrían ser usadas para otras finalidades. La AEPD actualiza ahora este criterio y señala que, cuando el editor adopte este tipo de decisiones sobre las cookies de personalización basándose en la información que ha obtenido del usuario, el editor deberá ofrecer de forma destacada la opción de aceptarlas o rechazarlas, sin que pueda usarlas para otras finalidades.
Por otra parte, y en cuanto a los muros de cookies, la Guía ya precisaba que, para que el consentimiento fuera válido, el acceso al servicio no podía condicionarse a que el usuario consintiese el uso de tales cookies. Ahora bien, ello no era óbice para que la no aceptación del uso de cookies pudiera impedir el acceso al servicio, siempre y cuando se informase al usuario y se ofreciese una alternativa de acceso al servicio. La Guía clarifica en esta nueva versión que dicha alternativa no tendrá por qué ser gratuita.
Los nuevos criterios incorporados a la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, esto es, seis meses después de la publicación de la Guía.
Puede encontrar la Guía completa aquí [6].
Como expone la consulta, las Mutuas y los Servicios Públicos de Salud de cada una de las comunidades autónomas (en adelante, “SPS”) vienen desde hace un tiempo analizando cómo compartir la información clínica que tenga cada uno de los trabajadores protegidos por las Mutuas. Así, resultaría conveniente, por un lado, que los médicos de las Mutuas, a la hora de desarrollar las actividades que tienen legalmente encomendadas, tuvieran acceso telemático a la información clínica que pudieran tener los SPS sobre los trabajadores mencionados; y, por otro lado, que los médicos de los SPS tuvieran acceso telemático a las historias clínicas de los trabajadores referidos.
Recuerda la AEPD que, si bien el RGPD establece unos supuestos que excepcionan la prohibición de tratamiento de categorías especiales de datos (como serían los datos de salud), los Estados miembros tienen la facultad de introducir regulaciones ad hoc para adaptar la realidad de cada sector y garantizar una protección efectiva de la ciudadanía. La Agencia, tras analizar el marco regulatorio aplicable en España a estos tratamientos (véanse, entre otras, la Ley General de Seguridad Social o la Ley básica reguladora de la autonomía del paciente), concluye:
Puede encontrar el informe aquí [7].
Las autoridades de protección de datos y los órganos jurisdiccionales de cada uno de los Estados miembros son quienes velan en primera línea por el cumplimiento del RGPD. En aquellos asuntos que afectan a más de un Estado miembro, aplica el mecanismo conocido como ventanilla única, en virtud del cual la autoridad donde se encuentre establecido el investigado es quien, en cooperación con las otras autoridades, lleva a cabo la investigación. Ahora bien, las autoridades de protección de datos, a la hora de resolver las diferentes solicitudes, aplican la normativa nacional correspondiente. Ello conlleva que existan ciertas diferencias de procedimiento entre las diversas autoridades que dificultan y obstaculizan el funcionamiento fluido y eficaz de los mecanismos de cooperación.
Tras dos años de rodaje del RGPD, en 2020, la Comisión emitió una comunicación [8] en la que ponía de manifiesto la necesidad de mejorar la armonización europea en cuestión de asuntos transfronterizos. Dio así comienzo un periodo de reflexión al final del cual adoptó una declaración sobre cooperación [9] (disponible en inglés), culminando todo ello en 2022 con la elaboración de una lista [10] de catorce grandes bloques de cuestiones (disponible en inglés).
Ahora, la Comisión ha formulado una propuesta de Reglamento para mejorar la cooperación entre las autoridades de protección de datos a la hora de aplicar el RGPD en asuntos transfronterizos. Entre las diferentes novedades que establece el nuevo Reglamento, se encuentran:
Disponible el texto integral en castellano [11] (y su anexo [12]) y en inglés [13] (y su anexo [14]).
El pasado lunes, 10 de julio, se publicaron en el Boletín Oficial del Estado (en adelante, “BOE”) los diferentes modelos de presentación de denuncias ante la AEPD. La resolución, emitida por la Directora de la AEPD (actualmente, Mar España), señala que se establece un modelo normalizado general de reclamación y seis modelos específicos referidos a distintos tratamientos de datos personales. En caso de que el interesado presente una reclamación que tenga un modelo específico a través del modelo general, la solicitud no surtirá efectos y se le comunicará al interesado para que lo subsane.
Como decimos, los modelos aprobados son siete, a saber:
Puede encontrar la resolución publicada en el BOE en el siguiente enlace [15].
El Gobierno, en cumplimiento de los compromisos adquiridos ante la Unión Europea para reforzar los derechos de autor y derechos conexos, ha aprobado mediante el Real Decreto 611/2023, de 11 de julio, el nuevo Reglamento del Registro de la Propiedad Intelectual. El texto sustituye al hasta ahora conocido como Reglamento del Registro General de la Propiedad Intelectual, aprobado en 2003, y persigue adaptar el Registro a la transformación digital que desde hace unos años vienen viviendo nuestras Administraciones Públicas.
Ahora bien, la apuesta por la digitalización de un Registro que data de 1847 no es la única novedad que presenta el Reglamento. Así, encontramos, entre otras, las siguientes:
Puede encontrar la nueva norma a través de este enlace [16].
En el año 2014 fueron registrados como denominaciones de origen protegidas (en adelante, “DOP”) los nombres “Jambon sec de Corse”/“Jambon sec de Corse — Prisuttu”, “Lonzo de Corse”/ “Lonzo de Corse — Lonzu” y “Coppa de Corse”/ “Coppa de Corse — Coppa di Corsica”. Un año más tarde, en 2015, el Consorcio de Charcuteros de Córcega solicitó igualmente el registro de una serie de nombres como indicaciones geográficas protegidas (en adelante, “IGP”), a saber: “Jambon sec de l’Île de Beauté”, “Lonzo de l’Ȋle de Beauté” y “Coppa de l’Ȋle de Beauté”.
En 2018, las autoridades francesas acordaron la homologación de los pliegos de condiciones correspondientes, para su posterior transmisión y aprobación por la Comisión Europea. Ahora bien, el titular de los pliegos de condiciones de las DOP solicitó la anulación de tales decretos por riesgo de confusión de los nombres registrados como IGP con los registrados como DOP, ya que el término “Ȋle de Beauté” imitaba o evocaba al término “Corse”. El Consejo de Estado francés desestimó la solicitud por entender que el empleo de términos diferentes y la diferente protección conferida a unos nombres y a otros permitían evitar el riesgo de confusión. No obstante, la Comisión denegó el registro de las IGP por considerar que es conocido por los consumidores franceses en general que el término “Ȋle de Beauté” alude inequívocamente a Córcega.
Tras examinar el recurso interpuesto por el Consorcio de Charcuteros de Córcega por el que se solicitaba la anulación de la decisión de la Comisión Europea, el TJUE concluye:
Puede consultar la resolución completa aquí [17].
El Diario Oficial de Galicia ha publicado ya la nueva Ley de Juego de Galicia. La norma, aprobada el pasado 27 de junio en el Parlamento Gallego, aporta seguridad jurídica al sector y sienta las bases para un futuro reglamento. Entre las principales novedades que introduce la ley, encontramos la drástica reducción del plazo de cancelación de autorizaciones por cese de actividad sin causa justificada (de 36 meses a 30 días naturales), la introducción de la distancia radial de 300 metros entre establecimientos de juego y centros de enseñanza a menores o centros de rehabilitación de jugadores patológicos y la obligatoriedad de instalar un control de acceso para impedir la entrada a menores y a personas excluidas de acceso al juego.
Puede consultar el texto íntegro de la nueva Ley a través del siguiente enlace [18].
El Ministerio de Consumo abrió el pasado 7 de julio el trámite de información pública en relación con una resolución de la Dirección General de Juego (en adelante, “DGOJ”) relativa al sistema de monitorización de la información y a la modificación de dos resoluciones de la mencionada Dirección sobre especificaciones técnicas e identificación y prohibiciones subjetivas a la participación en las actividades de juego.
Esta iniciativa viene en gran medida impulsada por las recientes novedades normativas en el sector (véase el Real Decreto 958/2020, de comunicaciones comerciales de las actividades de juego [19], y el Real Decreto 176/2023, por el que se desarrollan entornos más seguros de juego [20]), las cuales han supuesto para los operadores de juego una serie de obligaciones cuyo cumplimiento desea monitorizar la DGOJ.
El plazo para la remisión de aportaciones por parte de ciudadanos, organizaciones y asociaciones permanecerá abierto hasta las 12:00 del día 7 de diciembre de 2023.
Puede acceder a la resolución de la DGOJ aquí [21].
El Foro Nacional de Ciberseguridad presentó el pasado 12 de julio el nuevo Código de Buen Gobierno de la Ciberseguridad. El Código, elaborado por un grupo de expertos en la materia, persigue mejorar el buen gobierno corporativo en asuntos de ciberseguridad y facilitar la gestión y la toma de decisiones en este ámbito por parte de los órganos de gobierno de las organizaciones.
El Código se desarrolla con base en trece principios rectores en materia de gestión del riesgo asociado a la ciberseguridad y para los cuales formula una serie de recomendaciones prácticas adaptables a cualquier organización.
El documento ha sido difundido también por la Comisión Nacional del Mercado de Valores (en adelante, el “CNMV”), dado el interés que pudiera tener para las sociedades cotizadas y ante el creciente nivel de riesgo de los ciberataques.
Puede consultar el documento aquí [22].
Links
[1] https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf
[2] https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-07/cp230113es.pdf
[4] https://curia.europa.eu/juris/document/document.jsf;jsessionid=53ACBC0A92D4CB0313FB58A9BBB9449A?text=&docid=275125&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=111253
[5] https://www.poderjudicial.es/search/AN/openDocument/25391f2c5e71aba9a0a8778d75e36f0d/20230707
[6] https://www.aepd.es/es/documento/guia-cookies.pdf
[7] https://www.aepd.es/es/documento/2023-0041.pdf
[8] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0264&from=DA
[9] https://edpb.europa.eu/system/files/2022-04/edpb_statement_20220428_on_enforcement_cooperation_en.pdf
[10] https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf
[11] https://eur-lex.europa.eu/resource.html?uri=cellar:d02eb625-1a4d-11ee-806b-01aa75ed71a1.0012.02/DOC_1&format=PDF
[12] https://eur-lex.europa.eu/resource.html?uri=cellar:d02eb625-1a4d-11ee-806b-01aa75ed71a1.0012.02/DOC_2&format=PDF
[13] https://eur-lex.europa.eu/resource.html?uri=cellar:d02eb625-1a4d-11ee-806b-01aa75ed71a1.0001.02/DOC_1&format=PDF
[14] https://eur-lex.europa.eu/resource.html?uri=cellar:d02eb625-1a4d-11ee-806b-01aa75ed71a1.0001.02/DOC_2&format=PDF
[15] https://www.boe.es/boe/dias/2023/07/10/pdfs/BOE-A-2023-16062.pdf
[16] https://eur04.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.boe.es%2Fboe%2Fdias%2F2023%2F07%2F13%2Fpdfs%2FBOE-A-2023-16215.pdf&data=05%7C01%7Ccsanpedro%40ramoncajal.com%7C9ad01bdaa83f4c54cf1008db8650e3bd%7Cf977cfe184144005a77000475d181679%7C0%7C0%7C638251454197709227%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=FfhyKXsEZLUT1ECB6ycLK58XKksfNDufZP5uK9WTSSc%3D&reserved=0
[17] https://eur04.safelinks.protection.outlook.com/?url=https%3A%2F%2Fcuria.europa.eu%2Fjuris%2Fdocument%2Fdocument.jsf%3Fdocid%3D275362%26mode%3Dreq%26pageIndex%3D1%26dir%3D%26occ%3Dfirst%26part%3D1%26text%3D%26doclang%3DFR%26cid%3D2175562&data=05%7C01%7Ccsanpedro%40ramoncajal.com%7C9ad01bdaa83f4c54cf1008db8650e3bd%7Cf977cfe184144005a77000475d181679%7C0%7C0%7C638251454197709227%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=NMisDpAJvXg34bSLJ5yVkk8d24ORefK%2BMMvbarwlLV0%3D&reserved=0
[18] https://www.xunta.gal/dog/Publicados/2023/20230706/AnuncioC3B0-040723-0001_es.pdf
[19] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-13495
[20] https://www.boe.es/diario_boe/txt.php?id=BOE-A-2023-6735
[21] https://www.consumo.gob.es/sites/consumo.gob.es/files/2023-06-29_resolucion_memoria_modelo_de_datos_info_publica.pdf
[22] https://eur04.safelinks.protection.outlook.com/?url=http%3A%2F%2Fcnmv.es%2FDocPortal%2FCiberseguridad%2FCBG_Ciberseguridad.pdf&data=05%7C01%7Ccsanpedro%40ramoncajal.com%7C9ad01bdaa83f4c54cf1008db8650e3bd%7Cf977cfe184144005a77000475d181679%7C0%7C0%7C638251454197709227%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=BnMU1MOE4KKYyszqhgT5HakBD8xEjFaWbRVrmh4kW58%3D&reserved=0
[23] https://www.linkedin.com/company/ram-n-y-cajal-abogados
[24] https://twitter.com/RamonyCajalAbog
[25] https://www.ramonycajalabogados.com/es/search