ÍNDICE
#SomosRyC
Alerta de Protección de Datos y Tecnologías de la Información_Marzo 2021
11 de March de 2021
I. PROTECCIÓN DE DATOS
Un paso más para la aprobación del Reglamento e-Privacy
El Consejo de la Unión Europea aprobó, el 10 de febrero de 2021, la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE[1] (en adelante, la “Propuesta de Reglamento”).
La mencionada Propuesta de Reglamento permitirá iniciar las negociaciones con el Parlamento europeo para acordar un texto definitivo que reemplazará la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (“Directiva e-Privacy”).
Asimismo, como en la propia Propuesta de Reglamento se establece, la nueva norma supondrá un complemento al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”) y se configurará como ley especial sobre el mismo. En particular, se aplicará a las siguientes materias:
- La prestación de servicios de comunicación electrónica a usuarios finales, siempre que se encuentren dentro de la Unión Europea.
- El tratamiento del contenido (incluyendo metadatos) de las comunicaciones electrónicas llevadas a cabo en relación con la prestación y uso de los servicios de comunicación electrónica.
- La información de los equipos terminales de los usuarios finales.
- La oferta de un directorio público de usuarios finales de servicios de comunicaciones electrónicas.
- El envío de comunicaciones de marketing directas a usuarios finales.
El Comité Europeo de Protección de Datos (“EDPB”) se ha pronunciado respecto al contenido de la Propuesta de Reglamento el pasado 9 de marzo de 2021, publicando la “Declaración 03/2021 sobre e Reglamento e-Privacy”. En este documento, el EDPB muestra alguna de sus preocupaciones sobre algunos puntos del texto difundido, entre los que se encuentran, la necesidad de garantizar la confidencialidad de las comunicaciones electrónicas (lo que incluye, definir de forma clara y específica las excepciones a la prohibición general de acceder al contenido de las comunicaciones comerciales) y la obligación de reforzar el consentimiento para la instalación de cookies, ofreciendo a los proveedores de servicios, a su vez, herramientas técnicas que les permitan obtenerlo de una forma fácil.
Para finalizar, recordamos que la Propuesta de Reglamento puede sufrir modificaciones en un futuro al no ser un documento definitivo.
Proyecto de Ley Orgánica de protección de datos personales tratados para determinados fines en el ámbito penal y condena a España por no trasponer de la Directiva 2016/680
El pasado día 9 de febrero de 2021 el Consejo de Ministros aprobó el proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales y solicitó su tramitación parlamentaria por procedimiento de urgencia (en adelante, el “Proyecto de LO”).
El Proyecto de LO tiene como finalidad la trasposición al ordenamiento jurídico español de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos (en adelante, la “Directiva 2016/680”).
El Proyecto de LO trata de establecer un marco regulatorio que facilite la cooperación policial y judicial penal respecto al tratamiento de datos personales. En particular, nos interesa destacar los siguientes puntos sobre el citado Proyecto de LO:
- Regula el tratamiento de datos personales realizado por las autoridades competentes, definidas por la norma como toda autoridad pública que tenga competencias encomendadas legalmente para la consecución de los fines del artículo 1 del Proyecto de LO[1].
- Se basa en los principios de protección de datos regulados en su mayoría en términos similares a lo establecido en el RGPD.
- Reconoce los derechos de acceso, rectificación, supresión y limitación, que podrán ser restringidos por ciertas causas tasadas, y establece un régimen especial de derechos de los interesados en el marco de investigaciones y procesos penales.
- Regula las transferencias de datos personales a terceros países no miembros del Espacio Económico Europeo, estableciendo determinadas condiciones como, entre otras, que deberán realizarse únicamente cuando sean necesarias para los fines establecidos en el Proyecto de LO y cuando el responsable del tratamiento en el tercer país sea una autoridad competente en relación con dichos fines.
- Tipifica las infracciones que, en función de su gravedad, podrán ser leves, graves o muy graves, y establece un régimen sancionador aplicable al incumplimiento de las obligaciones establecidas en la norma.
Se debe destacar que este Proyecto de LO ha sido elaborado fuera de los plazos previstos en la Directa que transpone y, por ello, España ha sido condenada por el Tribunal de Justicia de la Unión Europea a abonar a la Comisión Europea una suma a tanto alzado de 15 millones de euros y, si el incumplimiento declarado persiste en la fecha en que se dicte la sentencia, una multa coercitiva diaria de 89.000 euros desde esa fecha y hasta que se haya puesto fin al incumplimiento.
[1] Entre otras, el Proyecto de LO entiende por autoridades competentes: las Fuerzas y Cuerpos de Seguridad, las Administraciones Penitenciarias, la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
La Comisión Europea inicia el procedimiento de adecuación para las transferencias de datos personales al Reino Unido
El pasado 19 de febrero de 2021, la Comisión Europea publicó una nota de prensa en la que anunciaba el inicio del procedimiento para la adopción de dos decisiones de adecuación para las transferencias de datos personales entre el Espacio Económico Europeo y el Reino Unido, la primera al amparo del Reglamento General de Protección de Datos y, la segunda, de la Directiva 2016/680 sobre protección de datos en el ámbito penal[1].
Hasta la aprobación de los dos proyectos citados, que tendrán que pasar por el procedimiento de comitología, las trasferencias de datos personales entre el Espacio Económico Europeo y el Reino Unido siguen siendo posibles gracias al régimen provisional previsto en el Acuerdo de Comercio y Cooperación entre la Unión Europea y el Reino Unido que, recordemos, es válido hasta el 30 de junio de 2021.
En su nota de prensa, la Comisión Europea recalca la importancia de garantizar un nivel de seguridad adecuado, concluyendo que, tras la revisión de la legislación del Reino Unido, el nivel de protección es equivalente al garantizado en virtud del RGPD y de la Directiva 2016/680.
Si las decisiones son aprobadas, tendrán una validez de 4 años con la posibilidad de renovar dicho periodo si el nivel de protección en el Reino Unido sigue siendo el adecuado.
Informes Jurídicos relevantes
· La Agencia Española de Protección de Datos publica un nuevo informe sobre el derecho de acceso a la historia clínica
La consulta plantea si, desde la perspectiva del RGPD, el contenido del derecho de acceso a la historia clínica comprende la información sobre quién ha accedido a la misma. La Agencia Española de Protección de Datos reitera en este Informe Jurídico su criterio fijado en los Informes 165/2005 y 171/2008 y mantiene que el contenido del derecho de acceso a la historia clínica no comprende conocer la información sobre quién ha accedido a la misma, pues no forma parte de la historia clínica y además hace referencia datos personales de terceros
· Informe Jurídico de la Agencia Española de Protección de Datos sobre la consideración de las empresas subcontratadas por Correos
La consulta plantea la posición jurídica que ostentan las empresas subcontratadas por la Sociedad Estatal Correos y Telégrafos S.A. S.M.E. (“Correos”). La Agencia Española de Protección de Datos determina, en el Informe Jurídico 064/2020 (el “Informe”), que estas terceras empresas tienen la consideración de “terceros” según lo dispuesto en el artículo 4.10) del RGPD puesto que Correos no requiere acceso de forma alguna a los datos personales contenidos en el exterior de la mercancía. Por otro lado, el Informe reafirma su posición sobre la consideración de Correos como encargado del tratamiento en línea al Dictamen 1/2010 del Grupo de Trabajo del artículo 29 sobre los conceptos de responsable del tratamiento y encargado.
[1] Ambos documentos solo están disponibles en inglés.
Resoluciones y Sentencias de interés (España y Unión Europea)
· Sentencia del Tribunal Supremo Nº 163/2021 sobre geolocalización
Con fecha 8 de febrero de 2021, la Sala de lo Social del Tribunal Supremo confirma la Sentencia de la Audiencia Nacional que declaraba la nulidad del “Proyecto Tracker” de Telepizza S.A.U., que obligaba a los trabajadores a descargarse la aplicación móvil de la empresa que permitía la geolocalización del dispositivo y del trabajador durante su jornada laboral. La Sentencia del Tribunal Supremo entiende que el “Proyecto Tracker” no supera el juicio de proporcionalidad y, además, no se cumplieron los requisitos de información y consulta previa establecidos en el artículo 64.5 del Estatuto de los Trabajadores, ni el deber de información y transparencia de la normativa de protección de datos.
· La Agencia Española de Protección de Datos sanciona con 200.000 euros por el envío de cartas a clientes
La Agencia Española de Protección de Datos publicó el 12 de febrero de 2021 la Resolución PS/00197/2020 en la que sanciona a I-DE REDES ELÉCTRICAS INTELIGENTES, S.A.U (I-DE) con 200.000 euros por infracción de los principios de limitación del tratamiento y minimización (artículos 5.1.b y c del RGPD, respectivamente), así como por falta de legitimación suficiente que justifique el tratamiento (artículo 6.1.b del RGPD). En concreto, la Agencia Española de Protección de Datos entiende que las entidades comercializadoras cedían a I-DE datos personales de sus clientes finales a los solos efectos de que I-DE pudiera hacer llegar a estos el suministro eléctrico, por lo tanto, se entiende que I-DE carece de base de legitimación para emitir cartas a clientes finales informando sobre supuestos incumplimientos contractuales por falta del pago de facturas e instándoles a su subsanación.
· Sanción a la Autoridad Policial Sueca por la utilización de una aplicación de reconocimiento facial careciendo de base de legitimación
La Autoridad de Control Sueca sancionó[1] el 10 de febrero con 250.000 euros a la Autoridad Policial por tratar datos biométricos a través de una aplicación de reconocimiento facial careciendo de base legitimadora del tratamiento, así como de medidas organizativas suficientes para asegurar y demostrar que el tratamiento se realizaba de conformidad con la legislación vigente.
· Sanción a un Hospital por no contar con medidas de seguridad suficientes en el acceso a historiales médicos
La Autoridad de Control Holandesa publicó, el pasado 11 de febrero, una resolución[2] sancionando a un Hospital con 440.000 euros por la infracción del artículo 32 del RGPD. En concreto, la resolución señala la ausencia de medidas organizativas respecto al acceso y consulta de los historiales médicos por parte de los empleados del hospital.
II. PROPIEDAD INTELECTUAL Y NUEVAS TECNOLOGÍAS
El TJUE se pronuncia sobre la inserción de obras de terceros en un sitio web
El Tribunal de Justicia de la Unión Europea (“TJUE”), en la sentencia sobre el asunto C-392/19, entiende que la inserción de obras protegidas por derechos de autor puestas a disposición del público en un sitio web de acceso libre, mediante la técnica del framing, debe hacerse con la autorización del titular de los derechos de autor si se tomaron medidas de protección contra el framing adoptadas o impuestas por dicho titular.
Facebook se compromete a pagar 822 millones a medios de todo el mundo por sus contenidos
Con fecha 24 de febrero de 2021, Facebook ha hecho público que pagará 822 millones de euros a medios de comunicación de todo el mundo por el uso de sus contenidos informativos. Esta decisión, se produce después de que Facebook restringiese la publicación de noticias en Australia como muestra de protesta contra la decisión del gobierno australiano de impulsar una ley que obliga a la red social a compensar a los medios por dichas publicaciones.
