#SomosRyC
Alerta Protección de datos - junio 2020
15 de June de 2020
En los últimos días, la AEPD ha publicado distintas resoluciones que resuelven procedimientos sancionadores abiertos en los meses previos a la declaración del estado de alarma. Entre ellas se encuentran las resoluciones que comentamos a continuación:
1.1.- SANCIÓN DE 25.000 EUROS A GLOVO POR NO HABER PROCEDIDO A LA DESIGNACIÓN DE UN DPO (PS/00417/2019)
Con fecha 21 de mayo y 4 de noviembre de 2019, se presentaron dos reclamaciones en la Agencia Española de Protección de Datos frente a la entidad GLOVOAPP23, S.L. (en adelante, “GLOVO”), que denunciaban la falta de nombramiento de un Delegado de Protección de Datos o “DPD” en la citada compañía.
GLOVO alegó en su defensa que consideraba que no se encontraba en ninguno de los supuestos tasados en los artículos 37 RGPD y 34 LOPDGDD, por lo que carecía de obligación formal de nombrar un DPD. Además, señaló que, a pesar de no estar en la obligación anteriormente mencionada, con fecha 8 de junio de 2018, constituyó un Comité de Protección de Datos que cumplía las funciones descritas en el artículo 39 RGPD. En cualquier caso, tras comunicársele el procedimiento sancionador, GLOVO procedió al nombramiento de un DPD.
La AEPD entiende que GLOVO realiza tratamientos que quedan incluidos dentro del 37.1.b) del RGPD:
“ 1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
(…)
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala (…)”.
Por otro lado, recuerda que el artículo 34.3 de la LOPDGG indica:
“3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria”.
En la resolución publicada no aparece reflejado ni el razonamiento que, en su caso, ha expuesto GLOVO para argumentar que no le corresponde nombrar un DPD, ni los fundamentos jurídicos que tiene en consideración la AEPD para llegar a la conclusión contraria.
La AEPD considera que se ha cometido una infracción del artículo 37 del RGPD, tipificada como grave en el artículo 83.4 de la misma norma con multas administrativas de 10.000 000 EUR como máximo o, de una cuantía equivalente al 2 % como máximo del volumen de negocio, e impone una multa de 25.000 euros.
Entre los agravantes que aplica se encuentran los siguientes:
- El número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene.
- Se encuentran afectados identificadores personales básicos.
El texto completo de la resolución se encuentra disponible en este enlace.
1.2.- TWITTER PAGARÁ 30.000 EUROS A LA AEPD POR NO OFRECER A LOS USUARIOS LA POSIBILIDAD DE RECHAZAR O CONFIGURAR LAS COOKIES QUE INSTALA (PS/00299/2019)
La Agencia Española de Protección de Datos ha sancionado a la entidad TWITTER INTERNATIONAL COMPANY (en adelante, “Twitter” o la “Reclamada”) con 30.000 euros de multa por no ofrecer la posibilidad de rechazar o configurar las cookies que instala.
La AEPD da por probados los siguientes hechos que constituyen, en su opinión, un incumplimiento del artículo 22.2 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSI”):
- Entrando en la página web de la Reclamada, y sin realizar ningún otro tipo de acción se instalan diversas cookies (un total de 7).
- Si bien es cierto que existe una primera capa en la que se advierte de la existencia de cookies, no existe ningún mensaje o link que posibilite su rechazo o configuración.
- Se recalca que a pesar de existir una política de “cookies”, esta, no ofrece la posibilidad de rechazar o gestionarlas.
La infracción se encuentra tipificada como leve en el artículo 38.4 g) de la LSSI.
La resolución puede consultarse aquí.
El Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19 (en adelante, “RD 21/2020”), publicado en el Boletín Oficial del Estado (“BOE”) el 10.06.2019, incluye diversas menciones relacionadas con el derecho fundamental a la protección de datos.
Debemos destacar que el Capítulo V, (“Detección precoz, control de fuentes de infección y vigilancia epidemiológica”), que comprende los artículos 22 a 27, establece distintas obligaciones de registro y comunicación de datos personales en la medida que resultan necesarios para la detección y control de infecciones:
- El artículo 23 establece la obligación de “facilitar a la autoridad de salud pública competente todos los datos necesarios para el seguimiento y la vigilancia epidemiológica del COVID-19 que le sean requeridos por esta, en el formato adecuado y de forma diligente, incluidos, en su caso, los datos necesarios para la identificación personal”. Esta obligación es de aplicación tanto en el caso de entidades públicas como privadas cuya actividad tenga implicaciones en la identificación, diagnóstico, seguimiento o manejo de los casos COVID-19.
- El artículo 24 señala que “las autoridades sanitarias de las comunidades autónomas y de las ciudades de Ceuta y Melilla comunicarán al Ministerio de Sanidad la información de casos y brotes según se establezca en los protocolos aprobados en el seno del Consejo Interterritorial del Sistema Nacional de Salud”.
- El artículo 25 recoge una obligación de comunicación al Ministerio de Sanidad y a la autoridad sanitaria autonómica por parte de los laboratorios públicos y privados que realicen pruebas diagnósticas para la detección de SARS-CoV-2.
- En relación con la trazabilidad de contactos, el artículo 26 prevé que la autoridad sanitaria podrá solicitar a cualquier lugar, centro, establecimiento o medios que determine la información necesaria para realizar el seguimiento de contactos de personas infectadas.
El artículo 27 del RD 21/2020 aclara que la finalidad del tratamiento es la vigilancia epidemiológica del COVID-19 y la base legitimadora del tratamiento es el interés público amparado en el artículo 6.1.e) del RGPD.
El RD 21/2020 establece, además, que serán corresponsables del tratamiento las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad. Los datos podrán ser intercambiados con otros países (incluidos fuera de las fronteras europeas) de acuerdo con lo estipulado en el artículo 27.4 de la norma, siempre y cuando este intercambio esté regido por el Reglamento General de Protección de Datos.
Por último, resaltaremos que la Disposición adicional primera está dedicada a “Controles sanitarios y operativos en aeropuertos gestionados por Aena”. En dicha disposición, se establece que Aena pondrá a disposición de los servicios centrales y periféricos de Sanidad Exterior de modo temporal los recursos humanos, sanitarios y de apoyo, necesarios con el fin de garantizar el control sanitario de la entrada de pasajeros de vuelos internacionales en los aeropuertos gestionados por Aena. Los datos de salud y cualquier otro conexo recabados en el ejercicio de estas funciones de control sanitario, serán de exclusiva titularidad del Ministerio de Sanidad, no pudiendo, en ningún caso, Aena almacenar, acceder ni tratarlos por cuenta del Ministerio de Sanidad.
Puede consultar el Real Decreto-ley pulsando el siguiente enlace.
