1. Protección de datos
a. Resoluciones y sentencias destacadas
La AEPD sanciona a RTVE por facilitar la publicación del audio de la declaración judicial de una víctima
El 23 de junio la AEPD publicó la resolución de terminación del procedimiento PS/00192/2022 por pago voluntario por parte de CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA, S.A. (“RTVE”).
El mencionado procedimiento sancionador se inicia tras publicarse, en diferentes medios de comunicación, el audio de la declaración de una víctima de una violación múltiple con el objetivo de ilustrar la noticia de la celebración del juicio.
Tras la investigación llevada a cabo por la AEPD, esta recordó que la voz es un dato personal y que, aunque el derecho fundamental a la protección de datos personales no es absoluto y puede prevalecer ante otros derechos fundamentales como el de la libertad de información, en el presente caso no existía un interés público en que se publicara la voz de la víctima.
De acuerdo con lo anterior, la AEPD consideró que RTVE infringió el principio de minimización de datos personales establecido en el artículo 5.1.c) del RGPD por haber tratado datos excesivos al no ser necesarios para ilustrar la noticia relativa a la celebración del juicio.
Por los motivos expuesto, la AEPD sanciona a RTVE con 50.000 euros por la infracción del artículo 5.1.c) del RGPD.
Puede consultar la resolución aquí.
La AEPD sanciona a una entidad financiera por una brecha de seguridad provocada por un error humano
El pasado 16 de junio, la Agencia Española de Protección de Datos (“AEPD”) publicó la resolución de terminación del procedimiento PS/00420/2021 por pago voluntario por parte de BANCO BILBAO VIZCAYA ARGENTARIA, S.A. (“BBVA”).
El procedimiento sancionador se inició tras la entrega, por parte de un empleado de la sucursal, a un tercero de un documento en el que se incluyen los datos bancarios (número de cuenta, saldo, etc.) de la parte reclamante.
Tras la investigación de los hechos la AEPD considera que los hechos constituyen una brecha de seguridad de protección de datos que afectaron a la confidencialidad de los datos. En este sentido, la AEPD entiende que, en el presente caso, BBVA infringió: (i) el principio de integridad y confidencialidad recogido en el datos artículo 5.1.f) del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), y; (ii) la obligación del responsable de implantar medidas técnicas y organizativas adecuadas al nivel de riesgo que garantice la seguridad de la información conforme al artículo 32 del RGPD.
Por la infracción del artículo 5.1.f) del RGPD, la AEPD propone una sanción de 50.000 euros, y por la infracción del artículo 32 del RGPD se propone una sanción de 30.000 euros. No obstante, tras haberse acogido el BBVA a las reducciones por pago voluntario y reconocimiento de responsabilidad, se procede al pago de 48.000 euros.
Puede consultar la resolución completa pulsando aquí.
Sentencia del Tribunal de Justicia de la Unión Europeo sobre el despido de una DPO
El asunto C-534/20 analizado por el Tribunal de Justicia de la Unión Europea (“TJUE”) tiene por objeto una petición de decisión prejudicial planteada tiene por objeto la interpretación y la validez del artículo 38.3, segunda frase del RGPD, que dice así: el delegado de protección de datos “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.”
Esta petición se ha presentado en el contexto de un litigio entre Leistritz AG y LH, que ejercía las funciones de delegada de protección de datos en Leistritz AG, en relación con la resolución de su contrato de trabajo, motivada por una reorganización de los servicios de dicha sociedad.
En este sentido, el TJUE analiza la cuestión prejudicial de si, el citado artículo, debe interpretarse en el sentido de que se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado.
Habida cuenta de las consideraciones contenidas en la sentencia, el TJUE entiende que la segunda frase del artículo 38.3 del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos del RGPD.
Puedes consultar la sentencia aquí.
b. Informes y guías
La AEPD publica una Guía para profesionales del sector sanitario
El pasado 22 de junio, la AEPD publicó la “Guía para profesionales del sector sanitario” con el objetivo de responder las dudas y cuestiones más frecuentes, facilitando el cumplimiento de la normativa de protección de datos.
La guía está dirigida principalmente a profesionales sanitarios que desempeñan su actividad a título individual, abordando cuestiones que se plantean en el sector como la legitimación del tratamiento de datos de salud, el acceso al historial clínico, la responsabilidad y obligaciones derivadas del tratamiento o la gestión de los derechos solicitados por los pacientes.
Algunos puntos que se pueden destacar de la guía son:
- Se debe diferenciar entre el “consentimiento informado” para una actuación sanitaria, que se regula por la legislación sanitaria correspondiente, y el “consentimiento para el tratamiento de los datos personales”, que se regula en la normativa de protección de datos.
- La consulta de la historia clínica tiene que estar limitada y controlada con registro de acceso.
- La citación de pacientes también debe cumplir con los principios y obligaciones en materia de protección de datos y, por tanto, para llamar a pacientes en las consultas se deberá hacer de tal manera que no se utilicen datos identificativos.
La “Guía para profesionales del sector sanitario” completa la información en materia sanitaria que la AEPD ha realizado hasta el momento, como la “Guía para pacientes y usuarios de la sanidad” o la sección sobre salud y protección de datos que la AEPD pone a disposición en su página web.
Puede consultar la guía completa pulsando aquí.
El Gabinete Jurídico de la AEPD publica un informe jurídico sobre la comunicación de datos académicos a progenitores
El Gabinete Jurídico de la AEPD responde a la consulta planteada por una Universidad sobre si resulta conforme a la normativa de protección de datos la comunicación a los progenitores que así lo solicitan de datos relativos a las calificaciones, matrículas y becas respecto de los hijos cuando el alumno es económicamente dependiente de sus padres o en otros supuestos en que se ha denunciado la desaparición del hijo mayor de edad o éste tiene un problema de salud diagnosticado.
En este sentido, la AEPD entiende que de las bases de legitimación del artículo 6 del RGPD interesa en particular la establecida en la letra f) (interés legítimo). Para ello, aclara la AEPD, debe realzarse un examen de proporcionalidad entre el interés legítimo y los derechos y garantías del interesado. En esta línea, la STJUE de 4 de mayo de 2017, señala que tendrá que analizarse la concurrencia de los siguientes requisitos:
- Existencia de una relación de causalidad entre el interés legítimo y la finalidad del tratamiento.
- El conocimiento de estos datos suponga la satisfacción del interés.
- Que no prevalezcan los derechos y garantías del interesado respecto a estos datos, situación que podría producirse si este fuese económicamente independiente.
En consecuencia, dice la AEPD, que “debe examinarse, caso a caso, cual es el interés legítimo que ostenta quien solicita los datos, si el conocimiento de los datos que constan en la Universidad es necesario para la finalidad perseguida por aquél y, finalmente, si el interés legítimo ostentado debe prevalecer sobre los derechos y libertades del interesado, al que debe informarse a fin de que pueda ejercer su derecho de oposición al tratamiento”.
Puede acceder al informe pulsando aquí.
c. Otras noticias de interés
El Garante italiano se pronuncia sobre la herramienta Google Analytics
En línea con los pronunciamientos de las autoridades de control francesas y austríacas, el Garante per la protezione dei dati personali (el “Garante”) se pronunció el 23 de junio sobre el uso de Google Analytics sin las garantías que ofrece el RGPD.
Al igual que ha sucedido con las anteriores autoridades de control, tras un análisis de Google Analytics y de las medidas implantadas, el Garante concluye que la transferencia internacional de datos que se realiza no cuenta con las salvaguardas suficientes de acuerdo con el RGPD y, por tanto, declara ilegal dicha transferencia de datos.
Puede consultar el comunicado pulsando aquí (versión en italiano e inglés).
La autoridad de protección de datos de Francia publica unas FAQs sobre el uso de Google Analytics
El pasado 7 junio, la autoridad de protección de datos de Francia (“CNIL”) publicó en su página web unas preguntas frecuentes sobre el uso de Google Analytics tras haberse declarado que su uso, el cual implica la transferencia internacional de datos personales a Estados Unidos, no cumple con las salvaguardas suficientes.
La CNIL advierte que solo la firma de las cláusulas contractuales tipo para utilizar Google Analytics no es suficiente para cumplir con los principios y obligaciones que impone el RGPD en materia de transferencias internacionales de datos.
De acuerdo con lo anterior, la CNIL considera que solo podría utilizarse Google Analytics si se adopta una medida adicional consistente en involucrar un servidor proxy para evitar cualquier contacto directo entre el terminal del usuario y los servidores de la herramienta Google Analytics. No obstante, la CNIL resalta que, en tales casos, se debe asegurar que el servidor cumple una serie de criterios para poder considerar que la medida en cuestión se ajusta a las Recomendaciones 1/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE del Comité Europeo de Protección de Datos.
Puede consultar las preguntar frecuentes publicadas por la CNIL pulsando aquí (solo disponible en francés).
El SEPD saca a consulta el borrador de Directrices sobre la certificación como herramienta para llevar a cabo las transferencias internacionales de datos
El 14 de junio de 2022, el Supervisor Europeo de Protección de Datos (“SEPD”) publicó el borrador “Directrices 07/2022 sobre la certificación como herramienta para las transferencias” que, hasta finales de septiembre, estará abierto a consulta para recopilar las opiniones y preocupaciones de todas las partes interesadas y ciudadanos. El objetivo principal de las mismas es orientar y esclarecer cómo deben ser utilizadas en la práctica las certificaciones cuando se transfieren datos personales desde el Espacio Económico Europeo a terceros países.
Puede consultar el borrador de las Directrices 07/2022 aquí.
2. Juego
El Gobierno de Cantabria publica en el BOC la nueva Ley de Regulación del Juego
El pasado 13 de junio, el Pleno del Parlamento de Cantabria aprobó la Ley 4/2022, de 24 de junio, de Regulación del Juego de Cantabria (la “Ley de Juego”). El nuevo texto entró en vigor el 2 de julio tras su publicación en el Boletín Oficial de Cantabria.
Bajo el prisma de una política de juego responsable, este instrumento normativo recoge un conjunto de medidas de prevención en materia de juego patológico, sanidad, educación y juventud. En esta línea, se limita el número de autorizaciones que se podrán obtener con objeto de explotar la actividad del juego y se configura un sistema de distancias mínimas entre los establecimientos de juego y los centros educativos y de salud mental.
Puede consultar la Ley de Juego aquí.
El Ministerio de Consumo abre el trámite de audiencia e información pública sobre el Anteproyecto de Ley por el que se regularán las “loot boxes” o “cajas botín”
A principios de junio, el Ministerio de Consumo presento el texto del Anteproyecto de Ley por el que se regulan los mecanismos aleatorios de recompensa asociados a productos de software interactivo de ocio (el “Anteproyecto”).
Entre otras medidas, la regulación propuesta en el Anteproyecto establece lo siguiente:
- Una definición clara de los “mecanismos aleatorios de recompensa” y de los “productos de software interactivo de ocio”. En concreto, el Anteproyecto limita la definición de los “productos de software interactivo de ocio” a “los videojuegos”, por lo que la utilización de loot boxes fuera de este contexto no quedaría sujeta esta legislación.
- Recoge la posibilidad de establecer un sistema de identificación biométrica complementario a los sistemas de verificación de identidad documental tradicionales.
- El Anteproyecto contempla la obligación de establecer las características de la sesión (tiempo máximo de utilización y cantidad máxima de gasto) como requisito previo al acceso al juego. Esta configuración deberá realizarse cada vez que el usuario acceda al juego, no siendo posible su preestablecimiento por el usuario o por el operador.
El período de audiencia e información pública comenzó el 1 de julio y finalizará el 23 de este mes.
Puede consultar el Anteproyecto aquí.
3. Telecomunicaciones
Entrada en vigor de la nueva Ley de Telecomunicaciones
El pasado 30 de junio de 2022, entró en vigor la nueva Ley 11/2022, de 28 de junio, General de Telecomunicaciones (“LGTel”) que transpone a legislación nacional Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas.
Entre las novedades que incluye la nueva LGTel podemos mencionar las siguientes:
- Se regulan por primera vez “los servicios de comunicaciones interpersonales independientes de la numeración”. Entre estos servicios encontramos los ofrecidos por aplicaciones de mensajería conocidos habitualmente como servicios “Over the top”.
- Los “contratos empaquetados” podrán ser rescindidos de forma íntegra cuando el consumidor tenga derecho a rescindir la contratación de uno de los servicios incluido en el contrato.
- El nuevo texto recoge la posibilidad de desarrollar mediante Real Decreto las condiciones básicas que permitan el acceso de las personas con discapacidad a las tecnologías, productos y servicios relacionados con las comunicaciones electrónicas. Entre estas condiciones, la LGTel recoge el establecimiento de formatos que faciliten el acceso a la información de contratación, facturación y atención al público.
Puede acceder a la LGTel aquí.
