A) Noticias destacadas
Nueva versión de la “Guía para la Notificación de Brechas de Seguridad” de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (en adelante, la “AEPD”) publicó, el pasado 25 de mayo de 2021, la nueva versión de su “Guía para la Notificación de Brechas de Datos Personales” (en adelante, la “Guía”).
La autoridad de control española había publicado la primera versión de la Guía en junio de 2018, año en el que empezó a aplicarse el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
La principal finalidad de la Guía es dar instrucciones a los responsables del tratamiento respecto a sus obligaciones de notificar las brechas de seguridad que afecten a datos personales a las autoridades de control (artículo 33 del RGPD) y, en su caso, a los propios afectados por la brecha (artículo 34 del RGPD).
La nueva versión de la Guía incluye la experiencia recogida desde la aplicación del RGPD por la AEPD, otras autoridades de control y el Comité Europeo de Protección de Datos. Asimismo, la nueva versión de la Guía recoge algunas indicaciones más claras respecto a la versión anterior sobre las obligaciones de los responsables del tratamiento en esta materia. Por ejemplo, algunas de estas novedades son:
- La AEPD determina que el plazo de 72 horas para notificar la brecha de seguridad a la autoridad de control empieza a calcularse desde el instante en que el responsable de tratamiento tenga constancia de que el incidente de seguridad ha afectado a datos personales, incluyendo las horas transcurridas durante fines de semana y días festivos.
- Se indica expresamente que el plazo para que el encargado del tratamiento comunique la brecha al responsable del tratamiento no debe ser superior a 72 horas y debe incluirse en el contrato de encargado del tratamiento correspondiente.
- Se especifican los casos en los que los responsables del tratamiento deben comunicar la brecha a la AEPD.
- Se identifican las obligaciones del responsable tras notificar una brecha de datos personales. En concreto, una vez notificada la brecha, el responsable de tratamiento debe estar preparado para recibir y atender los posibles requerimientos, órdenes o comunicaciones que la autoridad de control pueda realizarse electrónicamente.
- Se hace referencia expresa a la herramienta Comunica-Brecha RGPD que ofrece ayuda a los responsables del tratamiento para la toma de decisiones en cuanto a la obligación de comunicar una brecha de datos personales a los afectados.
- Se hace mención al régimen sancionador relativo a las obligaciones del artículo 33 y 34 del RGPD.
Puedes consultar la nueva versión de la Guía pulsando aquí.
La AEPD considera que la toma de temperatura no supone un tratamiento de datos personales en todos los casos
Desde que comenzó la actual crisis sanitaria provocada por el Covid-19, la AEPD ha mostrado su preocupación por la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos.
La AEPD, como se recoge en su Comunicado de 30 de abril de 2020, considera que la toma de temperatura puede suponer un tratamiento de datos personales de especial injerencia porque afecta a categorías especiales de datos y, además, porque a partir de tal información puede deducirse si una persona o no padece una enfermedad.
De acuerdo con lo anterior, la AEPD ha establecido que los controles de temperatura deben ajustarse a una de las bases jurídicas del artículo 6 del RGPD y, además, deben concurrir alguna de las excepciones específicas recogidas en el artículo 9 del RGPD
No obstante lo anterior, es importante resaltar que la AEPD entiende que no todos los casos de toma de temperatura suponen un tratamiento de datos personales. Un ejemplo de ello es el archivo de actuaciones del procedimiento E/03884/2020 publicado por la AEPD el pasado 24 de mayo de 2021 contra Metro Bilbao, S.A. (“Metro Bilbao”) por medir la temperatura de los pasajeros sin su identificación.
Metro Bilbao, como consecuencia de la crisis sanitaria, toma la temperatura corporal a los usuarios del metro sin requerirles identificación y mediante cámaras termográficas sin reconocimiento y sin grabación que permiten captar sólo un mapa de calor de la persona.
La autoridad de control española establece que la medición de la temperatura solo supondrá el tratamiento de datos de salud cuando la persona pueda ser identificada o identificable. Para determinar la anterior cuestión, se deberá analizar: (i) el tipo de dispositivo empleado, y; (ii) otras circunstancias del proceso de toma de temperatura que puedan hacer identificable a la persona, como el registro de la temperatura o la captación de la temperatura en establecimientos abiertos al público que permitan a terceros conocer que una persona tiene una temperatura corporal más alta de lo habitual.
En el expediente de Metro Bilbao, la AEPD considera que, al utilizarse cámaras termográficas y termómetros manuales para la medición de temperatura sin que el proceso vaya acompañado del registro de la temperatura obtenida, y no haberse constatado ninguna otra circunstancia que permita vincular la toma de temperatura con una persona identificada o identificable, no resulta de aplicación el RGPD.
Puedes leer el procedimiento aquí.
B) Informes y guías
Publicada la guía actualizada de protección de datos en las relaciones laborales
La AEPD ha publicado la guía actualizada de “Protección de datos y relaciones laborales” elaborada con la participación del Ministerio de Trabajo, la patronal y organizaciones sindicales. La mencionada guía analiza diversos tratamientos de datos de empleados y candidatos (selección, contratación, indagación de perfiles de candidatos en redes sociales, tratamiento de datos de mujeres supervivientes de violencia de género, etc.), tratamiento de datos en las relaciones con los sindicatos y los servicios de prevención de riesgos laborales y vigilancia de la salud.
La guía hace especial mención al Real Decreto-ley 9/2021, habilitando al comité de empresa a acceder a parámetros y/o sistemas establecidos por el empleador que pueden incidir en las condiciones, el acceso y mantenimiento del empleo, que en ciertos casos conlleva el acceso a datos personales.
Puedes consultar el resumen de la guía que publicamos aquí.
La AEPD publica un nuevo informe jurídico sobre el acceso a la historia clínica de los pacientes en distintos supuestos, en aplicación de lo dispuesto en el artículo 9.2 f) RGPD
El Gabinete Jurídico de la AEPD ha publicado un nuevo informe jurídico en el que se plantea la aplicación del apartado 2.f) del artículo 9 del RGPD a los efectos de levantar la prohibición general de tratamiento de datos de salud en relación con el acceso a la historia clínica por parte de los facultativos del Hospital para poder defenderse de reclamaciones que les planteen los pacientes en relación con la asistencia médica recibida.
El informe jurídico analiza el acceso a la historia clínica diferenciando si se trata de reclamaciones judiciales o extrajudiciales, y a su vez, si interviene una compañía aseguradora o no:
- En relación a las reclamaciones extrajudiciales, la AEPD entiende que el acceso a la historia clínica por parte de los facultativos del hospital estará amparado por el artículo 9.2 f) del RGPD siempre y cuando se ofrezcan suficientes garantías para el cumplimiento de los principios del tratamiento previstos en el artículo 5 del RGPD.
- Por otro lado, en relación a la comunicación de los datos de salud de los pacientes reclamantes por parte del Hospital a la compañía aseguradora, la AEPD entiende también que esta comunicación estará exceptuada de la prohibición general de tratamiento al amparo del artículo 9.2.f) del RGPD por las obligaciones derivadas de la normativa específica, y por lo dispuesto en la Disposición Adicional Decimoséptima Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”).
- En relación con las reclamaciones planteadas por vía judicial, la AEPD entiende que sería necesario establecer un procedimiento reglado para llevar a cabo el acceso. Por ello, considera que la opción más garantista (desde la perspectiva de no incurrir en cualquier tipo de responsabilidad si, finalmente la prueba aportada por la parte es rechazada) es la referida a solicitar al juez mediante los actos procesales oportunos, la aportación al proceso de la historia clínica.
- Por último, en relación a la ejecución de la acción directa prevista en el artículo 76 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro (“LCS”), la AEPD entiende que, por el mero hecho de existir una reclamación de acción directa del artículo 76 LCS, y al amparo del artículo 9.2 f) RGPD, no significa que el profesional pueda acceder a la historia clínica para cualquier finalidad, sino que han de darse otros condicionantes tal como se ha explicado durante el presente informe.
Sumado a todo lo dicho, la AEPD recuerda que cualquier tipo de acceso o cesión debe realizarse en cumplimiento de los principios generales del tratamiento del artículo 5 del RGPD.
Puedes leer el informe jurídico aquí.
La AEPD publica en su blog la tercera entrada sobre los dispositivos inteligentes con conectividad a Internet
Durante los últimos años, la AEPD ha publicado dos entradas en su blog sobre dispositivos inteligentes con conectividad a Internet: (i) IoT: Qué es IoT y cuáles son sus riesgos, y; (ii) Del Internet de las Cosas al Internet de los Cuerpos.
Durante el mes de mayo, la AEPD ha realizado la tercera entrega sobre esta materia en la que, en vistas del aumento que se espera de este tipo de dispositivos con la tecnología 5G, alerta a los ciudadanos de que estos dispositivos inteligentes son más que un electrodoméstico tradicional y que deben tenerse en cuenta las garantías que ofrecen respecto al tratamiento de sus datos personales, así como su impacto en el ámbito doméstico.
Puedes acceder a la publicación en el siguiente enlace aquí.
C) Resoluciones y sentencias relevantes
La AEPD somete a examen los procedimientos de contratación del sector energético
La AEPD ha impuesto dos multas por un importe conjunto de 1.500.000 euros a la entidad EDP Energía, S.A.U. (“EDP”) tras analizar con detalle su proceso de contratación por distintos canales.
La primera multa, por un importe de 500.000 euros, ha sido por una infracción de los principios de privacidad por diseño y por defecto establecido en el artículo 25 del RGPD. En concreto, la autoridad de control española determina que EDP debería haber valorado los riesgos que supone para la protección de datos de los afectados aceptar que un representante preste consentimiento en nombre del afectado para determinados tratamientos y establecer mecanismos para mitigarlos.
La segunda multa, la cual asciende a una cantidad de 1.000.000 euros, se ha impuesto por una infracción del deber de transparencia e información a los afectados sobre el tratamiento de sus datos personales que se establece en el artículo 13 del RGPD. La AEPD considera que no es suficiente incluir en las políticas de protección de datos facilitadas a los interesados un apartado sobre la legitimación de los tratamientos sin asociar las bases de legitimación a las finalidades específicas.
Puede acceder al texto completo de la resolución pulsando aquí.
La AEPD archiva un procedimiento contra Wizink por actuar diligentemente ante una brecha de seguridad
El pasado 6 de abril, la AEPD publicó el archivo de actuaciones del procedimiento E/5175/2020 contra Wizink Bank, S.A.U. (“Wizink”) por actuar diligente y proporcionalmente con la normativa sobre protección de datos personales. En concreto, la AEPD entiende que la quiebra de seguridad provocada por una empleada al enviar seis correos electrónicos a destinatarios no autorizados con datos personales de hasta 743 clientes (categorizada como brecha de confidencialidad), fue detectada inmediatamente y notificada diligentemente.
En este sentido, la AEPD entiende que consta que Wizink disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidencia, no obstante, una vez detectada esta, se produce una diligente reacción al objeto de notificar a la AEPD, e implementar medidas para eliminarla.
Puedes leer el procedimiento aquí.
Suspensión de transferencias de datos a Estados Unidos por parte de la Autoridad de Control de Protección de Datos Portuguesa
La Autoridad de Control de Protección de Datos Portuguesa (“CNPD”) ha ordenado al Instituto Nacional de Estadística (“INE”) a suspender, en el contexto del cuestionario Census 2021, cualquier transferencia de datos a Estados Unidos, o a cualquier otro tercer país que no cuente con un nivel adecuado de protección de datos.
Después de haber recibido varias peticiones, la CNPD comprobó que el INE, para la realización del cuestionario Census 2021, subcontrataba los servicios de Cloudflare, Inc. (“Cloudflare”), una entidad con sede en Estados Unidos.
Cloudflare, por el tipo de servicios que ofrece, está obligado a proporcionar cualquier dato personal a las autoridades estadounidenses con motivo de la seguridad nacional. De conformidad con la sentencia Schrems II del Tribunal de Justicia de la Unión Europea, se entiende que la normativa estadounidense es desproporcionada y no garantiza un nivel adecuado de protección de datos equivalente al de la Unión Europea.
Por los motivos expuestos, el CNPD ha obligado a suspender con carácter inmediato cualquier transferencia de datos a terceros países que no garanticen un nivel adecuado de protección de datos.
Puedes consultar más información aquí.
La Autoridad de Control de Protección de Datos de Noruega impone una multa de 2,5 millones de euros
La Autoridad de Control de Protección de Datos de Noruega (“Datatilsynet”), ha impuesto una sanción de 2,5 millones de euros a la entidad estadounidense Disqus Inc. (“Disqus”) por infringir los principios de responsabilidad proactiva, licitud y transparencia.
Disqus ofrece una plataforma online de gestión de comentarios que puede ser integrada en diferentes páginas webs. Disques llevaba a cabo un seguimiento y perfilado de los usuarios que accedían a las páginas webs que integraban su plataforma, siendo dicha información cedida posteriormente a terceros colaboradores de la entidad.
La Datatilsynet ha considerado que el tratamiento de datos llevado a cabo por Disqus no podía legitimarse en su interés legítimo, debiéndose haber recabado el consentimiento de los usuarios. Asimismo, la autoridad de control noruega detectó que Disqus no informaba a los usuarios acerca del tratamiento.
Por otro lado, la Datatilsynet consideró que Disqus infringió el principio de responsabilidad proactiva al considerar erróneamente que el RGPD no era aplicable en Noruega.
La autoridad de control noruega ha justificado el importe de la sanción por haber afectado a miles de personas, incluyéndose datos de menores, así como datos que revelan la opinión política de los usuarios, realizando el seguimiento de los usuarios de forma invasiva y sin informar a los afectados.
Puedes consultar más información aquí.
D) Otras noticias de interés
Se aprueba la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
La Ley Orgánica 7/2021 se aprobó el 27 de mayo y transpone al derecho interno la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
Los principios del tratamiento se regulan en términos similares a lo establecido en el RGPD, con algunas especialidades que proporcionan la seguridad jurídica necesaria para facilitar la cooperación policial y judicial y, por tanto, una mayor eficacia en el desempeño de sus funciones por las Fuerzas y Cuerpos de Seguridad y del sistema judicial penal en su conjunto, incluido el penitenciario.
Puedes acceder a la Ley Orgánica 7/2021 aquí.
El Supervisor Europeo de Protección de Datos abre dos investigaciones siguiendo la Sentencia “Schrems II”
El Supervisor Europeo de Protección de Datos (en adelante, “SEPD”) ha abierto dos investigaciones: (i) la primera en relación con el uso de servicios en la nube prestados por Amazon Web Services (“AWS”) y Microsoft en el marco de contratos Cloud por parte de instituciones, organismos y agencias de la Unión Europea, y; (ii) la segunda, sobre el uso de Microsoft Office 365 por parte de la Comisión Europea.
El objetivo de la primera investigación es evaluar el cumplimiento por parte de las instituciones europeas de la sentencia “Schrems II” cuando utilizan servicios en la nube proporcionados por AWS y Microsoft y, en particular, cuando se transfieran datos personales a países no pertenecientes al Espacio Económico Europeo.
Por otro lado, la segunda de las investigaciones tiene como finalidad verificar el cumplimiento por parte de la Comisión Europea de las Recomendaciones emitidas previamente por el SEPD sobre el uso de productos y servicios de Microsoft por parte de las instituciones de la Unión Europea.
Puedes consultar más información aquí.
Consulta pública de la Comisión Europea sobre datos sanitarios
El 3 de mayo de 2021, la Comisión Europea ha publicado una consulta pública abierta sobre el espacio europeo de datos sanitarios que estará abierta hasta el 26 de julio de 2021.
La Comisión Europea invita a participar a cualquier interesado (ciudadanos, profesionales, organizaciones y cualquier otra parte interesada) en la consulta pública con el objetivo de: (i) facilitar un mejor acceso a los datos sanitarios y su intercambio, garantizando una mayor accesibilidad, disponibilidad y asequibilidad de la asistencia sanitaria; (ii) estimular la innovación en la salud y la asistencia para mejorar el tratamiento y los resultados, y; (iii) fomentar soluciones innovadoras que hagan uso de las tecnologías digitales, incluida la inteligencia artificial (IA).
Puedes consultar más información aquí.
El Supervisor Europeo de Protección de Datos adopta dos dictámenes sobre códigos de conducta y una guía sobre la base de legitimación para el almacenamiento de datos de la tarjeta de crédito
En el pasado mes de mayo, el Supervisor Europeo de Protección de Datos (“SEPD”), con arreglo al artículo 64 del RGPD, adoptó dos Dictámenes sobre los primeros proyectos de códigos de conducta transnacionales presentados al Consejo por las Autoridades de Control belgas y francesas.
Por otro lado, el 19 de mayo publicó la Guía 02/2021 sobre la base legal para el almacenamiento de los datos de la tarjeta de crédito con el único fin de facilitar las transacciones posteriores. En este sentido, el SEPD entiende que el consentimiento (artículo 6.1.a) del RGPD) es la única base de legitimación válida para este tratamiento.
Puedes consultar ambos proyectos de códigos de conducta transnacionales aquí y aquí.
Puedes consultar la Guía 02/2021 aquí.
Nuevas medidas impuestas por Tiktok para cumplir con las exigencias de la Autoridad de Control Italiana
A principios de año, la Autoridad de Control Italiana (el “Garante”), anunció el inicio de una investigación a la red social Tiktok por posible vulneración del principio de información y transparencia, así como por no incluir mecanismos que prevengan a los menores de 13 años registrarse en la aplicación. El Garante entiende dicho mecanismo de registro podría vulnerar la normativa estatal en protección de datos puesto que el tratamiento de datos de los menores de 13 años sólo sería lícito si constase el consentimiento del titular de la patria potestad o tutela. En paralelo, el Garante exigió a Tiktok implementar medidas adicionales para impedir el acceso a los menores de 13 años (entre otras medidas, eliminar, en un plazo de 48 horas, las cuentas denunciadas que sean propiedad de usuarios menores de 13 años tras las comprobaciones pertinentes).
El pasado 12 de mayo, el Garante anunció en un segundo comunicado que, a raíz de las medidas exigidas a Tiktok, la red social había eliminado alrededor de 500.000 cuentas de menores de 13 años. Adicionalmente, el Garante ha anunciado que vigilará el cumplimiento de estos compromisos por parte de TikTok y continuará con las investigaciones y controles que ya ha iniciado en el marco del procedimiento en curso sobre la plataforma.
Puedes consultar el comunicado de inicio de investigación aquí.
A) Noticias de interés
Se hace firme la resolución de la EUIPO declarando que el término “torta” pertenece de forma exclusiva a la Denominación de Origen protegida casareña
La resolución de la Oficina de Propiedad Intelectual de la Unión Europea publicada el pasado 25 de febrero ha devenido firme. En ella, se entiende que el término "torta", con relación a quesos, es exclusivo de la Torta del Casar al tratarse de un signo de identidad de forma típica de un queso procedente de la Comarca de El Casar.
Puedes acceder a la resolución aquí.
CEDRO lanza un nuevo servicio para bloquear la publicidad digital en páginas piratas
El Centro Español de Derechos Reprográficos EGDPI (“CEDRO”) ha comenzado a ofrecer a sus socios y clientes una nueva solución tecnológica que excluye, a través de listas automáticas, webs y dominios piratas de contenidos culturales, entre ellos libros y periódicos.
Con ello, no solo se busca evitar la financiación de páginas piratas, sino que además se pretende ayudar a los socios y organizaciones que tienen licencias de CEDRO a que su marca no esté asociada a actividades ilícitas.
Puedes consultar más información aquí.
La Plataforma “Seguir Creando en Digital” reclama que la Directiva Europea sobre derechos de autor reconozca los derechos de propiedad intelectual
La plataforma “Seguir Creando en Digital”, compuesta por autores españoles, ha solicitado al Gobierno español que la próxima transposición al ordenamiento jurídico nacional de la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo de 17 de abril de 2019 sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE, incluya la negociación colectiva, la irrenunciabilidad del derecho y una tarifa legal como única forma de gestión eficiente entre titulares de derechos y plataformas tecnológicas.
Puedes consultar más información aquí.
A) Noticias de interés
El Congreso aprueba el Proyecto de Ley de prevención y lucha contra el fraude fiscal
La Comisión de Hacienda del Congreso de los Diputados ha aprobado, con competencia legislativa plena, el Proyecto de Ley de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego, que continúa su tramitación parlamentaria en el Senado.
Puedes leer el Informe de ponencia aquí.
Puedes leer el Proyecto de Ley aquí.
Andalucía aprueba el Decreto 161/2021 que prohíbe la publicidad de Locales de Juego y establece una distancia mínima respecto de centros educativos
La Junta de Andalucía publicó el pasado 14 de mayo el Decreto 161/2021, de 11 de mayo, por el que se modifican los reglamentos aplicables en materia de juego y apuestas. Entre otros puntos relevantes destacamos la modificación del artículo 2 del Reglamento de Casinos de Juego de la Comunidad Autónoma de Andalucía, aprobado por Decreto 229/1988, limitando la publicidad, el uso de rótulos e imágenes en fachadas, etc.
También se adoptan nuevas medidas de prevención del juego en personas menores de edad, estableciendo un régimen de distancias mínimas de 150 metros respecto de los accesos de centros educativos de enseñanza reglada no universitaria.
Puedes consultar el Decreto 161/2021 aquí.
El Gobierno de Aragón aprueba la reforma de la Ley de Juego
El Consejo de Gobierno de Aragón aprobó el pasado 19 de mayo la reforma de la Ley del Juego de Aragón, que ahora se trasladará a las Cortes de Aragón para su tramitación. Entre las medidas más destacadas están el endurecimiento en los controles de acceso a los locales, restricciones en la apertura de locales, prohibición de publicidad o refuerzo de los programas de prevención de la ludopatía.
Puedes consultar la nota del Consejo de Gobierno aquí.
Modificación de la ley de Consumidores y Usuarios Polaca que modifica en parte la Ley de Juego
El pasado 6 de mayo, la Dirección General de Ordenación del Juego remitió una carta del Ministerio de Finanzas de la República de Polonia, actuando como Autoridad Polaca de Juego, informando a todos los operadores de juego con licencia en España de la entrada en vigor de una nueva enmienda a la Polish Gambling Act que entra en vigor el 1 de junio de 2021.
La modificación de la normativa está enfocada a la lucha contra el juego ilegal y en simplificar los procesos administrativos de comunicación entre operadores y la autoridad competente.
A) Noticias de interés
El Ministerio de Asuntos Económicos y Transformación Digital ha publicado la Orden de Bases que establece las condiciones que regirán la licitación de concesiones en la banda de 700 MHz (banda considerada como una de las principales para el despliegue de la tecnología 5G).
La subasta dará comienzo antes del día 21 de julio de 2021 y se licitarán siete concesiones en total. Cuatro concesiones corresponden a dos bloques de 2x10 MHz y dos bloques de 2x5 MHz, en la banda pareada 703-733 y 758-788 MHz para comunicaciones ascendentes y descendentes.
Puedes consultar la nota de prensa aquí.
La Orden de Bases está disponible pulsando aquí.
