#SomosRyC

Newsletter del Departamento de Tecnologías de la Información - 2T / 24 de Julio de 2019

1. Procedimientos sancionadores tramitados por las autoridades de control bajo el RGPD

Tras el primer año de aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), la mayor parte de las autoridades de control ha publicado estadísticas y resúmenes de las actividades que han desarrollado en dicho periodo, y entre las que se incluyen, en un lugar relevante, las realizadas en ejercicio de la potestad sancionadora que ostentan.

La Agencia Española de Protección de Datos (“AEPD”) ha dado curso a reclamaciones tramitadas tanto bajo los procedimientos previstos en la (hoy derogada) Ley Orgánica 15/1999, de protección de datos de carácter personal, como de acuerdo con los procedimientos previstos en el Real Decreto-ley 5/2018 y, desde finales del año pasado, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”).

En términos generales, la AEPD ha reportado un incremento importante en el número de denuncias y reclamaciones de tutela de derechos en comparación con años anteriores (en particular, las reclamaciones interpuestas en 2018 han supuesto un aumento del 28% respecto de las de 2017). A pesar de ello, el número de procedimientos sancionadores ha disminuido considerablemente.

Esto se debe en gran medida a la aplicación de varios mecanismos de optimización por parte de la AEPD con el objeto de aumentar el número de procedimientos resueltos en sus primeras fases, y entre los que destacan los siguientes:

(i) El traslado de reclamaciones al delegado de protección de datos o, en su defecto, al responsable del tratamiento, para que analicen la reclamación y respondan adecuadamente al reclamante.

(ii) La orientación del interesado a través de los perfiles de la AEPD en redes sociales acerca de los requisitos necesarios para reclamar y reducir así el número de inadmisiones. La AEPD prevé implementar próximamente un buzón guiado con el mismo fin.

Por otra parte, los nuevos umbrales máximos de sanciones económicas previstos en el RGPD han provocado que, aunque el número de multas se haya reducido, los importes sean mayores con carácter general.

A continuación, se reseñan de forma breve los principales procedimientos sancionadores abiertos a entidades privadas cuyas resoluciones han sido publicadas en los últimos dos meses.

La AEPD impone una multa de 250.000 euros a la Liga de Fútbol Profesional

La resolución supone la sanción más elevada hasta la fecha en aplicación del RGPD. El procedimiento se inició a raíz de la aparición en prensa de noticias acerca de una nueva funcionalidad en la aplicación para dispositivos móviles de la Liga de Fútbol Profesional (“LFP”), que podría captar de forma indiscriminada sonidos ambientes del lugar donde se encuentre el usuario, generando cierta alarma social. Los hechos fueron, además, denunciados por la asociación FACUA ante la autoridad de control. Debemos resaltar que ningún afectado o usuario de la aplicación reclamó ante la AEPD.

La finalidad principal de la app es informar al usuario en tiempo real de noticias relacionadas con su/s equipo/s favoritos, incluidas alertas de goles, resultados, etc. Con la finalidad de detectar fraudes relacionados con la emisión de partidos de fútbol por parte de establecimientos públicos que no ostentan los correspondientes permisos y que, según la LFP, suponen una pérdida estimada de 150 millones de euros para el fútbol español, la app solicitaba la autorización del usuario para activar el micrófono de su dispositivo y recoger sonidos del lugar donde se encontraba, así como información relativa a la geolocalización del usuario.

Durante el procedimiento, la LFP realizó principalmente las siguientes alegaciones:

(i) Los usuarios son informados de la funcionalidad a través de las Condiciones Generales de Uso y Política de Privacidad que se muestran al instalar la app y deben autorizar expresamente el tratamiento mediante una casilla desmarcada por defecto.

(ii) Dado que la finalidad exclusiva de este tratamiento es la detección del fraude, la funcionalidad controvertida se habilitará únicamente en usuarios de Android 6 o superior, con un máximo de 50.000 a nivel nacional (de entre un total de 10.000.000 de usuarios de la aplicación). Fuera de España se impide esta funcionalidad, y dentro de dicho territorio sólo se activa durante las franjas en que tienen lugar los partidos.

(iii) La app trata el sonido captado para convertirlo en un hash binario; una vez se ha generado dicha huella acústica el audio original es desechado sin que pueda ser accedido por el sistema operativo y/u otras aplicaciones. El proceso es irreversible y tiene lugar en el dispositivo del usuario antes de que la información resultante se envíe a la empresa externa encargada de contrastar dichas huellas contra las facilitadas por la LFP.

(iv) En consecuencia, la LFP considera que no existe tratamiento de datos personales en esa fase del proceso, ni en cuanto al audio al que se accede a través del micrófono, ni en cuanto a la información relativa a la dirección IP y al identificador que se envía a los servidores del colaborador externo (ya que las direcciones IP se tratan con el fin exclusivo de establecer la interconexión entre el servidor y los dispositivos móviles).

(v) Por lo que respecta a los datos de localización, se transforman en mapas de calor para identificar los territorios con mayor fraude.

(viCon carácter previo al desarrollo de la nueva funcionalidad, la LFP adoptó diversas medidas de responsabilidad proactiva: solicitó dos informes jurídicos a despachos de abogados, mantuvo reuniones internas de privacidad desde el diseño y un análisis sobre la necesidad de llevar a cabo una Evaluación de Impacto y Análisis de Riesgos.

(viiEl usuario puede revocar su consentimiento en cualquier momento en los ajustes del dispositivo móvil.

La AEPD, sin embargo, entiende que la LFP sí lleva a cabo un tratamiento de datos personales. Por lo que respecta al sonido, “(…) en el primer estadio del conjunto del proceso, se puede afirmar que, si la captación se produce durante una conversación donde se indican datos de carácter personal, estaremos ante una captación o recogida de datos de carácter personal y, por tanto, ante un tratamiento de datos personales. (…) el proceso de conversión en huella digital constituye en sí mismo una de las fases del tratamiento global, que comienza a producirse desde la recogida de la información, con independencia del procesado posterior, y finalmente el envío o comunicación para su cotejo (…)”.

En cuanto a las direcciones IP que también recoge la LFP, la AEPD considera que “se admite que se trataba la dirección IP del dispositivo del usuario, pero no indica el momento concreto respecto de cuando se dejó de utilizar”. Por otro lado, conforme a la política de privacidad de la LFP disponible hasta el 26 de marzo de 2019, dicha responsable afirmaba someter a tratamiento “(…) dirección IP, su sistema operativo, su navegador ID, su actividad de navegación y otra información acerca de cómo interactúan con nuestro Entorno LaLiga”. Adicionalmente, la inspección de la AEPD puso de manifiesto que la información transmitida al colaborador externo para el cotejo incluía “la huella digital fruto de la conversión del audio, la dirección IP del dispositivo, un Identificador específico que asigna la aplicación al usuario y el user agent (…)”.

El reproche principal, sin embargo, es a la falta de transparencia para con el usuario de la aplicación. Aunque este otorga su consentimiento para el tratamiento de la información a la que se accede a través del micrófono, “que, en un momento posterior, se produzca el procesado del audio captado, y que sea haga de una manera u otra, depende únicamente de la voluntad de [la LFP], pues como se deduce del propio informe que se aporta, el entorno informático es modificable fácilmente cambiando la programación con la determinación de unos valores u otros”.

En opinión de la AEPD, estas amplias capacidades de configuración de la LFP, junto con el lapso entre la aceptación de las funcionalidades descritas y el momento en el que efectivamente se produce el tratamiento, “hace necesario esa adaptación del principio de transparencia a este tipo de tratamiento, siendo indispensable informar con certidumbre y transparencia acerca de cuándo se producirá el tratamiento -tanto en el momento de la instalación de la aplicación, como durante la recogida de información-“. En especial cuando se trata de tratamientos más intrusivos como la captación de sonidos a través del micrófono o la geolocalización.

El art. 83 RGPD califica la infracción del derecho de transparencia como muy grave, de forma que conlleva multas de hasta 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (optándose por el límite de mayor cuantía).

A la hora de cuantificar la sanción, la AEPD únicamente aceptó una de las circunstancias atenuantes alegadas por la LFP, relativa a la muestra de un icono cada vez que el dispositivo activaba la geolocalización. Por el contrario, se apreciaron diversas circunstancias agravantes tales como:

(i) la naturaleza de la infracción (la vulneración de un principio informador esencial en el tratamiento de datos de carácter personal tiene especial trascendencia);

(ii) la gravedad de la infracción (dada la persistencia en el tiempo, más usuarios pudieron verse afectados dentro del límite de 50.000 simultáneos configurados por la LFP);

(iii) el número de afectados (ya que la LFP tenía la capacidad de poner en marcha la funcionalidad en los dispositivos de cualquier usuario que hubiera otorgado los permisos);

(iv) la intencionalidad de la infracción y el grado de responsabilidad de la LFP (que al parecer no siguió todas las recomendaciones de los informes jurídicos solicitados, sin que dicha solicitud suponga por sí misma la observancia de la normativa aplicable);

(v) aunque la LFP no tiene como principal objeto de negocio el tratamiento de datos personales, sí “protege del fraude sus activos financieros (…) a través de técnicas invasivas de su privacidad (…) sin la certeza de la efectividad de su sistema”; y

(vila persistencia en la actuación de la LFP, “que elimina la única atenuante observada en el acuerdo de inicio, para convertirlo en una circunstancia agravante muy cualificada”.

La valoración conjunta de todas las circunstancias descritas se tradujo en una reducción desde los 50.000 euros de la propuesta de resolución a los 250.000 euros finalmente impuestos. Cuantía que representa alrededor de un 1% de la cifra de negocios de la LFP durante el ejercicio anterior.

El ICO ha impuesto las sanciones más elevadas hasta la fecha

La multa a la LFP no alcanza, sin embargo, las cuantías de las sanciones impuestas por otras autoridades de control. En la línea de la primera sanción relevante bajo el nuevo marco normativo, esto es la multa de 50 millones de euros impuesta por la Comisión Nacional de la Informática y las Libertades (“CNIL”),autoridad de control francesa, a Google, la Oficina del Comisario de Información (“ICO”), autoridad de control del Reino Unido, ha emitido dos propuestas de resolución millonarias, ambas a raíz de brechas de seguridad de relevancia.

Ambos procedimientos están pendientes de alegaciones y resolución definitivas, pero son una clara muestra del incremento de sanciones potenciales bajo el RGPD (especialmente cuando la autoridad de control competente calcula los importes de las multas sobre el volumen de negocio total anual global de la empresa sancionada).

El primer procedimiento afecta a British Airways, que sufrió un ataque que involucraba la redirección de tráfico hacia una web fraudulenta donde los atacantes cosecharon los datos de cerca de 500.000 clientes. Las categorías afectadas incluyen credenciales de acceso, tarjetas de crédito, datos de reservas, y otros datos identificativos (si bien inicialmente la empresa declaró que se habían visto afectados datos relativos a unas 380.000 transacciones que no incluían datos del pasaporte ni de los viajes). Durante la investigación se detectaron graves deficiencias en las medidas de seguridad implementadas por British Airways, por lo que la propuesta de sanción supera ligeramente los 200 millones de euros, equivalentes al 1,5% del volumen de negocio global durante el ejercicio anterior (2017).

El segundo procedimiento trae causa del incidente de seguridad sufrido por la cadena de hoteles Marriott notificada en noviembre de 2018, y por el que los datos de cerca de 339 millones de clientes de todo el mundo fueron expuestos. Se cree que la vulnerabilidad tiene su origen en un grupo hotelero adquirido por Marriott en 2016 (Starwood), que podría haber estado comprometido desde 2014. La eventual sanción se impondría a Marriott por una falta de diligencia tanto en el examen de Starwood anterior a la compra como en la implementación de sus propias medidas de seguridad. La propuesta del ICO incluye una sanción económica de poco más de 100 millones de euros, que supone alrededor del 3% del volumen de negocio global en 2018.

Otras autoridades de control de la UE también han impuesto sanciones por infracciones de la seguridad del tratamiento (art. 32 RGPD)

La insuficiencia de las medidas de seguridad implementadas por los responsables del tratamiento también ha sido objeto de sanciones en otros Estados miembros. Así, En Rumanía se han impuesto 15.000 euros al hotel World Trade Center Bucharest por mantener desatendida una lista para verificar qué huéspedes tomaban desayuno.

Adicionalmente, en Francia y Lituania se ha sancionado a SERGIC y a YSC Mistertango con 400.000 euros y 61.500 euros, respectivamente, por alojar datos personales en sus servidores sin implementar medidas de seguridad adecuadas para evitar que la información estuviera libremente disponible en internet. La apreciable disparidad entre los importes se debe a que en ambos casos concurrían otros incumplimientos normativos y circunstancias, de distinta gravedad.

En España, las empresas de telecomunicaciones, energéticas y del sector de recobro de deudas se mantienen entre aquellas que reciben mayores multas

Volviendo a España, el resto de las multas impuestas por la AEPD conllevan cuantías más reducidas, similares a las que habrían sido impuestas de acuerdo con el anterior marco normativo. En este sentido, destacan por su frecuencia las sanciones por errores del responsable del tratamiento por los que se reclaman recibos o facturas al interesado equivocado.

Endesa Energía XXI ha sido sancionada por un error en la modificación de los datos de un contrato y, mediante el reconocimiento de su responsabilidad y el pago voluntario de la sanción, redujo un 40% el importe de ésta, que finalmente fue de 60.000 euros. En la mayoría de los procedimientos por esta clase de errores la entidad sancionada es Vodafone, que empleó los mismos mecanismos para acabar abonando 28.000 euros, 36.000 euros y 36.000 euros, respectivamente.

Por otra parte, la AEPD sigue sancionando al amparo del RGPD los incumplimientos relacionados con el tratamiento de datos de deudores, ya se trate de la inclusión de interesados en ficheros comunes de morosos (60.000 euros a Yoigo), o por extralimitarse en el tratamiento de datos y reclamar el pago a través de medios y direcciones no facilitados por el interesado al acreedor recogidos desde internet (60.000 a Gestión de Cobros, Yo Cobro).

La AEPD mantiene la imposición de apercibimientos y medidas correctoras para las infracciones menos significativas

Debemos resaltar que la AEPD ha recurrido al apercibimiento en lugar de a la sanción en numerosas ocasiones, especialmente en procedimientos iniciados por el incumplimiento de la normativa en el uso de videocámaras (resoluciones PS-00416-2018, PS-00349-2018 y PS-00130-2019), o por defectos en los textos informativos de páginas web (resoluciones PS-00100-2019 y PS-00419-2018).

La subsanación efectiva del incumplimiento por parte del responsable también conllevó la imposición de apercibimiento en lugar de multa a Vodafone, en un procedimiento motivado por la asignación errónea de una línea de teléfono al reclamante.

Otras sanciones recientes impuestas por autoridades de control de Estados miembros de la UE

Por último, a nivel europeo cabe mencionar los siguientes procedimientos sancionadores:

· En Francia se ha sancionado con 20.000 euros a Uniontrad Company por incumplir los requisitos para el uso de sistemas de videovigilancia. La entidad sancionada ignoró las advertencias de la CNIL relativas a la limitación del tiempo durante el que se grababa a los empleados y a la proporción de información adecuada sobre el tratamiento.

· En Dinamarca se ha impuesto una sanción de 200.000 euros a IDdesign (un fabricante de muebles) por incumplir el principio de limitación del plazo de conservación y tratar por más tiempo del debido datos de cerca de 385.000 clientes.

· En Rumanía la autoridad de control ha sancionado a Unicredit Bank con 130.000 euros por una vulneración de los principios de privacidad desde el diseño y por defecto, ya que sus clientes podían acceder al DNI y dirección de aquellos pagadores que realizaran la transacción con cuentas de otras entidades

· En Hungría se ha multado con 92.000 euros a un organizador de festivales por incumplir los principios de limitación de la finalidad y limitación del plazo de conservación. La entidad sancionada defendía su interés legítimo en velar por la seguridad de los asistentes (en particular, frente a ataques terroristas) pero la autoridad de control consideró que las actividades del tratamiento desplegadas para identificar a los interesados eran desproporcionadas.

· En Bélgica se ha sancionado con 2.000 euros el uso de direcciones de correo electrónico a las que tenía acceso un alcalde en el ejercicio de sus funciones con fines electorales.

· En Alemania se ha multado con 1.400 euros el abuso de un policía que solicitó y utilizó los datos de un interesado sin justificar debidamente la relación entre sus pesquisas y el ejercicio de sus funciones.

Volver

2. El CEPD publica un borrador de Directrices sobre el tratamiento de datos personales para la ejecución de contratos de prestación de servicios a través de Internet

El Comité Europeo de Protección de Datos (“CEPD”), órgano que sustituye en funciones al antiguo Grupo de Trabajo del Artículo 29, tiene entre sus funciones la de examinar cuestiones relativas a la aplicación del RGPD, emitiendo para ello directrices, recomendaciones y buenas prácticas. El 12 de abril de 2019 publicó un borrador de las directrices para el tratamiento de datos bajo el artículo 6.1.b) RGPD en el marco de la provisión de servicios a través de Internet. El plazo para el envío de comentarios y sugerencias finalizó el 24 de mayo y es de esperar que la publicación de la versión definitiva del documento tenga lugar a lo largo de las próximas semanas.

El artículo 6.1.b) RGPD establece que el tratamiento de los datos será lícito si “es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”. Esta base obedece al hecho de que, en ocasiones, el tratamiento de los datos es necesario para proporcionar un servicio determinado y, por lo tanto, ambas partes tienen interés en que se lleve a cabo.

Los servicios prestados a través de internet suelen financiarse bien por la venta de productos y servicios que conllevan el pago de una contraprestación, o bien a través de la oferta de publicidad online que se sirve de los datos personales de los interesados para monitorizar sus gustos y dirigir las ofertas a un determinado sector de la población.

El CEPD aclara, en primer lugar, que la imposibilidad de acudir al artículo 6.1.b) RGPD no implica por sí misma que el tratamiento sea ilícito. Los responsables pueden basar sus actividades en otras causas de legitimación (por ejemplo, el consentimiento del interesado o el interés legítimo del responsable, siempre que no prevalezcan los derechos y libertades o intereses del interesado). Sin embargo, debe prestarse atención al deber de transparencia y lealtad para con los interesados. En caso contrario, éstos podrían llevarse la impresión errónea de que están proporcionando su consentimiento mediante la firma del contrato o aceptación de los términos y condiciones del servicio. En el mismo sentido, el responsable podría presumir erróneamente que la aceptación de las condiciones de un contrato equivale a la recogida del consentimiento de los interesados.

Con carácter general, el CEPD adopta una interpretación restrictiva del artículo 6.1.b) RGPD. Por ejemplo, la comunicación con el interesado puede ser necesaria para algunas funciones adyacentes al contrato como la resolución de eventuales problemas que pudieran surgir durante la ejecución. Ahora bien, cuando el propósito de la comunicación es otro (como el envío de publicidad), los mensajes remitidos requerirían otra base de legitimación distinta de la analizada por el CEPD.

De esta forma, si el responsable puede alcanzar la finalidad perseguida mediante otras medidas menos intrusivas para con la privacidad del usuario, la actividad del tratamiento prevista no podrá entenderse como necesaria para la ejecución del contrato con el interesado.

Adicionalmente, debe existir un nexo entre el tratamiento de los datos y la prestación del servicio establecido en el contrato. Una de las principales consecuencias de este principio es que, una vez finalizado el contrato, el responsable sólo podrá continuar tratando los datos si cuenta con otra base lícita que, por otra parte, deberá haber sido puesta en conocimiento del interesado desde un primer momento.

El CEPD considera que la frecuencia con que una actividad del tratamiento se produce en el marco de la contratación a través de internet no equivale a la necesidad de que ese tratamiento tenga lugar. En particular, la mejora del servicio o desarrollo de nuevas funciones del mismo, la prevención del fraude o el citado envío de publicidad requieren causas de legitimación distintas a la prevista por el artículo 6.1.b) RGPD. Por lo que respecta a la personalización de contenidos, habrá que atender a las circunstancias concretas para determinar si puede ampararse o no en esta causa de legitimación.

Por último, el CEPD recuerda que el artículo 9.2 RGPD no contempla la ejecución de un contrato como una de las excepciones que posibilitan el tratamiento de categorías especiales de datos, por lo que será necesario el consentimiento explícito del interesado.

Puede acceder al texto completo del borrador de Directrices a través del siguiente enlace.

Volver

3. La AEPD y Adigital presentan las novedades de la Lista Robinson para promover la protección de los datos de los ciudadanos

La AEPD y la Asociación Española de la Economía Digital (“Adigital”) han presentado las novedades de la Lista Robinson, el servicio de exclusión publicitaria creado en 1993 para proteger los datos personales de los ciudadanos y facilitar a las empresas el cumplimiento del RGPD y la LOPDGDD. A día de hoy cuenta con más de 850.000 registros.

El Servicio de Lista Robinson permite a los interesados, de forma fácil y gratuita, evitar publicidad de empresas de las que no sean clientes o a las que no hayan facilitado su consentimiento. El Servicio funciona para publicidad por teléfono, correo postal, correo electrónico y SMS/MMS.

En la presentación se abordaron los supuestos y condiciones en los que la normativa establece como obligatoria y necesaria la consulta de los sistemas de exclusión publicitaria. De esta forma, conforme a lo previsto en el art. 23 de la LOPDGDD, “quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla”.

En lo que se refiere a las novedades dirigidas a usuarios, se han actualizado tanto la plataforma online como su interfaz, al objeto de que la inscripción sea más fácil y accesible. Además, se ofrece al interesado la opción de limitar los mensajes publicitarios no solo por canales (teléfono, SMS, email o postal) sino también por sectores de actividad de los anunciantes. Asimismo, se ha configurado un nuevo servicio de gestión de reclamaciones de los usuarios.

Por lo que respecta a las empresas, se ha desarrollado una nueva API con el objetivo de facilitar la consulta de la Lista Robinson por parte de PYMES. Asimismo, se han implementado procesos de cifrado y pseudonimización de datos para incrementar la seguridad.

En cuanto al coste, el servicio es gratuito para PYMES y autónomos con un límite de 30.000 registros consultados al año.

Volver

4. Publicado un análisis sobre el software preinstalado en los dispositivos Android y sus implicaciones en cuanto a privacidad

El estudio se ha llevado a cabo por el Instituto IMDEA Networks y la Universidad Carlos III de Madrid, y afecta a más de 82.000 apps preinstaladas en más de 1.700 dispositivos. La AEPD publicó una nota de prensa para difundir los resultados, habida cuenta del gran impacto en la privacidad y en la protección de los datos personales de los ciudadanos.

Resulta especialmente relevante el hallazgo de que, además de los permisos estándar que concede el interesado, se han detectado cerca de 5.000 permisos que permiten a las apps publicadas en Google Play acceder a información del usuario al instalarse en su dispositivo, sin informarle de ello ni, consecuentemente, requerir su consentimiento.

En cuanto a las apps preinstaladas en los dispositivos, en el estudio se han identificado más de 1.200 compañías, y más de 11.000 librerías de terceros (las librerías contienen los elementos necesarios para desarrollar y ejecutar las apps), que en su mayoría monitorizan la información obtenida con fines comerciales.

Del estudio se desprende un comportamiento no deseado en gran parte de las apps analizadas, además de una falta de transparencia en la información que se ofrece al usuario, limitando de esta forma su capacidad de decisión.

En consecuencia, terceros ajenos a Android pueden obtener información personal de los usuarios y monitorizarla debido a la gestión de permisos de este sistema operativo, mientras los interesados son ajenos a esta actividad y a las implicaciones que conlleva en cuanto a su privacidad.

Se espera contribuir a que los fabricantes y desarrolladores apliquen los principios de la Privacidad desde el Diseño y por Defecto para que, de esta forma, se garanticen los derechos y libertades de las personas.

Volver

5. La AEPD analiza el papel del Delegado de Protección de Datos durante el primer año de aplicación efectiva del RGPD

El día 21 de mayo, coincidiendo prácticamente con el primer aniversario de la aplicación efectiva del RGPD, la AEPD publicó su Memoria Anual correspondiente a 2018, en la que se recogen las cifras más relevantes de la gestión de dicho año, así como las actividades realizadas por dicha autoridad de control.

Entre otras cifras proporcionadas por la AEPD, cabe destacar las relativas a la figura del delegado de protección de datos (“DPD”), una de las principales novedades introducidas por el RGPD. Así, durante el año pasado la AEPD tramitó la inscripción de 20.043 DPDs pertenecientes tanto al sector público como al privado.

Por otra parte, se vincula este dato al elevado número de resoluciones amistosas de reclamaciones relacionadas con el tratamiento indebido de datos personales. En concreto, dos de cada tres reclamaciones se han resuelto de forma satisfactoria para las partes cuando se han interpuesto ante el DPD o ante el responsable del tratamiento. Un porcentaje que resulta especialmente significativo si se tiene en cuenta el aumento de reclamaciones presentadas derivado de la plena aplicabilidad del RGPD: mientras que en 2018 se produjeron 863 reclamaciones ante el responsable o el DPD, entre el 1 de enero y el 15 de mayo de 2019 la cifra alcanzó las 2.079 reclamaciones.

Volver

6. El Tribunal Constitucional anula la Disposición Final tercera de la LOPDGDD, que permitía a los partidos políticos recopilar datos personales de las opiniones de los ciudadanos

El Tribunal Constitucional (TC”) ha declarado contrario a la Constitución Española (“CE”) y nulo el artículo 58 bis apartado 1 de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado por la disposición final tercera, apartado dos, de la LOPDGDD.

La resolución trae causa de un recurso de inconstitucionalidad interpuesto en marzo de 2019 por el Defensor del Pueblo, a petición de varias asociaciones y grupos de profesionales expertos en la materia.

Conforme al precepto declarado nulo, los partidos políticos estaban habilitados para recopilar datos personales relativos a opiniones políticas de los interesados, en el marco de actividades electorales y siempre y cuando se ofrecieran “garantías adecuadas”. La causa de legitimación de este tratamiento era el interés público.

Asimismo, los partidos políticos podían “utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”. En este sentido, el envío de propaganda electoral por medios electrónicos, sistemas de mensajería, campañas en redes sociales, etc., no tenía la consideración de actividad o comunicación comercial.

El artículo en cuestión fue introducido mediante enmienda del Grupo Parlamentario Socialista, una vez transcurrido los trámites de informes consultivos y audiencia pública. Desde un punto de vista político no encontró apenas oposición. Después de todo, facultaba a los partidos a tratar datos personales sin necesidad de contar con el consentimiento de los interesados, y el legislador estaba apremiado por la circunstancia de que la normativa nacional en materia de protección de datos no estaba adaptada al RGPD, plenamente aplicable desde hacía meses.

No obstante, la norma fue objeto de numerosas críticas por parte de la sociedad civil, dados la preocupación que despertaba la amplitud de sus términos y el hecho de que faltaban pocos meses para la celebración de elecciones a todos los niveles. La AEPD, por su parte, emitió una circular interpretativa del precepto en la que se limitaban los tipos de datos y actividades amparadas por el interés general, y se desarrollaban las garantías adecuadas a implementar por los responsables del tratamiento.

En febrero de 2019, un conjunto de asociaciones y juristas expertos en protección de datos solicitaron al Defensor del Pueblo la interposición de un recurso de inconstitucionalidad. Dicho recurso fue finalmente presentado el pasado 5 de marzo y resuelto mediante sentencia de 22 de mayo de 2019. Debe destacarse la celeridad con la que se ha emitido la resolución: el Tribunal Constitucional acumula retrasos en recursos contra normas polémicas que en algunos casos superan los 10 años.

En cuanto al fondo, la sentencia concluye que “las opiniones políticas son datos personales sensibles cuya necesidad de protección es, en esa medida, superior a la de otros datos personales” y que, por tanto, “el legislador está constitucionalmente obligado a adecuar la protección que dispensa a dichos datos personales (…) imponiendo mayores exigencias a fin de que puedan ser objeto de tratamiento y previendo garantías específicas (…) además de las que puedan ser comunes o generales”.

Sentado lo anterior, entiende el TC que la disposición legal recurrida vulnera los artículos 18.4 y 53.1 CE por tres razones:

(i) No especifica el interés público esencial que fundamenta la restricción del derecho fundamental a la protección de datos. La justificación del Grupo Parlamentario Socialista aludía a la necesidad de impedir casos como los de Cambridge Analytica, mientras que el Abogado de Estado alegó que el precepto persigue que los partidos políticos “puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redundaría en un mejor funcionamiento del sistema democrático”. El TC, sin embargo, considera que los fines legítimos se expresaron “mediante conceptos genéricos o fórmulas vagas” y que la imposibilidad de identificar con precisión la finalidad del tratamiento dificulta el enjuiciamiento de su legitimidad constitucional “de acuerdo con los principios de idoneidad, necesidad y proporcionalidad en sentido estricto”.

(ii) No limita el tratamiento mediante una regulación pormenorizada de las restricciones al derecho fundamental a la protección de datos. El precepto “solo recoge una condición limitativa del tratamiento de datos que autoriza: la recopilación (…) sólo podrá llevarse a cabo «en el marco de sus actividades electorales»”. Una condición que “apenas contribuye a constreñir el uso de la habilitación conferida”.

(iii) No establece por sí mismo las garantías adecuadas para proteger los derechos fundamentales afectados. Explica el TC que la previsión de dichas garantías “no puede deferirse a un momento posterior” y que éstas “deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado”.

Estas insuficiencias, por lo demás, tampoco pueden ser colmadas por la AEPD en el ejercicio de sus potestades. Sostiene el TC que una interpretación distinta “vaciaría de contenido el principio de reserva legal que consagra la Constitución y que de forma reiterada ha invocado nuestra jurisprudencia previa en materia de protección de datos personales”.

En atención a todo lo expuesto, el TC decidió estimar el recurso de inconstitucionalidad.

Volver

7. La CNIL y el ICO publican nuevas directrices en materia de cookies

La CNIL ha publicado una directriz sobre cookies que anula la anterior de 2013, que entiende obsoleta (en particular, por lo que respecta al otorgamiento del consentimiento por parte de los usuarios).

Igualmente, la CNIL ha adoptado la decisión de renovar su página web, eliminando el banner informativo y no instalando ninguna cookie o dispositivo similar hasta que el usuario no haya consentido su uso de forma activa (ya sea mediante un panel de configuración o directamente en páginas de contenidos).

Aunque el supervisor francés advierte de que su propia conducta no debe entenderse como una obligación o recomendación para otros sitios web, parece que la obtención de autorizaciones mediante acciones no inequívocas con más de un objetivo (como son las dirigidas a continuar la navegación) tiene los días contados.

En lo que respecta al ICO, a principios del mes de julio publicó sus propias directrices actualizadas para el uso de cookies. El documento hace un esfuerzo por actualizar los criterios de la mencionada autoridad de control tanto desde el punto de vista jurídico (a raíz de las mayores exigencias del RGPD en materia de transparencia y consentimiento), como desde un punto de vista técnico.

De entre todas las novedades cabe destacar las siguientes:

(i) La ratificación de que el consentimiento para el uso de cookies debe entenderse en el sentido del art. 4 RGPD. En consecuencia: (i) no puede deducirse de acciones dirigidas a continuar la navegación, (ii) debe recabarse de forma suficientemente granular; (iii) no puede obtenerse mediante el uso de casillas premarcadas; y (iv) transcurrido un periodo determinado de tiempo, los editores deben renovar los consentimientos otorgados por sus usuarios.

(ii) De forma similar, la obligación de información debe seguir los principios de transparencia del RGPD (“en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño”).

(iii) Si la normativa en materia de servicios de la sociedad de la información requiere el consentimiento del usuario para la instalación y uso de una cookie, es improbable que el prestador de servicios pueda basar el tratamiento de datos derivado de dicha cookie en su interés legítimo.

(iv) En numerosas ocasiones (especialmente en el caso de cookies para el perfilado y análisis de conducta) el consentimiento del interesado será también necesario para el tratamiento posterior de los datos recogidos mediante estas cookies.

(v) Las ventanas y pop-ups emergentes no pueden considerarse un medio válido para la obtención del consentimiento si impiden el acceso general al sitio. Sin embargo, podría ser posible condicionar el acceso a servicios específicos a la previa aceptación de determinadas cookies.

(vi) Algunas cookies se instalan automáticamente cuando el usuario elige una determinada configuración (settings-led consent) o solicita un servicio concreto (features-led consent). La vinculación entre la personalización o el servicio y la instalación de las cookies correspondientes puede seguir entendiéndose válida siempre y cuando se proporcione información suficiente y clara al usuario.

(vii) En ocasiones puede ser aceptable seguir la configuración elegida por el suscriptor de un servicio en lugar de su usuario (por ejemplo, si el suscriptor es empleador del usuario y requiere una configuración concreta del dispositivo proporcionado a este último).

(viii) Las entidades que instalen cookies de terceros (muy habituales en cookies publicitarias y de seguimiento) deben mencionarse de forma específica.

(ix) Las directrices también incluyen Información detallada sobre la posibilidad de aplicar las exenciones derivadas de la normativa de servicios de la sociedad de la información en función del tipo de cookies y de su/s finalidad/es. Por ejemplo, una cookie de autenticación podría considerarse estrictamente necesaria siempre y cuando no sea persistente y no se utilice con otras finalidades (como el seguimiento del comportamiento del usuario).

Por lo demás, debe recordarse que la AEPD prometió a mediados de 2018 una nueva versión de su Guía sobre el uso de las cookies, si bien se desconoce su fecha exacta de publicación.

Volver

1. El Tribunal Supremo entiende que el Bitcoin no tiene la consideración legal de dinero

La Sala de lo Penal del Tribunal Supremo (“TS”) ha considerado, mediante sentencia de 20 de junio de 2019, que “el bitcoin no es sino un activo patrimonial inmaterial” que no puede equipararse por su naturaleza al dinero.

El asunto enjuiciado era una estafa consistente en la promesa de realizar una serie de operaciones de inversión con la criptomoneda bitcoin, sin que el acusado tuviera intención de hacerlas, “estando únicamente impulsado por la captación abusiva del dinero de aquellos a los que convencía”.

Además de la pena de dos años de prisión, la Audiencia Provincial de Madrid impuso al acusado el pago a las víctimas de la estafa de una indemnización en el valor de cotización de los bitcoins estafados, valor que sería ejecutado en el momento de la sentencia. En desacuerdo, los estafados recurren la decisión al TS exigiendo que se le pague la indemnización en bitcoins, y no en su valor en euros. Alegaban que lo procedente hubiera sido que la sentencia recurrida condenara al acusado a restituir los bitcoins sustraídos y, solo si en fase de ejecución de sentencia no se restituyeran esos bienes, se procediese a su valoración y devolución de su importe en euros.

El TS desestima el recurso al entender que “el acto de disposición patrimonial que debe resarcirse se materializó sobre el dinero en euros que, por el engaño inherente a la estafa, entregaron al acusado para invertir en activos de este tipo. Por otro lado, tampoco el denominado bitcoin es algo susceptible de retorno, puesto que no se trata de un objeto material, ni tiene la consideración legal de dinero”.

Así, la Sala de lo Penal determina que el bitcoin es un activo inmaterial de contraprestación o de intercambio sin más, que no cumple los requisitos recogidos en la Ley 21/2011 necesarios para considerar que dicha criptomoneda es, en efecto, dinero electrónico: “el bitcoin no es sino un activo patrimonial inmaterial, en forma de unidad de cuenta definida mediante la tecnología informática y criptográfica denominada bitcoin, cuyo valor es el que cada unidad de cuenta o su porción alcance por el concierto de la oferta y la demanda en la venta que de estas unidades se realiza a través de las plataformas de trading Bitcoin”.

Volver

1. El Parlamento Europeo aprueba la nueva Directiva europea sobre Derechos de autor

El 15 de abril de 2019, el Consejo de la Unión Europea ratificó el texto final de la Directiva (UE) 2019/790 de derechos de autor en el mercado único digital (la “Directiva”), que había sido aprobado previamente por el pleno del Parlamento Europeo el 26 de marzo anterior.

Finalizó así un largo periodo de tramitación legislativa iniciado en septiembre de 2016, que ha necesitado numerosas y tensas sesiones de debate a raíz del enfrentamiento entre los defensores de la nueva norma (autores, editores, medios de comunicación, etc.) y aquellos que la consideran un obstáculo para la iniciativa empresarial, el desarrollo de Internet en Europa, la libertad de expresión o la neutralidad de la red. Estos últimos consideran el texto como una censura de la información que se publique en Internet.

La Directiva consta de 86 considerandos, 23 artículos divididos en cuatro Títulos y un Título quinto dedicado a 9 disposiciones finales. Su objetivo es armonizar el Derecho de la Unión relativo a los derechos de autor y otros derechos afines, teniendo especialmente en cuenta la repercusión del ámbito digital.

Los dos puntos más controvertidos de la directiva hacen referencia a:

· La protección de la posición de los creadores frente a la difusión de sus contenidos en las plataformas tecnológicas, sometiendo la posibilidad de incluir dicho contenido a la autorización previa del editor (“tasa del link”), y reconociendo el derecho de remuneración de sus titulares.

· La obligación de control o monitorización que se impone a las plataformas de difusión de contenidos de lo que los usuarios suban (por ejemplo, los vídeos que se suben a YouTube). Conforme al texto propuesto, los prestadores de este tipo de servicios de la sociedad de la información deben asegurarse de que los contenidos y los usuarios cuentan con las licencias correspondientes y, en caso contrario, deben retirar los contenidos correspondientes.

Este deber presenta grandes dificultades técnicas para su adopción por parte de las plataformas, puesto que el filtrado de información solo puede hacerse de manera automática. El uso de algoritmos sin intervención humana dificulta considerablemente la apreciación de las circunstancias concretas de cada contenido y su contexto, lo que probablemente dará lugar al bloqueo o eliminación de contenidos lícitamente subidos a las plataformas correspondientes. Al margen de otras consideraciones asimismo relevantes como el coste económico de implementar una herramienta capaz de analizar todos los contenidos potencialmente alojados en la plataforma de cada prestador.

Los Estados miembros deberán adoptar las disposiciones legales, reglamentarias y administrativas nacionales necesarias para dar cumplimiento a lo dispuesto en la Directiva a más tardar el 7 de junio de 2021.

Volver

2. Absueltos en primera instancia los responsables de la página web SeriesYonkis

El juzgado de lo Penal número 4 de Murcia ha dictado sentencia absolviendo de todos los cargos a los cuatro acusados de un delito contra la propiedad intelectual por la actividad de las páginas webs de enlaces “películasyonkis.es”, “seriesyonkis.es” y “videosyonkis.es” entre los años 2008 y 2014.

La Fiscalía de Murcia sostenía que los imputados actuaban "con ánimo de lucro y a sabiendas de lo ilícito de su actividad", ofreciendo enlaces a contenido protegido por derechos de autor. Asimismo, EGEDA (Entidad de Gestión de Derechos de los Productores Audiovisuales) y la extinta Federación Antipiratería (ahora representada por Adivan – Asociación de Distribuidores e Importadores Videográficos de Ámbito Nacional), pedían penas de hasta cuatro años de prisión y una indemnización de cerca de 550 millones de euros por los perjuicios causados.

Las acusaciones alegaron que las citadas páginas web no contenían únicamente enlaces, sino que también albergaban contenido protegido por derechos de autor, facilitaban su descarga y que los imputados eran conocedores de todo ello.

La Juez Magistrada entendió, por el contrario, que "las páginas webs (…) contenían enlaces o hipervínculos (links) estructurados, ordenados y clasificados según diferentes criterios", pero que "no contenían ningún tipo de contenido audiovisual, sino que se limitaban a la publicación de los enlaces que conducían a otros servidores donde se alojaban las obras" (principalmente Megavideo y Megaupload). Tampoco consta que ninguno de los acusados hubiera alojado contenidos ilícitos cuyos enlaces después se insertaran en las webs administradas por ellos. De esta forma, “el usuario del enlace que desde estas páginas webs deseaba acceder a la obra (…) era conocedor del redireccionamiento y de que la descarga o visionado (…) se realizaba en página web diferente de aquella que contenía el enlace”.

La cuestión fundamental del caso es que, hasta el dictado de la STJUE en el caso Svensson, la jurisprudencia mayoritaria penal era partidaria de la atipicidad de la conducta consistente en la administración de páginas de enlaces que, aun ordenados, sistematizados y acompañados de índices y comentarios, no permitían la descarga directa desde dichas páginas. Asimismo, en el ámbito civil y durante el mismo periodo, los pronunciamientos eran confusos y daban soluciones diferentes a casos similares. La equiparación entre enlazado y comunicación pública, por tanto, no era una cuestión pacífica sino objeto de una amplia discusión jurisprudencial y doctrinal.

En consecuencia, la Magistrado Juez entendió que “no puede integrarse el verbo típico «comunicar públicamente», efectuando una interpretación extensiva de lo que en el ámbito civil se consideraba por tal, al no venir definido en el propio precepto, pues se atentaría contra el principio de legalidad penal y, en concreto, contra el principio de taxatividad, si se utilizara una interpretación in malam partem para colmar de contenido el verbo nuclear”.

En definitiva, dado que las páginas de enlace como las enjuiciadas “no eran constitutivas de infracción penal hasta la reforma operada en el precepto 270 CP” en 2015 y “su sanción había sido mayoritariamente rechazada por la jurisprudencia al no entenderla incluida en ninguna de las cuatro modalidades del art 270.1 CP”.

Por su parte, EGEDA ha manifestado su disconformidad con la sentencia y ha anunciado que presentará el correspondiente recurso. A ojos de la entidad de gestión, el Juzgado debería haber tenido en cuenta la jurisprudencia del Tribunal de Justicia de la Unión Europea en el Caso Svensson, según la cual la actividad de enlazar es un acto de comunicación pública.

Volver

3. Mr. Wonderful gana en primera instancia la demanda interpuesta contra Cial Lama y D Casa

El pasado 6 de mayo, el Juzgado de lo Mercantil nº 1 de Alicante, sede de la Oficina de Propiedad Intelectual de la Unión Europea (“EUIPO”), condenó a las entidades Cial Lama, S.L. (“Cial Lama”) y D Casa Seletion, S.L. (“D Casa”), por competencia desleal, al entender que los productos fabricados por la primera y comercializados a través de los establecimientos de la segunda pueden inducir a error a los consumidores al utilizar elementos definitorios característicos del estilo de Mr. Wonderful Comunication, S.L. (“Mr. Wonderful”).

La resolución no entra a analizar si los codemandados han utilizado diseños registrados por Mr. Wonderful, sino que se centra en valorar el uso que hacen de los elementos definitorios y característicos de ésta. La conclusión alcanzada es que la similitud es tal que “el consumidor final puede llegar a pensar que el origen empresarial de los productos que compra de las entidades demandadas es el de Mr. Wonderful".

Dos eran las principales cuestiones planteadas por Mr. Wonderful para fundamentar sus argumentos: la existencia de actos de imitación desleal que determinan la clara similitud existente entre los elementos definitorios de las partes y de actos de aprovechamiento de la reputación ajena. En un peritaje aportado por Mr. Wonderful se aclaraba que los elementos ornamentales y enfáticos utilizados por Mr. Wonderful “se caracterizan por una cuidada ilustración de estilo fresco, simple, dinámico y divertido. Habitualmente se trata de objetos con características humanizadoras”. El informe recalca que existe una “evidente intencionalidad imitadora” por parte de las codemandadas.

La sentencia reconoce que Mr. Wonderful ha creado un estilo propio en el que combina tres elementos de diseño (textual, gráfico y cromático) que, incorporados a sus productos, le dotan de una clara originalidad que hace que los consumidores identifiquen su marca en el mercado. En un análisis comparativo efectuado por el Juzgado de lo Mercantil, se pone de manifiesto que la proximidad entre los elementos de los productos de las demandadas y los de la demandante es tal que “a la vista de un consumidor medio, puede llegar a generar dudas sobre la verdadera procedencia de los productos”.

Por su parte, Cial Lama argumentaba, por un lado, que sus productos se inspiraban en el estilo Kawaii (diseño japonés surgido en los años 60 y conocido por Hello Kitty) y, por otro, la idea de que los conceptos genéricos, como las nubes, son de dominio público. En este punto, aclara el tribunal que “lo que dota de singularidad los dibujos y diseños de Mr. Wonderful no es la utilización de elementos que estén el dominio público, sino la utilización en combinación con otros elementos, que igual también pueden estar en el dominio público, pero que, en su combinación, dotan al diseño y/o dibujo de una singularidad carácter único”.

La sentencia se basa en lo dispuesto en el art. 11.2 de la Ley de Competencia Desleal (“LCD”), el cual establece que “la imitación de prestaciones de un tercero se reputará desleal cuando resulte idónea para generar la asociación por parte de los consumidores respecto a la prestación o comporte un aprovechamiento indebido de la reputación o el esfuerzo ajeno (…)”.

De acuerdo con el fallo, Cial Lama y D Casa Seletion incurrieron en actos de imitación desleal y, en consecuencia, se les condena a:

(i) cesar en dicha conducta;

(ii) retirar del tráfico y destruir todos los productos que incorporen dibujos y/o diseños que copien o imiten los elementos definitorios de Mr. Wonderful;

(iii) indemnizar a la demandante en la cantidad de 1.664,73 euros en concepto de daño emergente, más una compensación por lucro cesante equivalente al resultado de sumar 42.000 euros más el 12% de las ventas realizadas de los productos que incorporan los elementos definitorios del estilo de diseño de Mr. Wonderful entre enero de 2014 y el 20 de octubre de 2017 (fecha de interposición de la demanda); y

(iv) publicar a su costa la sentencia en la edición de Barcelona del periódico "LA VANGUARDIA".

Volver

Más información:

Norman Heckh
nheckh@ramoncajal.com

 

 

María Luisa González
mlgonzalez@ramoncajal.com

Javier Martínez de Aguirre
jmartinezdeaguirre@ramoncajal.com