A) Noticias destacadas

La Autoridad de Protección de Datos de Irlanda sanciona a WhatsApp con 225 millones de euros

La autoridad de control de Irlanda (“Data Protection Commission” o “DPC”) publicó, a principios del mes de septiembre, su decisión sobre la investigación a WhatsApp Ireland Ltd. (“WhatsApp”) por el incumplimiento del deber de transparencia impuesto por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“Reglamento General de Protección de Datos” o “RGPD”). 

La investigación, que había comenzado a finales del año 2018, detectó infracciones en el deber de información que, principalmente, afectaban a: (i) el tratamiento de datos personales de clientes del servicio (artículo 13 del RGPD); (ii) el tratamiento de datos personales de usuarios no clientes del servicio (artículo 14 del RGPD), y; (iii) el intercambio de datos personales entre WhatsApp y empresas de Facebook. 

La Data Protection Commission recalca que la información sobre protección de datos debe ser detallada y, además, debe ser accesible, sin utilizar enlaces a múltiples documentos que dificulten a los usuarios encontrar la información relativa al tratamiento de sus datos personales.

Es importante también destacar que, puesto que el tratamiento de datos llevado a cabo por WhatsApp afecta sustancialmente a interesados de más de un Estado Miembro y que su único establecimiento en la Unión Europea está en Irlanda, se aplicaron las disposiciones correspondientes a los principios de cooperación y coherencia del artículo 60 del RGPD. 

De conformidad con lo anterior, la DPC emitió un borrador de decisión al resto de autoridades de control afectadas. Seis autoridades de control hicieron comentarios al citado borrador de decisión, sin que finalmente hubiese consenso entre todas. Por ello, la DPC remitió el borrador al Comité Europeo de Protección de Datos (“CEPD”) para que adoptara una decisión sobre esta materia en virtud del artículo 65 del RGPD.  

El 28 de julio de 2021, el CEPD adoptó una decisión vinculante que obligaba a la autoridad de control de Irlanda a reevaluar y aumentar su propuesta de multa. Después de realizar la mencionada reevaluación, la DPC impuso, finalmente, a WhatsApp una sanción de 225 millones de euros.

Puedes acceder a la decisión vinculante de la CEPD pulsando aquí [1]. 

Si deseas consultar el texto completo de la resolución emitida por la autoridad de control de Irlanda, pulsa aquí [2].

Volver al inicio

B) Resoluciones y sentencias relevantes

Sanción de 100.000 euros a un encargado del tratamiento por no devolver los datos a su responsable de tratamiento

La Agencia Española de Protección de Datos (“AEPD”) publicó el pasado 2 de septiembre la resolución del PS/00315/2020 por el que sanciona a la entidad Signalia Marketing Distribution, S.A. (“Signalia”) con 100.000 euros por incumplimiento de sus obligaciones como encargado del tratamiento. 

Signalia era proveedor de servicios de mantenimiento preventivo y correctivo de equipos informáticos de Excel Hotels Resort, S.A. (“Excel”). Como resultado de dichos servicios, almacenaba y accedía a datos personales responsabilidad de Excel. 

Excel y Signalia habían suscrito el correspondiente contrato de encargado de tratamiento conforme al artículo 28 del RGPD. En el referido contrato, ambas entidades habían acordado que Signalia procedería a devolver al responsable del tratamiento los datos personales a los que haya accedido tras finalizar su relación contractual. 

Signalia, después de que la relación contractual con Excel hubiera llegado a su fin, se negó a devolver al responsable del tratamiento los datos alegando incumplimiento en los pagos de los servicios.

A pesar de ello, la AEPD entiende que dicha negativa a la devolución de los datos supone una infracción del artículo 28.3.g) del RGPD que regula la relación entre responsable y encargado, así como del artículo 74.k) de la LOPDGDD.

Puedes acceder a la resolución aquí [3]. 

La AEPD sanciona a una empresa por no designar Delegado de Protección de Datos

El pasado 10 de septiembre, la AEPD publicó la resolución del PS/00231/2021 por el que sanciona con 10.000 euros al operador de juego Aconcagua Juegos, S.A. (“Aconcagua”) por no haber designado a un Delegado de Protección de Datos (“DPD”). 

El procedimiento en cuestión fue iniciado tras haberse recibido una reclamación de un interesado en la que se indicaba que la entidad Aconcagua no había atendido su derecho de supresión, y además no constaba que hubiese designado un DPD.

Respecto a la designación de un DPD, la AEPD considera que, al ser Aconcuaga un operador que desarrolla la actividad de juego a través de Internet, tiene la obligación de designar a un DPD conforme al artículo 34.1.n de la LOPDGDD. 

Conforme a lo anterior, y dado que no constaba en el registro de la AEPD que Aconcagua haya designado formalmente esta figura, se impone una sanción económica que asciende a la cantidad de 10.000 euros.

Puedes consultar la resolución aquí [4]. 

La AEPD sanciona con apercibimiento al Servicio Público de Empleo Estatal 

La AEPD ha impuesto una sanción de apercibimiento al Servicio Público de Empleo Estatal (“SEPE”) por infringir el principio de integridad y confidencialidad establecido en el artículo 5.1.f) del RGPD, así como por vulnerar el principio de seguridad del tratamiento contenido en el artículo 32.1 del RGPD.

En el caso analizado por la autoridad de control española, se recibe una reclamación de un ciudadano en la que informa que, al descargar un certificado del SEPE, ha tenido acceso a los datos personales de otra persona. 

La AEPD entiende que los hechos puestos de manifiesto evidencian el quebrantamiento de las medidas técnicas y organizativas, vulnerando la confidencialidad de los datos y permitiendo el acceso a los datos de terceros al proceder a descargar vía web el certificado del Servicio de Empleo.

Puedes consultar el texto completo aquí [5].

El Tribunal Supremo admite como prueba para el despido de un trabajador grabaciones de videovigilancia

El Tribunal Supremo, en su sentencia de 21 de julio de 2021, se ha pronunciado sobre la posibilidad de justificar un despido de un trabajador aportando imágenes de una cámara de vigilancia. 

La Sala de lo Social del Tribunal Supremo ha considerado que, aunque la finalidad del sistema de videovigilancia era exclusivamente garantizar la seguridad, el conocimiento por parte del empleado de la existencia de estas, es suficiente para que las imágenes grabadas puedan ser utilizadas como prueba en un procedimiento judicial de despido.

Tal y como establece la sentencia, “lo relevante es que el trabajador conocía de la existencia del sistema de videovigilancia”. En este sentido, el Tribunal Supremo recuerda que la STC 39/2016, 3 de marzo de 2016, sienta la doctrina de que, “cuando el trabajador conoce que se ha instalado un sistema de control por videovigilancia, como era aquí el caso, no es obligado especificar "la finalidad exacta que se le ha asignado a ese control".

Adicionalmente, se entiende que la propia empresa “tenía un interés legítimo amparado en sus facultades empresariales de control y en la carga de la prueba que sobre ella recaía a la hora de probar la veracidad de los hechos reprochados al trabajador”.

Por todo ello, Sala de lo Social del Tribunal Supremo estima el recurso de casación para la unificación de doctrina admitiendo como prueba las imágenes captadas por el sistema de videovigilancia para el despedido del empleado.

Puedes consultar la sentencia completa pulsando aquí [6].

El Comisionado de Protección de Datos de Hamburgo sanciona a Vattenfall Europe Sales GmbH por vulnerar los principios de información y transparencia

El 24 de septiembre, el Comisionado de Protección de Datos de Hamburgo (“HmbBfDI”) anunció una sanción de 900.000€ a Vattenfall Europe Sales GMbH (“Vattenfall”) por la vulneración de los principios de información y transparencia regulados en los artículos 12 y 13 del RGPD.

El HmbBfDI constató que Vattenfall había comparado los datos de nuevos clientes con datos de facturación de vinculados a contrataciones anteriores. El objetivo de esta práctica era evaluar la efectividad de promociones a la contratación en la captación de nuevos clientes. Conforme a la legislación tributaria aplicable, los datos de facturación deben ser conservados por 10 años. La sanción impuesta a Vattenfall atiende a la falta de información facilitada a los clientes, no sobre la realización del tratamiento. 

Puedes consultar la resolución aquí [7] (sólo disponible en alemán).  

La Autoridad de Control de Noruega sanciona a una entidad por realizar transferencias internacionales de datos sin las garantías apropiadas

El pasado 27 de septiembre, la Autoridad de Control de Noruega (“Datatilsynet”) sancionó con 498.065 euros a la entidad Ferde AS (“Ferde”). 

Ferde es una entidad que se dedica a la gestión de peajes, utilizando para ello un sistema para el control de peajes de lectura automática de matrículas. Cuando la lectura de la matrícula no es completa, Ferde recurre a un sistema de comprobación manual de las imágenes para la que se subcontrata los servicios de Unitel Braseth Services (“Unitel”), entidad que actúa en calidad de encargado del tratamiento de Ferde y que cuenta con empleados en China. 

La autoridad de control de Noruega verificó que Ferde no suscribió un contrato de encargado del tratamiento con Unitel, infringiéndose con ello el artículo 28 del RGPD. Asimismo, el DatDatatilsynet también constata la ausencia de haber realizado un análisis de riesgos sobre la transferencia de datos internacional a un país fuera del Espacio Económico Europeo (Art. 32.2 del RGPD). Además, y también sobre esta cuestión, la autoridad de control también comprueba que Ferde no ha adoptado un mecanismo para garantizar la seguridad de la transferencia internacional de datos y, por tanto, se vulnera el artículo 44 del RGPD.

Puedes consultar la resolución aquí [8] (solo disponible en noruego).

La Autoridad de Control de Italia sanciona con 200.000 euros a la Universidad Luigi Bocconi por no realizar una evaluación de la transferencia internacional de datos

El 16 de septiembre, el Garante per la Protezione dei Dati Personali (“Garante”) sancionó con 200.000 euros a la Universidad “Luigi Bocconi” por la vulneración de múltiples preceptos del RGPD, siendo de especial interés el incumplimiento de los artículos 44 y 46 del RGPD. 

El procedimiento sancionador se inició con la reclamación interpuesta por un alumno de la universidad por la utilización de un sistema de supervisión “proctoring” durante la realización de exámenes escritos a distancia. Estos sistemas de supervisión utilizan, entre otras medidas, software de reconocimiento facial y de análisis de la actividad del dispositivo durante la realización del examen, a fin de identificar comportamientos anómalos por parte del estudiante. 

Respondus, Inc. proveedor del software y encargado de tratamiento de la Universidad está localizado en EE.UU., por lo que la Universidad firmó un acuerdo de encargado de tratamiento junto con las cláusulas contractuales tipo aprobadas por la Comisión Europea en 2010. Sin embargo, la Autoridad ha comprobado lo siguiente: (i) el contrato de encargo de tratamiento no estipula de forma expresa las medidas de seguridad adicionales adoptadas para garantizar el nivel de protección de los datos personales transferidos a EE.UU.; (ii) no queda acreditada la realización de una evaluación de la efectividad de las medidas adoptadas por parte del importador de datos.

La documentación aportada por la Universidad no refleja que estas medidas hayan sido establecidas respecto de las transferencias al encargado de tratamiento, Respondus, Inc., ni respecto al subencargado de tratamiento, Amazon Web Services, Inc., localizado también en EE.UU.  

Puedes consultar la resolución aquí [9] (sólo disponible en italiano).

Volver al inicio

C) Otras noticias de interés

Informe Jurídico sobre la posibilidad de comunicación de datos de salud a la Oficina de Prevención y Lucha contra la Corrupción

El Servicio de Salud de las Illes Balears recibió un requerimiento de información de la Oficina de Prevención y Lucha contra la Corrupción en relación con los protocolos de vacunación y, en concreto, sobre el nombre, apellidos y DNI de las personas vacunadas. 

En este sentido, el Servicio de Salud de las Illes Balears consulta a la AEPD si proporcionar esta información es conforme a los principios y obligaciones del RGPD y resto de normativa aplicable en materia de protección de datos. 

Por su lado, la AEPD considera que la lucha contra la corrupción puede considerarse, a los efectos del artículo 9.2.g) del RGPD, como de interés público esencial puesto que se encuentra recogida, entre otras normas europeas, en el Convenio relativo a la lucha contra los actos de corrupción en los que estén implicados funcionarios de las Comunidades Europeas o en los Estados miembros de la Unión Europea, hecho en Bruselas el 26 de mayo de 1997. 

Además, la AEPD considera que debe tenerse en cuenta el deber de suministrar información impuesto por el artículo 10 de la Ley 16/2016, de 9 de diciembre, de creación de la Oficina de Prevención y Lucha contra la Corrupción en las Illes Balears.

No obstante, aunque las circunstancias anteriores podrían llevar a considerar admisible, en un caso concreto y debidamente justificado, el acceso a determinados datos de salud, la AEPD considera que el requerimiento de información en el caso analizado es excesivo y contrario a la normativa de protección de datos porque el requerimiento:

• No indica la finalidad concreta para la que se reclama la información, sin que se haya justificado en el requerimiento la necesidad de acceder a los datos personales de las personas vacunadas en relación con la investigación que se está realizando, lo que requiere el triple juicio de idoneidad, necesidad y proporcionalidad, y;

• El requerimiento de información supone un tratamiento masivo de datos personales que afectaría, al menos, a 108.500 personas, lo que es contrario al principio de minimización de datos. 

Puedes consultar el informe del gabinete jurídico de la AEPD pulsando aquí [10]. 

El Comité Europeo de Protección de Datos publicó su opinión sobre el Proyecto de Decisión de Adecuación de Corea del Sur

El pasado 24 de septiembre, el CEPD adoptó la Opinión 32/2021 sobre el Proyecto de Decisión de Adecuación de la Comisión Europea sobre la protección de datos personales en la República de Corea con el Reglamento (UE) 2016/679.

El CEPD reconoce las similitudes existentes entre algunos elementos centrales de la legislación de protección de datos como son, entre otros, (i) los conceptos básicos, (ii) las bases de legitimación, o (iii) el principio de transparencia. Igualmente, se muestra de acuerdo con las conclusiones de la Comisión Europea en las que se pone en valor las decisiones adoptadas por parte de las autoridades coreanas para alcanzar un nivel de protección equivalente al establecido en el RGPD. En concreto, el CEPD cita la “Notification No 2021-1” adoptada, el 21 de enero, por la Autoridad de Protección de Datos de Corea del Sur a raíz de las negociaciones con la Comisión Europea. Este documento realiza aclaraciones interpretativas vinculantes de la normativa de protección de datos de Corea del Sur que favorecen la adopción de una decisión de adecuación en los términos del art. 45 del RGPD.  

Sin embargo, el CEPD solicita a la Comisión Europea más información acerca de la evaluación de adecuación realizada y, en concreto, que aclare cuáles son los requisitos necesarios para presentar una reclamación ante la Autoridad de Control de Corea del Sur o sus tribunales y si los ciudadanos europeos son susceptibles de cumplir esos requisitos o condiciones. 

Puedes consultar el texto completo aquí [11].

La autoridad de control de Irlanda investiga a TikTok sobre protección de datos de menores y transferencia internacional de datos a China

La autoridad de control de Irlanda ha comunicado el inicio de dos investigaciones a la entidad TikTok Technology Limited’s para comprobar si cumple con los principios y obligaciones en materia de protección de datos que impone el RGPD.

La primera de las investigaciones examinará el cumplimiento del principio de privacidad desde el diseño y por defecto en el contexto de su plataforma destinada a usuarios menores de edad. Se comprobará, asimismo, si la entidad ha cumplido con sus obligaciones en materia de transparencia. 

Por otro lado, la segunda de las investigaciones se centrará en la transferencia internacional de datos a China y del cumplimiento o no de las obligaciones en esta materia que impone la normativa de protección de datos.

Puedes consultar el comunicado de la autoridad de control de Irlanda aquí [12]. 

Esta investigación se suma a las ya iniciadas por la Autoridad italiana durante este año. Puedes consultar las investigaciones del Garante aquí [13].

La Autoridad de control francesa publica un modelo de autoevaluación de la madurez de las actividades de tratamiento para las organizaciones

Durante el mes de septiembre, la Autoridad de Control de Francia (“CNIL”) ha publicado un documento en el que propone un modelo de autoevaluación de madurez que permite cuantificar el rigor y la formalidad con que se gestionan las actividades relacionadas con la gestión de la protección de datos.

El objetivo de este documento es:

• Transponer el concepto de “niveles de madurez” a la protección de datos, ya bien definida, por ejemplo, en la ISO/IEC 21827, guía de "madurez SSI".

• Proponer actividades típicas relacionadas con la protección de datos.

• Ilustre cada nivel de madurez para cada actividad típica con ejemplos de acciones o acciones o salidas.

Puedes consultar el modelo aquí [14].

La CNIL publica dos documentos sobre el tratamiento de datos personales en el ámbito laboral referentes al COVID y al certificado de vacunación

El pasado 29 de septiembre, la CNIL publicó una nueva recopilación de preguntas y respuestas referentes al tratamiento de datos personales en el contexto de la pandemia.

En concreto, las publicaciones se centran, por un lado, en las obligaciones de empleados y empleadores y, por otro, en el tratamiento de datos relacionados con los certificados de vacunación.  

Puedes consultar el documento sobre el tratamiento de datos en el ámbito laboral aquí [15] y el texto relativo al denominado “pase COVID” aquí [16].

Primera reunión del “EU-US Trade and Technology Council”

El pasado 29 de septiembre tuvo lugar la reunión inaugural del “Trade and Technology Council” (“Consejo EU-US”). La creación del Consejo EU-US responde a la voluntad de las autoridades europeas y norteamericanas de coordinar sus acciones en cuestiones tecnológicas, económicas y comerciales. 

En esta reunión, se definieron las áreas de cooperación en las que se centrará el trabajo del Consejo EU-US, así como se crearon los Grupos de Trabajo encargados de mantener la actividad del Consejo EU-US hasta la siguiente reunión. Entre los Grupos de Trabajo creados destacan los siguientes: 

• “Working Group 1 - Technology Standards”: Encargados de desarrollar estándares comunes para tecnologías emergentes.

• “Working Group 4 - Information and Communication Technology and Services (ICTS) Security and Competitiveness”: Cuyo objetivo es la cooperación en la implementación de la tecnología 5G, centros de datos e infraestructura cloud.

• “Working Group 5 - Data Governance and Technology Platforms”: Encargados de fomentar la homogeneización e interoperabilidad de la regulación europea y norteamericana en torno a preocupaciones comunes como la publicación de contenido inapropiado en redes sociales.

Puedes consultar las conclusiones publicadas por la Unión Europea aquí [17]. 

Volver al inicio

El 9 de septiembre, el Tribunal de Justicia de la Unión Europea dicta sentencia sobre el alcance de la protección ofrecida por las Denominaciones de Origen Protegidas (DOP)

El Tribunal de Justicia de la Unión Europea (“TJUE”) ha dictado sentencia en el asunto C-783/19, surgido de las cuestiones prejudiciales elevadas desde la Audiencia Provincial de Barcelona. El litigio tiene su origen en la demanda presentada por el “Comité Interprofessionnel du Vin de Champagne” contra la entidad GB, titular de los establecimientos de hostelería “Champanillo”, por considerar que el uso de esta denominación constituía una infracción de la DOP “Champagne”.

En esta sentencia, el TJUE responde a las cuestiones prejudiciales planteadas y clarifica el alcance del artículo 103.2.b) del Reglamento 1308/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, por el que se crea la organización común de mercados de los productos agrarios y por el que se derogan los Reglamentos (CEE) no 922/72, (CEE) no 234/79, (CE) no 1037/2001 y (CE) no 1234/2007 (“Reglamento 1308/2013”); reglamento que establece la regulación de las DOP.

A este respecto, las principales consideraciones del TJUE son:

• El artículo 103.2.b) del Reglamento 1308/2013 debe interpretarse en el sentido de que protege a las DOP frente a comportamientos relacionados tanto con productos como con servicios. En palabras del propio Tribunal “también es posible aprovecharse indebidamente de la reputación de un producto amparado por una DOP cuando la práctica contemplada en esa disposición se refiere a un servicio.” 

• La “evocación” a la que se refiere el artículo 103.2 b) del Reglamento 1308/2013 no requiere que el producto amparado por la DPO y el producto o servicio amparado por la denominación impugnada sean idénticos o similares. El TJUE ha precisado que lo esencial para acreditar la existencia de evocación es que el consumidor establezca un vínculo entre ambos.

• La “evocación” a la que se refiere el artículo 103.2 b) del Reglamento 1308/2013 no está supeditada a la comprobación de la existencia de un acto de competencia desleal.

Puedes consultar la sentencia aquí [18].

El TJUE desestima el recurso presentado por la bodega Celler Lagravera, S.L.U. referente al registro de la marca “Ciclic” por riesgo de confusión

El TJUE, en sentencia de 15 septiembre, desestimó el recurso presentado por la bodega Celler Lagravera, S.L.U. (“Celler Lagravera”) ante la denegación del registro como marca comunitaria de “Cíclic” por parte de la Oficina de Propiedad Intelectual de la Unión Europea (“EUIPO”).

La EUIPO estimó la oposición formulada por Cyclic Beer Farm, S.L. y denegó el registro de la marca “Cíclic” fundamentando que existía riesgo de confusión con la marca registrada “CYCLIC” en el sentido del artículo 8.1.b) del Reglamento 2017/1001 del Parlamento Europeo y del Consejo, de 14 de junio de 2017.

El litigio versa, en esencia, sobre el riesgo de confusión entre la marca figurativa solicitada “Cíclic”, que se refiere a vinos, y la marca denominativa anterior “CYCLIC” que designa, entre otros productos, cerveza.

El TJUE, desestima el recurso de Celler Lagravera y entiende que existe riesgo de confusión entre ambas marcas en base a que:

• Se aprecia un grado de similitud entre los productos, en este caso vino y cerveza, los cuales comparten naturaleza, finalidad o canales de distribución.

• Existe un grado de similitud gráfica, fonética y conceptual de los signos en conflicto “Cíclic” y “CYCLIC”.

• A pesar del bajo grado de similitud entre los productos, este es compensado por el grado de similitud muy alto entre los signos en conflicto.  

Puedes consultar la sentencia aquí [19]. 

Volver al inicio

La Comisión Europea da dos meses a España y otros 18 Estados para trasponer el Código de Comunicaciones Electrónicas y la Directiva de servicios de comunicación audiovisual

El 23 de septiembre de 2021, la Comisión Europea anunció la toma de acciones contra los diecinueve Estados miembros que aún no han finalizado la transposición a legislación nacional de la Directiva de Servicios de Comunicación Audiovisual y el Código Europeo de Comunicaciones Electrónicas. Ninguno de los diecinueve Estados afectados por este anuncio de acciones, entre los que se encuentra España, ha notificado a la Comisión la adopción de medidas con vistas a la trasposición total o parcial de las Directivas. El plazo ordinario para la transposición de ambas Directivas finalizó a finales de 2020.

El proceso de trasposición en España comenzó en 2020, con la presentación por parte del Ministerio de Asuntos Económicos y Transformación Digital de los anteproyectos de Ley General de Comunicación Audiovisual y Ley General de Telecomunicaciones. Ambos textos se sometieron a audiencia pública en la segunda mitad de 2020.

La Comisión Europea ha otorgado un periodo de dos meses a contar desde el 23 de septiembre para finalizar la trasposición. Además de España, estas Directivas continúan pendientes de transposición en países como Irlanda e Italia. 

Puedes consultar la comunicación aquí [20].

La Comisión Europea propone un cargador común para los dispositivos electrónicos

El pasado 23 de septiembre, la Comisión Europea publicó la propuesta de revisión de la Directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva 2014/53/UE, relativa a la armonización de la legislación de los Estados miembros sobre la comercialización de equipos radioeléctricos. 

Uno de los objetivos perseguidos en la reducción de los residuos electrónicos y las molestias que los consumidores experimentan debido a la prevalencia de diferencias e incompatibilidades entre los cargadores para los dispositivos electrónicos. 

Entre las propuestas planteadas, se encuentran  el establecimiento de un puerto de carga armonizado para los dispositivos electrónicos; la armonización de la tecnología de carga rápida; la venta por separado de los cargadores y los dispositivos electrónicos, así como una mejora de la información dirigida a los consumidores. 

Puedes consultar más información pulsando aquí [21]. 

Volver al inicio