9ª Sesión anual abierta de la Agencia Española de Protección de Datos 2017

967
evento AEPD 2017

La Directora de la AEPD, Mar España, nos hace un resumen de las principales actuaciones que está realizando la Agencia para adaptar nuestra normativa al nuevo Reglamento Europeo de Protección de Datos.

conferencia agencia proteccion de datos

Novedades en Protección de Datos

Las empresas no están obligadas en general a contratar un Delegado de Protección de Datos, salvo en lo casos indicados en el RGPD, pero contratarlo les dará seguridad jurídica.

Puesta en marcha por la AEPD de una unidad de atención a los responsables del tratamiento y a profesionales de la privacidad.

El consentimiento tácito dejará de ser válido a partir de mayo del 2018 pero en casos de interés legítimo podrá justificarse.

Se hace incapié en la transparencia de la información proporcionada a los interesados y la necesidad de una información por capas.

Deber de diligencia del encargado del tratamiento, debe haber un vínculo jurídico entre el responsable del fichero y el encargado del tratamiento.

La mayor parte de los tratamientos de datos son de pequeñas empresas y de datos de nivel básico.

Modificaciones introducidas por el RGPD

¿Cuál es la incidencia del RGPD sobre la exclusión de los datos de contacto prevista en el artículo 2.2 del RLOPD?

  • Los datos de contacto son Información referida a personas físicas Identificadas (datos de carácter personal) por lo que su tratamiento se encuentra sometido al RGPD.
  • En consecuencia no cabe considerar aplicable la exclusión hasta ahora vigente
  • El tratamiento deberá cumplir con el RGPD, en particular en lo referente a la legitimación
  • Es posible que ese tratamiento se encuentre amparado en la regla de ponderación del artículo 6.1 f) del RGPD si se cumplen los requisitos establecidos en el RLOPD
    • Mínimos datos imprescindibles de contacto
    • Tratamiento con fines de mantenimiento de relaciones 828

¿Cuáles son las implicaciones del RGPD en relación con el consentimiento?

  • El RGPD no implica necesariamente una obligación de recabar un nuevo consentimiento si el que se hubiera obtenido antes de su aplicación fuese conforme a los requisitos que establece (Cdo. 171)
    • Siguen siendo válidos los consentimientos expresos y los consistentes en una manifestación o clara acción afirmativa
    • El Cdo. 32 clarifica supuestos que pueden considerarse consentimiento (declaración, marcación de una casilla, selección de parámetros)
    • En ningún caso hay aplicación retroactiva, dado que las normas del RGPD no se aplican a tratamientos anteriores al momento en que produce plenos efectos
  • Cuando se preste el consentimiento para el tratamiento de datos con múltiples finalidades será preciso dar el consentimiento para todos ellos (Cdo. 32). En particular:
    • Consentimientos específicos en el marco de un contrato
    • Consentimientos específicos en el marco de declaraciones
  • En caso de que se recabe el consentimiento para varias finalidades
    • Sería posible agrupadas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros)
    • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros)
    • En ningún caso la falta de consentimiento podría implicar la denegación de un servicio si el tratamiento no es necesario para su prestación (art. 7.4)
  • La aceptación mediante un click de una política de privacidad en que se deja expresamente al interesado la posibilidad de decidir si acepta o no el tratamiento de los datos (a través de casillas no pre marcadas incluso de oposición y no de aceptación-) puede considerarse un consentimiento válido
  • En todo caso, el responsable deberá probar que cuenta con el consentimiento y que ha sido prestado por el afectado a través de los medios que resulten pertinentes

¿Cuáles son las implicaciones del RGPD en relación con los supuestos de “consentimiento tácito” que ahora autoriza el artículo 14 del RLOPD?

  • Estos consentimientos no resultan conformes al RGPD, por lo que no sería válido persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018.
  • El período transitorio de adaptación de los consentimientos sería el actual, dado que el RGPD está en vigor pero no es plenamente aplicable.
  • Los tratamientos basados en el “consentimiento tácito” deberán encontrar fundamento en otra causa de legitimación
    • Mediante una nueva solicitud del consentimiento
    • Mediante, en su caso, la aplicación de alguna otra causa de legitimación y, en particular, la ponderación del derecho y el interés legitimo del responsable
      • El Cdo. 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, aunque deberá ponderarse ese interés con la posible intrusión en el derecho fundamental
    • Para determinar si es posible aplicar esta regla habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única. Por ejemplo
      • Envío de comunicaciones comerciales sobre los propios productos o servicios podría ser adecuada a la vista de la Directiva e-privacy y la LSSI
      • Tratamiento de dato que el afectado hubiese hecho manifiestamente públicos

¿Cómo afecta el RGPD a la información que ha de facilitarse a los afectados?

  • Como punto de partida, cuando los datos se recaben con anterioridad a la plena aplicación del RGPD será suficiente la información ya facilitada con arreglo a la LOPD, sin que sea preciso informar nuevamente
  • La información debe ser concisa, transparente, inteligible y de fácil acceso.Debe huirse de fórmulas excesivamente Iegalistas
  • Conforme a la “Guía para el cumplimiento del deber de informar” podrá optarse por un sistema de información por capas
    • La primera capa incorporará la información esencial (identiñcación del responsable, finalidad del tratamiento, ejercicio de derechos, origen de los datos, realización de perfiles)
    • La segunda capa puede encontrarse recogida, entre otros supuestos, en una política de privacidad, que contendrá la totalidad de las exigencias previstas en el RGPD
    • La guía ofrece ejemplos claros sobre el modo de facilitar la información
  • Información sobre algunos extremos:
    • Base legal del tratamiento: podría especiñcarse el fundamento con arreglo al 6.1 del RGPD en la primera capa y su detalle en la segunda (por ejemplo: tratamiento por obligación legal /art. 95 Ley General tributaria)
    • Plazo de conservación: si existieran varios debería indicarse el mayas, que subsume a los restantes

¿Cuál sería el régimen sancionador aplicable tras la plena aplicación del RGPD?

  • EL RGPD establece un régimen sancionador que, aun diferente al propio del ordenamiento español, especifica las conductas típicas y las sanciones aplicables.
    • La determinación de conductas típicas nunca podría darse a efectos de tipificación, sino de forma meramente enunciativa, dado que es el artículo 82 del RGPD el que fija en sus apartados 4,5 y 6 las conductas
    • Del mismo modo, el RGPD establece la posibilidad de imposición de sanciones económicas 0 (adicional o sustitutivamente) las medidas correctoras establecidas en su artículo 58.2
  • No obstante se deja margen a los Estados miembros en determinadas cuestiones
    • Determinación de los plazos de prescripción de infracciones y sanciones
    • Determinación del régimen sancionador aplicable a las Administraciones Públicas.

¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo?

  • El art. 24,1 del RGPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a “la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa índole y gravedad para los derechos de las personas físicas”
    • El Cdo. 75 enumera algunas de las posibles situaciones de riesgo
  • El Título VIII del RGPD dedica la práctica totalidad de su articulado a enumerar las medidas y no a especificar el enfoque basado en el riesgo al que se refiere el RGPD
  • Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa
    • Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD

¿Cómo afecta el RGPD a las obligaciones de transparencia?

  • La legislación de transparencia impone unas obligaciones legales de publicidad o de facilitar a los afectados información solicitada en virtud de su derecho de acceso a Información pública
  • En consecuencia, las comunicaciones de datos están amparadas en una obligación legal (artículo 6.1 c) del RGPD).
  • El artículo 86 del RGPD recoge expresamente esta previsión
  • En todo caso, la protección de datos actúa como uno de los límites de transparencia
    • El artículo 15 de la LTAIBG establece la interrelación entre el derecho a la protección de datos y la transparencia
    • Estas normas se completan con los principios contenidos en la legislación de protección de datos
  • En consecuencia, el RGPD no introduce ninguna novedad ni limitación nueva en esta materia

Presentación de nuevas herramientas del RGPD

Andrés Calvo Medina, Coordinador de Evaluación y Estudios Tecnológicos, nos presenta una herramienta dirigida a pymes para adaptarse al nuevo Reglamento europeo de Protección de Datos.

Herramienta Nanopymes

Debe rellenarse el formulario pero será necesario el asesoramiento por parte de la AEPD o de un tercero. Se pretende facilitar el cumplimiento a las pymes.

Funcionamiento de la herramienta:

  • Se excluyen tratamientos de alto riesgo
  • Pide información sobre datos de la empresa responsable
  • Solicita información sobre el tipo de tratamientos realizados: datos de clientes, de empleados, de candidatos a un empleo, de proveedores, videovigilancia….
  • Se genera un documento descargable con los tratamientos seleccionados: cláusulas contractuales, medidas de seguridad mínimas, etc.

Medidas de seguridad

Se determinarán los riesgos para los responsables de la información (lo que se hacia antes) (si me roban, si no hago copia de seguridad) y para las personas (ahora en el nuevo RGPD con un marco de seguridad dinámico, son el resultado del estudio de riesgos e impactos).

Las auditorias siguen siendo necesarias para comprobar las medidas de seguridad, si tengo que aplicar algún control más. No existe una obligación directa de tenerla, la AEPD no lo va a pedir, va a solicitar que se cumplen las medidas de seguridad. Las auditoras forman parte del enfoque del riesgo y la periodicidad depende del responsable. El RGPD tiene un enfoque de riesgos para determinar los riesgos para la información y para los derechos de las personas.

Este enfoque permite tener un marco de medidas de seguridad dinámico, siempre en constante revisión.

Hemos pasado a un sistema de seguridad gestionada. El Esquema Nacional de Seguridad es obligatorio para las Administraciones públicas pero también lo pueden utilizar las empresas privadas.

Documento de Seguridad

Se puede incorporar al sistema de gestión de la seguridad de la información por lo que va a seguir siendo útil.

Documentos del Grupo de trabajo europeo

Autoridad principal

La determinación de esa autoridad principal es clave para ejercer las labores de supervisión. Aquí se explican conceptos del RGPD.

Tratamiento transfronterizo: debe ser un tratamiento desarrollado en varios Estados miembros (dos al menos) o debe haber afectados en varios Estados miembros.

Para determinar si existe o no afectación se tienen en cuenta una serie de criterios.

Autoridades afectadas son ante las que se haya presentado una reclamación o las que estén relacionadas con esos tratamientos de datos.

La autoridad principal se identifica:

  • Si hay un solo establecimiento, será la de ese Estado miembro donde esté ese establecimiento.
  • Si hay varios establecimientos, será la de la Administración central que tome decisiones sobre los fines y medios del tratamiento.

Delegados de Protección de Datos

Conceptos clave

  • Autoridad u organismo público
  • Actividades principales como operaciones clave necesarias para conseguir los objetivos del responsable o encargado
  • “Gran escala”: podemos considerar que estamos ante datos a gran escala en atención a:
    • Número de afectados
    • Ámbito geográfico
    • Volumen de datos…
  • Seguimiento regular y sistemático
    • Continuado o que se produce a intervalos concretos
    • Recurrente o repetido en momentos prefijados
    • Que se produce de forma constante o periódica
    • Que se produce de acuerdo con un sistema
    • Preestablecido, organizado o metódico
    • Que tiene lugar como parte de un plan general de recogida de datos
    • Llevado a cabo como parte de una estrategia

Se analiza la obligatoriedad de su nombramiento:

  • Si el responsable es un organismo público
  • Si la actividad principal es el tratamiento de datos sensibles a gran escala (nº de afectados, ámbito geográfico, volumen de datos, etc.).

DPD externo

  • Cumplimiento de requisitos de DPD internos por todos miembros.Los Delegados de Protección de Datos pueden ser externos a la organización pero deben cumplir los mismos requisitos que si fueran internos.
  • Conflictos de intereses

Posición del DPD

  • Implicación en todas las cuestiones
  • Acceso a la gerencia
  • Recursos necesarios
  • Actuación independiente
  • Destitución o sanción
  • Conflictos de intereses

Conocimientos y destrezas del DPD

  • Cualificación profesional y, en especial, conocimiento experto de la legislación y las prácticas de protección de datos así como capacidad de desempeñar sus tareas
  • Nivel necesario de conocimiento experto de acuerdo con las operaciones de tratamiento de datos llevadas a cabo y la protección requerida para los datos personales que se están tratando

Empresas que deben tener DPD

  • El RGPD establece:
    • Administraciones Públicas
    • Tratamiento de datos sensibles a gran escala
    • Seguimiento regular y sistemático a gran escala

Decisión corresponde a responsables y encargados tras analizar su situación

  • Podrían considerarse incluidas en estos criterios, entre otras:
    • Entidades aseguradoras y reaseguradoras
    • Distribuidores y comercializadores de energía eléctrica o gas natural
    • Entidades responsables de sistemas de información crediticia
    • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles
    • Centros sanitarios
    • Centros docentes que ofrezcan enseñanzas regladas, universidades
    • Colegios profesionales
    • Entidades dedicadas al juego on line…
  • Procesos de certificación de profesionales
    • RGPD no establece ningún criterio de titulación para DPD
    • RGPD requiere:
      • Cualidades profesionales, en particular, conocimientos especializados del Derecho y la práctica en materia de protección de datos
      • Capacidad para desempeñarlas funciones
      • Certificación como instrumento de garantía y transparencia para responsables y encargados, pero no única vía de acceso
      • Certificación realizada por entidades certificadoras acreditadas por ENAC
      • Elaboración del Esquema de Certificación en curso. Esquema será público
      • Publicación del Esquema supone inicio de procesos de acreditación de entidades certificadoras AEPD, entidades certificadoras y ENAC monitorizan aplicación del Esquema

Perfil del DPD

  • Del RGPD se desprende que el DPD ha de ser una persona. No obstante:
    • Es posible, y en algunas organizaciones será necesario, que el DPD esté respaldado por una unidad de protección de datos
    • Puede haber organizaciones en que sea necesario que existan DPD para ámbitos funcionales o territoriales específicos

En estos casos, debería existir una única persona que sea quien asuma formalmente la posición de DPD

En el caso de DPD con una relación de servicios es posible que el contrato se formalice con una persona jurídica. La recomendación de las autoridades es que haya una persona responsable última dentro de la entidad que presta el servicio

Portabilidad de los datos

Portabilidad como derecho que refuerza el control del interesado sobre sus datos personales. Este derecho está relacionado con el derecho de acceso.

Contenido

  • Obtener datos personales en un formato “estructurado, de uso común y lectura mecánica”
  • Posibilidad de transmitir los datos de un responsable a otro responsable, directamente cuando sea técnicamente viable

Tratamientos afectados

  • Datos tratados mecánicamente
  • Datos tratados sobre la base de
    • Consentimiento
    • Ejecución de un contrato

Este derecho no condiciona el ejercicio de otros derechos por los interesados.

Tipos de datos incluidos

  • Datos que conciernan al interesado y
  • Proporcionados por el interesado
  • Se incluyen los datos proporcionados de forma activa y consciente por el interesado y los que se generan y recogen a partir de su actividad en el uso de un servicio o dispositivo.
  • Excluye los derivados o inferidos de los datos proporcionados por el interesado
  • El ejercicio del derecho a la portabilidad no debe afectar los derechos y libertades de terceros 4 Uso de datos de terceros por interesado o por nuevo responsable
  • Ejercicio de derecho a portabilidad no afecta a otros derechos
  • Plazos aplicables para todos los derechos
  • Importancia de verificar identidad del interesado
  • Cómo proporcionar los datos
    • Descarga directa
    • Uso de espacio de almacenamiento proporcionado por terceros
    • Transmisión directa responsable a responsable
      • API
      • Sistemas interoperables –Distinto de compatibles

Evaluación de Impacto en la Protección de Datos

  • EIPD como medida de accountability
  • EIPD como procedimiento dirigido a
    • Describir el tratamiento
    • Evaluar su necesidad y proporcionalidad
    • Identificar los riesgos
    • Gestionar los riesgos
  • Posibilidad de EIPD para uno o varios tratamientos similares Se puede realizar hacer para uno o varios tratamientos. Ejemplo: policía municipal va a instalar cámaras en varias estaciones de tren, seria suficiente con una única EIPD.
  • Debe realizarse la EIPD antes de realizar el tratamiento

Criterios para realizar una EIPD

  • Evaluación o scoring
  • Decisiones automatizadas con efectos legales o significativos similares
  • Seguimiento sistemático
  • Datos sensibles
  • Datos a “gran escala”
  • Combinación de bases de datos
  • Datos de personas vulnerables
  • Usos innovadores de tecnologías o soluciones organizativas
  • Transferencias internacionales en determinados casos
  • Tratamientos que priven al interesado de determinados derechos o del acceso a productos o servicios

Valoración

  • Cuántos más elementos, más probable que esté presente el alto riesgo
  • Dos elementos indicio razonable de alto riesgo

Excepciones

  • Listas de tratamientos sin riesgo de APD
  • Tratamiento determinado por obligación legal o interés publico cuando la norma ya incluye evaluación.

Consultas a AEPD

  • Riesgo residual tras EIPD y aplicación de medidas correctoras
  • Posibilidad de que la AEPD
    • Ofrezca recomendaciones
    • Ejerza sus poderes

Nuevas funciones de las Autoridades de control

sesion anual aepdPedro Colmenares Soto, Subinspector General de Inspección de Datos, fue quien expuso el modelo de Autoridad de control y evaluaciones de impacto que todavía se encuentran en transición.

Tendrán nuevas funciones y se rigen por el principio de proactividad.

Entre las nuevas funciones están:

  • Participación en el procedimiento administrativo tanto en procedimientos transfronterizos como en los no transfronterizos.
  • Promoción de buenas prácticas
  • Control sobre la seguridad
  • Evaluación de impacto en Protección de Datos: cuando exista alto riesgo para los derechos y libertades. Estas Autoridades elaborarán una lista de los tratamientos que deben someterse a la EIPD y los que no requieren esa evaluación.

Informes y sentencias relevantes

Ámbito de aplicación

  • No aplicación de la LOPD al tratamiento de datos de personas del entorno familiar de los trabajadores que contrata una entidad cuando para la realización de sus actividades se requiere la denominada “habilitación OTAN” (materia clasificada).

Concepto de dato personal

  • Lo son las informaciones que figuran en el registro del fabricante de un vehículo (revisiones y kilometraje) si se asocian a la matrícula del mismo, que permite identificar al titular por consulta al Registro de Vehículos de la Dirección general de Tráfico.
  • Lo es la IP dinámica (doctrina de la STJUE Breyer).
  • No cabe excluir la existencia de datos en supuestos de publicación de datos del Padrón Municipal en que simplemente se suprime la referencia a los datos de identificación directa; es precisa su agregación para evitar la re-identificación.

Seudonimización

  • Validez de la cesión a un Organismo Estadístico de la información relacionada con la ubicación de la totalidad de los terminales móviles durante un período limitado de días si se adopta un protocolo que garantice que la información facilitada será seudonimizada y se establezcan barreras que impidan la reversibilidad.

Ausencia de proporcionalidad en el tratamiento

  • Solicitud por una empresa de informes comerciales, incluso con consentimiento, de los datos de la clave de acceso a banca on-Iine del interesado para comprobar su solvencia y ceder sus datos a otras entidades financieras para obtener condiciones de acceso a préstamos o contratar directamente uno (se generaría además una quiebra de seguridad).
  • Exigencia a cualesquiera empleados o candidatos a un puesto de trabajo en una entidad financiera de los datos relacionados con sus antecedentes penales, que la Ley sólo exige para verificar la honorabilidad de administradores y directivos.
  • Acceso por una Administración Pública a los datos de salud de las personas vinculadas a un funcionario público por parentesco o relación de hecho para determinar la procedencia de otorgar una determinada licencia. Basta que sea el centro sanitario el que indique la concurrencia de causa para la licencia.
  • Inclusión del dato del número del DNI o del Número de Identificación de Extranjero, en la tarjeta de identidad profesional del personal de seguridad privada, conforme a la doctrina del Tribunal Supremo.

Legitimación basada en el interés legitimo preponderante

  • Software ‘agregador” de información publicada en Internet sobre cualquier persona, para que aparezca en búsquedas relacionadas con su nombre, siempre que la Información se encuentre libremente disponible en Internet y se atiendan en todo caso los derechos de cancelación Y oposición conforme a lo señalado en la sentencia del TJUE de 13 de mayo de 2014.
  • Acceso por una entidad que realiza habitualmente transferencias bancarias a los datos de aquellos titulares a los que haya efectuado Indebidamente y por error un determinado o abono, para poder ejercitar reclamaciones relacionadas con el cobro de lo indebido conforme a los artículos 1089 y 1895 del Código Civil.

Supuestos de existencia de legitimación para tratamiento

  • Tratamiento por una entidad local de datos relativos a víctimas de violencia de genero y sus hijos menores incluidos en un registro autonómico al efecto en virtud de la cobertura legal de una norma autonómica que atribuye competencias a las entidades locales.
  • Cesión por una compañía de suministro eléctrico a la Administración Autonómica de clientes con recibos Impagados para la activación de medidas para afrontar la pobreza energética.
  • Cesión por un Ayuntamiento de datos relativos al consumo de usuarios del servicio de abastecimiento de agua potable a la Administración Autonómica para la gestión de un determinado tributo, en virtud de la normativa reguladora del mismo.
  • Publicación en el portal de transparencia de una Comunidad Autónoma de una relación de nombres y apellidos de liberados sindicales y el importe del coste total de las horas dedicadas a la actividad sindical al amparo en legislación autonómica de transparencia.
  • Cesión por una federación deportiva a clubes deportivos organizadores de competiciones de los datos referidos a sanciones que impliquen suspensión o inhabilitación para participar en una competición, amparada en artículo 11.2 c) LOPD.
  • Cesión al Consejo de Administración de una sociedad de la lista de directivos y sus retribuciones y del listado de contrataciones resto de personal, amparada en las facultades del Consejo previstas en la Ley sociedades de capital.
  • Cesión al responsable de los datos identificativos de los empleados del encargado para la comprobación de su identidad en la aplicación de las medidas de seguridad de identificación y autenticación, al amparo del artículo 11.2.c) LOPD.

sentencia AN aepd

Supuestos en que sólo será posible el tratamiento con el consentimiento

  • Cesión por Colegio Profesional de los datos de los colegiados incluidos en el registro de profesionales para su uso con fines comerciales por una entidad aseguradora.
  • Cesión de datos de clientes de un franquiciado a la empresa franquiciadora, salvo en caso de que ésta pasase a prestar los servicios por extinción de la franquicia, en que se aplicaría el artículo 19 RLOPD.
  • Uso de los datos de contacto de las personas que se han dirigido a un determinado cargo político para enviar a todas de forma indiscriminada una felicitación navideña.
  • Tratamiento por empresa de recobros del dato del teléfono móvil del deudor cuando éste sólo había facilitado al acreedor su teléfono fijo, dado que cabe considerar que se trataría de un medio distinto de comunicación con el deudor.

Supuestos de falta de legitimación

  • Publicación por una entidad local de sentencias dictadas en los litigios en que sea parte sin haberlas sometido a un previo proceso de disociación. No cabe considerarla amparada en la Ley de Transparencia.
  • Acceso por los miembros del Ministerio Fiscal a una aplicación que contiene las grabaciones de las actuaciones judiciales sin discriminar los accesos al mismo ni limitarlos a las actuaciones correspondientes a los procesos en que fuera parte el Ministerio Fiscal.

Datos de salud

  • Instalación de sistemas de vídeo que permitieran el seguimiento continuado de los enfermos con parálisis cerebral con el objeto de realizar el seguimiento de la salud y preservar su interés vital, amparado en los artículos 7.6 y 11.2 f) LOPD. No ampara, sin embargo, el acceso en tiempo real por los familiares de los pacientes.
  • Cesión de datos de la historia clínica a la inspección de servicios sociales de una Comunidad Autónoma.
  • Cesión a la Administración Sanitaria de datos de alumnos que han tenido contacto con un enfermo de tuberculosis en un centro escolar para descartar el contagio (salud pública).

Otros datos especialmente protegidos

  • Religión: publicación de imágenes de actos de culto en Internet. Se considera que los datos se han hecho manifiestamente públicos si los participantes han sido suficientemente informados.
  • Afiliación sindical: la publicación del desglose de horas de crédito horario de los miembros del Comité de Empresa, sin asociara su condición de afiliado a un sindicato, no serían datos especialmente protegidos.
  • Origen racial: Fichero con la finalidad de asegurar la integración de una determinada comunidad. Será posible el tratamiento de datos de origen racial, pero limitado al propio de esa comunidad, sin admitirse ningún otro.

Datos de infracciones penales. Registro de delincuentes sexuales

  • Conservación: procede durante todo el tiempo de duración de la relación laboral.
  • Vigencia de los certificados: tres meses.
  • Nivel de seguridad básico en los ficheros en que se conserven los datos referidos a certificaciones negativas de antecedentes penales.

Tratamiento de datos de menores de edad

  • Control de acceso al comedor escolar mediante tecnología RFID incorporada a pulseras que portarían los alumnos. Necesidad de que con carácter previo se lleve a cabo una EIPD, a fin de determinar su proporcionalidad.
  • Licitud del acceso a datos de alergias o intolerancias alimentarias de los alumnos por la empresa que presta el servicio de comedor escolar, dada su condición de encargada del tratamiento.

Encargado del tratamiento

  • Lo son los peritos de parte cuando acceden a la información obrante en los expedientes judiciales que contienen datos de carácter personal.
  • La contratación de un encargado único para un grupo empresarial por la matriz ubicada en otro Estado Miembro exige, respecto del responsable sometido a la LOPD, que se confiriera la matriz representación expresa.

Derecho de cancelación

  • No procede la cancelación de los datos obrantes en el informe de evaluación psicopedagógica y el dictamen de escolarización de un menor de edad.

Derechos a cancelación y oposición en motores de búsqueda

  • Procedencia en caso de publicación de los datos del afectado en un articulo de investigación jurídica. Solución preferible a la aplicación por la publicación de sistemas de exclusión.
  • Improcedencia en la solicitud referida a los datos de participación del afectado como candidato en un proceso electoral.

Solvencia

  • Obligación de que el acreedor notifique al fichero común los supuestos en que una deuda deviene provisionalmente inexigible en virtud del beneficio de pasivo insatisfecho concedido conforme al art. 178 bis de la ley concursal.

Videovigilancia

  • Sistemas de videovigilancia en la parte trasera de grúas, que recogen imágenes de las operaciones de recogida y subida del vehículo a las mismas. Amparo en interés legítimo prevalente si se limitan a las operaciones citadas.
  • Instalación de sistemas de videovigilancia en piscinas y spas con fines de garantía de calidad sanitaria y de seguridad de las personas, siempre que se muten a zonas de uso publico y no a espacios reservados como vestuarios o aseos.
  • Captación de imágenes a través de “drones”. Aplicación de criterios del WP29.

sentencias recurridas lopd

Dictámenes conjuntos con el CTBG: Criterio 2/2016, de 5 de julio

  • Acceso a información de las agendas de responsables públicos.
  • Acotaciones previas:
  • Reuniones celebradas en la condición de responsable público.
  • Disponibilidad de
  • la información.
  • Información de responsables públicos:
  • Identificación únicamente en caso de órganos directivos y asimilados.
  • En los restantes supuestos, referencia al órgano.
  • Entidades privadas:
  • Identificación en caso de administradores y directivos.
  • No identificación de asesores o consultores, ni siquiera por referencia a la empresa de asesoría o consultoría.
  • En los restantes supuestos, identificación de la empresa y, a lo sumo, el departamento.
  • Solución caso a caso en el supuesto de personas físicas.
  • Posible revelación si existe previo consentimiento con los requisitos de la LOPD
  • Aplicación posterior de los restantes límites al acceso a información publica.

Sentencia de 28 de julio de 2016 (C-191/ 15; Amazon)

  • Determinación de la legislación de protección de datos aplicable en relación con las empresas de comercio electrónico que dirigen sus actividades a Estados en que no tienen establecimiento.
  • Aplicación de la doctrina de las sentencias Google y Weltimo. Es preciso que el tratamiento se lleve a cabo en el contexto de las actividades de un establecimiento en el Estado Miembro.
  • Concepto amplio de establecimiento, aunque no es suficiente la mera posibilidad de acceso desde el estado en cuestión al sitio de Internet del responsable.
  • El órgano nacional deberá determinar, en caso de existir establecimiento, si el tratamiento se lleva a cabo en el contexto de sus actividades.

Sentencia de 19 de octubre de 2016 ((:-582114; Breyer)

  • Carácter de dato personal de la dirección IP dinámica:
  • Lo es para el proveedor de acceso (sentencia Scarlet Extended).
  • Para los prestadores de servicios:
    • Los medios de identificación no tienen que estar necesariamente en poder del sujeto en cuestión.
    • Posibilidad de acceso a la Información del proveedor de acceso para actuar en caso de ataque por denegación de servicio.
  • Legitimación para el tratamiento de la IP por prestadores de servicios:
  • Limitación por la Ley nacional a “posibilitar o facturar servicios”, pero no a garantizar su funcionamiento por quien no es proveedor de acceso.
  • Esta limitación es contraria al derecho de la Unión, porque el tratamiento puede estar amparado en el artículo 7 f) de la Directiva.

Sentencia de 21 de diciembre de 2016 ((:-203] 15 y C-698/15;Tele2 Suecia)

  • Conformidad de las disposiciones de trasposición de la Directiva 2006/24/CE con el derecho de la Unión (Suecia y UK).
  • Remisión a la doctrina general establecida en la sentencia de 8 de abril de 2014 (anulación de la Directiva, Asunto Digital Rights Ireland).
  • Análisis de las normas nacionales a la luz del artículo 15.1 de la Directiva 2002/28/CE por ser ésta la actual cobertura legal.
  • Sería contraria al derecho de la Unión una norma que:
  • Estableciera la conservación generalizada de todos los datos de tráfico de todos los abonados o usuarios de todos los medios de comunicación electrónica.
  • No limite el acceso a los casos de delincuencia grave.
  • Que no supedite el acceso a la existencia de control judicial o administrativo previo.
  • No exija la conservación de los datos en el territorio de la Unión.
  • Requisitos de la Ley nacional:
  • Limitación de la medida a lo estrictamente necesario y conservación basada en criterios objetivos (delimitación de los datos y el colectivo afectado; posible aplicación del criterio geográfico).
  • Adopción de medidas reforzadas de seguridad.
  • Conclusión: se considera que las leyes analizadas son contrarias al derecho de la Unión dada su generalidad y la inexistencia de control judicial o administrativo previo.

Sentencia de 15 de marzo de 2017 (C-536/15; Tele2 Paises Bajos)

  • Acceso por una empresa dedicada a la elaboración de guías de abonados a los datos de abonados de operadores de otro Estado Miembro para la realización de un directorio sobre dicho Estado.
  • El Tribunal considera contrario al derecho de la Unión:
    • La limitación de la entrega de los datos a entidades de la misma nacionalidad que el operador, dado que supone una vulneración del principio de no discriminación.
    • La exigencia de un consentimiento para llevar a cabo esta entrega especufico y distinto del prestado con caracter general para la aparición en guías si la, entidad del tercer Estado va a publicar gunas similares a aquellas respecto de las que ya existe el consentimiento.Sí será exigible el consentimiento adicional en los supuestos previstos en la Directiva 2002/58/CE (por ejemplo, publicación de directorios inversos).

Doctrina de la Audiencia Nacional

Ámbito de aplicación

  • Exclusión de datos de personas de contacto:
    • Publicación de actas de inspección de trabajo con identificación de representantes de la empresa y su puesto en la misma.
    • No se excluye en caso de call center sobre contratos de leasing y renting en que se piden datos adicionales de identificación.
  • Exclusión de personas fallecidas:
    • Si no se atiende la solicitud de cancelación de sus datos no cabría tramitar procedimiento sancionador por vulneración de calidad de datos, pero sí tutela de derechos.
    • Otros supuestos: correo electrónico en que se incluye información del afectado

Principio de exactitud

  • Vulnerado en caso de cargo de facturas a cuenta distinta de la facilitada por el interesado para tal fin, aunque se cuente con dicha información.

Deber de información

  • Vulneración en caso de datos recogidos telefónicamente si no existe locución informativa.

Legitimación: regla del equilibrio de derechos e intereses

  • Confirmación de su aplicabilidad en videovigilancia.

Otros supuestos de legitimación

  • Habilitación legal en cesión de créditos: arts. 347 y 348 Ccom. Siempre que:
  • Se informe fehacientemente al interesado de la cesión (reglas similares al requerimiento de pago).
  • No exista litigio sobre la deuda objeto de cesión.
  • Inexistencia de legitimación específica para el acceso por la matriz a los datos de una filial comercializadora de energía sin consentimiento.
  • Falta de legitimación para el uso de los datos de cuenta corriente para cargar recibos de un familiar (fin ilícito).

Contratación

  • Competencia de la AEPD para resolver reclamaciones de abonados de comunicaciones electrónicas en lo que afecta a protección de datos.
  • Supuestos en que no existen indicios:
    • La grabación que se aporta no se corresponde con una verificación.
    • No se ha verificado la identidad con aportación del DNI.
    • Uso por distribuidor de datos obtenidos por otros medios para simular contratos.
    • Aunque se han abonado recibos:
      • El abonado tiene otras líneas contratadas.
      • Los pagos se han hecho en metálico en correos.
  • Inclusión como “abonado” del cónyuge de la abonada que había sido comunicado por ella como “contacto alternativo”.
  • Contrato on-line en que no se requiere ninguna acreditación posterior dela identidad ni se realiza verificación posterior.

Contrato con quien expresamente había manifestado no querer.

Encargado del tratamiento

  • Responsabilidad del responsable por culpa in vigilando:
  • No cabe alegar confianza legítima en la existencia de verificación en caso de contratación irregular.
  • No utilización por el encargado de la lista Robinson facilitada por el responsable.

Ejercicio de derechos

  • La reclamación al responsable es requisito sine qua non para solicitarla tutela de la Agencia.
  • Aplicación de su régimen específico:
    • Solicitud de rectificación y cancelación de saldo de puntos: deberá efectuarse conforme a la Ley de Seguridad Vial.
    • Historias clínicas. Aplicación de la normativa reguladora de la autonomía del paciente.

Derechos en relación con las historias clínicas

  • Acceso:
  • No incluye documentos ajenos a la misma como las órdenes judiciales de internamiento en el centro.
  • Rectificación:
  • No es aplicable para modificar un informe médicos sobre la base de considerarse erróneo.
  • Cancelación:
  • No basta la mera alegación del transcurso del plazo mínimo de cinco años si el centro considera necesaria la información para la adecuada asistencia sanitaria.

Derecho de oposición

  • Motores de búsqueda: aplicación de la doctrina del TS en relación con Google: reclamación contra Google Inc.

Seguridad

  • Vulneración por publicación “en claro” sin necesidad de usuario ni contraseña de expedientes judiciales y administrativos de tasación de inmuebles por una asociación.

Solvencia

  • Requisitos de la deuda
  • Ilicitud de la inclusión anterior al cumplimiento del plazo dado en el requerimiento.
  • Improcedencia de incluir deuda sometida a arbitraje o reclamación durante toda su duración.
  • Requerimiento de pago
  • Licitud de su exigibilidad al amparo de los arts. 1100 Cc y 63 Ccom, que lo exigen para que el deudor se constituya en mora.
  • Prueba:
    • No basta la acreditación de la mera puesta en correos si no acredita la entrega.
    • Se apreciará que no existe si así se ha declarado por la jurisdicción civil.
    • Insuficiencia de los requerimientos efectuados por sms o por correo electrónico al no poder probarse su recepción:
      • Incluso cuando hay comportamientos del deudor que implican la recepción habitual de sms o correo del acreedor.
    • Insuficiencia del requerimiento telefónico si no consta la deuda y la consecuencia del incumplimiento.
    • Si existe prueba si el deudor se ha dirigido al acreedor para oponerse a la deuda a la que se refiere.

Tratamiento con fines de publicidad o prospección

  • Consentimiento insuficiente:
    • En caso de que se solicite por una cláusula general que se remita a las condiciones particulares disponibles en un sitio web.
    • Si el contrato se refiere sólo a productos o servicios propios y la empresa ofrece los de terceros.
  • Supuestos de oposición:
    • Ficheros de exclusión general.
    • Exclusión en guías telefónicas (“U”).
    • Ejercicio del derecho en relación con el propio responsable.
  • Spam
    • Para la determinación de carácter masivo se puede tener en cuenta el envío a diversas cuentas del denunciante.
    • Ejercicio de la oposición:
      • Es posible a través de medios distintos de los indicados en los correos.
      • Puede incluso incorporarse a una queja de otra naturaleza dirigida al departamento de atención al cliente.
      • Es también aplicable cuando se trata de “productos o servicios similares”.

Actuaciones de investigación

  • La AEPD puede no llevarlas a cabo en caso de que el denunciante no aporte una mínima acreditación de la comisión de una infracción.
  • Resulta irrelevante para su tramitación la existencia de motivos distintos en el denunciante o el planteamiento por éste ante el responsable de la posibilidad de llegar a un “arreglo amistoso
  • No existe secreto de las comunicaciones por el acceso por los inspectores a los sistemas de información, incluyendo bandejas de correo, si se ha hecho en presencia del inspeccionado y consta en acta firmada por éste.

Caducidad:

  • El cómputo es de fecha a fecha y no de hora a hora.
  • Es posible la apertura de unas nuevas actuaciones tras la caducidad si la infracción no ha prescrito.
  • Notificación: deberá existir una hora de diferencia entre los dos intentos de notificación en fechas consecutivas.

Prescripción. Dios a quo

  • En caso de publicación indebida de una resolución en BC, será el día de la publicación.
  • En caso de cesión de datos, el día en que la misma se produjo. Prescripción instantánea y no continuada porque el cesionario trate los datos.
  • En caso de falta de requerimiento de pago en tanto no se produzca.

Criterios de atenuación

  • Cuestión general: los tenidos en cuenta para aplicarla reducción del 45.5 no deben ser nuevamente tenidos en cuenta para calcular la cuantía de la sanción.
  • Falta de beneficios:
    • No puede invocarse si los datos se tratan para ofrecer servicios de terceros.
    • No puede invocarse cuando se giran facturas al afectado.
  • Regularización diligente:
    • Corrección tan pronto se tuvo conocimiento de la actuación de inspección o la AEPD requirió información.
    • No existe cuando tiene lugar ocho meses después de la queja del interesado.
    • En solvencia no puede apreciarse si los datos permanecieron erróneamente en el fichero dieciocho meses.
  • Ausencia de perjuicios:
    • No puede alegarse si el afectado tuvo que presentar varias reclamaciones (SETSI, OMIC) o una demanda civil.
    • Irrelevancia de la motivación o supuesta “coacción” del denunciante.
  • Apercibimiento:
    • Nunca puede tener carácter sustitutorio de una sanción impuesta.
    • No cabe imponerlo si las medidas correctoras se han adoptado antes de la resolución.
    • No cabe apreciarlo en infracciones leves por considerarse aplicable el 45.5.
    • En caso de incumplimiento procede la apertura de procedimiento sancionador por no atender el requerimiento.

 

9ª Sesión anual abierta de la Agencia Española de Protección de Datos 2017
4.7 (93.33%) 6 votos
Compartir