El flujo trasfronterizo de datos personales ante la materialización del Brexit
17 febrero 2021
¡Objetivo Cumplido!
18 marzo 2021
BOLETÍN NEWSLETTER - FEBRERO 2021
De carácter general
Aprobado el Proyecto de Ley orgánica que regula la protección de los datos personales utilizados en las labores de prevención, detección, investigación o enjuiciamiento de infracciones penales, así como en la protección y prevención frente a las amenazas contra la seguridad pública que transpone la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
https://www.congreso.es/public_oficiales/L14/CONG/BOCG/A/BOCG-14-A-46-1.PDF
El 9 de febrero el Consejo de Ministros aprobó este Proyecto de Ley orgánica que prevé sanciones de hasta 240.000 euros. El Gobierno lo ha remitido a las Cortes Generales para su tramitación parlamentaria por procedimiento de urgencia dado el retraso acumulado *(1).
El Proyecto de Ley consta de 61 artículos estructurados en ocho capítulos, dos disposiciones adicionales y once disposiciones finales, que transponen la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
El proyecto de ley establece un especial régimen sancionador para aquellos que no cumplan sus preceptos. Las sanciones previstas oscilan entre los 6.000 y los 240.000 euros.
El tratamiento de datos llevado a cabo por los Tribunales y en el marco de la gestión de la Oficina judicial se someten a la normativa sobre protección de datos en vigor (es decir, Directiva 2016/680; y subsidiariamente RGPD y LOPDGDD), sin perjuicio de las especialidades:
Los Tribunales podrán tratar datos de carácter personal, atendiendo a su naturaleza, con fines:
Jurisdiccionales:
Se limitará a los datos en tanto se encuentren incorporados a los procesos de que conozcan y su finalidad se relacione directamente con el ejercicio de la potestad jurisdiccional. El responsable del tratamiento será el órgano jurisdiccional u Oficina judicial ante el que se tramiten los procesos
No jurisdiccionales:
Será responsable de este tipo de ficheros la Oficina judicial correspondiente al órgano judicial con el que se relacionen los datos
Consentimiento del interesado. No se exige el consentimiento del interesado.
Supresión de datos y acceso a las resoluciones. Los Jueces y Tribunales, y los Letrados de la Administración de Justicia podrán adoptar las medidas que sean necesarias para la supresión de los datos personales de los documentos a los que puedan acceder las partes durante la tramitación del proceso siempre que no sean necesarios para garantizar su derecho a la tutela judicial efectiva.
Cesiones o comunicaciones de datos. Las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento, en relación con los datos tratados con fines jurisdiccionales se tramitarán conforme a las normas que resulten de aplicación al proceso en que los datos fueron recabados, no siendo de aplicación las disposiciones establecidas en la normativa de protección de datos.
Tratándose de datos sometidos a tratamiento con fines no jurisdiccionales, los interesados podrán ejercitar sus derechos en los términos establecidos en la normativa de protección de datos.
Competencia de la AEPD. El RGPD establece, en su artículo 55.3 que la AEPD no es competente para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.
Acceso de las partes procesales al expediente judicial. Las partes pueden tener acceso a las actuaciones procesales y han de tener acceso completo a los actos procesales y pueden pedir y obtener las copias y testimonios que precisen, sin necesidad de acreditar otro interés legítimo que el carácter de parte. Salvo que se haya acordado, eso si, la reserva para ello, por la declaración del secreto de las actuaciones o por la protección de un testigo.
Declaración del secreto de las actuaciones. Si el delito fuere público, podrá el Juez de instrucción, a propuesta del Ministerio Fiscal, de cualquiera de las partes personadas o de oficio, declararlo, mediante auto, total o parcialmente secreto para todas las partes personadas, por plazo máximo de un mes.
Protección de testigos y peritos. Otro caso de denegación de acceso de las partes a datos del proceso lo encontramos en los supuestos en los que se acuerda, por resolución judicial motivada, la protección de un testigo, acordando que no consten en la causa los datos del mismo.
Publicación de datos por edictos. La publicación a través de edictos únicamente está justificada cuando existe imposibilidad de notificación personal o a través de un tercero.
Datos contenidos en Sentencias y resoluciones judiciales. El acceso al texto de las sentencias, o a determinados extremos de estas, o a otras resoluciones dictadas en el seno del proceso, sólo podrá llevarse a cabo previa disociación de los datos de carácter personal que los mismos contuvieran.
*(1) “La ley conjuga el doble objetivo de favorecer la ineludible cooperación internacional policial y judicial europea en este campo con la protección y defensa de los derechos de los ciudadanos, en especial del derecho a la intimidad reconocido en el artículo 18.4 de la Constitución”, según ha destacado la portavoz del Gobierno, María Jesús Montero
Se ha publicado el borrador de la DECISIÓN DE EJECUCIÓN DE LA COMISIÓN de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre la protección adecuada de los datos personales por parte del Reino Unido.
La Comisión Europea ha confirmado que ha preparado dos Decisiones de adecuación para transferencias de datos personales al Reino Unido, una en virtud del RGPD y la otra para la Directiva de aplicación de la ley. Se considera que el Reino Unido y el DPA 2018 garantizan un nivel de protección de los datos personales que es equivalente al garantizado por el Reglamento (UE) 2016/679. Además, la Comisión considera que, en su conjunto, los mecanismos de supervisión y las vías de reparación de la legislación del Reino Unido permiten identificar y sancionar en la práctica las infracciones y ofrecen recursos legales al interesado para obtener acceso a los datos personales que le conciernen. y, eventualmente, la rectificación o supresión de dichos datos.
La propuesta de Decisión de la Comisión que cubre esta directiva puede encontrarse en,
El proyecto de Decisión GDPR está disponible en,
La Comisión solicitará ahora un dictamen sobre su proyecto de legislación al Consejo Europeo de Protección de Datos (EDPB) antes de someter el asunto a la aprobación de los Estados miembros.
No
Durante este período, los flujos de datos entre el Espacio Económico Europeo (EEE) y el Reino Unido están protegidos por un régimen provisional condicional que expira el 30 de junio de 2021.
Información sobre Sanciones. La AEPD…
… impone al BBVA sanciones por importe total de CINCO MILLONES DE EUROS por infracciones en cuanto a la obligación de informar y a la legitimación del tratamiento.
https://www.aepd.es/es/documento/ps-00070-2019.pdf
La resolución de la AEPD analiza la información ofrecida en la Política de Privacidad por parte de BBVA. Evalúa:
─ el cumplimiento por parte de BBVA del principio de transparencia establecido en los artículos 5, 12 y siguientes del RGPD, y preceptos relacionados; los distintos tratamientos de datos personales de sus clientes que lleva a cabo la entidad conforme a la información ofrecida; y el análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados.
La AEPD, en relación con los artículos 13 y 14 del RGPD, determina que BBVA “no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de la información sometida a tratamiento y su posterior utilización.”
Afirma la AEPD que el responsable del tratamiento no diseñó un mecanismo adecuado para recabar el consentimiento de sus clientes. Lo realizado por BBVA es solicitar del interesado una negativa expresa, provocando que no marcar la casilla constituya un consentimiento tácito lo que resulta contrario a la clara acción afirmativa que requiere el RGPD para la configuración del consentimiento.
Por otra parte, las bases de legitimación en las que se basaba el BBVA para proceder al tratamiento de los datos de los usuarios no son adecuadas dado que
“no se estima suficientemente justificado el interés legítimo en el tratamiento de los datos de los clientes con la finalidad de elaborar el modelo de negocio de la entidad, valorar nuevas funcionalidades o remitir felicitaciones a los clientes.” O,
porque directamente existen otros tratamientos de datos que constan en la política de
privacidad que se llevan a cabo sin ninguna base de legitimación.
AEPD resuelve,
─ que se produce infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD, una multa por importe de 2.000.000 euros
─ así como una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, una multa por importe de 3.000.000 euros.
Además, BBVA queda requerido para que en el plazo de seis meses se adecúe a la normativa de protección de datos personales.
...Impone una multa récord a Vodafone España S.A.U por el valor de 8.150.000 de euros
https://www.aepd.es/es/documento/ps-00059-2020.pdf
Se multa a Vodafone por:
- una infracción del artículo 44 del RGPD tipificada conforme el artículo 83.5.c) del RGPD (4.000.000 €).
- Una infracción del artículo 44 del RGPD (2.000.000 €).
- Una infracción del artículo 21 de la LSSICE, tipificada como grave en el artículo 38.3.d) y c) (150.000 €). Y
- por infracción del artículo 48.1.b) de la LGT, en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD, (2.000.000 €).
La compañía manifiesta en medios de información pública que procederá a presentar recurso:
https://www.elconfidencial.com/tecnologia/2021-03-12/aepd-vodafone-multa-millonaria-record-rgpd_2988888/… impone a CAIXABANK, S.A., sanciones por importe total de SEIS MILLONES DE EUROS por infracciones en cuanto a la obligación de informar y a la legitimación del tratamiento.
https://www.aepd.es/es/documento/ps-00477-2019.pdf
Cuestiones relevantes de la resolución de la AEPD,
─ CAIXABANK, S.A., ha cometido una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD, una multa por importe de 2.000.000 euros.
─ CAIXABANK, S.A., ha cometido una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, una multa por importe de 4.000.000.
─ CAIXABANK, S.A., queda requerida para que en el plazo de seis meses se adecúe a la normativa de protección de datos personales.
La investigación comienza con la denuncia de un cliente de CAIXABANK, respecto a la imposición de aceptar la cesión de sus datos personales a todas las empresas del grupo. Por otra parte FACUA, presenta también una reclamación contra CAIXABANK en relación con el “Contrato marco” que suscriben los clientes de la entidad bancaria en el que se recogen sus datos personales y que considera como un contrato de adhesión.
La primera infracción que se le imputa es la de los artículos 13 y 14 del RGPD relativo a la información que debe brindarse a los interesados respecto a los tratamientos, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD, sancionado con una multa por importe de 2.000.000 euros. Una vez analizadas las políticas de privacidad ofrecidas por la compañía, la AEPD afirma que la información ofrecida por CAIXABANC en los distintos documentos y canales no es uniforme, al utilizar terminología imprecisa y no proporcionar la información necesaria sobre el tipo de datos tratados en relación con finalidades específicas.
Por otra parte, la AEPD expone la “insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo. Incumplimiento de los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada. Deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales. Cesión ilícita de datos personales a empresas del Grupo CaixaBank. Por este motivo la Agencia resuelve que Caixabank ha incumplido el artículo 6 del RGPD, calificado como muy grave tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, sancionando con una multa por importe de 4.000.000 euros, quedando además requerida para en el plazo de seis meses adecúe a la normativa de protección de datos personales.
… impone a GLOVO una multa de 25.000 € por no designar un Delegado de Protección de Datos.
https://www.aepd.es/es/documento/ps-00417-2019.pdf
El reclamado alegaba encontrarse exento de la obligación de nombrar un Delegado de Protección de datos y que, no obstante, contaba con un Comité de Protección de Datos, que lleva a cabo las funciones propias de esta figura descritas en el artículo 39 del RGPD.
La AEPD considera que la falta de designación de DPD, da lugar a la vulneración del artículo 37.1b) del RGPD en relación con el artículo 34 de la LOPDGDD, al realizar la reclamada un tratamiento de datos personales a gran escala. Suman como agravantes el número de interesados afectados, ya que la reclamada realiza un tratamiento de datos personales a gran escala por el número de clientes que tiene (artículo 83.2 a) y en segundo lugar por encontrarse afectados los identificadores personales básicos (artículo 83.2 g). Bajo estos fundamentos se sanciona a la mercantil por una infracción del artículo 37 del RGPD, tipificada en el artículo 83.4 del RGPD, una multa de 25.000 €
…impone una multa de 5000 euros a una micropyme por una infracción del artículo 13 del RGPD
https://www.aepd.es/es/documento/ps-00062-2020.pdf
A partir de una denuncia formulada ante la AEPD respecto a la página web de una empresa que ofrecía servicios de consultoría relacionados con funciones de protección de datos personales utilizando el logo de AEPD junto a los suyos como “un todo homogéneo”, se inician las actuaciones de investigación por parte de la agencia. La utilización del logo de la AEPD se exponía en la web de modo tal que según el denunciante la intención era «la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos» y considerándolo como prácticas agresivas en la materia de protección de datos.
Respecto a las prácticas agresivas en materia de protección de datos (concretamente encuadrables en las letras b) y c) de la disposición adicional decimosexta de la LOPDGDD) la AEPD señala en la resolución sancionatoria que su regulación se lleva a cabo por la Ley 3/1991, de 10 de enero, de Competencia Desleal, no ostentando competencias en dicha materia.
La investigación también constató que la “empresa de asesoramiento, entre otras cuestiones, sobre protección de datos, carece de política de privacidad y recoge datos en su formulario de contacto sin que sea necesario la aceptación del tratamiento.” En la web constaba un formulario a cumplimentar con datos personales para contactar con la empresa y se constató que no contenía información prevista por el artículo 13 del RGPD respecto a la información que debe facilitarse cuando los datos se obtengan del interesado. El denunciado alegó que el formulario no estaba operativo por lo que incluyó la dirección de correo electrónico de la empresa junto al formulario. Debido a que el sitio web ya no era accesible cuando la AEPD realizó las comprobaciones, no se pudo comprobar la inoperancia del formulario alegado por el demandado.
El resultado fue la sanción con arreglo a lo dispuesto en el artículo 83.5 del RGPD por una infracción del artículo 13 del RGPD.
…impone sanción de apercibimiento a un alcalde, por publicar una sentencia en su cuenta de Facebook.
https://www.aepd.es/es/documento/ps-00070-2020.pdf
El reclamante que en su momento ejerció como personal laboral, auxiliar administrativo en el Ayuntamiento expuso en su página de Facebook un mensaje en relación un proceso judicial en el que se veía envuelto con el Ayuntamiento donde desempeñaba estas funciones. En respuesta a este mensaje el alcalde, en su página personal y sin referencia alguna al Ayuntamiento, expuso un escrito de respuesta titulado “COMUNICADO OFICIAL” haciendo alusión al comentario del reclamante y que posteriormente firma como alcalde, compartiendo a continuación la sentencia integra sin ocultar los datos del demandado ni ningún otro detalle del asunto.
La AEPD en los fundamentos de derecho de esta resolución sancionatoria hace alusión a la doctrina jurisprudencial que distingue entre el derecho a la protección de datos y la protección a la privacidad configurándolos como derechos fundamentales separados, cita la AEPD a la sentencia para recordar que el derecho a la protección de datos personales “también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.”
La AEPD expone en su resolución que “el reclamado que forma parte de una institución pública, aunque vierta sus opiniones en una red privada y particular donde figura como usuario particular, podría haber combatido la libertad de expresión de otro modo, sin necesidad de la exposición integra de una sentencia.” y que “ el derecho fundamental del reclamante, a que sus datos no sean utilizados ni de forma sorpresiva, ni en redes sociales, asociados al desarrollo de su tarea, cuando se trata de contrargumentar por el reclamado las manifestaciones del reclamado suponen un uso no legítimo de dichos datos, no adecuado, necesario, ni justificado”
La resolución impone una infracción del artículo 5.1.a) del RGPD, conforme determinan los artículos 83.5 a) y el 58.2.b) del RGPD.
De Jurisprudencia
Sentencias para recordar,
08/02/2021 STS 247/2021 - ECLI: ES:TS:2021:247
Tribunal Supremo. Sala de lo Civil de Madrid
https://www.poderjudicial.es/search/AN/openDocument/68f02bf336eefa29/20210215
La actora interpuso demanda contra Caixabank, S.A., en ejercicio de acción de defensa de sus derechos fundamentales por entender vulnerado su derecho al honor como consecuencia de la indebida inclusión, el 27 de marzo de 2014, de sus datos personales en los ficheros de morosos Asnef- Equifax y Experian-Badexcug, hasta finales de 2016
Se desestima el recurso de casación interpuesto por la actora.
En sentencia 562/2020, de 27 de octubre, se declaró:
"Es cierta la doctrina de la sala que trae a colación la recurrente, con cita de la sentencia 174/2018 de 23 de marzo, sobre el llamado "principio de calidad de datos", en el sentido de que no cabe incluir en los registros de morosos datos personales por razón de deudas inciertas, dudosas, no pacíficas o sometidas a litigio,[…]”
"Pero, también es cierto que esta doctrina hay que matizarla, como sostiene la sentencia 245/2019, de 25 de marzo, cuando afirma que "lo anterior no significa que cualquier oposición al pago de una deuda, por injustificada que resulte, suponga que la deuda es incierta o dudosa, porque en tal caso la certeza y exigibilidad de la deuda se dejaría al exclusivo arbitrio del deudor, al que le bastaría con cuestionar su procedencia, cualquiera que fuera el fundamento de su oposición, para convertir la deuda en incierta".
Aplicada esta doctrina jurisprudencial al supuesto de autos debemos declarar, al constar como hechos probados:
1.- La demandante adeudaba un principal de 225,98 euros, derivado del uso de una tarjeta bancaria.
2.- Fue requerida de pago varias veces.
3.- La demandante solo reaccionó cuando comprobó que estaba incluida en el fichero.
4.- El banco, tras la queja presentada contra él en el Banco de España, condonó los intereses, quedando pagado el principal por compensación y dejando sin efecto la inclusión de la demandante en los ficheros de solvencia.
09/02/2021 STS 247/2021 - ECLI: ES:TS:2021:247
Tribunal Supremo. Sala de lo Civil de Madrid
https://www.poderjudicial.es/search/AN/openDocument/4d70bd337046c2f7/20210223
Se declare vulnerado el derecho al honor y a la intimidad personal de D. R y D.ª R , por parte de D. P con las publicaciones que hizo sobre ellos en su perfil de Facebook los días 28 de diciembre de 2016, 30 de diciembre de 2016 y en la nota publicada el 4 de enero de 2017 que envió a los periódicos Faro de Vigo y La Voz de Galicia indicadas en la presente demanda que afectan a su reputación y buen nombre, desmereciéndola gravemente en la consideración ajena y se condene a estar y pasar por eso.
Confirma el fallo de la sentencia dictada con fecha 8 de enero de 2020 por la Audiencia Provincial de Pontevedra.
─ Sentencia por la que, estimando la demanda, declaró vulnerado el derecho al honor de los demandantes con la publicación realizada por el demandado en su perfil de Facebook el día 28 de diciembre de 2016 y le condenó a indemnizar a los actores.
27/11/2020 STS 4016/2020 - ECLI: ES:TS:2020:4016
El Tribunal Supremo reconoce el derecho al olvido de búsquedas en internet realizadas con los dos apellidos de la persona afectada. https://www.poderjudicial.es/search/openDocument/f83656617da28f9f
La Sala de Sala de lo Contencioso-Administrativo resuelve el caso planteado por una persona que había solicitado a Microsoft Corporation, gestor del buscador Bing, la desindexación de las Urls para las búsquedas realizadas no solo por su nombre completo, sino también por sus dos apellidos. Microsoft Corporation accedió a la primera petición, pero rechaza la segunda basándose en que los dos apellidos no constituyen identificador inequívoco de una persona. La Agencia Española de Protección de Datos (AEPD) en su contestación a la reclamación en relación con los dos apellidos, tampoco accedió, ya que de acuerdo con la doctrina del Tribunal de Justicia de la Unión Europea se refiere a las búsquedas efectuadas en un buscador a partir del nombre de la persona. La Audiencia Nacional confirmó la resolución de la AEPD al considerar que, conforme a la normativa del Registro Civil, las personas son designadas por su nombre y apellidos.
Es interesante el resultado de este recurso que no por resolverse bajo las normativa anterior pierde vigencia ya que se considera que el criterio mantenido en la sentencia impugnada carece de apoyo en la normativa reguladora de la protección de datos personales de la Unión Europea y en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, pues “supondría restringir, injustificadamente, el derecho, del que es titular la persona afectada, de exigir al gestor de un motor de búsqueda la eliminación de la lista de resultados, obtenida como consecuencia de una búsqueda realizada a partir de nombre con el que se le identifica ordinariamente en la esfera privada o pública, vinculados a páginas webs, que contienen datos e informaciones relativos a su persona, debido a que estos datos e informaciones pueden perjudicarle o desea que se olviden, en determinadas circunstancias, transcurrido un lapso de tiempo que revela su obsolescencia, con la finalidad de salvaguardar su derecho al honor, a la intimidad, así como el derecho a preservar su propia imagen reputacional”.
24/11/2020 SAN 3995/2020 - ECLI: ES:AN:2020:3995
La Sala de lo Contencioso-administrativo de la Audiencia Nacional fija que los datos sobre dopaje son datos sobre la salud del deportista y, por tanto, una infracción en materia de protección de datos en este ámbito constituye una falta muy grave. https://www.poderjudicial.es/search/openDocument/067a18d2d8fd5dc9
El deportista afectado denunció ante la Agencia de Protección de Datos (AEPD) que la Agencia Española para la Protección de la Salud en el Deporte (AEPSAD) había revelado datos de su salud al publicar sus alegaciones en el expediente que se le había abierto por dopaje.
La AEPD consideró que había incurrido en una falta muy grave al infringir el artículo 7.3 de la Ley Orgánica de Protección de Datos, que establece que los datos de carácter personal sobre la salud sólo pueden ser recabados, tratados y cedidos por razones de interés general, cuando así lo disponga una ley o el afectado consienta expresamente. La reclamada recurrió ante la Audiencia Nacional al entender que los datos publicados no eran datos de salud y por tanto la infracción debería calificarse como grave y no muy grave.
El tribunal rechaza el recurso y explica que, en el ámbito específico de las normas deportivas, “la lucha contra el dopaje está estrechamente vinculada con la salud de los deportistas, como no podía ser de otra manera, ya que el uso y consumo de determinados productos pueden falsear el rendimiento individual y, por ello, están prohibidos en las competiciones deportivas, pero, además afectan directamente a las condiciones físicas de los usuarios y por tanto, también su salud”.
