Autor: AdmEkateko

El Tribunal de Justicia Europeo (TJUE) ha declarado en su sentencia la invalidez de la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. conocido como Privacy-Shield.

Son muchas las preguntas que como responsables del tratamiento de los datos nos surgen a raíz de esta sentencia. Por ejemplo, ¿puedo seguir utilizando los servicios en la nube facilitados por proveedores americanos? ¿qué debemos tener en cuenta para que éstas cumplan la normativa europea?

Las transferencias internacionales podrán realizarse bajo la celebración de las Cláusulas contractuales tipo de la Decisión 2010/87, que regulan los contratos de acceso a datos por cuenta de terceros ya que éstas no han sido invalidadas por el TJUE. En cuanto a la utilización de estas Cláusulas, el CEPD está estudiando incorporar medidas adicionales para garantizar un nivel de protección adecuado. Mientras tanto, se deja en manos del responsable (el exportador de datos) la valoración, entre otros requisitos, las medidas de seguridad aportadas por el proveedor de servicios.

El CEPD insta a utilizar mecanismos de excepción del art. 49RGPD, por ejemplo, el consentimiento del interesado. Este debe ser explícito, específico para esa transferencia e informado de los riesgos de la falta de protección adecuada.

La AEPD ha publicado el día 31-07-2020 un comunicado en el que trata de analizar diversas iniciativas públicas para conseguir una reacción rápida ante los posible nuevos brotes de COVID-19. Una de ellas es registrar determinados datos de los clientes que acudan a un local de ocio.

En primer lugar, señala que los datos recogidos no son datos de salud, por lo tanto, no pueden englobarse en la categoría de datos especiales.

En segundo lugar, la necesidad de aplicar dicha medida debe ser acreditada por las autoridades sanitarias y, además, ser obligatoria puesto que sino perdería su efectividad. En el caso de que la legitimación para el tratamiento fuera el consentimiento del interesado, éste no tendría que suponer ninguna consecuencia negativa, como es el caso de impedir la entrada al establecimiento.

La AEPD viene a determinar que la base jurídica, con carácter preferente, sería el art.6.1.C del RGPD, el tratamiento es necesario para el cumplimiento de una misión realizada en interés público de controlar la pandemia.

En el comunicado se dan una serie de pautas para llevar a cabo el tratamiento:

Justificar la medida: Identificar en qué tipo de establecimiento es necesaria. Minimizar datos: recoger solamente el número de teléfono del interesado, junto con los datos del día y la hora de asistencia al lugar.

IMPORTANTE

El Comité Europeo de Protección de Datos recomienda la anonimización y la minimización de datos en las aplicaciones de seguimiento de contactos en el contexto de la pandemia.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00122-2020.pdf instruido por la AEPD, se sanciona a SAUNIER-TEC, MANTENIMIENTOS DE CALOR Y FRIO, S.L.(el reclamado), por no notificar una brecha de seguridad. La sanción impuesta fue de 6.000 euros.

La reclamante presenta escrito de reclamación ante la AEPD alegando que había recibido una serie de emails solicitando una serie de cambios en sus datos personales, incluyendo su número completo de cuenta bancaria. El dominio desde el cual le llegó el correo tenía una extensión diferente, lo que indicaba que no eran emails oficiales enviados por la empresa SAUNIER-TEC. La reclamante se puso en contacto con la entidad para conocer de la brecha de seguridad y no recibió respuesta del responsable de protección de datos. La AEPD a la vista de los hechos, admite a trámite la reclamación e inicia el procedimiento sancionador contra la entidad por infringir los artículos 33 y 34 del RGPD, los cuales regulan cómo y cuándo ha de notificarse la brecha de seguridad que puedan suponer un riesgo para los derechos y libertades de las personas físicas. En este caso, la AEPD determina que, dada la categoría de datos afectados, datos bancarios y el número de afectados por la brecha, se tendría que haber notificado a los afectados.

IMPORTANTE

El responsable ha de notificar a la AEPD las brechas de seguridad antes del plazo de 72 horas desde su conocimiento.

La normativa en protección de datos, en concreto el RGPD y nuestra Ley Orgánica LOPDGDD, define las obligaciones y responsabilidades de cada uno de los principales sujetos en el tratamiento de los datos.

En el art.4 del RGPD se define al responsable del tratamiento, como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales siguiendo las instrucciones del responsable.

En la LOPDGDD existe un apartado, denominado “disposiciones aplicables a tratamientos concretos”, en el cual, la normativa indica cómo tienen que actuar el responsable y encargado en relación con los datos personales y esos tratamientos.

Actualmente, se están viviendo situaciones paradójicas en materia de protección de datos debido a la pandemia que estamos sufriendo por la COVID-19.

Recientemente, la AEPD se ha pronunciado en un comunicado a cerca del tratamiento de datos de salud incluidos en el currículum vitae de los solicitantes a un empleo.

El dato de salud en cuestión, es el referido al estado de inmunidad frente a la enfermedad.

Primero, el responsable de una entidad no puede solicitar este dato para incluirlo dentro del proceso de selección como un requisito, ya que, se estaría llevando a cabo un tratamiento de datos de categorías especiales sin una finalidad legitima. Por otro lado, la legitimación del tratamiento es ilícita. Este supuesto no puede fundamentarse en el consentimiento del candidato, no sería válido, puesto que en esta situación no se daría libremente. Tampoco se podría alegar una necesidad para la celebración del contrato y aplicar las medidas de prevención. El responsable debe mantener la seguridad en su centro de trabajo, respecto de sus trabajadores y el futuro candidato aún no lo es.

En segundo lugar, cuando un responsable reciba un currículum vitae incluyendo este dato sobre el estado de inmunidad del candidato debería eliminarlo de su base de datos.

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2020-0049.pdf por el CIS (Centro de Investigaciones Sociológicas) ante la necesidad de acceder a los listados de teléfono para la realización de las  encuestas pre electorales vascas y gallegas.

La AEPD resuelve si esta cesión es legítima y si cumple con las garantías para su realización conforme a la normativa de protección de datos.

El CIS justifica que debido a la situación especial derivada por la COVID-19 y las restricciones del estado de alarma, las encuestas no se pueden realizar mediante visita personal, tal y como marca la normativa que regula la función estadística. por otro lado, la utilización del correo ordinario para este tipo de estudios no se ajustaría a los objetivos de la encuesta. Por eso entiende, que la única posibilidad es realizar mediante llamada telefónica. En este sentido, la AEPD señala en su informe, que la justificación planteada por el CIS es adecuada.

Además, la AEPD indica que se deben aplicar los principios del RGPD, como es el de minimización de los datos. Solamente se facilitará el número de teléfono y la provincia, pero no su titular; se dará acceso a un porcentaje que se ajuste a la muestra y se podrán conservar el tiempo necesario para hacer el trabajo de campo, hasta un máximo de 30 días. Se tendrán en cuenta, por otro lado, las garantías propias de la función estadística.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00369-2019.pdf instruido por la AEPD, se sanciona a CASA GRACIO OPERATION, SLU (el reclamado), por la colocación de cámaras de videovigilancia grabando parte de la vía pública.

En este caso, el reclamante, una comunidad de propietarios, alegaba que las cámaras de videovigilancia de dicho hotel recogían imágenes de la vía pública, así como parte de la puerta de entrada a su comunidad. Para ello, en su escrito, presentó fotografías de la ausencia de carteles y de la ubicación de los dispositivos de videovigilancia y sus modelos.

La AEPD admite a trámite la reclamación e inicia un proceso de investigación. La reclamada presentó pruebas alegando que las cámaras cumplían con la normativa de protección de datos. Después de realizar las oportunas comprobaciones, la AEPD estima que no es así, ya que las cámaras instaladas tipo Domo poseen máscaras de privacidad que no son las adecuadas para la protección de los datos personales, puesto que recogen un perímetro mayor del permitido.

Se vulnera uno de los principios básicos del RGPD que es el de la minimización de datos, ya que las imágenes que captan estas cámaras son excesivas para cumplir con la finalidad de videovigilancia del Hotel. Se sanciona con 10.000 euros. El reclamado acepta su responsabilidad por lo que la cantidad al final fue menor.

El responsable del tratamiento, en virtud de su responsabilidad proactiva, debe definir anticipadamente y de forma preventiva el tratamiento de los datos personales. En las primeras fases del diseño de las operaciones del tratamiento, se tendrán que aplicar las medidas técnicas y organizativas que garanticen la protección de los datos personales desde el primer momento. Esto es lo que se denomina protección de datos desde el diseño.

¿Qué significa entonces, el concepto por defecto? El responsable en este caso, debe garantizar que los datos se traten con la mayor protección de la intimidad posible. Es decir, solamente se tratarán los datos necesarios para la finalidad del tratamiento, el plazo de conservación será el mínimo imprescindible y la accesibilidad a esos datos será limitada.

¿Y cómo puede el responsable aplicar estos principios y demostrar además su cumplimiento? Lo puede hacer mediante la realización de la Evaluación de Impacto de protección de datos regulada en el art.35 del RGPD. En determinados supuestos la evaluación de impacto resultará obligatoria, en particular, cuando se vayan a utilizar nuevas tecnologías que entrañen un alto riesgo para los derechos y libertades de los interesados.

A lo largo de la evolución de la pandemia originada por el Covid-19 han surgido muchas dudas acerca del tratamiento de los datos personales relacionados con la salud de los trabajadores/as de las empresas.

El responsable de la entidad, en aplicación de la normativa de prevención de riesgos laborales, debe garantizar la seguridad y la salud de su centro de trabajo, para ello aplicará las medidas adecuadas al nivel de riesgo de su entidad, que vengan determinadas por los servicios de prevención de riesgos laborales y de la salud. En el caso de que uno de los trabajadores/as estuviera afectado por el virus, su identificación personal, solamente se realizará a las autoridades competentes, en concreto a las sanitarias.

La AEPD, en su apartado de consultas frecuentes, indica que en el caso de que no sea posible cumplir con el objetivo de garantizar la seguridad en el centro de trabajo sin identificar al afectado/a, se podrá proporcionar esa información identificativa.

Por otro lado, el personal laboral que se encuentre en alguna de estas situaciones, que presenten síntomas compatibles con Covid-19 o estén en aislamiento domiciliario o bien hayan tenido contacto estrecho con alguna persona infectada, deberán ponerlo en conocimiento del responsable.

(Madrid, 1 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección de oficio de la atención sociosanitaria’, que analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos.

Las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.