Blog

¿Cómo se tienen que realizar las transferencias de datos al Reino Unido?

Tras la salida del Reino Unido de la Unión Europea el pasado 31 de enero, se nos plantea la duda de si es posible seguir realizando las transferencias de datos personales con las mismas garantías que se estaban aplicando hasta ahora.

Según el Acuerdo de Retirada que tendrá vigor hasta el día 31 de diciembre, no se consideran transferencias a terceros países por lo que no será necesario utilizar ninguno de los instrumentos que recoger el RGPD.

Ahora bien, ¿qué ocurrirá cuando finalice el periodo transitorio? Habrá que esperar a los acuerdos que puedan darse en esta materia de protección de datos. En el comunicado emitido por el gobierno, parece que la opción que puede resultar más adecuada y previsible es que la Comisión Europea adopte una “decisión de adecuación”.

La Comisión Europa evaluará el ordenamiento jurídico y la práctica en materia de protección de datos, en esta fase podrá negociar la introducción de cambios normativos. En el caso de que se llevará a cabo la declaración de adecuación mediante la decisión de la Comisión, el envío de datos al Reino Unido se realizará sin ningún otro tipo de requisito formal. En la página de la AEPD en el apartado de transferencias a terceros países y organizaciones internacionales están recogidos todos los países que cuentan con esa decisión de adecuación.

Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva

El consentimiento debe ser “libre, específico, informado e inequívoco”, tal y como se describe en las Directrices sobre el consentimiento en el sentido del Reglamento 2016/679. Además, debe ofrecerse control al interesado sobre el mismo y darle la posibilidad de aceptar o rechazar los términos bajo los que se presta. El sujeto de datos debe conocer una información mínima, previa a la prestación del consentimiento, que resulta crucial para que pueda tomar una decisión válida y claramente informada. Esta información se establece en el artículo 13 del RGPD, entre la que se encuentra la identidad del responsable, el propósito de cada operación del tratamiento para la que consiente, el tipo de datos que se van a recoger y posteriormente utilizar, si se van tomar o no decisiones basadas únicamente en el tratamiento automatizado de los datos, posibles riesgos si se producen transferencias internacionales y la existencia del derecho a retirar el consentimiento prestado y de los mecanismos para hacerlo.

Esta información muchas veces se presta ‘escondida’ en largas políticas de privacidad asociadas a la aplicación o servicio prestado y que, acumuladas en el tiempo y vinculadas a diferentes tratamientos de distintos responsables, conducen al interesado a la pérdida de control de sus datos, quién los tiene y para qué finalidad, limitando, en consecuencia, ese derecho antes mencionado.

Por otro lado, de acuerdo con artículo 7 del Reglamento, cuando el tratamiento se realice amparado en el consentimiento, este debe poder ser verificable debiendo el responsable ser capaz de poder demostrar que el interesado lo prestó de manera válida. El RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, teniendo libertad para implementar la forma de obtención y registro que más se adapte a los procesos de la organización, pero, al menos, debe poder acreditar quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Esa obligación subsiste en tanto que se siga realizando el tratamiento de los datos personales bajo las condiciones iniciales en que los datos fueron recabados y debe ser verificable en caso de auditoría o inspección.

De ahí que resulte de interés la implementación de herramientas que ofrezcan garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar este en torno al tratamiento de los datos personales que se está realizando.

Informe del estudio y análisis sobre políticas de privacidad en Internet

En el siguiente informe elaborado por la AEPDhttps://www.aepd.es/sites/default/files/2019-09/informe-politicas-de-privacidad-adaptacion-RGPD.pdf, se pretende hacer un estudio del cumplimiento del deber de informar en el entorno online en los sectores de hoteles, transporte, comercio electrónico y seguros. Se han revisado las políticas de privacidad y formularios de recogida de datos personales.

En conclusión, se destaca en el informe que en general, los documentos que se detallan son demasiado extensos y no facilitan al usuario medio que finalice su lectura, además, las bases que legitiman el tratamiento en ocasiones no son adecuadas, ya que se encuadran en un interés legítimo cuando en realidad no es así.

En el informe podemos encontrar una serie de recomendaciones para cumplir debidamente con el principio de transparencia, así entre otros aspectos, se indican pautas para facilitar la información sobre las finalidades del tratamiento. Casi todas las políticas de privacidad analizadas son muy extensas en su redacción y no permiten una fácil lectura. La AEPD, recomienda agrupar las finalidades por categorías, para ello da una serie de ejemplos (prestación del servicio, comunicaciones comerciales, cumplimiento de obligaciones legales entre otras). Habría que evitar una enumeración demasiado extensa. Al final del informe, con carácter general, se dan indicaciones para la presentación de la información.

Una página web sancionada por incumplir el deber de informar

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00423-2019.pdf, instruido por la AEPD, se sanciona a la entidad de MYMOVILES EUROPA 2000, S.L.(en adelante el reclamado) por no tener indicado en el aviso legal de su página web la identidad y además, carecer de políticas de privacidad.

El reclamante presentó un escrito ante la AEPD en el que dejaba constancia de que la página web de la entidad reclamada no estaba cumpliendo debidamente con el deber de informar, ya que, a pesar de tener un formulario de recogida de datos no facilitaba ningún documento en el que se informara al interesado sobre quién era el responsable, la finalidad o legitimación del tratamiento, entre otros aspectos que deben de recoger las políticas de privacidad. En el escrito de reclamación se aportaba como prueba la captura de pantalla del aviso legal de la web y de los términos y condiciones de la misma.

La AEPD inició los trámites oportunos de investigación previa para el esclarecimiento de los hechos. En el periodo de alegaciones no recibió contestación alguna por parte del reclamado. La falta de información a los interesados supone un incumplimiento del art.13 del RGPD y del principio de transparencia, ésta se considera una infracción leve. La multa administrativa que finalmente impuso la AEPD alcanzó los 1.500 euros, ya que se aplicaron los criterios de graduación tales como que no se habían obtenido beneficios directos.

¿Qué debemos tener en cuenta para instalar sistemas de videovigilancia y cumplir con la normativa?

Cuando un responsable se plantea la instalación de un sistema de videovigilancia en sus dependencias tendría que tener en cuenta, entre otros, los siguientes aspectos:

1º Si el sistema estuviera conectado a una central de alarma únicamente podrá ser instalado por una empresa de seguridad privada, la cual tendrá carácter de encargada de tratamiento. La empresa de seguridad deberá cumplir con los requisitos exigidos en la Ley 5/2014 de Seguridad Privada.

2º Las videocámaras se instalarán en zonas privadas sin que puedan captar ni grabar espacios propiedad de terceros sin el consentimiento de sus titulares o de las personas que se encuentren en esos espacios.

3ºNo se podrán instalar en espacios públicos próximos, edificios contiguos, ni tampoco obtener imágenes de las vías públicas colindantes.

4º Además, el responsable tendrá que respetar el principio de proporcionalidad de la medida, es decir, tendrá que realizar una valoración de la idoneidad de la medida como la más adecuada para el fin perseguido por el responsable. Por otro lado, basará su instalación en que resulta la medida más necesaria y no existe otra más moderada para conseguir el propósito.

5º Cumplir con el deber de informar con un distintivo ubicado en lugar visible, tanto en espacios abiertos como cerrados.

Regulación de la instalación de cámaras de control de tráfico ubicadas en los semáforos

La consulta planteada ante la AEPD, sobre la aplicación del RGPD en lo que respecta a las imágenes captadas por las cámaras de control del tráfico ubicadas en los semáforos.https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-trafico-semaforos.pdf.

La Ley Orgánica 4/1997 que regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, hace referencia al cumplimiento de la normativa en protección de datos. En concreto, esta norma les será aplicable en cuestiones tales como creación del registro de actividades, adopción de medidas de seguridad, derechos de las personas y derecho de información mediante la señalización del espacio vigilado.

Según el contenido de la Ley Orgánica 4/1997 las cámaras instaladas deberán utilizarse con respeto al principio de proporcionalidad, tanto desde el punto de vista de su idoneidad como el de intervención mínima. Será necesario también una resolución de la Dirección General de Tráfico que ordene la instalación y uso de los dispositivos fijos de captación y reproducción, en la que delimitará las medidas para garantizar la confidencialidad e integridad de las grabaciones o registro obtenidos, así como el encargado de su custodia y de la resolución de las solicitudes de acceso y supresión.

La información al interesado se realizará mediante carteles que avisen de la zona videovigilada.

Empresa multada por situar las cámaras de videovigilancia indebidamente

En el procedimiento sancionador, instruido por la Agencia Española de Protección de datos, se multa a la entidad AMADOR RECREATIVOS, S.L. (en adelante, el reclamado), por no hacer un uso debido de los sistemas de videovigilancia. https://www.aepd.es/es/documento/ps-00135-2019.pdf

La Policía Local del Ayuntamiento de Molina de Segura presentó una reclamación a la AEPD debido al tratamiento de datos realizado a través de las cámaras. Estas cámaras de seguridad estaban orientadas hacía la vía pública sin causa justificada. Se aportó como prueba documental una fotografía del monitor de la empresa reclamada.

La AEPD determina en su resolución que los hechos presentados suponen una infracción del principio de minimización de los datos, es decir, los datos personales objeto del tratamiento tienen que ser adecuados, pertinentes y limitados a lo necesario. Las cámaras obtenían imágenes de la vía pública colindante siendo esta una competencia exclusiva de la Fuerzas y Cuerpos de Seguridad del Estado.

La entidad reclamada no realizó ninguna medida para reorientar las cámaras, a pesar de las advertencias de las Autoridades públicas. La infracción es calificada como muy grave. Se tuvieron en cuenta como agravantes, la intencionalidad, negligencia y la nula colaboración con la autoridad de control, ya que no presentó escrito alguno de alegaciones.

Transferencias a terceros países y autoridad de control

En aquellos supuestos en los que el responsable vaya a realizar una transferencia de datos personales a un tercer país u organización internacional tendrá que acogerse, tanto a las disposiciones del RGPD que regulan las transferencias, como a los supuestos indicados en la LOPDGDD. En esta Ley Orgánica se regulan aquellas situaciones en las que es necesario informar previamente a la autoridad de control antes de realizar la transferencia internacional.

El responsable que pretenda transferir datos personales basándose en intereses legítimos imperiosos, deberá tener en cuenta si puede aplicar las decisiones de adecuación aprobadas por la Comisión, las garantías adecuadas, como, por ejemplo, la utilización de normas corporativas vinculantes, o bien, que se encuentren dentro de los supuestos de excepciones para situaciones específicas. Sino fuera así, entonces, tendrá que informar previamente a la autoridad de control.

Además, la transferencia no ha de ser repetitiva, debe afectar solamente a un número limitado de interesados y debe evaluar todas las circunstancias concurrentes en la transferencia de datos. El responsable en virtud de su proactividad está obligado a ofrecer todas las garantías apropiadas con respecto a la protección de datos.

¿Quién y cómo denunciar la difusión de contenido sensible a través del Canal prioritario de la AEPD?

Recientemente, la AEPD ha habilitado en su página Web, en la Sede Electrónica, un canal prioritario para atender situaciones excepcionalmente delicadas. Estas son aquellas en las que los contenidos de fotografías o vídeos tengan un carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o víctimas de violencia por razón de género. Aunque la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos por considerarse ámbito doméstico, en estos casos excepcionales y debido a la gravedad de sus consecuencias se podrá acudir a la AEPD para denunciar y evitar su difusión.

A través de este Canal prioritario tanto el afectado como cualquier persona que tenga conocimiento de la difusión de este tipo de contenidos podrá denunciarlo, siempre y cuando se cumplan los siguientes requisitos:

1º Sean situaciones excepcionalmente delicadas.

2º Se ponga en grave riesgo a colectivos especialmente vulnerables.

3º La difusión no se realice por servicios de mensajería instantánea tipo Whatsapp o Telegram. El objetivo del canal es analizar las reclamaciones con prioridad y tomar medidas cautelares para evitar su difusión.

Consecuencias administrativas, disciplinarias, civiles y penales de la difusión de contenidos sensibles

En el portal Web de la AEPD encontramos en su apartado de “Guías y herramientas”, una publicación relativa a las consecuencias administrativas, disciplinarias, civiles y penales de la difusión de contenidos sensibles.https://www.aepd.es/sites/default/files/2019-12/consecuencias-administrativas-disciplinarias-civiles-penales.pdf

En el ámbito laboral, tal y como dispone la Ley sobre Infracciones y Sanciones en el Orden Social, los actos que realice el empresario que sean contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores serán considerados como una infracción muy grave, con multas desde 6.251 y hasta 187.515 euros. En la publicación se recoge un ejemplo de dos trabajadores varones de una empresa sometidos a hostigamiento por parte de sus compañeros/as, incluidos los que ocupan puestos de responsabilidad, por mantener una relación sentimental que fue difundida a través de imágenes. La dirección de la empresa es conocedora de la situación y no adopta medidas para impedirlo, incurriendo en una sanción grave.

En el ámbito de la ciudadanía, cuando se produzca esta difusión de contenidos sensibles puede tener, entre otras consecuencias, responsabilidad administrativa. Será la AEPD la que multe a aquellos que hayan difundido las imágenes sin el consentimiento de la víctima o bien hayan contribuido a su difusión. Los ciudadanos incluso podrían indemnizar a la víctima por daños y perjuicios.