Blog

¿Se deben borrar siempre los datos cuando lo solicite el interesado?

El interesado tiene derecho a ejercer entre otros, el derecho al borrado de sus datos por parte del responsable. Este deberá hacerlo sin dilación indebida, en un plazo de tiempo como máximo de un mes a partir de la recepción de la solicitud.

En el artículo 17 del RGPD se regulan los supuestos en los está obligado a su supresión:

a) Los datos ya no son necesarios para los fines por los que se recogieron.

b) Cuando el interesado retira su consentimiento y el tratamiento de los datos personales no tenga otra base legal.

c) El interesado se opone a su tratamiento.

d) Los datos personales se han obtenido de forma ilícita.

e) Cuando los datos se obtienen de un menor en relación con la oferta de servicios en Internet.

Ahora bien, no siempre que al responsable le solicitan suprimir los datos personales ha de borrarlos. Es el caso, por ejemplo, de un periódico que publica un hecho noticiable, en el que se puede ver perjudicado un personaje público, no tiene que suprimir los datos personales, ya que está ejerciendo su derecho a la libertad de expresión e información. Tampoco se suprimirán cuando los datos sean necesarios para la formulación, ejercicio o defensa de reclamaciones o bien, existe una obligación legal que exige su conservación durante un plazo determinado de tiempo.

La AEPD presenta una guía sobre el uso de cookies adaptada a la nueva normativa

(Madrid, 8 de noviembre de 2019). La Agencia Española de Protección de Datos (AEPD) y las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain han presentado la Guía sobre el uso de las cookies, actualización a la nueva normativa de la primera guía en Europa sobre esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria. El acto ha sido inaugurado por la directora de la AEPD, Mar España, y ha contado con intervenciones del director general de AUTOCONTROL, José Domingo Gómez Castallo, la directora general de IAB Spain, Reyes Justribó, el director general de ADIGITAL, José Luis Zimmermann, y la directora general de la Asociación Española de Anunciantes (AEA), Lidia Sanz.

La Guía, cuya versión anterior acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras) cumpliendo la legislación vigente. El papel esencial que juegan las cookies para la prestación de numerosos servicios en Internet y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué utiliza sus datos personales.

El documento analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.

En cuanto a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo. Por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible, promoviendo la información por capas.

El cifrado de datos en el RGPD. Medida de seguridad en la protección de datos

La importancia del uso del cifrado como un elemento básico de seguridad se contempla a lo largo de todo el RGPD.

La AEPD ha publicado en su blog un documento en el que recoge todos los artículos y menciones que hace el RGPD sobre el cifrado de datos. En el considerando 83, se menciona expresamente: “A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado”

También se encuentran referencias al cifrado en el art. 6 de la “Licitud del Tratamiento” como una garantía adecuada en el caso de que el responsable utilizara los datos para un fin distinto de aquel para el que se recogieron. Es decir, podrá utilizarlos con un fin distinto siempre y cuando tengan en cuenta garantías adecuadas como el cifrado o la seudonimización.

En la sección de Seguridad de los datos personales, una de las medidas técnicas apropiadas para garantizar un nivel de seguridad adecuado al riesgo es el cifrado de datos personales. En el caso de que el responsable haya utilizado esta medida de seguridad y se produzca una violación de datos personales no tendría que comunicárselo al interesado.

La AEPD determina que el cifrado es una de las garantías adecuadas para el tratamiento del riesgo, particularmente, cuando la comunicación se realice a través de Internet.

VUELING AIRLINES, S.L sancionada por no informar debidamente sobre la utilización de cookies

La AEPD sanciona a VUELING AIRLINES, S.L por no cumplir con las condiciones que exige la normativa en vigor la Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf

Con fecha 04/01/2019 y 08/01/2019, se presentaron ambos escritos en la sede electrónica de la AEPD en los que se exponían que “en la Web de Vueling no se permite al usuario utilizar las cookies estrictamente necesarias y que no existe una acción afirmativa y positiva de consentimiento”.

A la vista de los hechos denunciados y de conformidad con las evidencias presentadas, la Inspección de Datos de la Agencia consideró que la entidad reclamada no cumple con las condiciones del art. 22.2 de la LSSI. Por un lado, el consentimiento a que se cedan datos a terceros a través de las cookies es implícito ya que no permite su denegación. Por otro lado, no facilita un panel de configuración para que el usuario pueda eliminarlas de forma granular. En la resolución se indican pautas para facilitar esa selección mediante botones en el panel, uno para rechazar todas las cookies y otro para habilitar todas las cookies o hacerlo de forma granular. La inspección de Datos considera que la información ofrecida sobre las herramientas proporcionadas por los navegadores no es suficiente y debe ser complementaria con lo anterior.

Garantías adecuadas para las transferencias de datos internacionales

El responsable o encargado del tratamiento que tenga que llevar a cabo una transferencia de datos personales a un tercer país debe ofrecer unas garantías adecuadas. En el art. 46 del RGPD, se regulan las garantías que podrán ser aportadas por:

1º Instrumentos jurídicamente vinculantes y exigibles entre las autoridades y organismos públicos.

2º Normas corporativas vinculantes.

3º Cláusulas tipo de protección de datos adoptadas por la Comisión.

4º Cláusulas tipo de protección de datos adoptadas por la autoridad de control.

5º Códigos de conducta aprobado por la autoridad de control competente.

6ºMecanismos de certificación.

En todos los supuestos anteriores, no será necesaria la autorización de las autoridades de control. Si tuviéramos que realizar, por ejemplo, una transferencia internacional a un encargado del tratamiento establecido en EEUU, podríamos utilizar las cláusulas contractuales tipo adoptadas por la Comisión, que se pueden descargar de la página web de la AEPD en su apartado de transferencias internacionales.

El Derecho a la Portabilidad, ¿En qué consiste?

El derecho a la Portabilidad consiste en dar un mayor control sobre los datos personales, de manera que cuando se lleve a cabo el tratamiento de datos por medios automatizados y recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica, puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento tenga su legitimación con base en el consentimiento o en la ejecución de un contrato.

Ahora bien, este derecho, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, así nos lo indican los arts. 20 RGPD y 17 LOPDGDD.

Se aplica a los datos personales que el interesado ha proporcionado, lo que significa que este derecho no recae sobre aquellos datos deducidos por el responsable y a su vez únicamente puede emplearse sobre aquellos tratamientos que se efectúen por medios automatizados, lo cual excluye los archivos en papel.

Finalmente, el ejercicio de este derecho no conlleva la supresión automática de los datos, puesto que atendiendo a lo que nos señala el art. 17 RGPDrelativo a la supresión de los datos, no recoge el supuesto, de que si se ejerce la portabilidad de los datos llevaría consigo el borrado automático de los mismos.

Telefónica sancionada por vulnerar el art 5.1.d) del RGPD

La AEPD sanciona a TELEFONICA DE ESPAÑA,S.A.U.https://www.aepd.es/resoluciones/PS-00251-2019_ORI.pdf por realizar diversos cargos en la cuenta bancaria del reclamante, por consumos realizados por una línea de la que no es titular.

La entidad sancionada TELEFÓNICA ESPAÑA, S.A.U. efectuó diversos cobros al reclamante, alegando que es el propio cliente el que debe solicitar a su entidad bancaria la devolución de los recibos cargados incorrectamente. Los recibos mencionados, se refieren a fechas y periodos de facturación anteriores a la aplicación del RGPD y afirma que, los servicios prestados a los clientes que consta en los recibos mencionados están domiciliados en cuentas de la misma entidad bancaria, por lo que no existe infracción del principio de exactitud del artículo 5.1.d).

La AEPD ante ello, señaló “que los recibos mencionados, a excepción de los últimos, se refieren a fechas y a periodos de facturación anteriores a la aplicación del RGPD”, y por lo tanto no se le aplica el RGPD, sino la antigua LOPD, dado que ésta le es más favorable tal  y como señala la disposición transitoria tercera de la LOPDGDD que determina que “los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado”. La multa ascendió a 30.000 euros.

.

El art. 58.Bis de la Ley Orgánica del Régimen Electoral General, es declarado Inconstitucional.

Recientemente hemos podido conocer de una sentencia que ha dejado a los partidos políticos, coaliciones y agrupaciones electorales fuera de juego, ya que no podrán recopilar datos personales relativos a nuestras opiniones ” y enviar “propaganda electoral por medios electrónicos o sistemas de mensajería”, es decir se acabó el SPAM político.

El logro es especialmente importante, pues ha sido la sociedad civil, la que, a través de la figura del Defensor del Pueblo, ha conseguido que la modificación de la Ley Orgánica del Régimen Electoral General, introducida por la LOPDPGDD en su Disposición final tercera, haya sido declarada inconstitucional por el Tribunal Constitucional y, no solamente eso, sino que lo ha declarado el Tribunal en pleno y en un tiempo récord.

Desde el día 7 de diciembre de 2018, fecha en que entró en vigor la LOPDPGDD, han sido muchas las voces de juristas expertos en protección de datos y asociaciones, los que dieron la voz de alarma del contenido y alcance de la reforma de la Ley Orgánica del Régimen Electoral General, en concreto, nos alertaban del ya conocido art.58 Bis:

Artículo 58 Bis Utilización de medios tecnológicos y datos personales en las actividades electorales.

  1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
  2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
  3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
  4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
  5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

Con esta regulación, se les daba a los partidos políticos manga ancha para que, en base a un “interés público”, pudieran perfilar ideológicamente a los ciudadanos mediante la información que obtuvieran de ellos en Internet y las redes sociales y, así, enviarles propaganda electoral a la medida, dejándoles desprotegidos sin opción a controlar sus datos. Al declararse inconstitucional este primer punto del artículo, ese perfilado queda completamente prohibido, con lo que, a pesar de que los puntos siguientes no se han considerado inconstitucionales, hace muy difícil su efectividad sin que se pueda llevar a cabo un perfilado ideológico del ciudadano.

Fórmula de contestación del derecho de acceso

La forma de contestación al ejercicio de derechos, efectuado por los interesados, es una de las materias claves en el ámbito de la protección de datos.

En este artículo nos vamos a centrar en el derecho de acceso.

En primer lugar, hemos de acudir a los arts.15 y 13 respectivamente del RGPD y de la LOPDGDD.

Estos artículos nos indican cual es el contenido mínimo que he de contener la forma contestación.

Lo primero de todo señalar los datos de contacto del responsable del tratamiento.

Una vez indicados estos datos, desde el punto de vistas del responsable, debemos proceder a la contestación a los interesados y en particular hemos de indicar qué tipo de datos personales de los interesados reclamantes tratamos (datos identificativos, de empleo, financieros, de salud, etc.…)

A continuación, indicar la finalidad por la cual tratamos los datos personales anteriormente descritos, junto con los destinatarios de los datos, si los hubiera y el plazo de conservación.

Por último y no menos importante, hemos de señalar como hemos conseguido los datos de los interesados, que puede presentar una reclamación ante la AEPD, si se van a tomar decisiones automatizadas y que puede solicitar la rectificación o supresión de sus datos, en el caso de que sean incompletos o inexactos.

Todo ello junto con una copias de los datos personales del interesado objeto del tratamiento.

Finalmente, fecha y firma.

Vodafone sancionada por vulnerar el art 6.1 del RGPD

La AEPD sanciona a VODAFONE ESPAÑA https://www.aepd.es/resoluciones/PS-00064-2019_ORI.pdf por el cobro del servicio de Netflix no contratado por la reclamante.

La reclamación presentada obedece al hecho de que Vodafone ha pasado a la Reclamante el cobro un servicio de Netflix no contratado y a su vez se comprobó que el servicio o canal de TV eran utilizados en el domicilio de otra persona, ya que al parecer le habían jaqueado la cuenta bancaria y el número de teléfono de su cónyuge a través de Vodafone con el fin de darse de alta a través de un correo electrónico en dicho servicio.

A la vista de estos supuestos, la AEPD inicia el procedimiento sancionador por la presunta infracción del Art.6.1. del RGPD tipificada en el Art.83.5.a) del RGPD y calificada como infracción muy grave en el Art.72.1.b) de la LOPDGDD.

En la fase de alegaciones, Vodafone señaló primer lugar que tras la notificación del Acuerdo de inicio comprobó que las alegaciones que fueron preparadas en contestación al requerimiento de información, por algún tipo de error que desconocen, no fueron presentadas ante la AEPD y por otra parte señalan que para que un cliente se de alta en uno de los paquetes de Netflix, debe realizar una actividad proactiva por su parte y por tanto un registro con autenticación previo. Por ello alegan que el proceso de alta en el servicio tiene las medidas de seguridad suficientes y estándar en el mercado y por ello indican que no puede ser responsable de cómo sus clientes custodian sus terminales.

Ante ello, la AEPD reconoció que Vodafone, vulneró el Art.6.1 del RGPD, toda vez que no contestó a los requerimientos, aunque sí informó a la reclamante que procedía a gestionar la baja del servicio y a realizar un abono a su favor por las cuotas abonadas por el servicio y a que trató los datos de la reclamante, ya que le pasaron el cobro un servicio de Netflix que no había contratado.