Blog

El Derecho a la Portabilidad, ¿En qué consiste?

El derecho a la Portabilidad consiste en dar un mayor control sobre los datos personales, de manera que cuando se lleve a cabo el tratamiento de datos por medios automatizados y recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica, puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento tenga su legitimación con base en el consentimiento o en la ejecución de un contrato.

Ahora bien, este derecho, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, así nos lo indican los arts. 20 RGPD y 17 LOPDGDD.

Se aplica a los datos personales que el interesado ha proporcionado, lo que significa que este derecho no recae sobre aquellos datos deducidos por el responsable y a su vez únicamente puede emplearse sobre aquellos tratamientos que se efectúen por medios automatizados, lo cual excluye los archivos en papel.

Finalmente, el ejercicio de este derecho no conlleva la supresión automática de los datos, puesto que atendiendo a lo que nos señala el art. 17 RGPDrelativo a la supresión de los datos, no recoge el supuesto, de que si se ejerce la portabilidad de los datos llevaría consigo el borrado automático de los mismos.

Telefónica sancionada por vulnerar el art 5.1.d) del RGPD

La AEPD sanciona a TELEFONICA DE ESPAÑA,S.A.U.https://www.aepd.es/resoluciones/PS-00251-2019_ORI.pdf por realizar diversos cargos en la cuenta bancaria del reclamante, por consumos realizados por una línea de la que no es titular.

La entidad sancionada TELEFÓNICA ESPAÑA, S.A.U. efectuó diversos cobros al reclamante, alegando que es el propio cliente el que debe solicitar a su entidad bancaria la devolución de los recibos cargados incorrectamente. Los recibos mencionados, se refieren a fechas y periodos de facturación anteriores a la aplicación del RGPD y afirma que, los servicios prestados a los clientes que consta en los recibos mencionados están domiciliados en cuentas de la misma entidad bancaria, por lo que no existe infracción del principio de exactitud del artículo 5.1.d).

La AEPD ante ello, señaló “que los recibos mencionados, a excepción de los últimos, se refieren a fechas y a periodos de facturación anteriores a la aplicación del RGPD”, y por lo tanto no se le aplica el RGPD, sino la antigua LOPD, dado que ésta le es más favorable tal  y como señala la disposición transitoria tercera de la LOPDGDD que determina que “los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado”. La multa ascendió a 30.000 euros.

.

El art. 58.Bis de la Ley Orgánica del Régimen Electoral General, es declarado Inconstitucional.

Recientemente hemos podido conocer de una sentencia que ha dejado a los partidos políticos, coaliciones y agrupaciones electorales fuera de juego, ya que no podrán recopilar datos personales relativos a nuestras opiniones ” y enviar “propaganda electoral por medios electrónicos o sistemas de mensajería”, es decir se acabó el SPAM político.

El logro es especialmente importante, pues ha sido la sociedad civil, la que, a través de la figura del Defensor del Pueblo, ha conseguido que la modificación de la Ley Orgánica del Régimen Electoral General, introducida por la LOPDPGDD en su Disposición final tercera, haya sido declarada inconstitucional por el Tribunal Constitucional y, no solamente eso, sino que lo ha declarado el Tribunal en pleno y en un tiempo récord.

Desde el día 7 de diciembre de 2018, fecha en que entró en vigor la LOPDPGDD, han sido muchas las voces de juristas expertos en protección de datos y asociaciones, los que dieron la voz de alarma del contenido y alcance de la reforma de la Ley Orgánica del Régimen Electoral General, en concreto, nos alertaban del ya conocido art.58 Bis:

Artículo 58 Bis Utilización de medios tecnológicos y datos personales en las actividades electorales.

  1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
  2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
  3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
  4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
  5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

Con esta regulación, se les daba a los partidos políticos manga ancha para que, en base a un “interés público”, pudieran perfilar ideológicamente a los ciudadanos mediante la información que obtuvieran de ellos en Internet y las redes sociales y, así, enviarles propaganda electoral a la medida, dejándoles desprotegidos sin opción a controlar sus datos. Al declararse inconstitucional este primer punto del artículo, ese perfilado queda completamente prohibido, con lo que, a pesar de que los puntos siguientes no se han considerado inconstitucionales, hace muy difícil su efectividad sin que se pueda llevar a cabo un perfilado ideológico del ciudadano.

Fórmula de contestación del derecho de acceso

La forma de contestación al ejercicio de derechos, efectuado por los interesados, es una de las materias claves en el ámbito de la protección de datos.

En este artículo nos vamos a centrar en el derecho de acceso.

En primer lugar, hemos de acudir a los arts.15 y 13 respectivamente del RGPD y de la LOPDGDD.

Estos artículos nos indican cual es el contenido mínimo que he de contener la forma contestación.

Lo primero de todo señalar los datos de contacto del responsable del tratamiento.

Una vez indicados estos datos, desde el punto de vistas del responsable, debemos proceder a la contestación a los interesados y en particular hemos de indicar qué tipo de datos personales de los interesados reclamantes tratamos (datos identificativos, de empleo, financieros, de salud, etc.…)

A continuación, indicar la finalidad por la cual tratamos los datos personales anteriormente descritos, junto con los destinatarios de los datos, si los hubiera y el plazo de conservación.

Por último y no menos importante, hemos de señalar como hemos conseguido los datos de los interesados, que puede presentar una reclamación ante la AEPD, si se van a tomar decisiones automatizadas y que puede solicitar la rectificación o supresión de sus datos, en el caso de que sean incompletos o inexactos.

Todo ello junto con una copias de los datos personales del interesado objeto del tratamiento.

Finalmente, fecha y firma.

Vodafone sancionada por vulnerar el art 6.1 del RGPD

La AEPD sanciona a VODAFONE ESPAÑA https://www.aepd.es/resoluciones/PS-00064-2019_ORI.pdf por el cobro del servicio de Netflix no contratado por la reclamante.

La reclamación presentada obedece al hecho de que Vodafone ha pasado a la Reclamante el cobro un servicio de Netflix no contratado y a su vez se comprobó que el servicio o canal de TV eran utilizados en el domicilio de otra persona, ya que al parecer le habían jaqueado la cuenta bancaria y el número de teléfono de su cónyuge a través de Vodafone con el fin de darse de alta a través de un correo electrónico en dicho servicio.

A la vista de estos supuestos, la AEPD inicia el procedimiento sancionador por la presunta infracción del Art.6.1. del RGPD tipificada en el Art.83.5.a) del RGPD y calificada como infracción muy grave en el Art.72.1.b) de la LOPDGDD.

En la fase de alegaciones, Vodafone señaló primer lugar que tras la notificación del Acuerdo de inicio comprobó que las alegaciones que fueron preparadas en contestación al requerimiento de información, por algún tipo de error que desconocen, no fueron presentadas ante la AEPD y por otra parte señalan que para que un cliente se de alta en uno de los paquetes de Netflix, debe realizar una actividad proactiva por su parte y por tanto un registro con autenticación previo. Por ello alegan que el proceso de alta en el servicio tiene las medidas de seguridad suficientes y estándar en el mercado y por ello indican que no puede ser responsable de cómo sus clientes custodian sus terminales.

Ante ello, la AEPD reconoció que Vodafone, vulneró el Art.6.1 del RGPD, toda vez que no contestó a los requerimientos, aunque sí informó a la reclamante que procedía a gestionar la baja del servicio y a realizar un abono a su favor por las cuotas abonadas por el servicio y a que trató los datos de la reclamante, ya que le pasaron el cobro un servicio de Netflix que no había contratado.

Principios generales de las transferencias internacionales de datos.

Los datos personales de los usuarios, cada vez son más valiosos y se transfieren diariamente entre países en un mundo cada vez más globalizado. El aumento de estos flujos de datos transfronterizos puede suponer un menoscabo de los derechos y garantías de los interesados. Con la aplicación del RGPD, como norma común que afecta a todos los países de la zona económica europea, se pretende que el nivel de protección de los derechos de las personas físicas no se vea menoscabado.

Tal y como se recoge en uno de los considerandos del RGPD, las transferencias de datos a terceros países u organizaciones internacionales solamente pueden realizarse cumpliendo con todo lo dispuesto en el Reglamento, especialmente con lo regulado en el Capítulo de transferencias internacionales.

En cada caso concreto habrá que aplicar un procedimiento adecuado para que las transferencias internacionales sean válidas, así, por ejemplo, si enviamos datos a países reconocidos por la Comisión con un nivel de protección adecuado en base a una decisión de adecuación, esta no requerirá ninguna autorización especifica de las Agencias de protección de datos. En posteriores boletines analizaremos los diferentes medios y procedimientos.

¿Se aplica la normativa de protección de datos a las cámaras en tiempo real?

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-camaras-en-tiempo-real.pdf a la consulta planteada acerca de si la reproducción de imágenes en tiempo real que no graban se encuentran sometidas al RGPD.

En este informe, lo primero que se analiza es si el supuesto planteado existe un tratamiento de datos personales.

En Art.4.2 del RGPD define el tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

De la definición anteriormente indicada la AEPD nos indica que, aunque las imágenes no sean grabadas, la reproducción de las mismas en tiempo real supone un tratamiento de datos y por tanto está sometida al RGPD.

Dado que consiste en un tratamiento de datos personales, el Responsable del tratamiento está sometido a ciertas obligaciones y como tal debe efectuar el tratamiento de las imágenes en tiempo real con fines de videovigilancia.

Dentro de este tratamiento, el Responsable del mismo, está obligado a tener un registro de actividades de tratamiento.

También, el Responsable debe facilitar a los interesados un Derecho de información, el cual se efectúa mediante la colocación, en un lugar visible, del correspondiente cartel de videovigilancia y tener a disposición de los interesados impresos en los que se determine la información del mismo.

Cuando nos llega una solicitud de un derecho. ¿Cómo hemos de responder?

Los derechos que puede ejercitar un afectado son los derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición, portabilidad, limitación del tratamiento y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Cada uno de ellos puede ejercerse ante el responsable del tratamiento, delegado de protección de datos e incluso encargado del tratamiento, cuando así se haya previsto en el contrato de acceso a datos.

El plazo para resolver puede variar dependiendo del tipo de derecho solicitado, así, por ejemplo, el derecho de supresión se realizará sin dilación indebida, aunque, en cualquier caso, el plazo para responder será de un mes desde que se recibe la solicitud. Podríamos prorrogarlo dos meses más si fuera necesario, dependiendo de la complejidad del asunto y el número de solicitudes. En este caso, tendremos que informar al interesado de los motivos de la dilación dentro del plazo de un mes desde que recibimos la petición. ¿Qué ocurre si no es posible cursar el derecho solicitado? Tendremos que informar al interesado sin dilación indebida y, a más tardar, dentro del plazo de un mes de las razones por las cuáles no se puede dar respuesta a su derecho. Además, le informaremos de la posibilidad de presentar una reclamación a las autoridades de control.

Qué implica la normativa de protección de datos a los operadores de drones.

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-drones.pdf  a la consulta planteada por una empresa de operadores de drones.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

Un restaurante multado por captación ilícita de imágenes de un trabajador y utilizarlas como base de sanción laboral

La AEPD sanciona al RESTAURANTE LA OLIVA,https://www.aepd.es/resoluciones/PS-00401-2018_ORI.pdf por la captación de forma ilícita de las imágenes de uno sus trabajadores.

La reclamación presentada por el trabajador A.A.A. obedece al hecho de las grabaciones que le fueron realizadas en el interior y exterior del local para utilizarlas como prueba en la sanción disciplinaria que le fue impuesta por la empresa. El reclamante manifiesta que no fue avisado previamente de la instalación de las cámaras de vigilancia con la finalidad de control laboral y que tampoco había carteles informativos.

La AEPD inicia el procedimiento sancionador al RESTAURANTE LA OLIVA por la presunta infracción del art.5.1 a) del RGPD “los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. En la fase de alegaciones, el responsable indica que las videocámaras instaladas no funcionaban correctamente, ya que no tenían el software necesario, añadiendo que las imágenes habían sido tomadas con el móvil particular de otro empleado. La AEPD considera que el reclamado, al decidir sobre la finalidad y uso de las imágenes captadas con el dispositivo móvil, se convierte en responsable de las mismas, por lo que será objeto de aplicación del RGPD. El restaurante no informó al trabajador de la existencia de esas grabaciones, ni de su utilización para el control laboral.