Blog

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00469-2019.pdf instruido por la AEPD, se sanciona al responsable del comercio electrónico SOLO EMBRAGUE, S.L. por no cumplir con los requisitos establecidos en la normativa que regula el comercio electrónico, la Ley34/2002, de 11 de julio,  de Servicios de la Sociedad de la Información y Comercio Electrónico, conocida como (LSSI) y los requisitos del RGPD.

El reclamante, un particular que accedió a la página web para solicitar un presupuesto, reclama ante la AEPD que el titular de la página web recaba datos personales a través de un formulario de contacto, sin que en ningún apartado se pueda acceder a la política de privacidad y conocer quién es el responsable del tratamiento. Por tanto,se vulnera el cumplimiento del deber de informar del art.13 del RGPD. La multa en este aspecto ascendió a 1.500 euros.

Por otro lado, tampoco cumplía con la información requerida en la LSSI, puesto que no existía ningún banner que informara de la utilización de cookies, ni tampoco links que redirigieran a una política de cookies. Esta infracción es tipificada como leve en el artículo 38.4 g de la LSSI, pudiendo ser sancionada con una multa de hasta 30.000€. En esta ocasión la sanción impuesta fue de 1.500 euros, teniendo en cuenta la intencionalidad y el plazo de tiempo de la infracción.

Todas y cada una de las actuaciones que lleva a cabo el responsable respecto del tratamiento de los datos personales se tienen que realizar teniendo en cuenta lo dispuesto en la normativa y, en especial, cumpliendo los principios de protección de datos.

¿Cómo se deben tratar entonces los datos personales por los responsables y encargados de tratamiento?Se han de tratar de forma lícita, leal y transparente en relación con el interesado, este sería el principio de licitud, lealtad y transparencia, dando una información adecuada. Los fines para los que se recojan tendrán que ser determinados y explícitos y además no se pondrán utilizar para otros diferentes, este es el principio de limitación de la finalidad. El principio de minimización requiere que los datos recogidos sean los adecuados, pertinentes y limitados a lo necesario para el cumplimiento de los fines. Por ejemplo, en un formulario de potenciales clientes, no solicitaremos más datos que los necesarios para enviar información. Los datos tienen que ser exactos y si fuera necesario actualizarlos. Además, se tienen que mantener sólo durante un plazo de tiempo determinado necesario para los fines del tratamiento. Todo ello, garantizando al interesado una total integridad y confidencialidad de sus datos.

Tras la salida del Reino Unido de la Unión Europea el pasado 31 de enero, se nos plantea la duda de si es posible seguir realizando las transferencias de datos personales con las mismas garantías que se estaban aplicando hasta ahora.

Según el Acuerdo de Retirada que tendrá vigor hasta el día 31 de diciembre, no se consideran transferencias a terceros países por lo que no será necesario utilizar ninguno de los instrumentos que recoger el RGPD.

Ahora bien, ¿qué ocurrirá cuando finalice el periodo transitorio? Habrá que esperar a los acuerdos que puedan darse en esta materia de protección de datos. En el comunicado emitido por el gobierno, parece que la opción que puede resultar más adecuada y previsible es que la Comisión Europea adopte una “decisión de adecuación”.

La Comisión Europa evaluará el ordenamiento jurídico y la práctica en materia de protección de datos, en esta fase podrá negociar la introducción de cambios normativos. En el caso de que se llevará a cabo la declaración de adecuación mediante la decisión de la Comisión, el envío de datos al Reino Unido se realizará sin ningún otro tipo de requisito formal. En la página de la AEPD en el apartado de transferencias a terceros países y organizaciones internacionales están recogidos todos los países que cuentan con esa decisión de adecuación.

El consentimiento debe ser “libre, específico, informado e inequívoco”, tal y como se describe en las Directrices sobre el consentimiento en el sentido del Reglamento 2016/679. Además, debe ofrecerse control al interesado sobre el mismo y darle la posibilidad de aceptar o rechazar los términos bajo los que se presta. El sujeto de datos debe conocer una información mínima, previa a la prestación del consentimiento, que resulta crucial para que pueda tomar una decisión válida y claramente informada. Esta información se establece en el artículo 13 del RGPD, entre la que se encuentra la identidad del responsable, el propósito de cada operación del tratamiento para la que consiente, el tipo de datos que se van a recoger y posteriormente utilizar, si se van tomar o no decisiones basadas únicamente en el tratamiento automatizado de los datos, posibles riesgos si se producen transferencias internacionales y la existencia del derecho a retirar el consentimiento prestado y de los mecanismos para hacerlo.

Esta información muchas veces se presta ‘escondida’ en largas políticas de privacidad asociadas a la aplicación o servicio prestado y que, acumuladas en el tiempo y vinculadas a diferentes tratamientos de distintos responsables, conducen al interesado a la pérdida de control de sus datos, quién los tiene y para qué finalidad, limitando, en consecuencia, ese derecho antes mencionado.

Por otro lado, de acuerdo con artículo 7 del Reglamento, cuando el tratamiento se realice amparado en el consentimiento, este debe poder ser verificable debiendo el responsable ser capaz de poder demostrar que el interesado lo prestó de manera válida. El RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, teniendo libertad para implementar la forma de obtención y registro que más se adapte a los procesos de la organización, pero, al menos, debe poder acreditar quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Esa obligación subsiste en tanto que se siga realizando el tratamiento de los datos personales bajo las condiciones iniciales en que los datos fueron recabados y debe ser verificable en caso de auditoría o inspección.

De ahí que resulte de interés la implementación de herramientas que ofrezcan garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar este en torno al tratamiento de los datos personales que se está realizando.

En el siguiente informe elaborado por la AEPDhttps://www.aepd.es/sites/default/files/2019-09/informe-politicas-de-privacidad-adaptacion-RGPD.pdf, se pretende hacer un estudio del cumplimiento del deber de informar en el entorno online en los sectores de hoteles, transporte, comercio electrónico y seguros. Se han revisado las políticas de privacidad y formularios de recogida de datos personales.

En conclusión, se destaca en el informe que en general, los documentos que se detallan son demasiado extensos y no facilitan al usuario medio que finalice su lectura, además, las bases que legitiman el tratamiento en ocasiones no son adecuadas, ya que se encuadran en un interés legítimo cuando en realidad no es así.

En el informe podemos encontrar una serie de recomendaciones para cumplir debidamente con el principio de transparencia, así entre otros aspectos, se indican pautas para facilitar la información sobre las finalidades del tratamiento. Casi todas las políticas de privacidad analizadas son muy extensas en su redacción y no permiten una fácil lectura. La AEPD, recomienda agrupar las finalidades por categorías, para ello da una serie de ejemplos (prestación del servicio, comunicaciones comerciales, cumplimiento de obligaciones legales entre otras). Habría que evitar una enumeración demasiado extensa. Al final del informe, con carácter general, se dan indicaciones para la presentación de la información.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00423-2019.pdf, instruido por la AEPD, se sanciona a la entidad de MYMOVILES EUROPA 2000, S.L.(en adelante el reclamado) por no tener indicado en el aviso legal de su página web la identidad y además, carecer de políticas de privacidad.

El reclamante presentó un escrito ante la AEPD en el que dejaba constancia de que la página web de la entidad reclamada no estaba cumpliendo debidamente con el deber de informar, ya que, a pesar de tener un formulario de recogida de datos no facilitaba ningún documento en el que se informara al interesado sobre quién era el responsable, la finalidad o legitimación del tratamiento, entre otros aspectos que deben de recoger las políticas de privacidad. En el escrito de reclamación se aportaba como prueba la captura de pantalla del aviso legal de la web y de los términos y condiciones de la misma.

La AEPD inició los trámites oportunos de investigación previa para el esclarecimiento de los hechos. En el periodo de alegaciones no recibió contestación alguna por parte del reclamado. La falta de información a los interesados supone un incumplimiento del art.13 del RGPD y del principio de transparencia, ésta se considera una infracción leve. La multa administrativa que finalmente impuso la AEPD alcanzó los 1.500 euros, ya que se aplicaron los criterios de graduación tales como que no se habían obtenido beneficios directos.

Cuando un responsable se plantea la instalación de un sistema de videovigilancia en sus dependencias tendría que tener en cuenta, entre otros, los siguientes aspectos:

1º Si el sistema estuviera conectado a una central de alarma únicamente podrá ser instalado por una empresa de seguridad privada, la cual tendrá carácter de encargada de tratamiento. La empresa de seguridad deberá cumplir con los requisitos exigidos en la Ley 5/2014 de Seguridad Privada.

2º Las videocámaras se instalarán en zonas privadas sin que puedan captar ni grabar espacios propiedad de terceros sin el consentimiento de sus titulares o de las personas que se encuentren en esos espacios.

3ºNo se podrán instalar en espacios públicos próximos, edificios contiguos, ni tampoco obtener imágenes de las vías públicas colindantes.

4º Además, el responsable tendrá que respetar el principio de proporcionalidad de la medida, es decir, tendrá que realizar una valoración de la idoneidad de la medida como la más adecuada para el fin perseguido por el responsable. Por otro lado, basará su instalación en que resulta la medida más necesaria y no existe otra más moderada para conseguir el propósito.

5º Cumplir con el deber de informar con un distintivo ubicado en lugar visible, tanto en espacios abiertos como cerrados.

La consulta planteada ante la AEPD, sobre la aplicación del RGPD en lo que respecta a las imágenes captadas por las cámaras de control del tráfico ubicadas en los semáforos.https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-trafico-semaforos.pdf.

La Ley Orgánica 4/1997 que regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, hace referencia al cumplimiento de la normativa en protección de datos. En concreto, esta norma les será aplicable en cuestiones tales como creación del registro de actividades, adopción de medidas de seguridad, derechos de las personas y derecho de información mediante la señalización del espacio vigilado.

Según el contenido de la Ley Orgánica 4/1997 las cámaras instaladas deberán utilizarse con respeto al principio de proporcionalidad, tanto desde el punto de vista de su idoneidad como el de intervención mínima. Será necesario también una resolución de la Dirección General de Tráfico que ordene la instalación y uso de los dispositivos fijos de captación y reproducción, en la que delimitará las medidas para garantizar la confidencialidad e integridad de las grabaciones o registro obtenidos, así como el encargado de su custodia y de la resolución de las solicitudes de acceso y supresión.

La información al interesado se realizará mediante carteles que avisen de la zona videovigilada.

En el procedimiento sancionador, instruido por la Agencia Española de Protección de datos, se multa a la entidad AMADOR RECREATIVOS, S.L. (en adelante, el reclamado), por no hacer un uso debido de los sistemas de videovigilancia. https://www.aepd.es/es/documento/ps-00135-2019.pdf

La Policía Local del Ayuntamiento de Molina de Segura presentó una reclamación a la AEPD debido al tratamiento de datos realizado a través de las cámaras. Estas cámaras de seguridad estaban orientadas hacía la vía pública sin causa justificada. Se aportó como prueba documental una fotografía del monitor de la empresa reclamada.

La AEPD determina en su resolución que los hechos presentados suponen una infracción del principio de minimización de los datos, es decir, los datos personales objeto del tratamiento tienen que ser adecuados, pertinentes y limitados a lo necesario. Las cámaras obtenían imágenes de la vía pública colindante siendo esta una competencia exclusiva de la Fuerzas y Cuerpos de Seguridad del Estado.

La entidad reclamada no realizó ninguna medida para reorientar las cámaras, a pesar de las advertencias de las Autoridades públicas. La infracción es calificada como muy grave. Se tuvieron en cuenta como agravantes, la intencionalidad, negligencia y la nula colaboración con la autoridad de control, ya que no presentó escrito alguno de alegaciones.

En aquellos supuestos en los que el responsable vaya a realizar una transferencia de datos personales a un tercer país u organización internacional tendrá que acogerse, tanto a las disposiciones del RGPD que regulan las transferencias, como a los supuestos indicados en la LOPDGDD. En esta Ley Orgánica se regulan aquellas situaciones en las que es necesario informar previamente a la autoridad de control antes de realizar la transferencia internacional.

El responsable que pretenda transferir datos personales basándose en intereses legítimos imperiosos, deberá tener en cuenta si puede aplicar las decisiones de adecuación aprobadas por la Comisión, las garantías adecuadas, como, por ejemplo, la utilización de normas corporativas vinculantes, o bien, que se encuentren dentro de los supuestos de excepciones para situaciones específicas. Sino fuera así, entonces, tendrá que informar previamente a la autoridad de control.

Además, la transferencia no ha de ser repetitiva, debe afectar solamente a un número limitado de interesados y debe evaluar todas las circunstancias concurrentes en la transferencia de datos. El responsable en virtud de su proactividad está obligado a ofrecer todas las garantías apropiadas con respecto a la protección de datos.