Blog

Recientemente, la AEPD ha habilitado en su página Web, en la Sede Electrónica, un canal prioritario para atender situaciones excepcionalmente delicadas. Estas son aquellas en las que los contenidos de fotografías o vídeos tengan un carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o víctimas de violencia por razón de género. Aunque la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos por considerarse ámbito doméstico, en estos casos excepcionales y debido a la gravedad de sus consecuencias se podrá acudir a la AEPD para denunciar y evitar su difusión.

A través de este Canal prioritario tanto el afectado como cualquier persona que tenga conocimiento de la difusión de este tipo de contenidos podrá denunciarlo, siempre y cuando se cumplan los siguientes requisitos:

1º Sean situaciones excepcionalmente delicadas.

2º Se ponga en grave riesgo a colectivos especialmente vulnerables.

3º La difusión no se realice por servicios de mensajería instantánea tipo Whatsapp o Telegram. El objetivo del canal es analizar las reclamaciones con prioridad y tomar medidas cautelares para evitar su difusión.

En el portal Web de la AEPD encontramos en su apartado de “Guías y herramientas”, una publicación relativa a las consecuencias administrativas, disciplinarias, civiles y penales de la difusión de contenidos sensibles.https://www.aepd.es/sites/default/files/2019-12/consecuencias-administrativas-disciplinarias-civiles-penales.pdf

En el ámbito laboral, tal y como dispone la Ley sobre Infracciones y Sanciones en el Orden Social, los actos que realice el empresario que sean contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores serán considerados como una infracción muy grave, con multas desde 6.251 y hasta 187.515 euros. En la publicación se recoge un ejemplo de dos trabajadores varones de una empresa sometidos a hostigamiento por parte de sus compañeros/as, incluidos los que ocupan puestos de responsabilidad, por mantener una relación sentimental que fue difundida a través de imágenes. La dirección de la empresa es conocedora de la situación y no adopta medidas para impedirlo, incurriendo en una sanción grave.

En el ámbito de la ciudadanía, cuando se produzca esta difusión de contenidos sensibles puede tener, entre otras consecuencias, responsabilidad administrativa. Será la AEPD la que multe a aquellos que hayan difundido las imágenes sin el consentimiento de la víctima o bien hayan contribuido a su difusión. Los ciudadanos incluso podrían indemnizar a la víctima por daños y perjuicios.

El procedimiento sancionador https://www.aepd.es/es/documento/ps-00094-2018.pdf, instruido por la AEPD, sanciona a un profesional médico por el envío de fotografías, videos y datos personales de sus pacientes a través de la aplicación de Whatsapp.

En la fecha de 26 de marzo de 2018, la AEDP inicia un procedimiento sancionador a Don A.A.A, médico pediatra, por el envío de unas imágenes de pacientes y datos personales a su expareja sentimental, que es la que interpone la reclamación.

La denunciante aporta en la demanda un acta notarial con fecha 3 de febrero de 2017 de transcripción de los mensajes telefónicos de las imágenes enviadas, aportando también las fotografías y el video enviado. En sus alegaciones, el profesional médico manifiesta que la que ha incumplido el deber de confidencialidad es su expareja, ya que él realizó el envío de dichas imágenes en lo que se define como ámbito doméstico.

La AEPD determina que D.A.A.A, como responsable del tratamiento de las imágenes de sus pacientes, debería haber obtenido su consentimiento para poder enviar esas imágenes a terceros. Además, se ha incumplido el deber de secreto profesional, puesto que tenía que haber preservado de su ámbito social, laboral y familiar la confidencialidad de sus pacientes. La multa ascendió a 6.000 euros, no hubo posibilidad de apercibimiento por tratarse de imágenes de menores.

En el art.4.7 del RGPD, se define al responsable del tratamiento como aquella persona física o jurídica, autoridad pública, servicio u otro organismo, que determina los fines y medios del tratamiento de los datos personales. Es decir, el responsable va a decidir cuestiones, tales como, los medios para comunicar la información relativa a los datos personales al interesado, el protocolo de actuación en el ejercicio de sus derechos, así como las instrucciones que han de seguir los encargados del tratamiento.

En la actualidad, muchas empresas conforman grupos empresariales y tratan datos personales de sus empleados, clientes y proveedores de forma conjunta. En lo que respecta al tratamiento de estos datos, cuando estos responsables determinan conjuntamente los objetivos y medios del tratamiento, éstos serán considerados como corresponsables. El acuerdo de corresponsabilidad tendrá que determinar de modo transparente y de mutuo acuerdo:

•  Las responsabilidades respecto al cumplimiento de las obligaciones.
•  El protocolo para el ejercicio de los derechos de los interesados.
•  El suministro de información al interesado.

Los aspectos esenciales de este convenio se pondrán a disposición del interesado.

El interesado tiene derecho a ejercer entre otros, el derecho al borrado de sus datos por parte del responsable. Este deberá hacerlo sin dilación indebida, en un plazo de tiempo como máximo de un mes a partir de la recepción de la solicitud.

En el artículo 17 del RGPD se regulan los supuestos en los está obligado a su supresión:

a) Los datos ya no son necesarios para los fines por los que se recogieron.

b) Cuando el interesado retira su consentimiento y el tratamiento de los datos personales no tenga otra base legal.

c) El interesado se opone a su tratamiento.

d) Los datos personales se han obtenido de forma ilícita.

e) Cuando los datos se obtienen de un menor en relación con la oferta de servicios en Internet.

Ahora bien, no siempre que al responsable le solicitan suprimir los datos personales ha de borrarlos. Es el caso, por ejemplo, de un periódico que publica un hecho noticiable, en el que se puede ver perjudicado un personaje público, no tiene que suprimir los datos personales, ya que está ejerciendo su derecho a la libertad de expresión e información. Tampoco se suprimirán cuando los datos sean necesarios para la formulación, ejercicio o defensa de reclamaciones o bien, existe una obligación legal que exige su conservación durante un plazo determinado de tiempo.

(Madrid, 8 de noviembre de 2019). La Agencia Española de Protección de Datos (AEPD) y las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain han presentado la Guía sobre el uso de las cookies, actualización a la nueva normativa de la primera guía en Europa sobre esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria. El acto ha sido inaugurado por la directora de la AEPD, Mar España, y ha contado con intervenciones del director general de AUTOCONTROL, José Domingo Gómez Castallo, la directora general de IAB Spain, Reyes Justribó, el director general de ADIGITAL, José Luis Zimmermann, y la directora general de la Asociación Española de Anunciantes (AEA), Lidia Sanz.

La Guía, cuya versión anterior acumula más de dos millones de descargas, recoge las orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras) cumpliendo la legislación vigente. El papel esencial que juegan las cookies para la prestación de numerosos servicios en Internet y, a la vez, las implicaciones que tienen en la privacidad de los usuarios ha determinado la necesidad de implantar un sistema en el que el usuario sea consciente de quién, cómo y para qué utiliza sus datos personales.

El documento analiza la necesidad de obtener el consentimiento informado del usuario antes de instalar las cookies, recogiendo tanto la obligación de transparencia en la información como el consentimiento en sí mismo, teniendo en cuenta que la nueva normativa de protección de datos establece unos requisitos más estrictos. Además, la Guía se complementa con ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.

En cuanto a la transparencia a la hora de ofrecer información, la Guía determina que la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo. Por tanto, debe evitarse el uso de frases confusas como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias que almacenan información sobre el comportamiento de los usuarios mediante el análisis de los hábitos de navegación.

En el caso de que un usuario preste su consentimiento para el uso de cookies, la información debe seguir siendo fácilmente accesible, promoviendo la información por capas.

La importancia del uso del cifrado como un elemento básico de seguridad se contempla a lo largo de todo el RGPD.

La AEPD ha publicado en su blog un documento en el que recoge todos los artículos y menciones que hace el RGPD sobre el cifrado de datos. En el considerando 83, se menciona expresamente: “A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado”

También se encuentran referencias al cifrado en el art. 6 de la “Licitud del Tratamiento” como una garantía adecuada en el caso de que el responsable utilizara los datos para un fin distinto de aquel para el que se recogieron. Es decir, podrá utilizarlos con un fin distinto siempre y cuando tengan en cuenta garantías adecuadas como el cifrado o la seudonimización.

En la sección de Seguridad de los datos personales, una de las medidas técnicas apropiadas para garantizar un nivel de seguridad adecuado al riesgo es el cifrado de datos personales. En el caso de que el responsable haya utilizado esta medida de seguridad y se produzca una violación de datos personales no tendría que comunicárselo al interesado.

La AEPD determina que el cifrado es una de las garantías adecuadas para el tratamiento del riesgo, particularmente, cuando la comunicación se realice a través de Internet.

La AEPD sanciona a VUELING AIRLINES, S.L por no cumplir con las condiciones que exige la normativa en vigor la Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf

Con fecha 04/01/2019 y 08/01/2019, se presentaron ambos escritos en la sede electrónica de la AEPD en los que se exponían que “en la Web de Vueling no se permite al usuario utilizar las cookies estrictamente necesarias y que no existe una acción afirmativa y positiva de consentimiento”.

A la vista de los hechos denunciados y de conformidad con las evidencias presentadas, la Inspección de Datos de la Agencia consideró que la entidad reclamada no cumple con las condiciones del art. 22.2 de la LSSI. Por un lado, el consentimiento a que se cedan datos a terceros a través de las cookies es implícito ya que no permite su denegación. Por otro lado, no facilita un panel de configuración para que el usuario pueda eliminarlas de forma granular. En la resolución se indican pautas para facilitar esa selección mediante botones en el panel, uno para rechazar todas las cookies y otro para habilitar todas las cookies o hacerlo de forma granular. La inspección de Datos considera que la información ofrecida sobre las herramientas proporcionadas por los navegadores no es suficiente y debe ser complementaria con lo anterior.

El responsable o encargado del tratamiento que tenga que llevar a cabo una transferencia de datos personales a un tercer país debe ofrecer unas garantías adecuadas. En el art. 46 del RGPD, se regulan las garantías que podrán ser aportadas por:

1º Instrumentos jurídicamente vinculantes y exigibles entre las autoridades y organismos públicos.

2º Normas corporativas vinculantes.

3º Cláusulas tipo de protección de datos adoptadas por la Comisión.

4º Cláusulas tipo de protección de datos adoptadas por la autoridad de control.

5º Códigos de conducta aprobado por la autoridad de control competente.

6ºMecanismos de certificación.

En todos los supuestos anteriores, no será necesaria la autorización de las autoridades de control. Si tuviéramos que realizar, por ejemplo, una transferencia internacional a un encargado del tratamiento establecido en EEUU, podríamos utilizar las cláusulas contractuales tipo adoptadas por la Comisión, que se pueden descargar de la página web de la AEPD en su apartado de transferencias internacionales.

El derecho a la Portabilidad consiste en dar un mayor control sobre los datos personales, de manera que cuando se lleve a cabo el tratamiento de datos por medios automatizados y recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica, puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento tenga su legitimación con base en el consentimiento o en la ejecución de un contrato.

Ahora bien, este derecho, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, así nos lo indican los arts. 20 RGPD y 17 LOPDGDD.

Se aplica a los datos personales que el interesado ha proporcionado, lo que significa que este derecho no recae sobre aquellos datos deducidos por el responsable y a su vez únicamente puede emplearse sobre aquellos tratamientos que se efectúen por medios automatizados, lo cual excluye los archivos en papel.

Finalmente, el ejercicio de este derecho no conlleva la supresión automática de los datos, puesto que atendiendo a lo que nos señala el art. 17 RGPDrelativo a la supresión de los datos, no recoge el supuesto, de que si se ejerce la portabilidad de los datos llevaría consigo el borrado automático de los mismos.