¿Cuándo debo nombrar un DPD y cuáles son las consecuencias si no lo hago?

La figura del delegado de protección de datos, en adelante (DPD) ha ido cobrando importancia a lo largo de estos dos años de aplicación del reglamento. Son muchas las entidades que han reclamado sus servicios para implantar de una forma adecuada sus políticas de privacidad y cumplir con todas las exigencias que requiere el RGPD.

En el art. 34 de nuestra ley orgánica LOPDGDD, se recogen los supuestos en que resulta obligatoria la designación de un DPD. En ese listado están, entre otros, los colegios profesionales y sus consejos generales, centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en su legislación competente, así como las Universidades públicas o privadas (…)

¿Qué pasa sino estoy en ninguno de estos supuestos? En este caso, habrá que tener en cuenta los requisitos contenidos en el RGPD: si nuestro tratamiento requiere una observación habitual y sistemática de interesados a gran escala, si se tratan datos a gran escala de categorías especiales de datos personales o bien el tratamiento lo lleva a cabo una autoridad u organismo público.

Si estamos en alguno de los supuestos anteriores, debemos nombrar un DPD para evitar sanciones. La AEPD ya ha comenzado a sancionar a las entidades. Como, por ejemplo, la reciente sanción de 25.000 € impuesta a la empresa GLOVO.

Los acortadores de URLs y la protección de datos

La AEPD publicó un  interesante documento https://www.aepd.es/es/prensa-y-comunicacion/blog/acortadores-de-urls explicando los riesgos que suponen para la privacidad la proliferación de la utilización de enlaces, en adelante (URLs) acortados.

Lo primero que analiza en este documento es que la navegación en internet está en constante evolución, apareciendo constantemente nuevos servicios web. La forma en que nos comunicamos ha cambiado y esto ha supuesto que, con el uso de los microbloggings como Twitter y otro tipo de servicios de mensajería, se utilicen herramientas que permitan acortar los enlaces a un sitio web. En este caso, se reemplazaría la típica URL larga de un sitio web por una versión acortada, siendo así más fácil de integrar en un mensaje o en un tweet.

Aparentemente son servicios de redirección inocuos y, por regla general, cuando accedes al enlace acortado, te redirige al sitio original.

¿Cuáles son los riesgos para la privacidad?

1º Desconocimiento del destino al que nos redirigirá el enlace acortado, podría tratarse de sitios peligrosos que suplanten la web de otra entidad (phishing).

2º Al intermediario le estamos facilitando alguno de nuestros datos personales (IP y otra información sobre el dispositivo).

3º Muchos de ellos realizan funciones de seguimiento de usuarios y elaboración de perfiles.

Una empresa es sancionada por enviar e-mails comerciales sin copia oculta

En el procedimiento sancionador https://www.aepd.es/es/documento/reposicion-ps-00320-2019.pdf, se sanciona a SHOP MACOYN, S.L. (YBL ABOGADOS), por el envío de e-mails de carácter comercial sin ocultar el del resto de destinatarios.

En un primer momento, cuando el reclamante recibió el primer e-mail con todas las direcciones de correo electrónico de los clientes de YBL ABOGADOS, solicitó a la entidad que suprimieran sus datos para el envío de publicidad, sobre esa petición, no recibió contestación alguna, sino que la entidad continuó realizando campañas publicitarias.

En la resolución se hace constar que, en todos los correos que la entidad envió al reclamante con la finalidad de informar de sus servicios, se hizo sin tomar las medidas adecuadas de seguridad e incumpliendo, uno de los principios fundamentales que se regulan en el RGPD, el deber de confidencialidad. Este principio supone que el responsable de los datos debe garantizar al interesado que se realicen filtraciones de los datos no consentidas por ellos. La infracción cometida por SHOP MACOYN, S.L. (YBL ABOGADOS), está tipificada en el art.83.5 del RGPD y es considerada muy grave a efectos de prescripción del art. 72.1.a de la LOPDGDD. La multa ascendió a 5.000 euros. Se tuvieron en cuenta como atenuantes, que solo existió un reclamante, no hubo una actitud dolosa y la entidad reclamada era una pequeña empresa

El tratamiento de los datos de contacto de profesionales autónomos

En nuestra Ley Orgánica de protección de datos (LOPDGDD), existe un apartado denominado “disposiciones aplicables a tratamientos concretos”. El primero de ellos se refiere al tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

En este caso, el interés legitimo será la legitimación adecuada para disponer del uso de una base de datos de contacto, de empresarios individuales y de profesionales liberales que prestan servicios en una persona jurídica.

¿Cuáles son los requisitos para su tratamiento? En primer lugar, que los datos se refieran solo a aquellos necesarios para su localización profesional y, en segundo lugar, que la finalidad sea para mantener una comunicación de cualquier índole con la persona jurídica en la que el afectado presta sus servicios.

Cuando el tratamiento se realice sobre los datos de empresarios individuales y profesionales liberales se aplicarán los mismos requisitos. En este caso, no se utilizarán para entablar una relación con los mismos como personas físicas. Las administraciones públicas los tratarán en base a una obligación legal o para ejercer sus competencias.

¿Cuáles son las consecuencias de la cancelación del Privacy-Shield?

El Tribunal de Justicia Europeo (TJUE) ha declarado en su sentencia la invalidez de la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. conocido como Privacy-Shield.

Son muchas las preguntas que como responsables del tratamiento de los datos nos surgen a raíz de esta sentencia. Por ejemplo, ¿puedo seguir utilizando los servicios en la nube facilitados por proveedores americanos? ¿qué debemos tener en cuenta para que éstas cumplan la normativa europea?

Las transferencias internacionales podrán realizarse bajo la celebración de las Cláusulas contractuales tipo de la Decisión 2010/87, que regulan los contratos de acceso a datos por cuenta de terceros ya que éstas no han sido invalidadas por el TJUE. En cuanto a la utilización de estas Cláusulas, el CEPD está estudiando incorporar medidas adicionales para garantizar un nivel de protección adecuado. Mientras tanto, se deja en manos del responsable (el exportador de datos) la valoración, entre otros requisitos, las medidas de seguridad aportadas por el proveedor de servicios.

El CEPD insta a utilizar mecanismos de excepción del art. 49RGPD, por ejemplo, el consentimiento del interesado. Este debe ser explícito, específico para esa transferencia e informado de los riesgos de la falta de protección adecuada.

¿Puede un establecimiento registrar los datos de los clientes que acuden a un local de ocio?

La AEPD ha publicado el día 31-07-2020 un comunicado en el que trata de analizar diversas iniciativas públicas para conseguir una reacción rápida ante los posible nuevos brotes de COVID-19. Una de ellas es registrar determinados datos de los clientes que acudan a un local de ocio.

En primer lugar, señala que los datos recogidos no son datos de salud, por lo tanto, no pueden englobarse en la categoría de datos especiales.

En segundo lugar, la necesidad de aplicar dicha medida debe ser acreditada por las autoridades sanitarias y, además, ser obligatoria puesto que sino perdería su efectividad. En el caso de que la legitimación para el tratamiento fuera el consentimiento del interesado, éste no tendría que suponer ninguna consecuencia negativa, como es el caso de impedir la entrada al establecimiento.

La AEPD viene a determinar que la base jurídica, con carácter preferente, sería el art.6.1.C del RGPD, el tratamiento es necesario para el cumplimiento de una misión realizada en interés público de controlar la pandemia.

En el comunicado se dan una serie de pautas para llevar a cabo el tratamiento:

Justificar la medida: Identificar en qué tipo de establecimiento es necesaria. Minimizar datos: recoger solamente el número de teléfono del interesado, junto con los datos del día y la hora de asistencia al lugar.

IMPORTANTE

El Comité Europeo de Protección de Datos recomienda la anonimización y la minimización de datos en las aplicaciones de seguimiento de contactos en el contexto de la pandemia.

Sancionada con 6.000 euros una entidad por no notificar a sus clientes ni a la AEPD el hackeo a su cuenta de correo

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00122-2020.pdf instruido por la AEPD, se sanciona a SAUNIER-TEC, MANTENIMIENTOS DE CALOR Y FRIO, S.L.(el reclamado), por no notificar una brecha de seguridad. La sanción impuesta fue de 6.000 euros.

La reclamante presenta escrito de reclamación ante la AEPD alegando que había recibido una serie de emails solicitando una serie de cambios en sus datos personales, incluyendo su número completo de cuenta bancaria. El dominio desde el cual le llegó el correo tenía una extensión diferente, lo que indicaba que no eran emails oficiales enviados por la empresa SAUNIER-TEC. La reclamante se puso en contacto con la entidad para conocer de la brecha de seguridad y no recibió respuesta del responsable de protección de datos. La AEPD a la vista de los hechos, admite a trámite la reclamación e inicia el procedimiento sancionador contra la entidad por infringir los artículos 33 y 34 del RGPD, los cuales regulan cómo y cuándo ha de notificarse la brecha de seguridad que puedan suponer un riesgo para los derechos y libertades de las personas físicas. En este caso, la AEPD determina que, dada la categoría de datos afectados, datos bancarios y el número de afectados por la brecha, se tendría que haber notificado a los afectados.

IMPORTANTE

El responsable ha de notificar a la AEPD las brechas de seguridad antes del plazo de 72 horas desde su conocimiento.

Responsable del tratamiento y encargado del tratamiento

La normativa en protección de datos, en concreto el RGPD y nuestra Ley Orgánica LOPDGDD, define las obligaciones y responsabilidades de cada uno de los principales sujetos en el tratamiento de los datos.

En el art.4 del RGPD se define al responsable del tratamiento, como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales siguiendo las instrucciones del responsable.

En la LOPDGDD existe un apartado, denominado “disposiciones aplicables a tratamientos concretos”, en el cual, la normativa indica cómo tienen que actuar el responsable y encargado en relación con los datos personales y esos tratamientos.

¿Puedo conservar un currículum en el que se incluye el dato sobre el estado de inmunidad frente a la COVID-19?

Actualmente, se están viviendo situaciones paradójicas en materia de protección de datos debido a la pandemia que estamos sufriendo por la COVID-19.

Recientemente, la AEPD se ha pronunciado en un comunicado a cerca del tratamiento de datos de salud incluidos en el currículum vitae de los solicitantes a un empleo.

El dato de salud en cuestión, es el referido al estado de inmunidad frente a la enfermedad.

Primero, el responsable de una entidad no puede solicitar este dato para incluirlo dentro del proceso de selección como un requisito, ya que, se estaría llevando a cabo un tratamiento de datos de categorías especiales sin una finalidad legitima. Por otro lado, la legitimación del tratamiento es ilícita. Este supuesto no puede fundamentarse en el consentimiento del candidato, no sería válido, puesto que en esta situación no se daría libremente. Tampoco se podría alegar una necesidad para la celebración del contrato y aplicar las medidas de prevención. El responsable debe mantener la seguridad en su centro de trabajo, respecto de sus trabajadores y el futuro candidato aún no lo es.

En segundo lugar, cuando un responsable reciba un currículum vitae incluyendo este dato sobre el estado de inmunidad del candidato debería eliminarlo de su base de datos.

Es posible ceder datos telefónicos al CIS para realizar encuestas telefónicas?

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2020-0049.pdf por el CIS (Centro de Investigaciones Sociológicas) ante la necesidad de acceder a los listados de teléfono para la realización de las  encuestas pre electorales vascas y gallegas.

La AEPD resuelve si esta cesión es legítima y si cumple con las garantías para su realización conforme a la normativa de protección de datos.

El CIS justifica que debido a la situación especial derivada por la COVID-19 y las restricciones del estado de alarma, las encuestas no se pueden realizar mediante visita personal, tal y como marca la normativa que regula la función estadística. por otro lado, la utilización del correo ordinario para este tipo de estudios no se ajustaría a los objetivos de la encuesta. Por eso entiende, que la única posibilidad es realizar mediante llamada telefónica. En este sentido, la AEPD señala en su informe, que la justificación planteada por el CIS es adecuada.

Además, la AEPD indica que se deben aplicar los principios del RGPD, como es el de minimización de los datos. Solamente se facilitará el número de teléfono y la provincia, pero no su titular; se dará acceso a un porcentaje que se ajuste a la muestra y se podrán conservar el tiempo necesario para hacer el trabajo de campo, hasta un máximo de 30 días. Se tendrán en cuenta, por otro lado, las garantías propias de la función estadística.