La Agencia Española de Protección de Datos (AEPD) ha sancionado a la entidad Banco Bilbao Vizcaya Argentaria, S.A (BBVA) con 5 millones de euros por incumplimiento de los preceptos 6, 13 y 14 del Reglamento Europeo de Protección de Datos (RGPD).

A continuación, analizaremos cada una de las infracciones cometidas por la entidad, así como su repercusión en la normativa, si bien antes debemos destacar que esta no es la única sanción impuesta a BBVA en estos últimos tiempos. Ya en el mes de marzo la AEPD les impuso una sanción con valor de 30.000€ (PS/00068/2020) por infracción del artículo 6.1 RGPD (relativo al principio de licitud, en virtud del cual, el tratamiento de los datos deberá efectuarse de manera legítima, atendiendo a las condiciones que establece dicho precepto), en relación con el artículo 20 e) de la Ley Orgánica de Protección de Datos y garantías de los derechos digitales (LOPDGDD), y que reza que: “los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.”

La AEPD considera que la entidad consultó “los datos personales del reclamante en los ficheros de información de solvencia patrimonial y crédito en aras de garantizar la mejor resolución de las reclamaciones presentadas ante la Entidad por el reclamante”. Tras las oportunas investigaciones por parte de nuestra autoridad de control, se terminó demostrando que BBVA no contaba con legitimación suficiente para para acceder a tales datos, al no mantener el reclamante ningún tipo de relación contractual con la entidad, cuestión esta que, a ojos de la Agencia, se tornaba necesaria para acceder a la información de solvencia patrimonial.

En cuanto a la resolución objeto del presente artículo (PS/00070/2019), en la cual la AEPD interpone la multa con mayor cuantía de su historia, y que asciende a un total de 5 millones de euros, debemos hacer una distinción entre las diferentes infracciones cometidas por parte de la entidad bancaria, y en las que nuestra autoridad de control basa su sanción:

En primer lugar, la AEPD sanciona con un total de 3 millones de euros a la entidad BBVA por el incumplimiento del artículo 6.1 RGPD (principio de licitud del tratamiento), en base a los siguientes motivos:

  • 1. Inexistencia de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de los datos personales. Las opciones del interesado se limitaban a la marcación de una casilla mediante la cual dejaban constancia de su oposición a los tratamientos de datos. A este respecto, debemos indicar que, en la actual normativa en materia de protección de datos, el consentimiento tácito no se entiende como un consentimiento válido.

Como ya sabemos, la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) supuso un cambio de paradigma en las normativas nacionales de protección de datos de los países miembros de la Unión Europea.

Una de las novedades más destacadas fue la creación imposición obligatoria, para determinados sujetos, de la figura del Delegado de Protección de Datos (DPD), una figura encargada de informar, asesorar, supervisar el cumplimiento normativo, así como cooperar y actuar como punto de contacto con la autoridad de control (Agencia Española de Protección de Datos [AEPD]).

Si bien es cierto que el RGPD establece (arts. 37-39) las circunstancias en las cuales se debe designar dicha figura en algunas entidades, así como la posición que ostenta en la misma y las funciones que le son asignadas, no es sino en nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) donde se establece de manera pormenorizada un listado de aquellas entidades que deben tener designado un DPD, todo ello bajo el amparo de lo dispuesto en el propio RGPD, donde se permite a los Estados Miembros un margen de actuación a la hora de ampliar los supuestos en los que se debe designar dicha figura.

Como indicábamos, tanto el RGPD cómo la LOPDGDD, recogen supuestos de designación obligatoria de esta figura.

  • Artículo 37 RGPD – El responsable y encargado del tratamiento designarán un DPD en las siguientes casuísticas:
  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicialLas actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
  • Artículo 34 LOPDGDD - Establece un listado de aquellas entidades que, debido al tratamiento de datos que realizan, están obligadas por ley a tener designado un DPD:
  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes (públicos y privados) que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.
  • En el presente artículo nos centraremos en dos casos recientes en los cuales la AEPD sanciona a dos entidades obligadas en virtud de los citados artículos, concretamente en lo relativo a entidades que tratan habitual y sistemáticamente datos a gran escala (artículo 37.1.b RGPD), así como empresas de seguridad privada (artículo 34.1 letra ñ LOPDGDD) y que no habían cumplido con su obligación de designar un Delegado de Protección de Datos:

  • 1. Sanción de 25.000€ por incumplimiento del artículo 37.1.b del RGPD a la empresa GLOVO.

Tras un largo periodo legislativo, numerosos debates parlamentarios y cientos de enmiendas a nivel europeo, este pasado 17 de septiembre se ha publicado en el Boletín Oficial del Estado la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (en adelante, la Ley) y que nace con la finalidad de garantizar y proteger la vida y la seguridad de los ciudadanos, respecto de la delincuencia transfronteriza.

En lo relativo a los delitos de terrorismo y delitos graves respecto de los que se pretende proteger a los ciudadanos y que se tratan de evitar y detectar con esta Ley, en el artículo 4 se reflejan todos aquellos cuya pena de prisión sea igual o superior a tres años, y entre los que podemos encontrar: la pertenencia a una organización delictiva, trata de seres humanos, explotación sexual de niños y pornografía infantil, tráfico ilícito de estupefacientes, sustancias psicotrópicas, armas, municiones, explosivos, órganos,  tejidos humanos, materiales radioactivos o sustancias nucleares; corrupción, sabotaje, tráfico de vehículos robadosentre otros delitos.

En cuanto al proceso legislativo hasta la aprobación de la Ley, debemos señalar que se ha tratado de un proceso lento. En el año 2007 la Comisión Europea presentó la Propuesta de Decisión marco del Consejo sobre la utilización de datos del registro de nombres de los pasajeros (Passenger Name Record – PNR) con fines represivos, con el fin de recoger y analizar los datos PNR (aquellos datos que figuraban en los expedientes de los pasajeros) de cara a prevenir y luchar contra los atentados terroristas y la delincuencia organizada, a raíz de los incidentes acaecidos el 11 de septiembre del año 2001.  

Con el objetivo de garantizar la seguridad, proteger la vida y seguridad de los ciudadanos de la UE y crear un marco jurídico para la protección y el tratamiento de los datos PNR, se adoptó en el año 2016 la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

Los Estados miembros contaban con un plazo de dos años para poder transponer a sus ordenamientos internos todas las disposiciones contenidas en la Directiva. En el mes de febrero de 2018 se publicó en España el Anteproyecto de Ley Orgánica, y dos años después, en marzo de 2020, el Proyecto de Ley Orgánica, para, finalmente, publicar el pasado mes la Ley Orgánica 1/2020, que entrará en vigor el próximo 16 de noviembre, a los dos meses de su publicación en el BOE.

En el presente artículo vamos a intentar dar respuesta a algunos de los interrogantes que se han ido planteando alrededor de esta normativa, la cual no está exenta de crítica. 

En primer lugar, ¿QUIÉNES SON LOS SUJETOS OBLIGADOS Y QUÉ DATOS SE VAN A RECABAR DE LOS PASAJEROS?

A este respecto debemos indicar que los sujetos obligados a recabar tales datos, tal y como se refleja en el artículo 3 de la Ley, serían los siguientes:

  • Compañías aéreas.
  • Entidades de gestión y reservas de vuelos, como operadores turísticos o agencias de viajes.

Ahora bien, si consultamos el Pliego de prescripciones técnicas para la contratación del desarrollo del sistema de Registro de Nombres de Pasajeros (Proyecto PNR) (en adelante, Pliego de prescripciones), en concreto en la descripción general de las prescripciones técnicas, podemos observar que los datos que se recabarán también provendrán, además de los propios aeropuertos, de los trenes, hoteles, agencias de viajes, líneas de cruceros, tours operadores, sitios web, alquiler de coches y autobuses, así como sistemas de terceros, los Sistemas de Distribución Global (SDG), como Amadeus, Sabré, Galileo o Worldspan, y de las agencias gubernamentales que tengan registrados nuestros nombres.

          

Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

                                                   

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

El pasado 15 de junio el Tribunal Supremo dictaba sentencia que confirma la Resolución de La Agencia Española de Protección de Datos (AEPD) en el procedimiento PS/00290/2015, en el cual se interponía una multa de 40.001€ a la Mutua Madrileña, por incumplimiento de los preceptos recogidos en la normativa en materia de protección de datos, confirmando la no exoneración de la responsabilidad del responsable de tratamiento (en este caso, de la Mutua) al no haber atendido correctamente al derecho de oposición de envío de publicidad de uno de sus clientes ante una tercera empresa con la cual la Mutua había contratado la publicidad de sus productos.

La Mutua, por su parte, entiende que, en virtud del artículo 48 del vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), no se verían obligados a facilitar a la empresa contratista los datos de aquellos clientes que hubiesen ejercitado su derecho de oposición al envío de publicidad ante la propia Mutua. El citado artículo indica que “los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad”.

Por consiguiente, la Mutua declara no haber lugar a infracción del artículo 44.3 e) de la derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal,  que actualmente se corresponde con el artículo 72.1 k) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679” (RGPD).

Cabe recordar, que el RGPD recoge en su artículo 21 el derecho de oposición, pudiendo ser ejercido en cualquier momento por el interesado, siempre y cuando los datos objeto de tratamiento afecten a la licitud del mismo, en concreto en lo relativo al tratamiento en cumplimiento de una misión realizada en interés público o para satisfacer intereses legítimos perseguidos por el responsable o un tercero, conforme a lo dispuesto en los artículos 6.1 e) y f) RGPD.

El RDLOPD establece en su artículo 35.3, con relación a este ejercicio del derecho de oposición que, en todo caso y en el plazo máximo de 10 días a contar desde la recepción de la solicitud, “el responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto”.

A tenor de lo expuesto, observamos que la principal cuestión que debe establecer el citado Tribunal es si la Mutua está o no obligada a hacer efectivo el derecho de oposición de su cliente, que así se lo solicitó expresamente, ante la entidad tercera contratante.

Muchos son los centros escolares que se encuentran actualmente en pleno periodo de matriculación.

Ello trae consigo que, desde el propio entorno familiar, sean numerosas las cuestiones a dirimir entre aquellos quienes ostentan la patria potestad de sus hijos o tutelados, siempre y cuando éstos no se encuentren emancipados ni sean mayores de edad económicamente dependientes, puesto que, en tales supuestos, serán ellos quienes ostenten la capacidad de poder consentir con relación al tratamiento que el centro haga de sus datos de carácter personal.

Además, desde el propio centro, es una temática que puede llegar a generar conflicto, por el desconocimiento, muchas veces, acerca de cómo proceder a la recopilación de los consentimientos por parte de los alumnos o padres de alumnos, así como en aquellos supuestos en los que no se comparta la patria potestad entre los propios progenitores. 

En el presente artículo vamos a tratar de dar respuesta a algunas de las cuestiones que creemos que pueden llegar a causar más confusión, tanto por parte de las familias, como por parte de los propios centros escolares:

  1. ¿Qué requisitos deberán cumplir los consentimientos para ser considerados válidos?

En primer lugar, debemos indicar que el Reglamento Europeo de Protección de Datos (RGPD), entiende el término “consentimiento” como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Con la entrada en vigor del RGPD, el consentimiento tácito no se entiende, por tanto, como un consentimiento válido, debiendo atender en todo momento a los requisitos de validez que se indican en el propio precepto mencionado.

  1. ¿Quiénes deben otorgar los consentimientos para la realización del tratamiento de datos personales de los alumnos en los centros escolares?

En primer lugar, debemos indicar que el artículo 162 del Código Civil (CC) exceptúa de la obligación de quienes ostentan la patria potestad, la realización de todos aquellos actos relativos a los derechos de la personalidad del hijo, siempre de acuerdo con su madurez. Cabe recordar que el derecho a la protección de datos se trata de un derecho personalísimo, que podrá ser ejercido por el menor, siempre y cuando tenga más de 14 años, como ahora veremos.

A tenor de lo dispuesto, y en lo relativo al tratamiento de los datos personales de los alumnos mayores de 14 años, debemos recordar que la mayoría de edad en materia de protección de datos, opera a partir de los 14 años, tal y como señala el artículo 7 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), por lo que, siempre y cuando el menor sea mayor de dicha edad, exceptuando aquellos supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la realización de determinados actos o negocios jurídicos, tendrá potestad para decidir el tratamiento de sus datos de carácter personal por parte del centro.

Ahora bien, ¿puede el alumno mayor de 14 años otorgar consentimiento en lo relativo a los datos de sus familiares?

Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo esuna particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

En los tiempos que corren es difícil no ser conocedor de la existencia de las aplicaciones de citas, las cuales, sin lugar a duda, están revolucionando el entorno digital, así como la manera de relacionarnos entre los seres humanos.

A tenor de la reciente noticia, relativa a la publicación de miles de fotografías de los usuarios de la aplicación Tinder en diversos foros de internet, en el presente artículo, en el que tomaremos como base el Informe “OUT OF CONTROL: How consumers are exploited by the online advertising industry” (FUERA DE CONTROL: Cómo los consumidores son explotados por la industria de la publicidad online”, disponible en inglés) elaborado por el Consejo de Consumidores de Noruega, así como las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo del Artículo 29 (“GT29”, y actual Comité Europeo de Protección de Datos), analizaremos cómo Tinder,  una de las aplicaciones más populares de citas y encuentros, que cuenta con más de 100 millones de descargas, estaría vulnerando algunas de las exigencias y principios en materia de protección de datos que recoge el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Además, trataremos de explicar cómo debe proceder la industria de las “apps”, para cumplir con la normativa vigente en esta materia.  

Procedemos a dividir el presente análisis de la aplicación Tinder en los siguientes apartados:

  1. Elaboración de perfiles que realiza la aplicación a sus usuarios.
  2. Legitimación del tratamiento de los datos de sus usuarios.
  3. Principios de la normativa en materia de protección de datos.

ELABORACIÓN DE PERFILES

La aplicación de citas y encuentros Tinder realiza perfilado de sus usuarios mediante diferentes medios de tecnología publicitaria, con el fin de mostrarles publicidad dirigida y personalizada, procediendo a una previa categorización de los mismos.

El artículo 4.4 RGPD define el concepto de elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

 Asimismo, el Reglamento faculta a toda persona física a oponerse a este tratamiento automatizado de sus datos, indicando en su artículo 22.1 que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

Con carácter general, el interesado tiene derecho a no ser objetivo de decisiones basadas en tratamientos automatizados, donde encontramos la elaboración de perfiles, siempre y cuando no concurran las excepciones recogidas en el artículo 22.2 RGPD:

  • Ejecución de un contrato.
  • Autorizado por el Derechos de la Unión o de los Estados Miembros de la UE.
  • Consentimiento explícito del interesado.

Del contenido de la Política de Privacidad de Tinder, que en los siguientes puntos también analizaremos, no podemos considerar que se indique de manera clara, cuál de las excepciones previstas en el artículo 22.2 RGPD, aplica Tinder para realizar perfilado de sus usuarios.

LEGITIMACIÓN DEL TRATAMIENTO

La política de privacidad de la aplicación establece que las bases legitimadoras del tratamiento de los datos que la aplicación recaba de sus usuarios son los siguientes:

  1. Consentimiento: con el fin de utilizar la información de los usuarios para razones específicas (no se detallan más cuestiones al respecto). También se da la opción al usuario de retirar el consentimiento en el momento que así desee.
  2. Interés legítimo: a la hora de analizar el comportamiento de sus usuarios sobre sus servicios para sugerirles y mejorarles ofertas que les puedan ser de su interés.

En relación con el consentimiento podemos observar que la aplicación Tinder no estaría cumpliendo con las exigencias dispuestas en la normativa a tal efecto, las cuales, tal y como señala el artículo 4 apartado 11 RGPD, deberá ser en todo caso una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa”, el tratamiento de sus datos. Igualmente, en el considerando 32 se establece la obligación de dar el consentimiento para cada uno de los fines del tratamiento, cuestión que podemos comprobar que no se realiza, al ser cada una de las filiales responsables en el tratamiento de los datos que recaban, y no otorgarse consentimiento para dichas cesiones de datos. 

En la propia política de privacidad de Tinder, se indica que la aplicación compartirá “cierta información de los usuarios con proveedores de servicios y socios que nos asisten en la operación de nuestros servicios, como otras compañías de Match Group y, en algunos casos, con las autoridades legales.” Podemos inferir, por tanto, que la empresa podrá ceder sus datos a más de las 45 empresas pertenecientes a Match Group, compañía que pertenece y opera con datos de sitios web, entre los que se encuentra la citada aplicación.

Dada la gran relevancia que ha supuesto el cambio jurisprudencial del Tribunal Europeo de Derechos Humanos (en adelante, TEDH), con la sentencia de la Gran Sala, dictada el pasado 17 de octubre de 2019 en el caso de López Ribalda y otros c. España (solicitudes nos 1874/13 y 8567/13), vemos necesario abordar en el presente artículo los fundamentos que han llevado a la Gran Sala del TEDH a sentenciar, en contraposición a lo dispuesto previamente en la Sentencia dictada por la Sección Tercera del TEDH, a favor de los derechos del empleador de una conocida cadena de supermercados española, determinando así la validez, ante determinados supuestos, de los controles a los trabajadores mediante sistemas de videovigilancia, sin haber sido éstos informados previamente al respecto.

La Sentencia declara no haber violación de los artículos 8 (derecho al respeto a la vida privada y familiar) y 6.1 (derecho a un proceso equitativo) del Convenio Europeo de Derechos Humanos (en adelante, CEDH), tal y como solicitaban los empleados demandantes.

Los hechos objeto de la presente sentencia se desarrollaron en julio del año 2009, cuando la cadena de supermercados empezó a detectar notorias irregularidades entre la cantidad de existencias y las cifras de ventas, por lo que se procedió así a la instalación de sistemas de videovigilancia tanto visibles como ocultos, con el fin de comprobar sus sospechas de robo. Los trabajadores fueron conocedores de la instalación de videovigilancia que enfocaban a las puertas de entrada, pero no de aquellas que enfocaban de manera directa a las cajas registradoras.

Tras proceder al despido disciplinario de los empleados en base a las grabaciones realizadas por medio de los sistemas de videovigilancia, cinco fueron las demandantes que iniciaron procedimiento ante el Tribunal de lo Social y posteriormente ante el Tribunal Superior de Justicia, quienes consideraron que la medida de videovigilancia encubierta fue justificada, necesaria y proporcional con el fin perseguido, de conformidad con el artículo 20.3 del Estatuto de los Trabajadores, donde se establece que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales (…)”.

Ahora bien, ¿en qué difieren la Sentencia dictada por la Sección Tercera del TEDH y la dictada tras la remisión del Gobierno ante la Gran Sala del propio TEDH, y por qué ésta última supone un cambio jurisprudencial tan notorio? Además de ello, ¿en qué medida se han visto afectados en este supuesto los derechos en materia de protección de datos?

Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal