Tras un largo periodo legislativo, numerosos debates parlamentarios y cientos de enmiendas a nivel europeo, este pasado 17 de septiembre se ha publicado en el Boletín Oficial del Estado la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves (en adelante, la Ley) y que nace con la finalidad de garantizar y proteger la vida y la seguridad de los ciudadanos, respecto de la delincuencia transfronteriza.

En lo relativo a los delitos de terrorismo y delitos graves respecto de los que se pretende proteger a los ciudadanos y que se tratan de evitar y detectar con esta Ley, en el artículo 4 se reflejan todos aquellos cuya pena de prisión sea igual o superior a tres años, y entre los que podemos encontrar: la pertenencia a una organización delictiva, trata de seres humanos, explotación sexual de niños y pornografía infantil, tráfico ilícito de estupefacientes, sustancias psicotrópicas, armas, municiones, explosivos, órganos,  tejidos humanos, materiales radioactivos o sustancias nucleares; corrupción, sabotaje, tráfico de vehículos robadosentre otros delitos.

En cuanto al proceso legislativo hasta la aprobación de la Ley, debemos señalar que se ha tratado de un proceso lento. En el año 2007 la Comisión Europea presentó la Propuesta de Decisión marco del Consejo sobre la utilización de datos del registro de nombres de los pasajeros (Passenger Name Record – PNR) con fines represivos, con el fin de recoger y analizar los datos PNR (aquellos datos que figuraban en los expedientes de los pasajeros) de cara a prevenir y luchar contra los atentados terroristas y la delincuencia organizada, a raíz de los incidentes acaecidos el 11 de septiembre del año 2001.  

Con el objetivo de garantizar la seguridad, proteger la vida y seguridad de los ciudadanos de la UE y crear un marco jurídico para la protección y el tratamiento de los datos PNR, se adoptó en el año 2016 la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

Los Estados miembros contaban con un plazo de dos años para poder transponer a sus ordenamientos internos todas las disposiciones contenidas en la Directiva. En el mes de febrero de 2018 se publicó en España el Anteproyecto de Ley Orgánica, y dos años después, en marzo de 2020, el Proyecto de Ley Orgánica, para, finalmente, publicar el pasado mes la Ley Orgánica 1/2020, que entrará en vigor el próximo 16 de noviembre, a los dos meses de su publicación en el BOE.

En el presente artículo vamos a intentar dar respuesta a algunos de los interrogantes que se han ido planteando alrededor de esta normativa, la cual no está exenta de crítica. 

En primer lugar, ¿QUIÉNES SON LOS SUJETOS OBLIGADOS Y QUÉ DATOS SE VAN A RECABAR DE LOS PASAJEROS?

A este respecto debemos indicar que los sujetos obligados a recabar tales datos, tal y como se refleja en el artículo 3 de la Ley, serían los siguientes:

  • Compañías aéreas.
  • Entidades de gestión y reservas de vuelos, como operadores turísticos o agencias de viajes.

Ahora bien, si consultamos el Pliego de prescripciones técnicas para la contratación del desarrollo del sistema de Registro de Nombres de Pasajeros (Proyecto PNR) (en adelante, Pliego de prescripciones), en concreto en la descripción general de las prescripciones técnicas, podemos observar que los datos que se recabarán también provendrán, además de los propios aeropuertos, de los trenes, hoteles, agencias de viajes, líneas de cruceros, tours operadores, sitios web, alquiler de coches y autobuses, así como sistemas de terceros, los Sistemas de Distribución Global (SDG), como Amadeus, Sabré, Galileo o Worldspan, y de las agencias gubernamentales que tengan registrados nuestros nombres.

          

Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

                                                   

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

El pasado 15 de junio el Tribunal Supremo dictaba sentencia que confirma la Resolución de La Agencia Española de Protección de Datos (AEPD) en el procedimiento PS/00290/2015, en el cual se interponía una multa de 40.001€ a la Mutua Madrileña, por incumplimiento de los preceptos recogidos en la normativa en materia de protección de datos, confirmando la no exoneración de la responsabilidad del responsable de tratamiento (en este caso, de la Mutua) al no haber atendido correctamente al derecho de oposición de envío de publicidad de uno de sus clientes ante una tercera empresa con la cual la Mutua había contratado la publicidad de sus productos.

La Mutua, por su parte, entiende que, en virtud del artículo 48 del vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), no se verían obligados a facilitar a la empresa contratista los datos de aquellos clientes que hubiesen ejercitado su derecho de oposición al envío de publicidad ante la propia Mutua. El citado artículo indica que “los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad”.

Por consiguiente, la Mutua declara no haber lugar a infracción del artículo 44.3 e) de la derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal,  que actualmente se corresponde con el artículo 72.1 k) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679” (RGPD).

Cabe recordar, que el RGPD recoge en su artículo 21 el derecho de oposición, pudiendo ser ejercido en cualquier momento por el interesado, siempre y cuando los datos objeto de tratamiento afecten a la licitud del mismo, en concreto en lo relativo al tratamiento en cumplimiento de una misión realizada en interés público o para satisfacer intereses legítimos perseguidos por el responsable o un tercero, conforme a lo dispuesto en los artículos 6.1 e) y f) RGPD.

El RDLOPD establece en su artículo 35.3, con relación a este ejercicio del derecho de oposición que, en todo caso y en el plazo máximo de 10 días a contar desde la recepción de la solicitud, “el responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto”.

A tenor de lo expuesto, observamos que la principal cuestión que debe establecer el citado Tribunal es si la Mutua está o no obligada a hacer efectivo el derecho de oposición de su cliente, que así se lo solicitó expresamente, ante la entidad tercera contratante.

Muchos son los centros escolares que se encuentran actualmente en pleno periodo de matriculación.

Ello trae consigo que, desde el propio entorno familiar, sean numerosas las cuestiones a dirimir entre aquellos quienes ostentan la patria potestad de sus hijos o tutelados, siempre y cuando éstos no se encuentren emancipados ni sean mayores de edad económicamente dependientes, puesto que, en tales supuestos, serán ellos quienes ostenten la capacidad de poder consentir con relación al tratamiento que el centro haga de sus datos de carácter personal.

Además, desde el propio centro, es una temática que puede llegar a generar conflicto, por el desconocimiento, muchas veces, acerca de cómo proceder a la recopilación de los consentimientos por parte de los alumnos o padres de alumnos, así como en aquellos supuestos en los que no se comparta la patria potestad entre los propios progenitores. 

En el presente artículo vamos a tratar de dar respuesta a algunas de las cuestiones que creemos que pueden llegar a causar más confusión, tanto por parte de las familias, como por parte de los propios centros escolares:

  1. ¿Qué requisitos deberán cumplir los consentimientos para ser considerados válidos?

En primer lugar, debemos indicar que el Reglamento Europeo de Protección de Datos (RGPD), entiende el término “consentimiento” como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Con la entrada en vigor del RGPD, el consentimiento tácito no se entiende, por tanto, como un consentimiento válido, debiendo atender en todo momento a los requisitos de validez que se indican en el propio precepto mencionado.

  1. ¿Quiénes deben otorgar los consentimientos para la realización del tratamiento de datos personales de los alumnos en los centros escolares?

En primer lugar, debemos indicar que el artículo 162 del Código Civil (CC) exceptúa de la obligación de quienes ostentan la patria potestad, la realización de todos aquellos actos relativos a los derechos de la personalidad del hijo, siempre de acuerdo con su madurez. Cabe recordar que el derecho a la protección de datos se trata de un derecho personalísimo, que podrá ser ejercido por el menor, siempre y cuando tenga más de 14 años, como ahora veremos.

A tenor de lo dispuesto, y en lo relativo al tratamiento de los datos personales de los alumnos mayores de 14 años, debemos recordar que la mayoría de edad en materia de protección de datos, opera a partir de los 14 años, tal y como señala el artículo 7 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), por lo que, siempre y cuando el menor sea mayor de dicha edad, exceptuando aquellos supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la realización de determinados actos o negocios jurídicos, tendrá potestad para decidir el tratamiento de sus datos de carácter personal por parte del centro.

Ahora bien, ¿puede el alumno mayor de 14 años otorgar consentimiento en lo relativo a los datos de sus familiares?

Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo esuna particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

En los tiempos que corren es difícil no ser conocedor de la existencia de las aplicaciones de citas, las cuales, sin lugar a duda, están revolucionando el entorno digital, así como la manera de relacionarnos entre los seres humanos.

A tenor de la reciente noticia, relativa a la publicación de miles de fotografías de los usuarios de la aplicación Tinder en diversos foros de internet, en el presente artículo, en el que tomaremos como base el Informe “OUT OF CONTROL: How consumers are exploited by the online advertising industry” (FUERA DE CONTROL: Cómo los consumidores son explotados por la industria de la publicidad online”, disponible en inglés) elaborado por el Consejo de Consumidores de Noruega, así como las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo del Artículo 29 (“GT29”, y actual Comité Europeo de Protección de Datos), analizaremos cómo Tinder,  una de las aplicaciones más populares de citas y encuentros, que cuenta con más de 100 millones de descargas, estaría vulnerando algunas de las exigencias y principios en materia de protección de datos que recoge el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Además, trataremos de explicar cómo debe proceder la industria de las “apps”, para cumplir con la normativa vigente en esta materia.  

Procedemos a dividir el presente análisis de la aplicación Tinder en los siguientes apartados:

  1. Elaboración de perfiles que realiza la aplicación a sus usuarios.
  2. Legitimación del tratamiento de los datos de sus usuarios.
  3. Principios de la normativa en materia de protección de datos.

ELABORACIÓN DE PERFILES

La aplicación de citas y encuentros Tinder realiza perfilado de sus usuarios mediante diferentes medios de tecnología publicitaria, con el fin de mostrarles publicidad dirigida y personalizada, procediendo a una previa categorización de los mismos.

El artículo 4.4 RGPD define el concepto de elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

 Asimismo, el Reglamento faculta a toda persona física a oponerse a este tratamiento automatizado de sus datos, indicando en su artículo 22.1 que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

Con carácter general, el interesado tiene derecho a no ser objetivo de decisiones basadas en tratamientos automatizados, donde encontramos la elaboración de perfiles, siempre y cuando no concurran las excepciones recogidas en el artículo 22.2 RGPD:

  • Ejecución de un contrato.
  • Autorizado por el Derechos de la Unión o de los Estados Miembros de la UE.
  • Consentimiento explícito del interesado.

Del contenido de la Política de Privacidad de Tinder, que en los siguientes puntos también analizaremos, no podemos considerar que se indique de manera clara, cuál de las excepciones previstas en el artículo 22.2 RGPD, aplica Tinder para realizar perfilado de sus usuarios.

LEGITIMACIÓN DEL TRATAMIENTO

La política de privacidad de la aplicación establece que las bases legitimadoras del tratamiento de los datos que la aplicación recaba de sus usuarios son los siguientes:

  1. Consentimiento: con el fin de utilizar la información de los usuarios para razones específicas (no se detallan más cuestiones al respecto). También se da la opción al usuario de retirar el consentimiento en el momento que así desee.
  2. Interés legítimo: a la hora de analizar el comportamiento de sus usuarios sobre sus servicios para sugerirles y mejorarles ofertas que les puedan ser de su interés.

En relación con el consentimiento podemos observar que la aplicación Tinder no estaría cumpliendo con las exigencias dispuestas en la normativa a tal efecto, las cuales, tal y como señala el artículo 4 apartado 11 RGPD, deberá ser en todo caso una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa”, el tratamiento de sus datos. Igualmente, en el considerando 32 se establece la obligación de dar el consentimiento para cada uno de los fines del tratamiento, cuestión que podemos comprobar que no se realiza, al ser cada una de las filiales responsables en el tratamiento de los datos que recaban, y no otorgarse consentimiento para dichas cesiones de datos. 

En la propia política de privacidad de Tinder, se indica que la aplicación compartirá “cierta información de los usuarios con proveedores de servicios y socios que nos asisten en la operación de nuestros servicios, como otras compañías de Match Group y, en algunos casos, con las autoridades legales.” Podemos inferir, por tanto, que la empresa podrá ceder sus datos a más de las 45 empresas pertenecientes a Match Group, compañía que pertenece y opera con datos de sitios web, entre los que se encuentra la citada aplicación.

Dada la gran relevancia que ha supuesto el cambio jurisprudencial del Tribunal Europeo de Derechos Humanos (en adelante, TEDH), con la sentencia de la Gran Sala, dictada el pasado 17 de octubre de 2019 en el caso de López Ribalda y otros c. España (solicitudes nos 1874/13 y 8567/13), vemos necesario abordar en el presente artículo los fundamentos que han llevado a la Gran Sala del TEDH a sentenciar, en contraposición a lo dispuesto previamente en la Sentencia dictada por la Sección Tercera del TEDH, a favor de los derechos del empleador de una conocida cadena de supermercados española, determinando así la validez, ante determinados supuestos, de los controles a los trabajadores mediante sistemas de videovigilancia, sin haber sido éstos informados previamente al respecto.

La Sentencia declara no haber violación de los artículos 8 (derecho al respeto a la vida privada y familiar) y 6.1 (derecho a un proceso equitativo) del Convenio Europeo de Derechos Humanos (en adelante, CEDH), tal y como solicitaban los empleados demandantes.

Los hechos objeto de la presente sentencia se desarrollaron en julio del año 2009, cuando la cadena de supermercados empezó a detectar notorias irregularidades entre la cantidad de existencias y las cifras de ventas, por lo que se procedió así a la instalación de sistemas de videovigilancia tanto visibles como ocultos, con el fin de comprobar sus sospechas de robo. Los trabajadores fueron conocedores de la instalación de videovigilancia que enfocaban a las puertas de entrada, pero no de aquellas que enfocaban de manera directa a las cajas registradoras.

Tras proceder al despido disciplinario de los empleados en base a las grabaciones realizadas por medio de los sistemas de videovigilancia, cinco fueron las demandantes que iniciaron procedimiento ante el Tribunal de lo Social y posteriormente ante el Tribunal Superior de Justicia, quienes consideraron que la medida de videovigilancia encubierta fue justificada, necesaria y proporcional con el fin perseguido, de conformidad con el artículo 20.3 del Estatuto de los Trabajadores, donde se establece que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales (…)”.

Ahora bien, ¿en qué difieren la Sentencia dictada por la Sección Tercera del TEDH y la dictada tras la remisión del Gobierno ante la Gran Sala del propio TEDH, y por qué ésta última supone un cambio jurisprudencial tan notorio? Además de ello, ¿en qué medida se han visto afectados en este supuesto los derechos en materia de protección de datos?

Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

En publicaciones anteriores del blog hemos indicado cómo el Sistema de Información Schengen II garantiza la protección de nuestros datos personales, teniendo como objetivo la eliminación de los controles fronterizos internos, tratando de garantizar, en todo caso, un alto nivel de seguridad y justicia en todos los países miembros de la UE.

La Comisión Europea, estableció en el año 2010 como uno de los pilares básicos de su "Estrategia de Seguridad Interior de la UE en acción: cinco medidas para una Europa más segura", el reforzar la seguridad a través de la gestión de fronteras. Uno de los aspectos estratégicos para la consecución del objetivo radicaba en un mayor uso de las nuevas tecnologías en los controles fronterizos, mediante la segunda generación del Sistema de Información de Schengen (SIS II) ya indicado en el párrafo anterior; un sistema de entrada/salida y programa de registro de pasajeros, así como mediante el Sistema de Información de Visados (Visa Informatión System, en adelante, VIS).

En el presente artículo, vamos a proceder al análisis del VIS, instrumento que se encuentra dentro del marco Schengen, a raíz de los ataques del 11 de septiembre de 2001, establecido por la Decisión 2004/512/CE del Consejo, de 8 de junio de 2004, por la que se establece el Sistema de Información de Visados (VIS) y que fue concebido con un doble objetivo:

  • Aplicación de una política de visados común dentro de los Estados Miembros de la UE, con el fin de facilitar el examen de las solicitudes de los visados y control de las fronteras exteriores.
  • Prevenir las amenazas a la seguridad interior de los Estados Miembros.

¿Qué es el VIS?

El VIS es la base de datos que recoge la información sobre aquellos solicitantes de visados Schengen, que permite a los países que integran el espacio Schengen, procesar datos y decisiones relacionadas con las solicitudes de visados de corta duración, con el fin de visitar o transitar por el Área Schengen, a fin de incrementar la seguridad y la mejora en la gestión de las fronteras exteriores de la UE.

El VIS contiene información sobre los ciudadanos no pertenecientes a la UE que solicitan visados Schengen de corta duración. Sirve para conectar a los guardas fronterizos en las fronteras exteriores de la UE con los consulados de los Estados Miembros en todo el mundo. Es uno de los sistemas más avanzados de este tipo, conteniendo más de 55 solicitudes de visa y cerca de 47 millones de huellas dactilares. Cada año, los Estados Miembros de la UE procesan alrededor de 18 millones de solicitudes para estas visas Schengen de corta duración.

En la actualidad, los países que se encuentran adheridos a este sistema son la mayoría de los estados miembros de la UE, a excepción de Chipre, Croacia, Irlanda y Reino Unido. Bulgaria y Rumanía se encuentran en proceso de adherirse al Área Schengen. También forman parte de ésta, estados no pertenecientes a la UE, como Islandia, Noruega, Suiza y Liechtenstein.

Este Sistema de Información de Visados viene regulado en el  REGLAMENTO (CE) Nº 767/2008 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corte duración entre los Estados miembros (Reglamento VIS), cuyo objetivo radica en “mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las misma”, y cuyas disposiciones fueron modificadas por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.º 767/2008 y (UE) n.º 1077/2011.

Entre sus principales finalidades, podemos encontrar las siguientes:

Muchos son los interrogantes que se nos plantean a la hora de determinar si podemos o no considerar las matrículas de los vehículos como datos de carácter personal conforme a la legislación vigente.

Si bien es cierto que el criterio mayoritario que nuestra autoridad de control en materia de protección de datos (Agencia Española de Protección de Datos, en adelante “AEPD”) está adoptando, es el considerar que las matrículas de los vehículos sí constituyen un dato de carácter personal, y, por tanto, sometidas a las previsiones recogidas en la normativa en materia de protección de datos (Reglamento General de Protección de Datos, en adelante “RGPD” y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales), a continuación podemos comprobar que estos pronunciamientos no son de carácter unánime, tanto por parte de la propia AEPD, como por otros Tribunales, al considerar que tales datos no son datos de carácter personal.

En primer lugar, y para poder dar una respuesta a esta cuestión, debemos preguntarnos, ¿qué es un dato de carácter personal?

El artículo 4.1 RGPD define dato de carácter personal como “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Atendiendo a la definición que el propio RGPD nos proporciona del concepto de dato de carácter personal, podemos inferir que, mediante la matrícula de un vehículo, indirectamente se podría llegar a identificar al titular del vehículo, y, por tanto, tratarse de un dato de carácter personal.

Ahora bien, ¿en qué supuestos ha entendido la AEPD que las matrículas de vehículos son datos de carácter personal?

Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal