El pasado 1 de junio, la Agencia Española de Protección de Datos (AEPD) público el Plan de inspección de oficio en la atención sociosanitaria. Dicho documento se centra por primera vez en analizar los tratamientos de datos de carácter personal que se realizan en el ámbito sociosanitario, además de llevar a cabo una investigación en cuanto al cumplimiento normativo en materia de protección de datos de dicho ámbito.

Iniciamos el análisis de dicho plan clarificando el concepto de atención sociosanitaria, aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Sentadas las bases conceptuales, estimamos conveniente referirnos a la estructura del “Plan de inspección de oficio en la atención sociosanitaria”:

  • Resumen ejecutivo
  • Introducción
  • Objetivos
  • Concepto de atención sociosanitaria
  • Situación del espacio sociosanitario en España
  • Metodología y actuaciones realizadas en el plan
  • Conclusiones y recomendaciones
  • Preguntas frecuentes
  • Retos futuros
  • Anexos

En concreto, en nuestro articulo veremos de una forma concisa los puntos relativos a la metodología y actuaciones realizadas, así como las conclusiones y recomendaciones que la AEPD realiza al respecto.

¿Qué actuaciones ha realizado la AEPD a lo largo del plan de inspección?

  1. Planificación de la auditoría: fase en la que se determinan los objetivos, las fases y el calendario de actuaciones. Asimismo, se lleva a cabo un estudio sobre el ámbito sociosanitario en España. Como parte final de esta planificación se realiza una reunión con el IMSERSO, en aras de conocer inquietudes y dudas respecto del tratamiento de datos de carácter personal efectuados en residencias y centros sociosanitarios.
  2. Solicitudes de información y documentación: en esta actuación se procedió a solicitar la información pertinente a las Consejerías de Asuntos Sociales de todas las Comunidades Autónomas, a excepción de Cataluña y País Vasco, así como al Ministerio de Sanidad. Esta solicitud se realiza en vistas a poder conocer el abanico de tratamientos de datos de carácter personal que aplica a la atención sociosanitaria en España.
  3. Realización de Inspecciones: durante los meses de septiembre a diciembre de 2018 se realizaron inspecciones presenciales en distintos centros sociosanitarios preseleccionados. En estas inspecciones se ha procedido a auditar los procedimientos en materia de protección de datos establecidos en cada centro, para lo cual se han mantenido reuniones tanto con responsables como con encargados del tratamiento.
  4. Fase Final: una vez que la AEPD disponía de toda la información necesaria procedió a la elaboración del documento de plan de inspección sobre el que versa el presente artículo.

De las solicitudes de información y documentación realizadas en el plan de inspección, la AEPD ha determinado que la tipología de datos de carácter personal que se suelen tratar en los centros sociosanitario es la siguiente:

  • Datos básicos personales y bancarios (Nombre y apellidos, teléfono, etc.)
  • Datos sanitarios (Historia clínica, tratamientos, etc.)
  • Historia social (Informes sociales, sociofamiliares, etc.)
  • Informes psicopedagógicos
  • Datos de evaluación de autonomía (pruebas de evaluación, diagnostico, etc.)
  • Registro de incidencias ocurridas durante la estancia en el centro.
  • Contrato de convivencia firmado con el centro.
  • Plan de atención personalizada del usuario.
  • Datos de contacto de familiares o responsables del usuario.

Siendo la mayoría de estos datos considerados como categorías especiales, la AEPD recuerda la necesidad de seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Así, la observancia del principio de minimización es esencial, y con ella el tratamiento de datos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.

¿Cuáles son las conclusiones más relevantes del plan?

A raíz de la situación actual de nuestro país surgen distintas controversias en lo que respecta a la protección de datos. Tras la aprobación de la Orden ministerial SND/297/2020, de 27 de marzo (en adelante Orden ministerial u Orden), se han hecho virales noticias en las que se ha hablado de dos polémicas principalmente: en primer lugar, qué dicha Orden derogaba la normativa en materia de protección de datos durante el estado de alarma y, en segundo lugar, que la APP ASISTENCIACOVID-19 tendría geolocalizados y controlados en todo momento a los ciudadanos españoles. Es por este motivo por lo que hemos considerado necesario dedicar un artículo en nuestro Blog para realizar determinadas aclaraciones al respecto.

¿Qué finalidad tiene la Orden ministerial?

Nos encontramos ante una norma de rango reglamentario que puede emanar de cualquiera de los ministros del Gobierno de España, en este caso en concreto del Ministerio de Sanidad. Tal y como podemos encontrar en la exposición de motivos de la mencionada Orden, su principal finalidad es «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública».

Para conseguir dicha finalidad lo que se va a intentar es contar con información real sobre la movilidad de las personas en los días de confinamiento que estamos atravesando en la actualidad:

  • El Instituto Nacional de Estadística (INE) está realizando un estudio impulsado por la Orden ministerial con DATAcovid. En relación con este estudio, el escollo a nivel protección de datos, podría surgir en definir cómo y  cuándo se van a tratar estos datos para conseguir información de los ciudadanos, pero en este caso concreto, en la orden se aclara que solamente: emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.A este respecto, merece la pena recordar que en octubre de 2019 el INE utilizó la misma técnica para realizar un estudio sobre cuántos ciudadanos se mueven de un municipio dormitorio a una ciudad; qué número de personas trabaja en el mismo barrio donde vive o en uno distinto; de dónde viene la gente que trabaja en una zona, o cómo fluctúa la población en un recuadro a lo largo del día. En esta ocasión también fue criticada la utilización del posicionamiento en los teléfonos móviles, pero a posteriori se pudo comprobar que se cumplía con todas las garantías normativas en materia de protección de datos por parte del INE.
  • Asimismo, el gobierno ha impulsado una App denominada AsistenciaCOVID-19, disponible por el momento en las siguientes Comunidades Autónomas: Canarias, Cantabria, Castilla-La Mancha, Extremadura y Principado de Asturias.Como hemos comentado en la introducción del presente artículo, esta aplicación ha sido muy criticada en los medios de por el uso de la geolocalización de los ciudadanos, diciéndose que el acceso al GPS de los teléfonos móviles sería “conditio sine qua non” para utilizar la App. Valoraremos más adelante este hecho.

¿Cómo puede afectar esto al derecho fundamental a la protección de datos?

Pues bien, a pesar de que como indicábamos anteriormente, ha habido noticias en las que se indicaba que esto podría afectar a la normativa en materia de protección de datos y por tanto a nuestro derecho fundamental reconocido en el artículo 18.4 de Constitución Española (CE), en la Orden no se establece ninguna excepción al derecho fundamental ni a la normativa. Tanto es así, que en la propia Orden se indica expresamente que será de aplicación:

El Reglamento General de Protección de Datos (RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El hecho de que se haya podido llegar a pensar que se derogaba la normativa en materia de protección de datos, puedehaber sido consecuencia de un error interpretativo/lectura, tanto por la propia denominacion del Reglamento (UE) 2016/679 que deroga la Directiva 95/46/CE, como el no haber un “punto y aparte” ha creado confusión en lecturas rápidas.

Además, el Ministerio de Sanidad ha comunicado que, para hacer cumplir dicha Orden, velará por llevar a cabo los criterios interpretativos dados por la Agencia Española de Protección de Datos. En este sentido, contamos con muchos comunicados en la página web de la AEPD tratando estas cuestiones, pero el más vinculado al tema actual es el Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus.

Deberemos distinguir el análisis del impacto en materia de protección de datos,como derecho fundamental ,en cada uno de los puntos indicados:

Es probable que hayas oído hablar del whistleblowing, pero ¿de dónde proviene dicho término y que significa?

Para conocer el origen el término “whistleblower”, hemos de acudir a la práctica de los oficiales de policía británicos, los cuales hacían sonar sus silbatos (whistle) soplando (blow), en el caso de que presenciasen la comisión de un presunto delito. De este modo se alertaba tanto a las autoridades como a los ciudadanos del peligro.

Actualmente, este término se refiere al ciudadano que informa de que se está cometiendo un acto delictivo en la organización para la que presta servicios.

¿Para qué se utiliza el canal (whistleblowing)?

Como hemos ido adelantando, dicho canal se usa para denunciar un hecho constitutivo de delito, peligro o fraude dentro de una empresa. Si bien es cierto que tiene especial relevancia en el sistema público, también se utiliza en el sistema privado, siendo alguno de los delitos susceptibles de denuncia los que citamos a continuación:

·         Blanqueo de capitales.

·         Delitos en materia de protección de datos.

·         Contra la propiedad intelectual e industrial.

·         Evasiones de impuestos.

·         Contra la Hacienda Pública, etc.

A este respecto, consideramos importante el hacer referencia a la persona que realiza la denuncia (whistlebower), ¿qué tipo de protección tiene?

En líneas generales, España no dispone de ninguna normativa que regule específicamente las medidas de protección mínimas que debería recibir cualquier persona que se encuentre en posición de denunciar una irregularidad o ilícito cometido en una organización, tanto pública como privada. Si bien es cierto que hay determinadas normas que regulan algunos aspectos de estos canales, estas no entran en la protección de la persona que se encarga de realizar la denuncia. Hemos de resaltar entre dichas normas la originaria de la popularización de este término en España:

·  LO 5/2010, de 22 de junio que introduce el artículo 31 bis en nuestro Código Penal, la cual se aprobó en Diciembre de 2010, estableciendo así un estatuto de responsabilidad penal para las personas jurídicas de forma autónoma e independiente del de sus representantes legales y administradores. Además, introduce como atenuante e incluso eximente a esa responsabilidad el demostrar haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Es a partir de esta reforma cuando se hace más popular en las empresas españolas la implantación de canales de denuncias internos.

También cabe destacar que diversos organismos a lo largo de los años han ido pronunciándose en relación con el canal whistleblowing, como, por ejemplo:

1.    Grupo de Trabajo del Artículo 29, en el Dictamen 1/2006, en el cual el WG29 se postula hacia canales de denuncia abiertos, es decir, de manera identificada, fundamentándolo hasta en seis razones diferentes, pero a pesar de su preferencia, no rechaza de forma categórica la posibilidad de que se puedan dar denuncias de forma anónima.

2.    Fiscalía General del Estado, a través de la Circular 1/2016, de la cual hemos de destacar que ya adelantaba lo siguiente: "para que la obligación de utilizar el canal de denunciar pueda ser exigida a los empleados será imprescindible que la empresa implemente adicionalmente una "regulación protectora específica del denunciante (whistleblower)".

No obstante, es cierto que algunas de nuestras Comunidades Autónomas sí que se han encargado de regular en esta materia. Entre otras, podemos destacar el caso de Castilla y León a través de la Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones en relación con las informaciones que reciba la Administración Autonómica sobre hechos relacionados con delitos contra la Administración Pública, estableciendo a su vez garantías para los informantes.

Asimismo, no queremos pasar a analizar la Directiva sin recordar que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 24 también hace referencia a los canales de denuncia internos, diciendo textualmente:

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información”.

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (AquíAquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

Actualmente, detrás de la mayoría de los servicios web en los cuales se nos presta un servicio totalmente gratuito, nos encontramos con que, a cambio de esto, en la mayoría de los casos se rentabiliza la información de los usuarios, recogida a través de servicios de marketing, los cuales dirigen campañas de publicidad personalizadas por quien desea publicitar un producto o servicio.

Por lo tanto, además de identificar al usuario y realizar un seguimiento y recopilación de sus datos, se le perfila con la finalidad de poder maximizar la eficacia de la publicidad que se nos ofrece.

Una de las técnicas de seguimiento, ya conocida por todos, son las cookies, las cuales como ya sabemos, se trata de archivos creados por un sitio web, que contienen pequeñas cantidades de datos y que se envían entre un emisor y un receptor. A este respecto referenciamos una serie de artículos de nuestro blog que pudieran ser de interés, para conocer más sobre el tema pincha en los siguientes aquí y aquí. Sin embargo, nos encontramos ante un mercado muy dinámico, por lo que los diversos agentes implicados en el mercado de internet no cesan en la investigación de nuevas formas de recopilación y explotación de datos de los usuarios.

¿Cuáles son estas nuevas técnicas de seguimiento? En concreto en este artículo nos centraremos en el análisis de la técnica del fingerprinting.

El fingerprinting o la huella digital del dispositivo es una recopilación sistemática de información sobre un determinado dispositivo remoto con el objetivo de identificarlo, singularizarlo y, de esa forma, poder hacer un seguimiento de la actividad del usuario con el propósito de perfilarlo.

Es decir, la huella digital del dispositivo es un conjunto de datos extraídos del terminal del usuario que permiten individualizar de forma unívoca dicho terminal.

Cabe añadir, que las técnicas de identificación mediante huella digital del dispositivo se llegan a describir como “cookieless monster”. Esto es así, dado que no es necesario instalar ningún tipo de cookie en el dispositivo para recoger toda la información del usuario, y si esto sucede de forma totalmente transparente al usuario, éste no puede tomar medidas para evitarlo.

En relación con la obligación de información, que encontramos regulada en el art.22 de la Ley de Servicios de la Sociedad de la Información (en adelante, LSSI), es habitual encontrar en los sitios web y aplicaciones cláusulas de privacidad específicas, que permiten al usuario dar su consentimiento para el uso de cookies. Sin embargo, no es tan común en la actualidad encontrar información para el usuario sobre el uso de técnicas basadas en la huella digital para el perfilado del usuario.

Atendiendo a esta información, existen numerosas propiedades que se pueden recopilar de un dispositivo a través del navegador web y que permiten recoger información suficiente para que, en determinadas situaciones, se pueda identificar unívocamente al terminal, como hemos mencionado antes.

Algunas de las características del terminal que se pueden recoger mediante el navegador web y que pueden contribuir a la obtención de una huella digital de un dispositivo como son, por ejemplo:

 -El tipo, versión y configuración personal del navegador.
 - Información sobre las aplicaciones instaladas.
 -Idioma.
 -Zona horaria.
 -Dirección IP.

En base a esto, la Agencia Española de Protección de Datos (en adelante, AEPD) ha redactado un estudio sobre este tema, si quieres visualizarlo integro pincha aquí , en el cual nos habla en uno de sus puntos del nivel de identificación que puede alcanzar esta técnica, en el cual hace referencia a lo siguiente:

Es muy probable que hayas oído hablar del derecho al olvido y te preguntarás, ¿Qué es exactamente? Pues bien, en este artículo nos vamos a centrar en explicar este derecho que todos los ciudadanos tenemos reconocido, como ya hemos hecho en otros artículos de nuestro blog pinchando aquí.

Para comenzar, nos gustaría recordar que el derecho al olvido es un concepto relacionado con el Habeas Data (derecho de control del individuo sobre sus datos o información personal, además de la exclusión de toda injerencia en su vida privada) y la protección de datos personales, el derecho al honor, intimidad e imagen, todos ellos Derechos Fundamentales reconocidos en nuestra Constitución (C.E).

Según la Agencia Española de Protección de Datos (AEPD):

El “derecho al olvido hace referencia al derecho que tiene un ciudadano a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa”.

Además, indica la AEPD que este derecho incluye la posibilidad de limitar la difusión de datos personales, incluso cuando la publicación original sea legítima, cuando refiere que:

“La difusión universal e ilimitada de información que ya no tiene relevancia ni interés público a través de los buscadores causa una lesión a los derechos de las personas”.

Determinado el concepto del derecho al olvido, y si bien esta cuestión ya ha sido analizada en profundidad en nuestro blog (si te interesa este análisis pincha aquí), consideramos necesario mencionar que este derecho, se encuentra regulado por una parte en el artículo 17 del Reglamento General de Protección de datos (RGPD), y por otra parte, exclusivamente en el ámbito de Internet, en el artículo 93 de la Ley Orgánica de Proteccion de Datos y de Garantías de los Derechos Digitales.

Una vez hemos recordado los conceptos y aspectos que rigen en el derecho al olvido, cabe destacar que la importancia de la reivindicación de este derecho viene ligado a grandes buscadores como puede ser Google, ya que basta con teclear el nombre de una persona, algo tan simple como un “click” para que podamos acceder a información relativa a la misma. Información que, aunque a simple vista parezca inofensiva, en muchos casos puede estar atentando contra los Derechos Fundamentales inherentes a esa persona y a su vez vulnerando los principios que rigen en el Derecho a la Protección de Datos.

A este respecto, consideramos necesario hacer referencia a la reciente Sentencia 12/2019 de 11 Enero, Rec. 5579/2017, del Tribunal Supremo, en la cual se viene a tratar lo siguiente:

La persona afectada por una supuesta lesión del derecho al honor, a la intimidad personal y familiar y a la propia imagen, está legitimada para fundamentar válidamente una acción de reclamación ante la entidad proveedora de los servicios del motor de búsqueda en internet, o ante la AEPD, cuando los resultados del motor de búsqueda ofrezcan datos sustancialmente erróneos o inexactos que supongan una desvalorización de la imagen reputacional que se revele injustificada por contradecir pronunciamientos formulados en una resolución firme.

En el caso que nos atañe, la persona afectada interpone su acción de reclamación ante Google, reconocida por la Audiencia Nacional mediante Sentencia, pero Google decide recurrir esta Sentencia ante el Tribunal Supremo. ¿Por qué? El gigante tecnológico considera que no está lesionando los derechos del interesado.

Sin embargo, en el fallo de la Sentencia, el Tribunal Supremo estima no haber lugar al recurso de casación interpuesto por Google, reconociéndole a la persona afectada su Derecho al Olvido.

Este derecho al olvido de la persona afectada se fundamenta del siguiente modo:

En estos momentos especiales suele ser típico que las empresas y/o profesionales realicemos envíos de felicitaciones navideñas, las cuales nos ayudan a dar una imagen mucho más humana y cercana para con clientes.
Sin embargo, no debemos olvidar que la dirección de correo electrónico es un dato de carácter personal, que se encuentra protegido por la siguiente normativa:

-Reglamento Europeo de Protección de Datos (RGPD).

-La reciente Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, LO 3/2018 (LOPD).

-Así como la Ley 34/2002, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI), la cual tiene por objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, objeto que podemos encontrar reflejado en su propio artículo 1, a lo que debemos dejar claro que las comunicaciones comerciales por correo electrónico son un servicio de la sociedad de la información.

La LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, par-tiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:
1. f) "Comunicación comercial: toda forma de comunicación dirigida a la promoción, direc-ta o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."


De aquí podemos deducir que el envío por parte de una empresa o profesional de una felicitación navideña no podría escapar de esta definición, puesto que se considera como un evidente acto de promoción de la imagen. Pero pasemos a desarrollarlo:
En primer lugar, aclararemos por qué el correo electrónico se considera como un dato de carácter personal, esto es así dado que en la mayoría de los casos el correo electrónico tiene información acerca de su titular, o permite proceder a la identificación de este.


Por lo tanto, una vez que tenemos conocimiento de esto, deberemos estar muy atentos y contar con la solicitud previa o el consentimiento expreso del destinatario (artículo 21.1 LSSI):
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo elec-trónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
Debemos de aplicar esto, a pesar de que resulte algo muy tentador y a la vez muy cómodo a la hora de enviar, ya que su coste es muy bajo y además con solo un “clic” estaremos enviando a toda nuestra lista de contactos.


Debemos de tener siempre en mente que sólo podremos utilizar el correo electrónico como medio para el envío de felicitaciones de Navidad a aquellos usuarios de los que dispon-gamos de un previo consentimiento para la recepción de comunicaciones comerciales.

Un punto para destacar de la LSSI en este ámbito es el siguiente:

La Agencia Española de Protección de Datos (en adelante AEPD) ha procedido a sancionar a un médico por importe de 5.000€,sanción que deriva de la pérdida de un video se grabó el 14 de octubre de 2014, cuando la paciente afectada se sometió a una intervención quirúrgica en un hospital privado de Madrid, video que fue grabado con el fin de captar la técnica para futuros usos científicos y docentes.

En el momento en el que la paciente solicitó las imágenes grabadas al doctor, con la intención de poder contrastar opiniones de distintos facultativos sobre la operación que se le había realizado, fue cuando se encontró con una respuesta vía e-mail que ni mucho menos se esperaba, en la cual el médico le decía textualmente lo siguiente;

“Como te he comentado lamento no haber podido encontrar las imágenes de tu cirugía, pero los niños me perdieron varios pendrives y es posible que en ellos se fuera tu intervención”

Fue a partir de este momento cuando la afectada decidió denunciar al facultativo, entendiendo que este había actuado con una grave falta de diligencia y dejando en manos de la AEPD la valoración de la tipología de falta cometida, cabe en este punto traer a colación los tipos de infracciones que encontramos reguladas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) , dedica en concreto en su artículo 44 la regulación de los Tipos de infracciones, refiriéndose en su punto 1º a que estas pueden ser de distintos tipos dependiendo de lo acaecido en cada caso concreto:

“Las infracciones se calificarán como leves, graves o muy graves”

Respecto a esto, la AEPD determinó en el Acuerdo de Inicio del expediente sancionador que los hechos enjuiciados fueron calificados como una infracción del artículo 9.1 LOPD:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

Se hace en relación con el artículo 102 del RLOPD 1720/2007, sobre las copias de respaldo y recuperación. Ampliándose con el artículo 106 del RLOPD sobre los criterios de archivo, que dice deberán, entre otras cosas, posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Esto supone una infracción grave, como ya hemos adelantado anteriormente en referencia a la LOPD, y que trae aparejadas consigo multas que van de los 40.001 a los 300.000 euros.

Para intentar evitar esta sanción el médico formuló una serie de alegaciones, entre las cuales nos gustaría destacar las siguientes:

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal