En las últimas semanas, las Cookies han sido un tema de tendencia a raíz de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el Asunto C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband Ev Y Planet49 GmbH. En este asunto, la sociedad alemana Planet 49, en el marco de juegos con fines promocionales organizados en línea, procedió a la configuración de una casilla marcada por defecto con la que los internautas que deseaban participar en dicho juego expresaban su consentimiento para la colocación de cookies, con el fin de recabar información con fines publicitarios para los productos de las empresas colaboradoras de Planet49.

En esta resolución, el TJUE declara que el consentimiento que el usuario de un sitio de Internet debe dar para la instalación de cookies en su equipo y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto, requiriendo la intervención del interesado para evitar esta aceptación.

También subraya que el consentimiento debe ser específico, de modo que el hecho de que un usuario active el botón de participación en el juego organizado por Planet49 con fines promocionales, no basta para considerar que este ha dado de manera válida su consentimiento para la instalación de cookies.

Es cierto que esta sentencia ha gozado de mucha difusión y se ha presentado como una resolución muy novedosa, tal vez porque el TJUE ha entrado de lleno en uno de los aspectos más polémicos que afecta de manera directa a los usuarios cuando hacen uso de la navegación online. Sin embargo, al fin y al cabo el Tribunal ha aplicado el Reglamento Europeo de Protección de Datos (RGPD), y en concreto ha tenido en cuenta los requisitos que la norma europea establece para recabar de forma válida el consentimiento de los interesados (art. 8 y Considerando 32).

Asimismo, el Grupo de Trabajo del artículo 29 (GT29), configurado actualmente como Comité Europeo de Protección de Datos, en sus Directrices sobre el consentimiento conforme a RGPD (puedes ver un artículo sobre su análisis aquí), ya dejaba claro que no son válidas las construcciones de exclusión voluntaria (opt-out boxes). Es decir, que requieren una intervención del interesado para evitar el tratamiento.

De igual modo, manifestaba que deben evitarse prácticas tales como incorporar casillas pre-marcadas en los procedimientos de gestión del consentimiento, pues el RGPD exige que el consentimiento debe otorgarse mediante una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado.

Y si esta Sentencia del TJUE se convertía en noticia en los medios de comunicación hace unas semanas, estos días hemos podido ver las redes sociales inundadas con publicaciones acerca de la resolución de la AEPD en el Procedimiento Nº: PS/00300/2019 sancionando a la conocida aerolínea Vueling, por no recabar el consentimiento de los usuarios de manera correcta para la instalación de cookies en su página web.  

¿En qué fundamenta la AEPD su decisión?

Publicado en Blog

En el Registro de Actividades de Tratamiento (en adelante RAT) no es necesario anotar a los prestadores de servicios como destinatarios. Paso a argumentar nuestra postura:

En el art 30.1.d) del RGPD, sobre el contenido del RAT, se nos dice que cada actividad de tratamiento debe contener:

"las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales"

Cuando habla de categorías de destinatarios, se refiere a que dichos destinatarios, se deben definir de forma general, por categorías, como por ejemplo: "Bancos y Cajas de ahorro", o "administraciones con competencia en la materia".

En ningún caso la ley nos obliga a definir los destinatarios individualmente. No tiene sentido poner todos los bancos del planeta, porque por ejemplo, podemos acabar transmitiendo los datos a cualquier banco del planeta donde el cliente o proveedor tenga cuenta.

Es un esfuerzo ímprobo tanto recopilarlos, como actualizarlos, y no repercute en un aumento de seguridad o una mejor evaluación de los riesgos, porque en el momento que nosotros hacemos la transferencia con nuestro banco, él comunica directamente la transferencia al banco de destino, mediante un proceso al que somos totalmente ajenos.

Además, en el art. 4 del RGPD, el legislador distingue en sus definiciones, entre Encargado del Tratamiento y Destinatario, porque aunque son cosas distintas, muchas personas confunden los conceptos y los utilizan de forma análoga:

Publicado en Blog

En publicaciones anteriores del blog hemos indicado cómo el Sistema de Información Schengen II garantiza la protección de nuestros datos personales, teniendo como objetivo la eliminación de los controles fronterizos internos, tratando de garantizar, en todo caso, un alto nivel de seguridad y justicia en todos los países miembros de la UE.

La Comisión Europea, estableció en el año 2010 como uno de los pilares básicos de su "Estrategia de Seguridad Interior de la UE en acción: cinco medidas para una Europa más segura", el reforzar la seguridad a través de la gestión de fronteras. Uno de los aspectos estratégicos para la consecución del objetivo radicaba en un mayor uso de las nuevas tecnologías en los controles fronterizos, mediante la segunda generación del Sistema de Información de Schengen (SIS II) ya indicado en el párrafo anterior; un sistema de entrada/salida y programa de registro de pasajeros, así como mediante el Sistema de Información de Visados (Visa Informatión System, en adelante, VIS).

En el presente artículo, vamos a proceder al análisis del VIS, instrumento que se encuentra dentro del marco Schengen, a raíz de los ataques del 11 de septiembre de 2001, establecido por la Decisión 2004/512/CE del Consejo, de 8 de junio de 2004, por la que se establece el Sistema de Información de Visados (VIS) y que fue concebido con un doble objetivo:

  • Aplicación de una política de visados común dentro de los Estados Miembros de la UE, con el fin de facilitar el examen de las solicitudes de los visados y control de las fronteras exteriores.
  • Prevenir las amenazas a la seguridad interior de los Estados Miembros.

¿Qué es el VIS?

El VIS es la base de datos que recoge la información sobre aquellos solicitantes de visados Schengen, que permite a los países que integran el espacio Schengen, procesar datos y decisiones relacionadas con las solicitudes de visados de corta duración, con el fin de visitar o transitar por el Área Schengen, a fin de incrementar la seguridad y la mejora en la gestión de las fronteras exteriores de la UE.

El VIS contiene información sobre los ciudadanos no pertenecientes a la UE que solicitan visados Schengen de corta duración. Sirve para conectar a los guardas fronterizos en las fronteras exteriores de la UE con los consulados de los Estados Miembros en todo el mundo. Es uno de los sistemas más avanzados de este tipo, conteniendo más de 55 solicitudes de visa y cerca de 47 millones de huellas dactilares. Cada año, los Estados Miembros de la UE procesan alrededor de 18 millones de solicitudes para estas visas Schengen de corta duración.

En la actualidad, los países que se encuentran adheridos a este sistema son la mayoría de los estados miembros de la UE, a excepción de Chipre, Croacia, Irlanda y Reino Unido. Bulgaria y Rumanía se encuentran en proceso de adherirse al Área Schengen. También forman parte de ésta, estados no pertenecientes a la UE, como Islandia, Noruega, Suiza y Liechtenstein.

Este Sistema de Información de Visados viene regulado en el  REGLAMENTO (CE) Nº 767/2008 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corte duración entre los Estados miembros (Reglamento VIS), cuyo objetivo radica en “mejorar la aplicación de la política común de visados, la cooperación consular y las consultas entre las autoridades centrales de visados, facilitando el intercambio de datos entre los Estados miembros sobre las solicitudes y sobre las decisiones relativas a las misma”, y cuyas disposiciones fueron modificadas por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) n.º 767/2008 y (UE) n.º 1077/2011.

Entre sus principales finalidades, podemos encontrar las siguientes:

Publicado en Blog

A veces se utiliza una falsa identidad para cometer delitos o para intentar entrar o permanecer en el espacio Schengen. Este uso inadecuado a menudo va ligado a la pérdida o al robo de documentos de identidad. Si una situación así se traduce en la entrada de una alerta en el Sistema Información Schengen de segunda generación (en lo sucesivo SIS II) podría causar problemas a la persona inocente cuya identidad ha sido robada.

Las personas cuyos datos personales hayan sido recogidos, almacenados o tratados de algún otro modo en el SIS II tienen derecho de acceso, de rectificación de los datos inexactos y de supresión de los datos almacenados ilegalmente.

En este post te contamos en qué consiste el sistema de información Schengen II y cómo podemos solicitar el acceso a nuestros datos personales para su corrección o eliminación por un mal uso.

¿Qué es el Sistema de Información de Schengen?

El Sistema de Información de Schengen establecido en 1995, por el art. 92 del Convenio de Aplicación del Acuerdo de Schengen es un sistema informático a gran escala, creado como medida compensatoria por la eliminación de los controles fronterizos internos, con el que se trata de garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden público y la salvaguardia de la seguridad en el territorio de los Estados miembros.

En diciembre de 2016, la Comisión propuso ampliar y mejorar el uso de esta base de datos al enriquecer los datos que contiene con nuevas categorías de alertas, garantizando así un intercambio de información aún más eficiente entre los Estados miembros y fortaleciendo la seguridad de los datos personales a medida que viajan, a través de la red SIS, así como las salvaguardas generales de protección de datos.

El SIS II funciona en 30 países europeos, es decir, 26 Estados miembros de la UE (solo Irlanda y Chipre aún no están conectados al SIS), así como en Islandia, Liechtenstein, Noruega y Suiza.

Hoy, el SIS II es la base de datos de seguridad más utilizada en Europa, con más de 5 mil millones de consultas en 2017.

La actual regulación de este sistema de información se encuentra en el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (en adelante, RSIS).

La lista de las autoridades nacionales competentes con acceso al SIS II se publica anualmente en el Diario oficial de la Unión Europea.

En esencia, una autoridad aduanera, policial, judicial o administrativa de un país puede generar una «alerta» donde se describa la persona o el objeto que se está buscando.

Se puede generar una alerta entre otras por las razones siguientes:

1. Para evitar la entrada de personas que no están autorizadas a entrar o a permanecer en territorio Schengen.
2. Para buscar y detener a una persona contra la que se ha dictado una orden de detención europea.
3. Para ayudar a localizar personas, previa petición de las autoridades policiales o judiciales.
4. Para buscar y proteger a una persona desaparecida.
5. Para buscar propiedades robadas o perdidas.
6. Alertas preventivas sobre niños y adultos vulnerables en riesgo de secuestro.
7. Alertas sobre ciudadanos no pertenecientes a la UE sujetos a una decisión de repatriación.

¿Pero qué información nos ofrece la consulta a SIS II?

El SIS II centraliza dos amplias categorías de información:

1.-Personas con orden de detención, desaparecidas, especialmente niños u otras personas vulnerables que necesiten protección, requeridas para prestar asistencia en un procedimiento judicial, a efectos de controles discretos o específicos, o bien nacionales de terceros países a los que se ha denegado la entrada o la estancia en un país del espacio Schengen.

2.- Objetos tales como vehículos, documentos de viaje y tarjetas de crédito, para su incautación o utilización como pruebas en un procedimiento penal, o a efectos de controles discretos o específicos.

Cuando la descripción se refiera a una persona, la información deberá incluir siempre su nombre, apellidos y en su caso alias, su sexo, una referencia a la decisión que motiva la descripción y las acciones que se deberán emprender. La descripción podrá incluir asimismo otras informaciones disponibles, como los rasgos físicos particulares, objetivos e inalterables, el lugar y fecha de nacimiento, fotografías, huellas dactilares, nacionalidad(es), si la persona en cuestión está armada, es violenta o se ha fugado, los motivos de la descripción, la autoridad que la introdujo, las conexiones con otras descripciones del artículo 63 del RSIS. (art. 20.3 RSIS).

¿Cómo se garantiza entonces la protección de los datos de carácter personal?

Publicado en Blog

El pasado 20 de junio, se publicaba la Directiva UE 2019/1024 del Parlamento Europeo del Consejo relativa a los datos abiertos y la reutilización de la información del sector público (en adelante Directiva UE 2019/1024 o la Directiva), con el fin de explotar plenamente el potencial de la información del sector público para la economía y la sociedad europea, para así afrontar los obstáculos de una amplia reutilización de datos abiertos, y actualizar el marco legislativo acorde con los avances en las tecnologías digitales. Así, modifica de forma sustancial, las anteriores normas que regulaban esta materia, la Directiva 2003/98/CE del Parlamento Europeo  y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público y la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica (en adelante Directiva 2013/37/UE).

Los cambios de fondo de esta Directiva se centran en la prestación de acceso en tiempo real a los datos dinámicos a través de medios técnicos adecuados, aumentando el suministro de datos públicos valiosos para la reutilización, incluidos los de las empresas públicas, organizaciones que financian la investigación y organizaciones que realizan actividades de investigación, haciendo frente a la aparición de nuevas formas de acuerdos exclusivos, el uso de excepciones al principio de tarificación del coste marginal, así como la relación entre la presente Directiva y determinados instrumentos jurídicos conexos, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante RGPD) y las Directivas 96/9/CE, 2003/4/CE, y 2007/2/CE, del Parlamento Europeo y del Consejo.

Ahora bien, ¿en qué consisten realmente la reutilización de la información del sector público y los datos abiertos?

En lo que respecta a la reutilización de la información en el sector público, se entiende como tal, el uso de documentos que obran en poder de organismos del sector público y empresas públicas, por parte de personas físicas o jurídicas.

Por otra parte, la propia Directiva, en su considerando 16, entiende por datos abiertos, los datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin. A este respecto, las políticas de apertura de información que propician la disponibilidad y la reutilización generalizadas de la información del sector público con fines privados o comerciales, pueden desempeñar una función importante a la hora de fomentar el compromiso social e impulsar y promover el desarrollo de nuevos servicios basados en formas novedosas de combinar y utilizar esa información.

Partiendo de la consideración del acceso a la información como un derecho fundamental, así regulado en el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante la Carta), que comprende la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras, la información del sector público se considera una fuente extraordinaria de datos que pueden contribuir a mejorar el mercado único y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas.

En concreto, el artículo 1.1 de la Directiva, determina su ámbito de aplicación, y, atendiendo a ello, tendrán la consideración de datos abiertos:

a. Los documentos existentes conservados por organismos del sector público de los Estados miembros.

b. Los documentos existentes conservados por empresas públicas que:

c. Los datos de investigación, debiendo tener en cuenta las inquietudes relacionadas con los derechos de propiedad intelectual e industrial, la protección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos.

Asimismo, en el apartado 2 del mismo artículo, se incluye un listado exhaustivo de supuestos de no aplicación, entre los que destacamos la letra h), ya contemplada en las modificaciones introducidas por la Directiva 2013/37/UE: aquellos documentos cuyo acceso esté excluido o limitado en virtud de regímenes de acceso por motivos de protección de los datos personales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización se haya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamiento de los datos personales o como un menoscabo de la protección de la intimidad y la integridad de las personas.

¿Tiene esta Directiva injerencia en materia de protección de datos personales?

Publicado en Blog

No es la primera vez que nos referimos en este blog al tratamiento de datos personales relativo a la inclusión de tales datos en ficheros de solvencia patrimonial o sistemas de información crediticia por incumplimiento de obligaciones dinerarias, financieras o de crédito. De hecho, en una de nuestras publicaciones (ver aquí) analizábamos cuáles son los requisitos para que la inclusión de una deuda sea lícita; que recordemos, en virtud del artículo 20 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) son entre otros:

  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, que haya resultado impagadas, y respecto de las cuales no se haya entablado reclamación judicial, arbitral o administrativa.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, y que una vez se haya procedido a la inclusión se le notifique y se le informe de la posibilidad de ejercitar sus derechos.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde el vencimiento de la deuda.
  • Que los datos únicamente puedan ser consultados si se mantiene una relación contractual con el afectado que implica el abono de una cuantía pecuniaria o se solicite la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Si se denegase la celebración del contrato, quien haya consultado el sistema debe informar al afectado del resultado de dicha consulta.

Además, corresponde a la entidad acreedora garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda y que, por ende, se ha respetado el principio de licitud respecto al tratamiento de los datos de carácter personal que exige que el responsable del tratamiento acredite que ha actuado con la diligencia correspondiente para demostrar que la deuda es cierta, vencida y exigible; respondiendo de su inexistencia o inexactitud.

Y es este supuesto de hecho, el objeto de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una conocida entidad distribuidora de cosméticos en su reciente Resolución del Procedimiento sancionador N.º: PS/00159/2019 iniciado el 24 de abril de 2019, por infringir lo dispuesto en el artículo 6.1 del Reglamento Europeo de Protección de Datos (RGPD), al incluir los datos personales de una de sus distribuidoras que, supuestamente había realizado un pedido online cuyo abono estaba pendiente, en el fichero de solvencia patrimonial Asnef, sin haber previamente comprobado su identidad y cuando en realidad se estaba falseando el proceso de contratación, empleando un tercero de forma fraudulenta la identidad de la denunciante.

Llegados a este punto, cabe analizar dos puntos clave:

  1. ¿Contaba la entidad con base legitimadora suficiente para tratar los datos personales de su distribuidora?

Dentro de las distintas bases que legitiman la licitud de un tratamiento que reconoce el RGPD en su artículo 6.1, podría en este caso encajar si se cumpliera alguna de estas tres condiciones:

Publicado en Blog

Muchos son los interrogantes que se nos plantean a la hora de determinar si podemos o no considerar las matrículas de los vehículos como datos de carácter personal conforme a la legislación vigente.

Si bien es cierto que el criterio mayoritario que nuestra autoridad de control en materia de protección de datos (Agencia Española de Protección de Datos, en adelante “AEPD”) está adoptando, es el considerar que las matrículas de los vehículos sí constituyen un dato de carácter personal, y, por tanto, sometidas a las previsiones recogidas en la normativa en materia de protección de datos (Reglamento General de Protección de Datos, en adelante “RGPD” y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales), a continuación podemos comprobar que estos pronunciamientos no son de carácter unánime, tanto por parte de la propia AEPD, como por otros Tribunales, al considerar que tales datos no son datos de carácter personal.

En primer lugar, y para poder dar una respuesta a esta cuestión, debemos preguntarnos, ¿qué es un dato de carácter personal?

El artículo 4.1 RGPD define dato de carácter personal como “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Atendiendo a la definición que el propio RGPD nos proporciona del concepto de dato de carácter personal, podemos inferir que, mediante la matrícula de un vehículo, indirectamente se podría llegar a identificar al titular del vehículo, y, por tanto, tratarse de un dato de carácter personal.

Ahora bien, ¿en qué supuestos ha entendido la AEPD que las matrículas de vehículos son datos de carácter personal?

Publicado en Blog

Parece ser que SI, esta es la conclusión a la que ha llegado el Tribunal Supremo (en adelante TS), en su Sentencia núm. 1062/2019 de 12 de julio (rec. 4980/2018), desmarcándose así del criterio de la Audiencia Nacional que desestimó el recurso interpuesto por Iberdrola (actualmente i-DE, Redes Eléctricas Inteligentes) contra una resolución de la Secretaria de Estado de Energía a la hora de interpretar el alcance de la definición de datos de carácter personal.

Señala el TS que los datos de consumo energético individualizados para cada punto de suministro, contenidos en las Curvas de Carga Horaria ( en adelante CCH), constituyen datos de carácter personal y ello en la medida en que si se combinan o se ponen en relación con otros datos a los que se puede tener acceso de forma indirecta o a través de terceros, como puedan ser los datos incorporados al Sistema de Puntos de Suministro de Gas y Electricidad (SIPS) o a través de las inspecciones de las instalaciones.

Iberdrola impugnó en su día la citada Resolución de la Secretaría de Estado de Energía de 2 de junio de 2015, que aprobó determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores) a enviar las mediciones de la curvas de carga horaria individualizada, es decir las medidas horarias de consumo de cada consumidor, gestionados por las distribuidoras, al concentrador principal gestionado por el operador del sistema (OS).

Pues bien, hasta la aprobación de dicha resolución, las distribuidoras remitían los datos de CCH de forma agregada, y no individualizada, al operador del sistema, por lo que el operador del sistema no tenía acceso a esa información privada de los consumidores, ejerciendo su función en base a los datos agregados, pero a partir de ahora SI se puede saber qué hace cada consumidor privadamente en su casa.

Pero para que nos aclaremos ¿Que son los puntos de medida de suministro eléctrico tipo 5?

Según el artículo 7.5 del Real Decreto 1110/2007, de 24 de agosto, por el que se aprueba el Reglamento unificado de puntos de medida del sistema eléctrico (en adelante "RUPM"), son aquéllos que se instalan por clientes cuya potencia contrada en cualquier periodo sea igual o inferior a 15 KW, que son los que tenemos contratados la gran mayoría de los consumidores domésticos.

Estos datos de CCH individualizados, con desglose horario, permiten a quien tenga acceso a esa información conocer los hábitos de conducta privados de los consumidores, tales como las horas ordinarias de entrada y salida del domicilio, la hora en la que se va a dormir, las zonas horarias en la que hay más actividad en la vi-vienda o en local de negocio, el nivel de electrificación, la utilización de aparatos de refrigeración o calefacción, entre otros. 

Datos que atañen sustancialmente a la esfera privada de la intimidad de cada consumidor.

Ahora bien, ¿Cuál es el objeto de controversia en lo que a protección de datos se refiere?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog

Hace escasos días, los medios de comunicación se hacían eco de una resolución, recientemente, emitida por la Sala tercera de lo Contencioso-administrativo del Tribunal Supremo (en adelante, TS) (STC 1007/2019 de 8 de julio de 2019) contra el Instituto de la vivienda de la Comunidad de Madrid (en adelante, IVIMA) y con la que el TS acababa con años de idas y venidas, de resoluciones y sentencias en las que se analizaba, desde un punto de vista de protección de datos, la actuación del IVIMA durante un proceso de enajenación de 32 promociones de viviendas de su propiedad.

Y sí, el TS confirma, con su sentencia, la existencia de una vulneración de la normativa en materia de protección de datos por parte del IVIMA. Hecho que ya adelantaron la Agencia Española de Protección de Datos (en adelante AEPD) en su resolución R/00851/2015 y la Sala de lo Contencioso número 1 de la Audiencia Nacional, (en adelante AN) en su sentencia 5119/2017.

Pero antes de analizar la fundamentación de estos entes jurídicos, y poder comprender, así, la trascendencia de las resoluciones, hemos de ponernos en situación. Año 2013. El IVIMA saca a concurso, la enajenación de 32 promociones de viviendas en situación de arrendamiento y arrendamiento con opción a compra, algunas de las cuales se encontraban inmersas en procesos litigiosos de diversa índole. Al concurso, licitaron un número cerrado de empresas que, tras superar la primera fase del concurso y firmar el compromiso de confidencialidad que se les requería, accedieron a toda aquella documentación que debían conocer respecto de los bienes objeto de enajenación, a través de un portal de acceso restringido, denominado data room.

Desde el punto de vista de protección de datos, ¿qué hecho acontece, entonces, que pone en entredicho la actuación del IVIMA?

Es necesario mencionar que el pliego de condiciones, que regula el procedimiento del concurso, fue publicado en el perfil del contratante en la página web de la Comunidad de Madrid. Dicho pliego estaba conformado, entre otros, por los anexos I y VIII que recogían una relación detallada de 41 viviendas que se encontraban inmersas en diversos procedimientos litigiosos. A la relación de las viviendas, lo acompañaban los nombres y apellidos de los 34 arrendatarios, así como otras informaciones relativas a las viviendas tales como la referencia catastral, dirección, municipio…etc. Dicha información era de acceso libre, y descargable por todo aquel que accediese al perfil del contratante en la dirección web  http://www.madrid.org/contratospublicos. Se mantuvo pública 19 días

A las vista de las denuncias presentadas por los afectados, se efectúan, por parte de la AEPD, las actuaciones de investigación oportunas y que tienen como resultado final la incoación de un procedimiento de declaración de infracción por presunta vulneración, por parte del IVIMA de los ­artículos 6.1 y 10 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99), ya derogada en la actualidad por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD). No obstante, el 9 de marzo de 2015, en propuesta de resolución, la AEPD declara el archivo de la infracción del artículo 10, imputada al IVIMA; manteniendo la comisión de una infracción sobre el artículo 6.1 de la LOPD 15/99.

A pesar de la derogación de la LOPD 15/99, sobre la que los distintos entes públicos y jurídicos fundamentan sus respectivas decisiones, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido.

Entonces, ¿cuáles son los fundamentos esgrimidos por la AEPD, para considerar la existencia de una infracción sobre el artículo 6.1?

Publicado en Blog
Página 4 de 16

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal