El Tribunal de Justicia de la Unión Europea (TJUE) ha condenado este jueves a España a pagar una multa de 15 millones de euros por no haber incorporado a su legislación nacional la directiva sobre protección de datos en el ámbito penal.
En julio de 2018, la Comisión Europea abrió un procedimiento de infracción contra España por no haber aprobado la directiva de protección de datos personales en el marco de la prevención y detección de infracciones penales. Esta directiva debía haber sido adoptada por los estados miembros antes del 6 de mayo de 2018, tras un año de disputas, la Comisión Europea solicitó al Tribunal de Justicia Europeo que impusiera a España una sanción en julio de 2019.
La sentencia dada el día 25 de febrero de 2021, ha fallado a favor de la comisión europea y España deberá pagar 15 millones de euros además de pagar una cantidad diaria de 89.000 euros si el incumplimiento todavía persiste.
La directiva mencionada implanta unas normas para el tratamiento de datos personales por parte de autoridades policiales y judiciales para poder facilitar el intercambio de información con fines de prevención, investigación, detección y ejecución de sanciones penales. La medida garantiza que los datos relacionados con los casos como por ejemplo las víctimas, testigos, sospechosos y los propios autores de los delitos, estén debidamente protegidos en la investigación penal.
La finalidad de la medida no es otra que facilitar la cooperación entre los estados miembros para luchar más eficazmente contra la delincuencia y terrorismo en el territorio Europeo. Estas normas de la UE contribuyen a la plena realización de un espacio de libertad, seguridad y justicia.
Argumentos de España ante la acusación
España no negó haber incumplido sus obligaciones de adoptar y comunicar las medidas de transposición de la Directiva, pero, argumentó que debido a que las circunstancias institucionales eran muy excepcionales, las actividades del gobierno y del parlamento se habían retrasado. Recordemos que había un gobierno en funciones y unas elecciones a la vuelta de la esquina.
Resultado de la sentencia
En la sentencia de este jueves, el TJUE desestima los argumentos de España y declara el incumplimiento de sus obligaciones. De hecho, en la fecha de la terminación de la fase escrita en Luxemburgo, el 6 de mayo de 2020, el Gobierno de Sánchez aún no había adoptado ni comunicado las medidas de transposición de la directiva.
Por ello, los jueces europeos consideran que la multa constituye un medio apropiado para garantizar que España ponga fin, lo antes posible, al incumplimiento de la norma y considera que la multa es una medida disuasoria para evitar la repetición futura de infracciones análogas que afecten a la plena efectividad del Derecho de la UE.
LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS PUEDE PEDIRNOS EN CUALQUIER MOMENTO LA SITUACIÓN LEGAL Y TÉCNICA DE UNA INSTALACIÓN DE CCTV, ¿QUÉ DOCUMENTOS NOS VAN A PEDIR?
La instalación de videocámaras o Circuitos Cerrados de Televisión (CCTV) son sin duda algunos elementos que pueden poner en peligro la intimidad y la privacidad de las personas afectadas, ya sean trabajadores, clientes, e incluso viandantes.
Para proteger a los ciudadanos del abuso y posibles intromisiones ilegitimas, la normativa en materia de privacidad exige una serie de requisitos legales y técnicos para tener un CCTV legal y ajustado a Derecho. La normativa requiere el cumplimiento de principios como el de proporcionalidad, seguridad, interés legítimo, información al afectado entre otros.
En todo caso, con el fin de facilitar la gestión de un posible requerimiento de la AEPD u otra autoridad de control (p.e ACPD, AVPD) recomendamos que siempre se tenga a mano y actualizada la siguiente documentación acreditativa:
Documento de información a los potenciales trabajadores afectados , con especial atención a la gestión de los posibles ejercicios de derechos y la correcta identificación de la finalidad del tratamiento (p.e. seguridad, identificación, control de acceso, protección de bienes y personas, otros)
Fotografías de plano de detalle, y general de la ubicación de los carteles de advertencia del CCTV en todos los accesos, (es importante que el texto sea el correcto, ya que en muchas ocasiones hemos visto dicho cartel sin texto o con un texto genérico que no cumple los artículos 7, 8 y 9 respecto al deber de información del RGPD). También conviene destacar que la ubicación de las cámaras no puede afectar a la intimidad de los trabajadores, usuarios o afectados, por tanto, no se pueden ubicar enfocando a lavabos, salas sindicales, vestuarios, etc.
En el caso de que la gestión de la imágenes y visualización la realice un tercero, se deberá tener suscrito el correspondiente contrato de encargado de tratamiento con todo lo establecido en el artículo 28.3 del RGPD.
Evidencias de las capacidades técnicas de los dispositivos de captación y tratamiento de imágenes. Hay que tener presente que los dispositivos pueden tener funcionalidades que afecten a la evaluación del riesgo respecto a la privacidad, como son el uso de cámaras giratorias con zum incorporado (domo) o las cámaras gestionadas mediante IP con conexión a Internet. Es muy importante que todo el sistema de CCTV implantado pueda cumplir y cumpla con los requisitos técnicos de seguridad que establece la normativa, para cualquier duda, la AEPD tiene una guía específica de gestión de CCTV de gran interés.
Plano de ubicación de cámaras y alcance de visión . Se trata de un documento gráfico donde se pueda determinar los ángulos de cada dispositivo, adjuntando un “pantallazo” de cada plano de visualización. En todo caso conviene recordar las limitaciones del uso de la imagen, especialmente las que puedan afectar a vía pública o recintos privados ajenos.
Registro de Actividades de Tratamiento , (RAT) donde se incluya el análisis de los tratamientos realizados en el CCTV.
Protocolo de gestión de imágenes , donde se verifique quien puede tener acceso, con qué criterios, plazo de conservación, sistema de copia de seguridad, sistemas de gestión de los posibles ejercicios de derechos, seguridad del sistema, y todo ello ajustado a los principios de privacidad desde el diseño y por defecto.
Actas de supervisión del sistema por el Delegado de Protección de Datos en su caso. A esta lista hecha para fines divulgativos y sólo enunciativa, también se puede añadir el informe que se haya realizado de forma previa al tratamiento sobre la idoneidad y proporcionalidad de la instalación (privacidad desde el diseño), como puede ser el caso de obligación legal (p.e. entidades bancarias) o por antecedentes que pongan en peligro bienes jurídicos a proteger (p.e. robos, hurtos, zonas de materias peligrosas o explosivas, etc.) Para más información véase “ Guía sobre el uso de videocámaras para seguridad y otras finalidades ”, en www.aepd.es Ante cualquier duda o consulta, desde ATGROUP quedamos a vuestra disposición.
La Organización Europea de Consumidores (BEUC en francés) junto con otras 17 entidades de 15 países europeos piden a la unión europea iniciar una investigación a la red social TikTok por múltiples infracciones de la ley del consumidor de la UE.
La red social de moda, TIKTOK, creada por la desarrolladora china ByteDance cuenta con 800 millones de usuarios activos en todo el mundo y es muy popular entre los niños y adolescentes. En una nota de prensa de 4 puntos, la BEUC acusa a tiktok de violar los derechos del consumidor en la UE.
La denuncia de la BEUC sostiene que TikTok comete múltiples violaciones de los derechos
del consumidor y no protege a los niños de la publicidad oculta y del contenido inapropiado.
En el comunicado detalla que los puntos de “Términos de servicio” de TikTok no son claros, sino que son ambiguos y desfavorecen al usuario como por ejemplo que otorgan a TikTok el derecho irrevocable de usar, distribuir y reproducir los vídeos creados por los usuarios sin remuneración y libremente.
Referente a la publicidad dentro de la aplicación, según BEUC la publicidad está de forma oculta. Mediante trends, hashtags o challenges creados por las marcas de publicidad, los usuarios son motivados a participar incitando a comprar determinados productos sin que exista un filtrado, contribuyendo al marketing oculto y recibiendo una publicidad subliminal.
También señala que TikTok no está protegiendo a los menores de contenido inapropiado, por ejemplo vídeos con contenido sugerente, de maltrato, retos peligrosos, como por ejemplo la menor italiana que murió por imitar un reto que consistía en auto ahogarse hasta perder el conocimiento.
Por último manifiestan que las prácticas de TikTok para el procesamiento de los datos personales son engañosas, ya que no informan a sus usuarios sobre qué datos personales se recopilan, su propósito y la razón legal.
La directora general de BEUC dice que:
“Con esta acción, BEUC y sus miembros quieren que las autoridades inicien una investigación exhaustiva sobre las políticas y prácticas de Tik Tok y se aseguren de que TikTok respeta los derechos de los consumidores de la UE.”
La AEPD inicia una investigación a Mercadona por usar la tecnología de reconocimiento facial para detectar a posibles individuos con órdenes de alejamiento sobre los locales o trabajadores.
La Agencia Española de Protección de Datos ha iniciado los trámites para llevar a cabo una investigación a Mercadona por la implementación de cámaras de vigilancia que detectan el reconocimiento facial de los clientes. Esto ha ocurrido en más de 40 supermercados que la compañía dispone en ciudades como Zaragoza, Mallorca y Valencia. Esta investigación ha dado inicio a raíz de diferentes informaciones publicadas en los medios de comunicación de nuestro país en el que se hablaba de la protección especial que existe sobre los datos biométricos. Este procedimiento se encuentra en una fase inicial por lo que todavía no se conocen muchos detalles del caso.
Mercadona se enfrenta a una sanción económica bastante elevada en caso de que finalmente la AEPD decidiera declarar que se ha cometido una infracción. Estos datos, al ser biométricos, no pueden ser tratados de manera normal, por lo que se aplicaría el artículo 83.5 del Reglamento General de Protección de datos y conlleva a multas de hasta 20 millones de euros.
Desde Mercadona informan que se han cumplido todos los requisitos especificados previamente por la AEPD y que han actuado con total transparencia. Este sistema implementado recientemente permite detectar a personas físicas con sentencia firme de orden de alejamiento ya sea contra Mercadona o contra alguno de sus trabajadores. Se pretende evitar el acceso a sus supermercados a todo aquel que se encuentre en esa situación. Otras grandes empresas como IBM o Amazon ya han utilizado este sistema de control de acceso pero sin éxito, ya que fue recientemente retirado por ambas empresas por su dudosa ética acerca de su uso.
La compañía valenciana insiste en que el sistema empleado es totalmente legal y que no almacena imágenes para un posterior uso. Reiteran además que el cliente a la entrada del supermercado es informado con un cartel que contiene el siguiente mensaje:
“Le informamos de que Mercadona S.A., con el fin de mejorar su seguridad, ha implementado un sistema de reconocimiento facial para detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga en vigor que puedan suponer un riesgo para su seguridad”.
Los algoritmos inteligentes son los encargados de predecir lo que haremos. Así funciona el modelo económico de las grandes tecnológicas.
Comercializar con nuestra privacidad está a la orden del día para así vendernos mejor los
productos o servicios y también condicionar nuestra decisiones. Pero, ¿Cuál es el modelo
de negocio y hasta qué punto peligra nuestra privacidad?.
Las redes sociales extraen muchos de nuestros datos personales, como por ejemplo , la
información que pones en tu perfil, las fotos que cuelgas, la geolocalización de tu móvil, las compras que haces, las palabras que buscas, los mensajes que mandas e incluso aquellos
que terminas borrando sirven para engordar los informes personales que las plataformas guardan de ti para analizar tu comportamiento.
Los algoritmos son códigos computacionales que ayudándose de la Inteligencia Artificial procesan los millones de datos para crear estadísticas y patrones sobre tu comportamiento
y así predecir nuestros movimientos. La cantidad de datos es tan grande, que ya ni los
propios programadores comprenden cómo operan exactamente.
El año pasado la empresa Google se enfrentó a una demanda de 5 millones de dólares por
rastrear a sus usuarios incluso cuando se encontraban navegando en el modo incógnito. Ya
no solo son los datos que cedes conscientemente, sino lo que se infiere de ellos. Cuanto mayor es la cantidad de usuarios, más preciso es su conocimiento y sus cálculos para predecir nuestro comportamiento. Es verdad que su precisión para conocernos nos seduce,
pero también debemos recalcar que nos retiene.
No podemos negar que la entrada de los algoritmos ha supuesto toda una revolución
comercial. Gracias a sus mecanismos inteligentes logran llegar donde nosotros no llegamos y localizar clientes potenciales. Eso puede servir para que un supermercado recomiende, por ejemplo, productos sin gluten a gente que sufre de intolerancia, pero también para personalizar anuncios políticos.
Se afirma que los datos sanitarios son de lo más apetecible para un ciberataque, por el valor que se puede sacar de ellos.
Según Iván Mateos, ingeniero de ventas de Sophos (empresa especializada en ciberseguridad de última generación) la relación entre la ciberseguridad y la pandemia es mayor de lo que pensamos.
Un ciberdelincuente que nos roba datos a nosotros o a una empresa u organización, puede destruirlos, o bien robarlos y utilizarlos. Desde hacerse pasar por nosotros, hasta venderlos a cambio de dinero o incluso secuestrarlos y pedir un rescate por ellos.
El problema principal es que no somos conscientes de lo que puede suponer que nos roben datos personales, y es que se comete un delito al suplantar la identidad de otra persona.
Por todo esto, Mateos nos da consejos de seguridad. La solución más básica es “desconfiar de todo mail del que desconocemos su procedencia, de los enlaces que nos piden nuestros datos…” Además, es fundamental utilizar contraseñas seguras e ir cambiandolas en periodos regulares de tiempo. Iván Mateos recomienda utilizar contraseñas largas, que intercalen minúsculas, mayúsculas y diferentes caracteres.
Por evidente que parezca el asunto, gran cantidad de personas no siguen estos consejos y, ahora que la pandemia ha hecho aumentar el teletrabajo y por ello, la informática, es fundamental estar concienciado y valorar nuestros datos personales, derechos y obligaciones como usuarios de Internet.
La Agencia Española de Protección de Datos da por finiquitado el régimen sancionador de la LOPD, y entra en pleno en las sanciones millonarias del RGPD
En efecto, hasta la fecha la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS se había caracterizado por tener una política sancionadora seria y coherente, con el marco establecido por la LORTAD en su día y últimamente con la LOPD, con una horquilla de importes de cierta relación en cuanto a tipo de infracción, atenuantes, agravantes y otras circunstancias modificativas de la responsabilidad administrativa (con algunas excepciones, claro está):
Con sorpresa para propios y extraños, en estas últimas semanas se han publicado diversas resoluciones sancionadoras de importes especialmente llamativos, (caso BBVA PS/70/2019 y caso Caixa Bank PS/477/2019), que establecen sanciones millonarias tanto para infracciones graves , y lo que sorprende más, para leves en los casos expuestos.
Es un cambio claro de línea argumental en la corrección de conductas y por supuesto de precedente administrativo. Anulando por tanto cualquier criterio orientador anterior al RGPD en materia de importe de las sanciones.
En palabra del mismo órgano de control ”… De nada vale argumentar que la LOPD preveía sanciones por importes inferiores…. Lo cierto es que, en este aspecto, como en muchos otros, el RGPD ha supuesto un cambio de paradigma en la protección de los datos personales, estableciendo medidas con un claro carácter disuasorio. Basta con examinar las sanciones que, en esta materia, han impuesto recientemente otros países europeos, que son públicas, para entender el alcance del cambio que conlleva la aplicación del RGPD…”
Está claro que el marco europeo, así como las nuevas capacidades legales abrían la puerta al nuevo régimen sancionador.
Las sanciones comentadas son de un volumen extraordinario (5 millones y 6 millones de euros) con respecto a los precedentes vinculados a la antigua LOPD, pero absolutamente consonantes con las actuaciones que otras autoridades de control están adoptando en Europa. Hay que destacar que se trata de resoluciones administrativas extensas, minuciosas y sin duda muy trabajadas técnicamente, como es costumbre de la AEPD (146 folios una y 177 la otra…).
La duda que se suscita en el sector es si los más que previsibles recursos judiciales que interpongan las entidades hoy sancionadas prosperaran, y en caso afirmativo, hasta donde.
En efecto, el elemento subjetivo de la sanción tiene en consideración el desvalor de las acciones y el beneficio obtenido de forma directa por el ilícito sancionado, la falta de estructura, etc.. Estamos seguros que las partes recurrentes argumentaran sobre el precedente administrativo de los importes por infracciones parecidas establecidas en la LOPD, las posibles atenuantes del antiguo artículo 45.5 de la LOPD ( hoy 83.2 del RGPD), pero como bien parece deducirse de la resolución, de poco va a servir si la única línea de defensa para impugnar el importe de la sanción propuesta es la aplicación de precedentes de una norma derogada para este supuesto de hecho como es la LOPD.
En todo caso, damos por supuesto que más tarde o más temprano, tendremos una más que previsible recurso contencioso administrativo que interpongan las partes, no nos cabe duda que la resolución judicial de la Sala de lo Contencioso de la Audiencia Nacional, que es el órgano competente para conocer de este tipo de recursos, será digna de estudio, ya que marcará una línea de actuación en materia de aplicación de graduación de sanciones del RGPD, ya sea validando y ratificando la actuación de la AEPD y su nuevo marco sancionador millonario o por el contrario, “suavizará” importes, matizando algún elemento que pudiera cambiar el signo de la resolución impugnada ajustando cantidades e interpretaciones a posiciones más clásicas y cercanas a la antigua LOPD.
Lo veremos en un tiempo, estaremos a la espera y os tendremos informados.
Un saludo.