Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Agencia Española de Protección de Datos

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Publicado el 08-09-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

 

 

CUMPLIMIENTO NORMATIVO

 

La Autoridad Independiente de Protección del Informante ya está operativa. 

Desde el 1 de septiembre de 2025 está en funcionamiento la Autoridad Independiente de Protección del Informante, AAI (en adelante AIPI), cuya puesta en marcha fue fijada por la Orden PJC/908/2025, de 8 de agosto (publicada en el BOE el 12 de agosto) en cumplimiento de la Ley 2/2023. Presidida por Manuel Villoria Mendieta, la AIPI nace como pilar institucional en la lucha contra la corrupción y para garantizar la protección efectiva de las personas que informen de infracciones, adaptando al ordenamiento español la Directiva (UE) 2019/1937. 

La nueva autoridad asume, entre otras, la gestión del canal externo de denuncias, la adopción de medidas de protección y apoyo a las personas informantes y la potestad sancionadora (con multas que pueden llegar hasta 300.000 € para personas físicas y 1.000.000 € para personas jurídicas, según la infracción). También emitirá circulares y recomendaciones, y supervisará el correcto funcionamiento de los sistemas internos de información de las organizaciones, en coordinación con otras autoridades nacionales y autonómicas. 

En este contexto, conviene destacar que las entidades obligadas por la Ley de Protección al Informante disponen de dos meses desde el inicio de actividad para designar y comunicar a la AIPI a la persona y/o Comité responsable de su Sistema interno de información, con fecha límite 1 de noviembre de 2025. 

 

Volver al índice

 

 

Canales de denuncia de la Autoridad Independiente de Protección del informante. 

Con motivo del inicio de su actividad, la Autoridad Independiente de Protección del Informante ha habilitado una web provisional (www.proteccioninformante.gob.es), mientras culmina el desarrollo de su Sede Electrónica y portal definitivo, que, según figura en nota informativa, estará operativo en breve y contará con las medidas de seguridad y confidencialidad legalmente exigidas. 

Mientras tanto, se puede contactar con la Autoridad Independiente de Protección del Informante a través de los siguientes correos habilitados: para asuntos generales o informativos y para comunicaciones del Responsable del Sistema de Información, aipi@proteccioninformante.es; para el Canal Externo de Información, canal.externo@proteccioninformante.es (omitiendo cualquier dato personal de terceros por razones de confidencialidad); y para el Canal Interno de Información, canal.interno@proteccioninformante.es (igualmente, sin datos personales de terceros). 

 

Volver al índice

 

 

Plan Estatal de Lucha contra la Corrupción. 

El pasado 9 de julio, el Gobierno presentó el Plan Estatal de lucha contra la corrupción, estructurado en cinco ejes y quince medidas para reforzar el marco legal existente en materia de integridad pública.  

Entre sus novedades destacan la creación de una Agencia Independiente de Integridad Pública, el uso de IA y big data en contratación para detectar irregularidades y la extensión de mapas de riesgos en la gestión de fondos. Asimismo, el Plan blinda el anonimato en los canales de denuncia, endurece las sanciones por represalias, obliga a las organizaciones que contraten con la Administración a contar con sistemas de cumplimiento anticorrupción y a someterse a auditorías externas de integridad. Además, crea una lista de inhabilitación que excluirá de la contratación pública, subvenciones y beneficios fiscales a las entidades condenadas en firme por corrupción. 

En este contexto, el 26 de agosto se aprobó el Real Decreto 711/2025, por el que se crea la Comisión Interministerial para el impulso del Plan Estatal de Lucha contra la Corrupción y se regula su composición y funcionamiento. Esta Comisión, concebida para la dirección estratégica, el fomento y la coordinación de las medidas a adoptar por la Administración General del Estado, tiene por objeto asegurar el cumplimiento efectivo de las actuaciones previstas en el Plan. 

 

Volver al índice

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Biometría ¿Cambio de criterio de la Agencia Española de Protección de Datos? 

La Agencia Española de Protección de Datos (AEPD) ha respondido a una consulta previa de las Fuerzas y Cuerpos de Seguridad del Estado sobre el uso de biometría para el control de accesos. A partir de una evaluación de impacto (EIPD), el informe distingue dos enfoques: la identificación, con mayores riesgos para la privacidad, y la autenticación, que bien diseñada y limitada al punto de acceso, puede resultar más proporcionada y menos intrusiva. La Agencia exige justificar necesidad y proporcionalidad, acreditar la mejora frente a sistemas previos y escoger, entre alternativas igual de eficaces, la menos gravosa. Entre las garantías técnicas que valora figuran el tratamiento local cuando sea posible, puntos de control aislados, la retención mínima, la ausencia de acceso externo y las opciones de respaldo. En línea con el Comité Europeo de Protección de Datos, se valoran positivamente modelos en los que la plantilla reside en el dispositivo del usuario o se almacena cifrada con una clave bajo su exclusivo control. 

En cuanto al marco jurídico, la Agencia considera que, para el supuesto analizado, existe base suficiente para la utilización del sistema biométrico: su finalidad principal es la prevención de delitos y amenazas contra la seguridad pública, y a tal efecto el informe se apoya en la Ley Orgánica 7/2021 y, como norma específica, en la Ley Orgánica 2/1986. No obstante, aun reconociendo dicha cobertura, el propio informe subraya la conveniencia de que el legislador refuerce el marco con disposiciones más detalladas y garantías adicionales, acordes al impacto real de estos tratamientos. 

 

Volver al índice

 

 

Data Act: entrada en aplicación el 12 de septiembre de 2025. 

El Reglamento (UE) 2023/2854, conocido como Data Act, establece el marco para el acceso y la utilización de los datos generados por productos conectados y servicios relacionados en la Unión Europea, abarcando tanto datos personales como no personales. Su aplicación general comienza el 12 de septiembre de 2025, aunque se han previsto plazos adicionales para determinadas obligaciones, como las de diseño y fabricación, que se aplicarán de forma escalonada en 2026 y 2027. 

Entre las disposiciones más relevantes de la norma se pueden destacar las siguientes: 

    • Derecho de los usuarios de productos conectados a solicitar el acceso a los datos generados por el uso, incluyendo información sobre consumo, funcionamiento u operaciones de mantenimiento, y a compartirlos con terceros de su elección. 
    • Prohibición de cláusulas contractuales abusivas que limiten el acceso legítimo a dichos datos, especialmente en contratos B2B, con un régimen específico para contratos celebrados antes de la fecha de aplicación general. 
    • Obligaciones de interoperabilidad y portabilidad para facilitar el cambio entre proveedores de servicios de tratamiento de datos (por ejemplo, servicios en la nube) y mejorar la interoperabilidad técnica. 

 

Volver al índice

 

 

Sentencia del Tribunal Supremo sobre mirillas digitales. 

El Tribunal Supremo, en su Sentencia 1166/2025 de 17 de julio, ha confirmado la condena por intromisión ilegítima en el derecho a la intimidad derivada de la instalación de una mirilla digital. En el caso analizado, la instalación no superó a juicio del Tribunal el juicio de proporcionalidad ya que “no respondió a problemas de seguridad (…) sino a la simple comodidad de los demandados, que estaban ausentes durante temporadas y tenían interés por saber si iba alguien a entregar algún paquete a su vivienda”. La mirilla digital se activaba “sin necesidad de que hayan llamado al timbre de la vivienda de los demandados o intentado abrir su puerta” por lo que dada “la situación enfrentada de ambas puertas, a una distancia mínima, supone que cuando se abre la puerta de la vivienda de los demandantes el dispositivo permite ver el interior de esa vivienda; no existen garantías de limitación al acceso de esas imágenes”. 

 

Volver al índice

 

 

Transferencias internacionales de datos a USA: el Tribunal General de la UE confirma el Data Privacy Framework. 

El 3 de septiembre de 2025 el Tribunal General de la Unión Europea desestimó una acción que cuestionaba el Data Privacy Framework, que recordemos constituye el principal mecanismo para las transferencias internacionales de datos de carácter personal entre la UE y USA. 

La Agencia Española de Protección de Datos (AEPD) ha emitido un nota valorativa en la que subraya que “considera que la sentencia aporta estabilidad y refuerza la seguridad jurídica y la continuidad de las transferencias internacionales de datos entre la UE y EEUU”. 

 

Volver al índice

 

 

La Comisión Europea abre consulta sobre la futura Ley de Equidad Digital. 

La Comisión Europea ha puesto en marcha una consulta pública y una convocatoria de datos sobre la futura Ley de Equidad Digital, cuyo objetivo es reforzar la protección de los consumidores frente a prácticas digitales desleales. La iniciativa, abierta a ciudadanos, autoridades y partes interesadas, busca recoger aportaciones que permitan reforzar la protección de los consumidores en el entorno digital, así como establecer condiciones de competencia claras y equilibradas para las empresas en la Unión Europea. 

La propuesta pretende hacer frente a fenómenos cada vez más extendidos en el ámbito digital, como el uso de patrones oscuros en interfaces, el marketing engañoso de influencers en redes sociales, el diseño adictivo de productos y servicios digitales o la elaboración de perfiles que explotan las vulnerabilidades de los usuarios. La consulta estará abierta hasta el 24 de octubre de 2025. 

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Publicado el 22-04-2024

El pasado 17 de abril, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen analizando si la práctica seguida por las grandes plataformas en línea, consistente en ofrecer a los usuarios la opción entre pagar por el servicio o acceder a él de forma gratuita pero con publicidad comportamental, es conforme al Reglamento General de Protección de Datos, en especial en lo tocante a los requisitos que deben observarse a la hora de recabar el consentimiento de los interesados.

Previamente al análisis de fondo resulta necesario mencionar que el ámbito subjetivo del Dictamen se circunscribe a “grandes plataformas en línea” las cuales se definen en el apartado 2.1.3 del Dictamen. No obstante, la limitación en el alcance del Dictamen, resulta interesante para el resto de agentes que hayan abrazado esta práctica tener presente las conclusiones que se alcanzan porque, al igual que sucediera con dictámenes anteriores con similar alcance subjetivo, pueden resultar finalmente aplicables también a estos últimos, aunque no tengan la condición de “Gran plataforma en línea”, y así lo menciona el propio CEPD en su Dictamen.

Aclarado lo anterior, procede analizar el fondo del asunto que no es otro que establecer las directrices que deben respetarse para adoptar el modelo denominado: “consentimiento o pago” y cuya definición pormenorizada se ofrece en el apartado 2.1.1 del Dictamen, y que en resumen consiste en ofrecer al usuario la opción de pagar una cuantía económica a cambio de ofrecerle el servicio sin cookies de publicidad comportamental (definido en el apartado 2.1.2 del Dictamen) pero pudiendo realizar otro tipo de tratamientos de datos que impliquen el seguimiento de los hábitos de navegación del usuario para finalidad distinta de la de ofrecerle publicidad personalizada.

Así, la cuestión a dilucidar es si las opciones y la información asociada a las mismas que se facilitan al interesado son suficientes para entender que el interesado esta eligiendo libremente entre las opciones y por ende si su consentimiento es conforme al RGPD. A este respecto, el CEPD concluye que en la mayor parte de los casos en los que se está empleando esta modalidad de acceso a grandes plataformas en línea no se estarían cumpliendo los principios del RGPD ni los requisitos específicos relativos al consentimiento. En concreto, en cuanto al consentimiento el CEPD establece que debe analizarse si el consentimiento:

Se otorga de forma libre: Esto implica que:

  • La negativa a otorgar el consentimiento no puede tener consecuencias negativas para el interesado. En el caso de las grandes plataformas en línea esto puede ser difícil de acreditar en la medida en que la negativa a pagar supone en la práctica la imposibilidad de usar un servicio lo que tiene un impacto importante en la vida social y/o profesional del interesado o en su forma de comunicarse.

  • No puede existir desequilibrio entre las Partes: Este elemento suele ser especialmente relevante a la hora de analizar la validez del consentimiento otorgado en el ámbito laboral. En este caso, el CEPD ofrece una serie de elementos a analizar por las grandes plataformas en línea a los efectos de determinar si existe desequilibro, a saber, por ejemplo, la posición de la plataforma en el mercado, el posible bloqueo de acceso a redes sociales o de trabajo…

  • Que se ofrezca una alternativa equivalente: Este punto es especialmente interesante porque si bien el servicio de “pago por datos” y el de “pago económico” son equivalentes en la práctica, el CEPD matiza que ofrecer únicamente una alternativa de pago dificulta el poder acreditar que se ofrece una alternativa real al usuario complicando el considerar que el consentimiento se ha otorgado de forma libre. Así, se recomienda facilitar opciones de acceso gratuitas con tratamientos menos invasivos que la publicidad comportamental y dejar el acceso mediante pago para aquellos accesos libres de tratamientos de datos no necesarios para la prestación del servicio.

  • Coste del acceso: El CEPD señala que el importe establecido puede impedir en la práctica que los interesados sean libres de tomar una decisión por lo que establece la importancia de analizar caso por caso el importe que se establece y recuerda que los datos de carácter personal no son un objeto de comercio y que en ningún caso puede convertirse la privacidad en un derecho únicamente ejercitable por quienes ostentan un poder adquisitivo elevado.

  • Que se otorga de forma informada: El consentimiento para que sea válido debe otorgarse tras haber recibido información suficiente sobre el tratamiento sobre el que se está consintiendo. En este sentido el CEPD señala que se debe hacer un ejercicio didáctico importante a la hora de facilitar la información para garantizar que esta se adapte a la audiencia a la que va dirigida, en especial si son menores.

  • Que es específico: La forma de recabar el consentimiento debe garantizar que el interesado únicamente consiente aquellos tratamientos sobre los que quiere consentir de forma separada, para ello se deben evitar patrones oscuros y se debe ofrecer una granularidad suficiente evitando, por ejemplo, unir el consentimiento a la publicidad comportamental con otros tratamientos de datos.

  • Que resulta fácilmente revocable: Se debe evitar el uso de patrones oscuros encaminados a impedir la retirada del consentimiento una vez otorgado.

Así, si bien el CEPD manifiesta que resulta improbable el cumplimiento de las Grandes Plataformas en Línea con los requisitos recogidos en este Dictamen no concluye ni menciona incumplimiento por ninguna de ellas, limitándose, en el marco de sus funciones, a otorgar directrices claras a las Autoridades de Control para que puedan evaluar el cumplimiento de estos principios por parte de los Responsables, que se encuentren bajo su jurisdicción.

En el caso de la Agencia Española de Protección de Datos, habrá que ver los próximos movimientos en especial en materia de cookies ya que, en la recientemente actualizada Guía de Cookies editada por dicha entidad, se recogía expresamente la posibilidad de ofrecer una alternativa no necesariamente gratuita para el caso de que el usuario no quisiera consentir el uso de cookies.

 

Publicado en Blog, Fiscal, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , Comentarios desactivados en Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 10 – 2023

Publicado el 13-12-2023
Protección de datos – Seguridad de la Información

 

Compliance

 

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Se acaba el plazo para adaptarse a las nuevas directrices sobre cookies  

Tal y como comunicamos en anteriores newsletters, el pasado julio, la Agencia Española de Protección de Datos actualizaba su guía de cookies incorporando las Directrices 03/2022 del Comité Europeo de Protección de Datos de febrero de 2023 sobre patrones engañosos en redes sociales.  

Pues bien, el plazo para implementar los cambios introducidos por la mencionada actualización finaliza el próximo 11 de enero por lo que se recomienda revisar la utilización de cookies para garantizar el cumplimiento de las directrices emitidas por la Agencia Española de Protección de datos.  

 

Volver al índice

 

 

Cambio de criterio de la AEPD en el uso de biometría para control de jornada y accesos. 

La Agencia Española de Protección de datos ha publicado una nueva Guía Tratamientos de control de presencia mediante sistemas biométricos en la que reevalúa la posibilidad de emplear soluciones que emplean datos biométricos, entre otros ámbitos, en el entorno laboral. La nueva guía supone un cambio muy relevante de criterio de la Agencia Española de Protección de datos sobre el tema por lo que recomendamos revisar este tipo de tratamientos.  Entre las principales novedades podemos destacar las siguientes:  

    • Categoría especial de datos: en línea con las Directrices 05/2022 del Comité Europeo de Protección de Datos, concluye que el dato biométrico en este contexto es de categoría especial, por lo que a parte de una base legal que permite el tratamiento será imprescindible que concurra una excepción a la prohibición general de los tratamientos de datos de categoría especial recogida en el artículo 9 del RGPD.   
    • Imposibilidad de usar el consentimiento como excepción:  en cuanto a la apreciación de existencia de excepciones del artículo 9 RGPD, determina la Agencia que el consentimiento del trabajador no bastará para levantar la prohibición del tratamiento de datos biométricos como actualmente venía indicando. Tampoco considera que Estatuto de los Trabajadores en su redacción actual pueda servir para este fin, si bien si plantea, como adelantaba la Agencia Catalana de Protección de Datos entre otras, valorar si el convenio colectivo de aplicación habilita de forma expresa el tratamiento.  
    • Evaluación de Impacto:  recuerda la Agencia la importancia de que en relación con el tratamiento se realice y supere una Evaluación de impacto para demostrar la idoneidad, necesidad y proporcionalidad del tratamiento y gestionar desde el diseño los riesgos específicos del tratamiento, de forma que se garantice un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento. A la luz de la nueva Guía resulta recomendable actualizar las Evaluaciones de impacto que se hubieran realizado con motivo de la implantación de este tipo de soluciones, de forma que se analice de nuevo el tratamiento.  

 

Volver al índice

 

 

Meta y el Comité Europeo de privacidad 

El Comité Europeo de Privacidad ha publicado la Decisión vinculante 1/2023 emitida en octubre de este año a solicitud de la Autoridad de control noruega, en la que instaba a la Autoridad de control irlandesa a tomar medidas frente a los incumplimientos en materia de protección de datos perpetuados por Meta. Tras la emisión de dicha Decisión, la Autoridad de control irlandesa emitió en noviembre resolución en la que prohibía a Meta el tratamiento de datos en relación con la publicidad comportamental sobre la base de la ejecución del contrato o el interés legítimo.  

Ahora queda por ver si el nuevo planteamiento de Meta de enfocar la red social como un servicio de suscripción conjuntamente con el modelo tradicional es conforme a derecho o no. 

 

Volver al índice

 

 

Sanción a empresa energética por brecha de seguridad 

La Agencia Española de Protección de datos ha sancionado a Endesa por diversas conductas relacionadas con la falta de seguridad y confidencialidad de los datos de los que era responsable. En la resolución, en respuesta a las alegaciones de la empresa, la Agencia concluye que las medidas de seguridad implementadas no eran suficientes y que la empresa no actúo con la celeridad suficiente cuando descubrió la brecha.  

Asimismo, resulta recomendable mencionar que además de por la falta de implementación de medidas se sanciona a la empresa por una incorrecta comunicación de la brecha tanto a la propia Agencia como a los afectados, lo que pone de manifiesto la importancia de evaluar correctamente las brechas de seguridad de cara a evitar sanciones adicionales.  

 

Volver al índice

 

 

COMPLIANCE

Terminado el plazo para la implantación de canales de denuncia (Sistema Interno de Información) 

Como hemos venido informando a través de la presente newsletter con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deben contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima. Dicha Ley, basándose entre otros aspectos el número de trabajadores existentes en el sujeto obligado, establecía dos momentos temporales para la implantación de este tipo de sistemas. Pues bien, el pasado 1 de diciembre de 2023 finalizó el último plazo, por lo que todas las organizaciones que tengan más de cincuenta trabajadores deberán contar ya con este sistema interno de información o canal de denuncia. 

 

Volver al índice

 

 

 NORMATIVA AL DÍA  

 

Normativa europea en materia de Inteligencia Artificial. 

A falta de los últimos trámites el Parlamento y la Comisión europea han comunicado que se ha alcanzado un acuerdo en relación con la regulación en materia de Inteligencia Artificial.  

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 10 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 06 – 2023

Publicado el 18-07-2023
 
Propiedad Intelectual e Industrial
 
Protección de datos – Seguridad de la Información
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El Tribunal Supremo analizará la autoría de más de 200 cuadros que habían sido divulgados bajo la firma del famoso artista Antonio de Felipe.

El 21 de mayo de 2021 la Audiencia Provincial de Madrid emitió sentencia en la que se determinaba que 221 obras que fueron publicadas bajo la firma de Antonio de Felipe, debían tener la consideración de obras en coautoría ya que habían sido fruto de la colaboración entre éste y la artista Fumiko Negishi.  Según se indica en los hechos probados, sería esta segunda artista quien bajo una relación de colaboración con el primero, habría ejecutado materialmente las obras bajo las indicaciones de Antonio de Felipe. Es por ello que el tribunal entiende que los cuadros son el resultado de una simbiosis artística de ambos profesionales y no una mera ejecución mecánica por parte de la segunda artista, lo que provoca que se concluya que ambos son autores por igual de las obras.  

La decisión ha sido recurrida y será revisada por el Tribunal Supremo por lo que habrá que ver la condición final que se otorga a ambas partes en relación con la creación.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva guía de cookies 

La AEPD acaba de actualizar su “Guía sobre el uso de las cookies”. Entre las novedades más destacables está la adaptación del documento a las directrices sobre patrones engañosos y criterios para los conocidos como muros de cookies. 

En cuanto al plazo de adaptación, la AEPD indica que “los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies 

 

Volver al índice

 

Nuevo acuerdo entre Estados Unidos y Europa sobre la transferencia de datos personales. 

Tras dos intentos de establecer una regulación sobre la transferencia de datos personales entre la UE y EEUU, frustrados por el TJUE, la Comisión Europea emitió el pasado 10 de julio una decisión, en la que se concluye que los Estados Unidos garantizan un nivel de protección adecuado de los datos transferidos de la UE. 

En la nota de prensa publicada por la Comisión, se ataca al problema que pusieron de relieve las anteriores regulaciones y por lo cual fueron invalidadas por el TJUE: la no existencia de una ley federal que regule la gestión de los datos y que la CIA, el FBI o la NSA pudieran acceder a los mismos. En este contexto, la decisión introduce nuevas garantías vinculantes, tales como la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la UE a lo necesario y proporcionado, o el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos al que todo ciudadano de la UE podrá acceder. 

El activista Max Schrems, quien consiguió tumbar las dos decisiones previas de transferencia de datos entre EEUU y la UE ante el TJUE, afirma que volverá a dirigirse al mismo con el objeto de impugnar esta decisión. 

 

 

Volver al índice

 

Tratamiento de datos con fines de marketing telefónico

El pasado 26 de junio, la Agencia Española de Protección de datos (AEPD) publicó una Circular, con el objetivo de fijar los criterios relativos a la aplicación de la normativa sobre protección de datos de carácter personal, sobre el derecho a no recibir llamadas no deseadas con fines comerciales introducido por la Ley General de Telecomunicaciones. Tal derecho, contemplado en el artículo 66.1.b) de la mencionada Ley, entró en vigor el pasado 29 de junio. 

El foco de la Circular es analiza las bases que legitimarían el tratamiento de los datos con finalidad de prospección comercial por vía telefónica, esto es, el consentimiento o el el interés legítimo. En cuanto al consentimiento, se establece que no se podrán realizar llamadas comerciales a números generados de forma aleatoria sin que el usuario haya otorgado consentimiento expreso previamente. En cuanto a los usuarios que figuren en guías de abonados, deberán prestar su consentimiento específico y expreso para que sus datos puedan ser utilizados con fines comerciales. 

Por otra parte, en relación con el interés legítimo señala que siempre que no prevalezcan los intereses o los derechos fundamentales de los usuarios también será lícito el tratamiento de los datos de los consumidores cuando dicho tratamiento sea necesario para la satisfacción de intereses de la empresa que los trata, o intereses de terceros. Del mismo modo, establece que, si existía una relación contractual previa entre el usuario y el responsable del tratamiento, (interactuación del interesado con el responsable en el último año)  éste le podrá llamar para ofrecerle productos o servicios similares a los que fueron objeto del contrato (en la línea de lo previsto en el artículo 21.1 de la LSSI) y matiza que esta presunción de concurrencia del interés legítimo no aplicaría a la comunicación de datos personales a otras entidades del mismo grupo empresarial con fines de comunicación comercial, para la que se requerirá el consentimiento.  

Asimismo, indica que en el caso de los números de teléfono de personas físicas que presten servicios en personas jurídicas o que tengan la consideración de empresarios individuales o profesionales liberales operará la presunción del artículo 19 de la Ley Orgánica 3/2018 siempre que la oferta de productos se refiera a su actividad profesional y no personal. 

Finalmente, la AEPD establece una serie de garantías adicionales con el objetivo de cumplir con los principios que rigen el tratamiento de datos personales: i) Al inicio de cada llamada, se deberá informar de la identidad del empresario, y si procede, de la identidad de la persona por cuenta de la que se efectúa la llamada; ii) se deberá indicar la finalidad comercial e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas no deseadas; iii) cualquier manifestación contraria a la recepción de las llamadas debe entenderse como revocación del consentimiento o como el ejercicio del derecho de oposición del afectado; iv) la llamada deberá ser grabada, como medio de demostrar el cumplimiento de la normativa relativa a la protección de datos personales.   

 

Volver al índice

 

Meta y su batalla con la normativa de protección de datos. 

Meta no pasa por su mejor momento en cuanto a relaciones con la normativa de protección de datos europea ya que, además de las multas millonarias impuestas a dicha organización se ha conocido la decisión de la Autoridad de Control de Noruega de paralizar temporalmente los tratamientos de publicidad comportamental que realizan Facebook e Instagram sobre los datos de los usuarios noruegos. Esta decisión, viene a raíz de la reciente sentencia del Tribunal de Justicia de la Unión Europea en el que se indicaba que la forma en que Meta realizaba tipo de tratamientos (sin solicitar consentimiento del interesado) no cumplía con la normativa, de manera que la autoridad de control noruega prohíbe dicho tratamiento desde el 4 de agosto y durante 3 meses salvo que el tratamiento se ajuste a la normativa antes del transcurso de dicho periodo. Asimismo, señalan que en el caso de no adecuarse el tratamiento a la normativa impondrá una multa diaria de hasta 1 millón de NOK al día. Habrá que esperar para ver cómo reaccionan el resto de autoridades de control y si esto se extiende a otros países. 

Por otro lado, se ha conocido que la normativa de protección de datos estaría siendo la razón por la cual en la Unión Europea no puede emplearse la aplicación Threads, una red social creada por Meta basada en textos cortos, que trata de competir con Twitter. La compañía manifiesta estar estudiando como regular el intercambio de datos entre esta nueva plataforma e Instagram y Facebook para introducir la aplicación en la Unión Europea, de forma ajustada a las exigencias normativas.  

 

Volver al índice

El Centro criptológico nacional actualiza la Guía CCN-STIC 825 sobre el Esquema Nacional de Seguridad y la Certificación 27001

La guía ofrece las medidas compatibles entre el Esquema Nacional de Seguridad con el estándar ISO/ IEC 27001:2022.  Este documento resulta útil tanto para aquellas organizaciones que tienen un SGSI basado en la ISO 21001 y desean dar el salto al ENS como viceversa.  

 

Volver al índice

 

 

 

Publicado en Blog, Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 06 – 2023

El consentimiento como base legal del tratamiento

Publicado el 25-10-2021
      Candela Martínez Arellano

A raíz de la reciente resolución (PS/00500/2020) publicada el 21 de octubre de 2021 por la Agencia Española de Protección de Datos (en adelante la Agencia), frente a un tratamiento realizado por CAIXABANK, CONSUMER FINANCE, EFC (en adelante Caixabank) sobre la base del consentimiento, se vuelve a poner el foco en la importancia de recabar correctamente el consentimiento de los interesados.

Para que un tratamiento se entienda correctamente consentido por el interesado el mismo debe haberse consentido de forma libre, específica, informada e inequívoca. Si bien estos adjetivos parecen sencillos de cumplir, se está viendo que en la práctica su cumplimiento resulta complejo, en la medida en que deben conjugarse diversos elementos.

Así, por ejemplo, no se entiende que las casillas premarcadas, o la inacción puedan entenderse como un consentimiento válidamente prestado toda vez que no se entiende como una aceptación expresa e inequívoca del tratamiento. Del mismo modo, debe observarse la exigencia de especificidad del consentimiento lo que implica que se tiene que articular con la granularidad que sea necesaria dependiendo del número de finalidades, no siendo posible agrupar varios tratamientos distintos en un solo consentimiento. Finalmente, con respecto a la necesidad de que el consentimiento sea “informado” nos deberemos asegurar de que el interesado entienda el tratamiento para el cual le estamos pidiendo el consentimiento para lo cual “deberá emplearse una formulación inteligible y de fácil acceso, que emplee un leguaje claro y sencillo y que no contenga cláusulas abusivas”.  

En la resolución frente a Caixabank se analizan en detalle dos de las mencionadas características, la obligación de que el consentimiento sea informado y que se otorgue de forma específica.

Empezando por el deber de obtener un consentimiento informado, la Agencia tras analizar la información que se facilita al interesado sobre el tratamiento objeto de controversia – la realización de perfilados por parte de Caixabank a sus clientes en el contexto de su actividad comercial – concluye que la misma “no aporta al interesado suficiente información como para que este pueda conocer el alcance de los tratamientos de perfilado que se llevan a cabo”

En este sentido resulta interesante señalar que Caixabank manifiesta que ha realizado un estudio de comprensión de las cláusulas con sus clientes, aunque al no aportar informes o resultados sobre el mismo dicha prueba no es objeto de análisis por la Agencia. Sin embargo, de la lectura de la resolución no parece rechazarse este medio de prueba lo que puede resultar útil a la hora de redactar cláusulas cuya complejidad exija un testeo previo.

Por otro lado, la Agencia entiende que no se permite al interesado configurar correctamente su consentimiento en la medida en que los tratamientos están agrupados y no se facilita la posibilidad de consentir unas finalidades sí y otras no.

Este requisito suele ser el más vulnerado en la medida en que resulta habitual que se agrupen distintos tratamientos con el ánimo, en ocasiones, de enmascarar aquellos que pueden generar rechazo en el interesado por diversas razones.

La lectura que debe sacarse de la resolución es la necesidad por una parte de analizar la efectiva concurrencia del consentimiento como base legal y por otra la necesidad de que el mismo se ajuste a los requisitos que marca la normativa. En este sentido se recomienda huir de redacciones genéricas y apostar por realizar aproximaciones transparentes que den confort al responsable en relación con los tratamientos y que garanticen registros de mayor calidad.

En caso de duda sobre la corrección legal de tus fórmulas de consentimiento ponemos a tu disposición a nuestros profesionales en materia de protección de datos quienes analizarán tus tratamientos y te propondrán las fórmulas que mejor se ajusten a la legislación vigente y a tus necesidades.

 

 

Publicado en Blog, Circulares, Empresas TIC, Nuevas Tecnologías, Opinión, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en El consentimiento como base legal del tratamiento
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X