4
Jun

Notas sobre la Memoria 2019 de la AEPD

La AEPD ha publicado su Memoria correspondiente al año 2019, la primera que recoge las actividades de la Agencia que incluye un año completo de aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD). En la Memoria se hace referencia a varios ámbitos de actuación de la Agencia, como el número de reclamaciones, el motivo de las mismas, los tiempos de resolución, casos transfronterizos o notificaciones de quiebras de seguridad.

Durante el año 2019 se presentaron ante la Agencia 11.590 reclamaciones, lo que supone un regreso a la normalidad, tras el incremento de un 33% del año 2018, siendo las reclamaciones más comunes las relativas a servicios de internet, videovigilancia, inserción indebida en ficheros de morosidad, reclamación de deudas y publicidad.

Los traslados, el procedimiento por el que el RGPD y la LOPDGDD pretender facilitar la resolución amistosa de estas reclamaciones ha crecido un 147% hasta los 5.691, elemento que más que probablemente haya influido en la reducción del tiempo medio de resolución de los procedimientos sancionadores en casi un tercio. De estas reclamaciones, la Agencia ha dictado 338 resoluciones sancionadoras, la mayoría de las mismas relativas a videovigilancia (287), servicios de internet, publicidad a través de correo electrónico o teléfono móvil, telecomunicaciones y Administración Pública.

Destaca la AEPD el importante papel desempeñado por la figura del Delegado de Protección de Datos como mecanismo para la resolución extrajudicial de reclamaciones evitando la iniciación de actuaciones de investigación de la Agencia que pueden dar lugar a procedimientos sancionadores.

Otro elemento que recoge la Memoria 2019 son los casos transfronterizos. La nueva normativa europea permite a los ciudadanos presentar reclamaciones ante cualquier autoridad de protección de datos europea, que debe dar traslado a las autoridades competentes para que sean atendidas, lo que ha permitido que éstas aumenten en un 33% durante el año 2019.

Uno de los elementos más importantes de la normativa relativa a la protección de datos es la obligación de notificar las brechas de seguridad, obligación que ha provocado que estas notificaciones se hayan triplicado de un año a otro. Las notificaciones son recibidas por la Unidad de Estudios y Evaluación Tecnológicos (UEET), que las analiza y valora si debe trasladar la quiebra a la Subdirección General de Inspección de Datos, que es quien las investiga y analiza. Tan sólo se han comunicado a esta subdirección el 5% de estas quiebras.

Otro de los aspectos más relevantes recogidos por la Memoria 2019 es el relativo al Canal prioritario para solicitar la eliminación urgente de contenidos violentos o sexuales en internet, que coloca a la AEPD como la única agencia europea de protección de datos que ofrece este servicio, que durante 2019 recogió 18 órdenes de medida provisional urgente, retirándose de forma definitiva el contenido original de la página o red social en todos los casos.

En el Canal Joven de la Agencia, que se ocupa de temáticas como publicación de imágenes de menores en redes sociales por parte de padres separados, consentimiento de los padres para la publicación de imágenes en webs de los colegios o RRSS, videovigilancia en los colegios o grabación de imágenes en eventos escolares, se han recibido 1.502 cuestiones.

Por último, debemos hacer mención a los datos que la Memoria aporta sobre las herramientas puestas a disposición por la AEPD, Facilita RGPD, utilizada por más de 800.000 pymes y autónomos, y Gestiona RGPD, lanzada en junio de 2019 y utilizada en casi 3.000 ocasiones.

Puede accederse a la Memoria 2019 completa aquí.

13
May

Excepciones en el Contexto de Transferencias Internacionales de Datos

Dentro de los aspectos que trata el RGPD en el capítulo V, el movimiento internacional de datos, es un supuesto que se está produciendo con más frecuencia de lo que pensamos en nuestra sociedad, motivado fundamentalmente por la frecuencia en la contratación por parte de las empresas de los servicios en la nube, el almacenamiento de archivos con empresas extranjeras como DROPBOX, GOOGLE DRIVE, así como los tradicionales servicios de hosting, correo electrónico y plataforma de comercio electrónico con empresas extranjeras que ofrecen servicios económicamente más rentables. Todo ello convierte a las transferencias internacionales de datos en un elemento clave para la correcta prestación de servicios en una sociedad globalizada.

En este sentido, conforme la normativa de protección de datos para realizar correctamente los movimientos internacionales es necesario que la transferencia se base en una decisión de adecuación (lista de países) o mediante garantías adecuadas, y si éstas no son posibles, se podría aplicar alguna de las excepciones previstas en el artículo 49 del RGPD.

Para analizar a fondo dichas excepciones, es necesario tener en cuenta tanto lo señalado en el RGPD, como lo establecido por las directrices del Comité Europeo de Protección de Datos. En este sentido, entendemos que, en ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia internacional de datos personales se podrá realizar a un tercer país o a una organización internacional solo bajo ciertas condiciones, garantizando un nivel de protección a las personas físicas. Entre las excepciones al principio general, tomando en cuenta lo mencionado en el artículo 49 del RGPD, tenemos:

  1. el interesado da su consentimiento a la transferencia propuesta, para que sea válida:
    1. el consentimiento deberá ser específico para la transferencia de datos en particular o para un conjunto de transferencias
    2. el consentimiento debe ser informado, en particular sobre los posibles riesgos de la transferencia.
  2. la transferencia sea necesaria para la ejecución de un contrato o para la ejecución de medidas precontractuales, se podrá aplicar cuando:
    1. Solo para transferencias que sean ocasionales, que no sean repetitivas y que sean necesarias, conexión estrecha y sustancial entre la transferencia y los propósitos del contrato.
      1. Prueba de necesidad: requiere una conexión estrecha y sustancial entre la transferencia de datos y los propósitos del contrato.
      2. Transferencias ocasionales: hay que determinar si es una transferencia es ocasional o no y que no ocurran regularmente dentro de una relación estable, puesto que se consideraría sistemática y repetida, por lo que excedería un carácter ocasional.
  3. la transferencia sea necesaria para la celebración o ejecución de un contrato, será válida cuando:
    1. Necesidad de la transferencia de datos y la celebración del contrato, debe existir un vinculo estrecho y sustancial, las mismas deben ser ocasionales y no repetitivas.
  4. la transferencia sea necesaria por razones importantes de interés público, se podrá invocar:
    1. Solo sobre interés púbicos reconocidos en el derecho de la unión o en el derecho del estado miembro.
    2. No aplica cuando se solicite la transferencia por una autoridad de un tercer país, deberá existir un acuerdo o tratado internacional.
    3. Por entidades privadas
  5. la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, se puede aplicar:
    1. Reclamo legal, independientemente si se tratada de un procedimiento judicial, administrativo o extrajudicial, esto es solo para reclamos presentes no para posibles o futuros.
    2. Necesidad de la transferencia de datos, finalidad explícita y que sea ocasional y no repetitiva.
  6. la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando:
    1. Los datos deben ser transferidos cuando el interesado, que está fuera de la UE necesita atención médica urgente y el exportador de datos debe proporcionar los mismos. Aplica también a la integridad física de una persona.
    2. Relacionado con el interés individual del interesado o con el interés de otra persona.
    3. El interesado no puede dar su consentimiento.
  7. la transferencia se realice desde un registro público, siempre y cuando:
    1. El registro debe estar acorde con la legislación de la UE o de los estados miembros.
    2. Intención de proporcionar información al público, registro abierto al público o a cualquier persona que demuestre interés legítimo.
    3. No aplica a registro privados.
    4. No se puede incluir la totalidad de los datos personales
  8. la transferencia es necesaria para los intereses legítimos imperiosos, si:
    1. No aplica ninguna de las excepciones del artículo 49.1 RGPD.
    2. Intereses legítimos convincentes, esenciales para el exportador de los datos.
    3. No repetitivo.
    4. Número limitado de interesados
    5. Equilibrio entre el interés legítimo imperioso y los derechos de los interesados.
    6. Aplicar salvaguardas para minimizar riesgos
    7. Informar a la AEPD y a los interesados.

Por último, en virtud de lo mencionado y teniendo en cuenta que existen varias excepciones en las que pueden ampararse las empresas para poder realizar movimientos internacionales de datos, es muy importante identificar el escenario y el contexto en las que se las va a realizar, existiendo particularidades en las que se puede aplicar cada una, lo que definirá cual es la aplicable a cada caso. Sin embargo, la excepción que suele utilizarse más es la relativa a las transferencias necesarias para la ejecución o celebración de un contrato, puesto que, en la mayoría de los casos, el movimiento internacional se va a realizar con el objetivo de cumplir con las obligaciones contraídas con el interesado. Un claro ejemplo lo tenemos en el movimiento internacional de datos que hace una agencia de viajes de sus clientes a los hoteles donde se van a hospedar, o en aquellos supuestos en los que el cliente solicita a un banco realizar un pago a una cuenta de otro banco en un país extranjero, siendo por tanto necesario en ambos casos transferir los datos del cliente a la empresa extranjera que prestará el servicio. Para que se apliquen correctamente estos supuestos, es necesario que las transferencias sean ocasionales y que exista una conexión estrecha y sustancial entre movimiento y los propósitos del contrato.

No debemos olvidar que, la utilización de las excepciones descritas anteriormente, solo podrán ser aplicadas ante la ausencia de los mecanismos incluidos en los artículos 45 y 46 del RGPD, las mismas son exenciones al principio general de transferencias, de que los datos personales solo pueden transferirse a terceros países si estos proporcionan un nivel adecuado de protección o si se han establecido salvaguardas apropiadas, esto permitirá a los interesados disfrutar de derechos efectivos y de garantías fundamentales.


Carlos Mogrovejo Riofrío

12
Ene

Los mediadores de seguros y la normativa de protección de datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

 

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

 

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

 

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

 

12
Ene

Empresas de transporte y mensajería, ¿encargados o responsables del tratamiento?

Aunque la distinción entre Responsable y Encargado del tratamiento en materia de protección de datos parezca clara, en la práctica no ocurre así en todos los casos. Uno de dichos ámbitos en donde más debate ha suscitado dicha distinción, ha sido en el sector del transporte y mensajería. En la prestación de estos servicios, el papel de la empresa de transporte respecto de los datos del destinatario del servicio no queda bien definido, pudiendo actuar como Responsable del dato personal del destinatario o como Encargado del tratamiento de sus clientes que utilizan dicho servicio.

Sobre este aspecto se ha pronunciado la Agencia Española de Protección de Datos (AEPD) en varios Informes. En concreto, podemos destacar un Informe del Gabinete Jurídico en el que la consultante, una empresa de transporte de documentos, requiere para prestar sus servicios los datos del cliente, los datos de origen y de destino que deben ser comunicados por los clientes. La consultante entiende que actúa en su propio nombre en la prestación del servicio de transporte, sin embargo, algunos clientes solicitan formalizar un contrato de Encargado del tratamiento para la actividad del transporte.

Según la AEPD, lo esencial es que el Encargado actúa en nombre y por cuenta del Responsable en el tratamiento de los datos, de modo que la ley estipula la ficción jurídica de que, dado que el encargado no decide los fines y medios del tratamiento, la cesión de datos que en realidad se realiza mediante el encargo, no es tal jurídicamente.

En el sector del transporte y mensajería es importante distinguir, por un lado, los datos personales que vayan dentro del sobre transportado, a los cuales el transportista no tiene acceso, y por otra parte los datos personales de remitente y destinatario, que son los imprescindibles para la ejecución del servicio contratado.

Entiende la AEPD que en estos casos no se produce una actuación como Encargado del tratamiento, sino que se incorporan los datos personales recabados para sus propios fines, y es la empresa quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, no existiría un encargo del tratamiento sino una cesión de datos, ya que los datos transmitidos son incorporados en la base de datos de la entidad receptora (empresa de mensajería) para que esta proceda a su tratamiento para los fines que le son propios hasta su entrega al destinatario.

Por tanto la cesión a una empresa de mensajería de los datos personales mínimos imprescindibles para la remisión del envío postal sería posible aun no mediando consentimiento de los afectados, siempre que la entidad-cesionario los utilice única y exclusivamente para el pleno cumplimiento de sus obligaciones de transporte, remisión y entrega del envío y no para otros fines. En este sentido, la AEPD también considera acertado la posición del intermediario que asumía el ICO Inglés, que concluye que el prestador del servicio postal no sería ni Responsable ni Encargado del tratamiento para los clientes que usen sus servicios, ya que es un mero intermediario, y no decide sobre los fines o medios del tratamiento de los datos personales incluidos dentro del sobre que se le ha confiado.

A pesar de aceptar la posición de intermediario, la AEPD concluye que las empresas de transporte y mensajería no son Encargados del tratamiento, por lo que no requerirán de un contrato de encargo respecto de los datos personales contenidos en el sobre. Sin embargo, sí que serán Responsables del tratamiento de los datos personales que se le ceden (datos del remitente y del destinatario) para hacer llegar el sobre a destino.

Además, la ley parece establecer unas obligaciones específicas en materia de protección de datos al operador postal que no casan bien con la figura del Encargado del tratamiento. En este sentido, la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, establece unas obligaciones respecto del envío, que incluye tanto la confidencialidad de su contenido, en un sentido amplio, como la protección de los datos personales que se han confiado al operador postal para la realización de su labor. Si fuera un verdadero Encargado del tratamiento dichas obligaciones de protección de datos habría que imponérselas al remitente, que sería quien le ha realizado el encargo de transportar el documento al destinatario.

En conclusión, tanto de los principios generales que se derivan de la normativa de protección de datos como de los preceptos propios de la normativa postal, concluye la AEPD que las empresas de transporte y mensajería no serían un Encargado del tratamiento respecto del remitente, sino que son Responsables del tratamiento de los datos personales de remitente y destinatario que se le han confiado para el ejercicio de su tarea. En consecuencia, será recomendable por parte de las empresas usuarios de los servicios de mensajería informar en las correspondientes cláusulas de información con los clientes, proveedores y trabajadores, de la posible existencia de dichas cesiones de sus datos a empresas de mensajería o trasporte, de forma que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y cancelación según lo dispuesto en el RGPD y la LOPDGDD ante las correspondientes empresas de mensajería o transporte.

 

Alina Nastasache
Abogada TIC DPO&itlaw
alinastasache@dpotilaw.com

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies