OBSERVATORIO NORMATIVO

Portal especializado de alertas en Compliance, Protección de Datos, CiberSeguridad y CiberDerecho

Noticia - Privacidad / Protección Datos - España

LA AUDIENCIA NACIONAL ESTIMA EL RECURSO INTERPUESTO POR EL INSTITUTO SOCIAL DE LA MARINA RELATIVO AL DERECHO DE ACCESO SOBRE LA VIDA LABORAL DE UN TRABAJADOR FALLECIDO.

La Audiencia Nacional (AN) ha estimado el recurso contencioso-administrativo interpuesto por el Instituto Social de la Marina (ISM) ante la resolución adoptada por la Agencia Española de Protección de Datos (AEPD), por la que se le requería proporcionar a la reclamante el acceso a los datos relativos a la vida laboral de su padre fallecido. La finalidad de dicho acceso era acreditar ante la autoridad portuaria que su padre era Trabajador en Régimen Especial del Mar. 

En este sentido, la AN ha revocado esta resolución al apreciar que la reclamante, pese a manifestar tener una vinculación familiar con el fallecido y afirmar, sin acreditación, que la vida laboral le estaba siendo requerida por parte de la autoridad portuaria, esto no constituye per se un interés legítimo, personal y directo para acceder a los datos solicitados, requisitos exigidos por la normativa en materia de Seguridad Social. 

Asimismo, la AN ha determinado que el derecho de acceso que se pretende ejercer no se considera conforme con la tutela del derecho a la protección de datos personales como derecho fundamental recogido en la Constitución Española, el cual permite el tratamiento de estos datos personales cuando exista una base de legitimación.

LA DVI DE LITUANIA EMITE UNA NOTA INFORMATIVA SOBRE EL TRATAMIENTO DE DATOS BIOMÉTRICOS EN LAS RELACIONES LABORALES

La Agencia de Protección de Datos de Lituania (DVI) ha emitido una nota informativa sobre buenas prácticas a implementar por parte del empleador en el seno de una relación laboral, para el tratamiento de datos biométricos de sus empleados. La DVI ha recibido consultas sobre cómo tratar esta categoría de datos de manera adecuada, dado el interés que presentan las empresas en tratar huellas dactilares e imágenes faciales, para fines, por ejemplo, de control laboral.

 

A las empresas les preocupa la base de legitimación aplicable para el tratamiento legítimo de datos biométricos. Cabe recordar, que los datos biométricos son una categoría especial de datos y que solo se pueden ser tratados en casos específicos.  Por tanto, si es posible lograr los objetivos que se pretenden a través de medios menos intrusivos, deberá optarse por este medio. En este orden, la DVI recuerda que, la base legitimadora consistirá en el consentimiento del empleado, libre, específico e informado, y además, el tratamiento deberá ser transparente. 

La DVI informa a las empresas que plantean incorporar este mecanismo que, además, de realizar la preceptiva Evaluación de Impacto de la Protección de Datos (DPA) antes de implementar la medida, deben permitir a los empleados disponer de varias opciones a la hora de cumplir con las exigencias de la relación laboral, en aras a proteger la privacidad de los empleados y cumplir con la normativa vigente. 

Más información: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-biometrisko-datu-apstrade-darba-tiesiskajas-attiecibas

LA COMISIÓN EUROPEA LANZA UNA BASE DE DATOS SOBRE LA TRANSPARENCIA DE LAS DSA.

La Comisión Europea (CE) ha puesto en marcha una base de datos sobre la transparencia de la Ley de Servicios Digitales (DSA) cuyo objetivo es (i) garantizar la transparencia, (ii) permitir a los usuarios el examen de las decisiones de moderación de contenido de los proveedores de plataformas web activas dentro de la UE y, (iii) supervisar la propagación de contenido ilegal y dañino. 

Esta nueva base de datos es de acceso público y está gestionada por la Dirección General de Redes de Comunicaciones, Contenido y Tecnología de la CE. Esta base de datos funciona recopilando información relativa a moderación de contenido que es enviada por los proveedores de servicios a la CE, en cumplimiento con las obligaciones derivadas de la DSA. Actualmente, solo las plataformas web de amplia magnitud están obligadas por la DSA a enviar está información a la base de datos, pero a partir del 17 de febrero de 2024, todos los proveedores de plataformas, con la excepción de las micro y pequeñas empresas, tendrán que presentar datos sobre sus decisiones de moderación de contenido.

Los usuarios tendrán la posibilidad de (i) ver estadísticas resumidas (actualmente en versión beta), (ii) buscar declaraciones de razones específicas y (iii) descargar datos, dentro de esta base. Todo ello permitirá a todos los usuarios actuar de manera más informada sobre la difusión de contenido ilegal y dañino en línea.

Más información: https://digital-strategy.ec.europa.eu/en/news/digital-services-act-commission-launches-transparency-database
 

EL TRIBUNAL SUPERIOR DE DINAMARCA MULTA A UNA CADENA HOTELERA POR NO CUMPLIR CON LOS PLAZOS DE SUPRESION DE DATOS

El Tribunal Superior de Dinamarca ha sancionado con un millón de coronas danesas (134.044,64 euros) a la cadena hotelera Arp-Hansen Hotel Group A/S, la más grande de Dinamarca, por vulnerar la normativa de protección de datos en relación con los plazos de conservación y supresión de los datos.

 

En este sentido, la cadena hotelera determinó en sus procedimientos internos que los datos contenidos en los perfiles de los clientes que reservan en alguna de sus estancias debían ser eliminados si en el plazo de un año no volvían a realizar ninguna reserva. Al hilo de lo anterior, consideraban que, transcurrido dicho plazo, la ficha de perfil de cliente ya no era necesaria para la finalidad pretendida. Sin embargo, este plazo establecido en sus protocolos fue incumplido, almacenando y conservando datos de aproximadamente 500.000 perfiles durante más tiempo del estrictamente necesario.

Tras ser la cadena hotelera inspeccionada por la Autoridad Danesa de Protección de datos, se determinó que, además de incumplir el principio de minimización de datos establecido en el RGPD, habían proporcionado información incorrecta a dicha autoridad. En este contexto, el Tribunal Superior ha declarado, tras una apreciación global de las circunstancias del caso, teniendo en consideración la multa propuesta por la Agencia Danesa y valorando el volumen de negocios neto de la cadena hotelera en 2018, ha fijado la cuantía de 1 millón de coronas danesas (134.044,64 euros).

EL EDPB ADOPTA DIRECTRICES SOBRE LAS TRANSFERENCIAS DE DATOS SUJETAS A LAS GARANTÍAS ADECUADAS EN VIRTUD DE LA LAW ENFORCEMENT DIRECTIVE.

El European Data Protection Board (EDPB) ha adoptado, durante su última sesión, las Guidelines 01/2023 on Article 37 Law Enforcement Directive”. El objetivo de estas directrices es proporcionar claridad sobre el estándar legal para las salvaguardias adecuadas que deben aplicar las autoridades competentes de los Estados miembros de la UE a la hora de realizar transferencias de datos personales para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, a autoridades de terceros países o a organizaciones internacionales.

 

Entre las acciones más relevantes encontramos (i) la asunción de mayores obligaciones a la hora de rendir cuentas cuando tenga lugar una transferencia internacional de datos a un país que carezca de una decisión de adecuación, (ii) la inclusión de categorías de transferencias en el registro de actividades de procesamiento, (iii) conservar las valoraciones sobre transferencias, revisarlas y actualizarlas y (iv) cooperar con las autoridades supervisoras.

Las Directrices reiteran que cualquier transferencia de datos personales requiere un nivel de protección esencialmente equivalente al de la UE en el tercer país u organización internacional que actúe como receptor, y hacen hincapié en que solo se debe confiar en este último cuando esta evaluación se basa en un análisis cuidadoso del marco legal y las prácticas pertinentes que establezca que la transferencia en cuestión está sujeta a las salvaguardias apropiadas. Las Directrices se encuentran en periodo de consulta pública hasta el 8 de noviembre de 2023.

LA CNIL MULTA A LA EMPRESA SAF LOGISTICS CON 200.000 EUROS POR RECOGER DATOS SENSIBLES DE SUS EMPLEADOS.

La Autoridad Francesa de Protección de Datos (CNIL) ha sancionado a la empresa SAF LOGISTICS, dedicada al transporte aéreo, por recabar datos excesivos de sus empleados y no colaborar con la CNIL tras su inspección. La investigación de la CNIL comenzó tras la denuncia de uno de sus empleados. En este sentido, se determina que se ha producido un incumplimiento (i) del principio de minimización de datos (ii) de la prohibición de tratamiento de datos especiales del artículo 9 RGPD (iii) de la prohibición de tratar datos relacionados con delitos y condenas y, (iv) la obligación de cooperar con la autoridad de control. 

 

La empresa cometió dichas infracciones (i) al recopilar gran cantidad de información sobre los familiares de los empleados (tales como identidad, datos de contacto o su situación civil); (ii) recopilar datos relacionados con el grupo sanguíneo, la etnia y la afiliación política de los empleados; (iii) conservar extractos de antecedentes penales de los mismos y (iv) por entregar información incompleta a la CNIL para evitar que esta ejerciese su poder de control. 

Como resultado de la comisión de las diversas infracciones del RGPD, tipificadas como muy graves, la CNIL ha impuesto una sanción de 200.000 euros.

Más información: https://www.cnil.fr/fr/collecte-excessive-de-donnees-et-manque-de-cooperation-la-cnil-sanctionne-la-societe-saf-logistics

AZOP MULTA A UN HOTEL CON 15.000 EUROS POR TRATAMIENTO ILICITO DE DATOS Y FALTA DE TRANSPARENCIA

La Agencia de Protección de Datos Personales de Croacia (AZOP) ha sancionado a un hotel tras detectar que se recogieron datos personales (i) vulnerando el principio de licitud del tratamiento, (ii) infringiendo el deber de información y transparencia, y (iii) por no aplicar medidas técnicas y organizativas adecuadas a los riesgos que conlleva el tratamiento sobre identificación de usuarios. La investigación por parte de la AZOP comenzó tras la denuncia de uno de los huéspedes del hotel. 

 

El hotel cometió las infracciones antes mencionadas al (i) solicitar datos sobre el número de seguridad de la tarjeta bancaria (número CVV), así como copias de documentos personales, aunque no se identifica cuáles,  (ii) tras no informar de forma clara/transparente a los huéspedes que reservaron alojamiento en el hotel sobre el tratamiento de sus datos, ni estar disponible en la página web, (iii) y al no tomar medidas técnicas y organizativas apropiadas, todo ello para garantizar un nivel adecuado de seguridad con respecto al riesgo, como pueden ser, el cifrado de datos personales.

Como resultado de estas infracciones del RGPD, la AZOP sancionó al hotel con una multa de 15.000 euros (113.017,50 kunas). La AZOP considera que la imposición de esta multa conducirá al responsable al cumplimiento de sus obligaciones en el ámbito de la protección de datos personales de manera oportuna y adecuada.

Más información:https://azop.hr/upravna-novcana-kazna-u-iznosu-od-15-000-eura-izrecena-hotelu/

Noticia - Privacidad / Protección Datos - España

EL JUZGADO DE LO SOCIAL Nº 2 DE ALICANTE RECONOCE 6.200 EUROS DE INDEMNIZACIÓN A UN TRABAJADOR TRAS HABER SIDO OBJETO DE UN TRATAMIENTO ILICITO DE DATOS BIOMÉTRICOS

El Juzgado de lo Social nº2 de Alicante ha fallado a favor de un trabajador, concediéndole una indemnización por daños y perjuicios tras haber sido objeto de un tratamiento biométrico que infringía la normativa de protección de datos personales. Previamente, la empresa condenada ya había sido sancionada por la AEPD por realizar reconocimiento facial a sus empleados vulnerando la normativa en materia de protección de datos.

 

La empresa había captado la imagen de sus 470 trabajadores para usos promocionales en redes sociales empleando posteriormente dichas imágenes para realizar una labor de control, vigilando la jornada laboral de sus empleados mediante un sistema de reconocimiento facial. Este sistema se impuso a expensas de (i) no contar con una base legal que le amparase, (ii) no informar del correspondiente tratamiento (iii) no haber efectuado previamente una evaluación de impacto (EIPD). En este sentido, la AEPD le impuso una multa de 20.000€ en base, únicamente, a la inexistencia de una EIDP, acogiéndose la empresa a las reducciones de pago voluntario y reconocimiento de responsabilidad, pagando finalmente la cifra de 12.000€.

En este sentido, el trabajador interpuso una demanda ante la jurisdicción social solicitando la tutela de sus derechos fundamentales infringidos por parte de su empresa y requiriendo una indemnización por daños y perjuicios. El juzgado ha reconocido el petitum de la demanda y ha declarado la imposición de una indemnización por daños morales de 6.251€.

Más información: https://www.aepd.es/documento/ps-00597-2022.pdf

COMIENZA A APLICARSE LA LEY DE GOBERNANZA DE DATOS DE LA UE.

La Ley de Gobernanza de Datos de la UE (DGA) ha entrado en vigor y tiene dos objetivos claros: (i) por un lado, crear un entorno seguro para el intercambio de datos entre los sectores y los Estados miembros, todo ello en beneficio de la sociedad y de la economía y; (ii) por otro, apoyar la creación y desarrollo de espacios de datos europeos comunes en dominios estratégicos, con la participación de actores tanto privados como públicos. 

 

La DGA proporciona un amplio marco de medidas basadas en (i) la creación de mecanismos con los que se facilite la reutilización de ciertos datos del sector público; (ii) garantizar que los intermediarios de datos funcionen como terceros neutrales, que conectarán a individuos y empresas con los usuarios de datos; (iii) facilitar a los ciudadanos y las empresas la disponibilidad de los datos que se emplean en beneficio de la sociedad (altruismo de datos), y (iv) facilitar el intercambio de datos, en particular para hacer posible que los datos se utilicen a través de sectores y fronteras, y para permitir que se encuentren los datos correctos para el propósito correcto. Esta última medida se llevará a cabo a través de la Junta Europea de Innovación de Datos (EDIB). 

En cuanto al impacto que supone la DGA en la UE, destacan los beneficios para la sociedad en torno a políticas más basadas en la evidencia y la obtención de mejores soluciones a los desafíos sociales; y para las empresas, gracias a una reducción de los costos de adquisición, integración y procesamiento de datos. También observarán una reducción en el tiempo de comercialización de nuevos productos y servicios que permitirá a las pequeñas y grandes empresas desarrollar nuevos productos y servicios basados en datos.

Más información:  https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

 

 

 

LA CNIL PUBLICA ORIENTACIONES SOBRE LOS FARMACÉUTICOS Y EL RGPD

La Autoridad Francesa de Protección de Datos (CNIL) junto con la Orden Nacional de Farmacéuticos han elaborado una guía para ayudar a los farmacéuticos comunitarios en el cumplimiento de la normativa de protección de datos. La guía, denominada ‘’El farmacéutico comunitario y la protección de datos personales’’ tiene como objetivo proponer un plan de acción adecuado, y recoge los principales conceptos a conocer y las normas a respetar, ofreciendo seis temáticas con ejemplos y buenas prácticas.

 

Los farmacéuticos en el ejercicio de sus funciones deben velar por la privacidad y la protección de los datos de sus pacientes, ya sea con la información que reciben para asegurar el seguimiento farmacéutico, realizar actividades de teleasistencia o la transmisión de datos con otros profesionales sanitarios implicados en la asistencia. Es de especial interés acentuar el carácter sensible de los datos objeto de desarrollo en esta nueva guía informativa, requiriendo una mayor protección, sin olvidar la recopilación de información relativa a proveedores o sobre su personal contratado. En particular, los farmacéuticos se convierten en responsables del tratamiento de los datos, obligados a cumplir y respetar lo dispuesto en la legislación vigente. 

La estructura del documento se presenta en seis bloques ilustrados con ejemplos concretos y buenas prácticas, además de un listado de herramientas a disposición de los farmacéuticos a utilizar en las necesidades de sus actividades, como (i) ¿Cuáles son sus obligaciones para con sus pacientes?, (ii) ¿Cuáles son sus obligaciones para con su personal?, (iii) ¿Cómo gestionar las relaciones con sus subcontratistas?, (iv) ¿Cuáles son sus obligaciones al instalar un sistema de vídeo?, (v) ¿Qué hacer en caso de violación de datos? y (vi) ¿Cómo actuar en caso de inspección de la CNIL?

 

Más información:  https://www.cnil.fr/fr/la-cnil-et-lordre-national-des-pharmaciens-publient-un-guide-rgpd