En la reunión plenaria celebrada el 28 de febrero de 2023 el Comité Europeo de Protección de Datos (CEPD) ha adoptado el Dictamen 5/2023 relativo al borrador de la Decisión de la Comisión Europea sobre la adecuación del nivel de protección de los datos personales dentro del marco de privacidad de datos entre la UE y los EEUU.

 

Este nuevo marco de privacidad, negociado entre la Comisión Europea y el Gobierno de EEUU, pretende dar cobertura legal a los intercambios de datos personales entre la Unión Europea y EEUU, solucionando las deficiencias del marco anterior puestas de manifiesto por el Tribunal de Justicia de la Unión Europea en la sentencia por la que se invalidó.

 

El dictamen del Comité Europeo de Protección de Datos sobre el nuevo marco reconoce los aspectos positivos incorporador tras la negociación, al tiempo que señala determinadas deficiencias que, a juicio del Comité, no han sido resueltas, representando riesgos desde la óptica de la protección de datos personales.

 

Dichas deficiencias afectan tanto a la parte comercial de dicho marco, es decir, a las transferencias de datos desde las empresas en Europa a las empresas en EEUU, como al acceso que desde las autoridades de seguridad gubernamentales de EEUU se prevé a los datos personales que se transfieran a EEUU.

 

El Comité Europeo de Protección de Datos ha presentado su dictamen al Parlamento Europeo, dando así continuidad al proceso de tramitación de dicho acuerdo en la Unión Europea hasta su posible aprobación definitiva.

 

Puede accederse al contenido completo del Dictamen 5/2023 a través del enlace: https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf

 

FUENTE: AEPD

La Agencia Española de Protección de Datos (AEPD) participará en una acción coordinada a nivel comunitario por el Comité Europeo de Protección de Datos —el EDPB, organismo que aglutina a estas agencias nacionales en Bruselas.

 

La acción implica someter a examen a 30.000 organismos públicos y privados, y analizará el papel que tienen en sus estructuras los delegados de protección de datos. Esta figura, la del Data Protection Officer (DPO), está amparada por legislación nacional y europea, y miles de compañías están obligadas a nombrar a una persona que asuma sus tareas.

 

El problema es que desde 2018 —cuando entró en vigor el Reglamento General de Protección de Datos o RGPD— muchas empresas y administraciones han nombrado a un DPO solo para cumplir con el requisito legal, sin que en muchos casos las personas designadas sean profesionales competentes en la materia o con conocimientos suficientes en la misma.

 

Esta acción coordinada ha sido anunciada este miércoles por el EDPB, y en ella colaboran las 26 agencias de protección de datos nacionales —como la AEPD—, el Supervisor Europeo de Protección de Datos o EDPS —la agencia homónima que vela por el cumplimiento del RGPD en las instituciones comunitarias— y las autoridades de Islandia, Liechtenstein y Noruega.

 

«Como intermediarios entre autoridades de control, ciudadanos y negocios, los delegados de protección de datos juegan un papel esencial al contribuir en el cumplimiento de las leyes de protección de datos y al promover de forma efectiva los derechos de los usuarios sobre sus datos personales», ha apuntado el EDPB en un comunicado.

 

Por eso, estos organismos de control nacionales, siguiendo instrucciones del Comité Europeo de Protección de Datos, «enviarán cuestionarios» a muchas entidades. El objetivo es evaluar «si la situación de los delegados en sus organizaciones se ajusta a lo requerido en el RGPD».

 

Esto, por parte de la española AEPD, se traduce en que se analizarán «las prácticas de más de 30.000 entidades del sector público y privado». «Los cuestionarios tendrán en cuenta distintos sectores de actividad: educación, banca y finanzas, sanidad, energía, seguridad, telecomunicaciones, créditos, juegos de azar y apuestas…».

 

En esos cuestionarios se buscará determinar, a su vez, si estas empresas privadas —u organismos públicos— tienen «conocimiento y experiencia» al designar a sus delegados de protección de datos, y conocen «sus tareas y recursos» o «papel y posición» en sus organigramas.

 

«Los resultados de esta acción se analizarán de manera coordinada», avanza la AEPD. Las autoridades de protección de datos podrán decidir entonces «acciones adicionales de supervisión y aplicación», en función de esos resultados, que serán «agregados», «generando una visión más amplia y permitiendo un seguimiento específico» del tema.

 

Una vez se completen estos cuestionarios y se analice el papel y capacidades de los delegados de protección de datos en todo el Espacio Económico Europeo, el EDPB publicará un informe.

 

FUENTE: BUSINESS INSIDER

La Agencia Española de Protección de Datos (AEPD) ha multado con 56.000 euros a Vodafone por negarse a entregar la grabación de un contrato, según ha informado FACUA-Consumidores en Acción en un comunicado.

La asociación interpuso una reclamación en octubre de 2021 contra la teleco ante la Agencia en nombre de uno de sus socios, tras tener conocimiento de que Vodafone se había negado a entregarle una copia de la grabación donde figuraban las condiciones del contrato, con la que el usuario pretendía demostrar que le estaban aplicando una tarifa superior a la que aceptó.

La reclamación señalaba que la compañía no había atendido al derecho de acceso a los datos personales del socio, al no querer aportarle la prueba que fundamentaba su reclamación contra una serie de facturas que solicitaba que fueran modificadas porque los importes no eran correctos: no se ajustaban a los que habían sido acordados durante la contratación telefónica, de la que era prueba la grabación.

Así, FACUA señala que, tal y como establece el artículo 100 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, corresponde a la empresa aportar la carga de la prueba de que la tarifa que le estaban aplicando era la correcta, utilizando para ello, por ejemplo, la grabación de la contratación.

Sin embargo, de no aportar dicha prueba, la empresa debe ceñirse a lo pactado con el consumidor. Es decir, aquello que éste diga que fue lo contratado, absteniéndose de cobrar cantidades distintas y teniendo que devolver cualquier importe adicional.

Por otra parte, el artículo 66 de la citada normativa señala que al consumidor «no podrá reclamársele pago alguno por parte del empresario que envió el bien o suministró el servicio no solicitado».

Por otra parte, el artículo 66 de la citada normativa señala que al consumidor «no podrá reclamársele pago alguno por parte del empresario que envió el bien o suministró el servicio no solicitado».

Investigación de la agencia

En su resolución, la AEPD señala que, tras solicitar a Vodafone información acerca de las grabaciones, la empresa confirmó que había recibido una solicitud de acceso a la información por parte del afectado, reafirmándose en que «atendió dicho derecho» al comunicarle que «no es posible recuperar la grabación solicitada» pero que se «adjuntaba el contrato derivado de dicha grabación y la oferta aceptada electrónicamente». Añadió, además, que «no dispone de la grabación en la que se formalizó el contrato».

La investigación de la Agencia, sin embargo, demostró que la compañía sí disponía de dicha grabación, pero que se había negado a facilitársela. Así consta en una respuesta que generó Vodafone tras una nueva petición de acceso en el marco de las pesquisas, en la que señala que «no se le puede facilitar la grabación que solicita por un error de sistema que se produce al intentar subir el archivo de grabación y que, consecuentemente, imposibilita el envío».

70.000 euros de multa

 

En consecuencia, la AEPD ha considerado que Vodafone ha incurrido en una vulneración «grave» del Reglamento General de Protección de Datos (RGPD) al haber actuado de forma «negligente» por no haber sido «particularmente escrupulosa en recuperar y facilitar el archivo de audio en cuestión, por cuanto supone un elemento esencial para la relación negocial que vincula a ambas partes, y su pérdida influye en la buena marcha de dicha relación».

Así, por haber incurrido en una vulneración calificada como «grave» del artículo 15 del RGPD, relativo al derecho de acceso, la Agencia ha dispuesto sancionar a Vodafone con 70.000 euros, por no haber cumplido de forma diligente con su deber de custodiar y facilitar al afectado una copia de la grabación de la contratación telefónica. Finalmente, Vodafone se ha acogido a la reducción por pago voluntario que prevé la ley y ha abonado 56.000 euros.

FUENTE: 20 MINUTOS

Fuente: Agencia Española de Protección de Datos

 

Las mujeres expuestas a la violencia de género también lo están, en muchas ocasiones, a la violencia digital. Te contamos algunos indicios para poder advertir pérdida de privacidad en un dispositivo móvil y qué puedes hacer.

 

La Agencia Española de Protección de Datos dispone en su web de una sección de ayuda para las mujeres que puedan estar viviendo situaciones de violencia digital.

 

Si para cualquier persona es fundamental poder proteger y comprobar el nivel de privacidad de sus dispositivos móviles, en el caso de las mujeres expuestas a la violencia de género, es una cuestión de vital importancia. Y es que, en ocasiones, la violencia digital se emplea como medio para controlar, humillar y amedrentar a las mujeres. Un ejemplo son las aplicaciones conocidas como spyware o stalkerware.

 

Este tipo de aplicaciones, una vez instaladas en el teléfono móvil, pueden permitir a un tercero obtener información sobre el historial de navegación, conocer la geolocalización del terminal, acceder a información almacenada en el dispositivo e incluso escuchar conversaciones telefónicas.

 

¿Cómo saber si están espiándome?

 

Hay varios indicios derivados de la existencia de estas aplicaciones que pueden hacer saltar las alarmas:

 

• La batería dura menos de lo habitual: sin que varíe el uso habitual que hacemos del dispositivo o sin que hayamos instalado nuevas aplicaciones, se reduce considerablemente el tiempo de duración de la batería.

 

• El móvil se sobrecalienta de manera anormal: este calentamiento puede deberse a las tareas que el teléfono ejecuta en segundo plano sin que seamos conscientes y hacen que el teléfono se sobrecargue.

 

• El dispositivo se enciende y apaga aparentemente solo y se bloquean o inhabilitan algunas aplicaciones.

 

• Produce interferencias de manera prolongada en otros dispositivos como radio, televisor u ordenador. Si lo hace de forma puntual puede ser normal, pero debe hacernos sospechar si estas interferencias tienen larga duración y son continuas. Podría ser un indicio de que se está produciendo una transmisión de información en segundo plano, sin saberlo.

 

¿Qué hacer si tienes sospechas de que te están espiando?

 

En caso de que se cumplan algunas de las premisas mencionadas anteriormente, te recomendamos llevar a cabo una serie de acciones en el dispositivo:

 

• Revisa las aplicaciones instaladas en el dispositivo móvil: si detectas alguna aplicación sospechosa o que no ha sido instalada por ti desinstálala lo antes posible y reinicia tu dispositivo. Una vez reiniciado asegúrate de que la aplicación ya no aparece.

 

• Restaura el dispositivo a la configuración de fábrica: el dispositivo quedará limpio y con los valores de fábrica. Es importante tener en cuenta que al llevar a cabo esta operación se borrarán los datos del teléfono. Por tanto, si se quiere conservar la información es necesario hacer previamente una copia de seguridad del dispositivo. Cerciórate de que ya no están las aplicaciones sospechosas una vez restaurado.

 

• Acude a un servicio técnico especializado o cambia de móvil: no siempre es sencillo detectar y/o eliminar las aplicaciones especializadas en espionaje, por lo que un servicio técnico especializado podrá ayudarte a revisar y limpiar el dispositivo.

Fuente: Agencia Española de Protección de Datos.

 

La Agencia Española de Protección de Datos ha publicado el 7 de marzo de 2023 los datos correspondientes a 2022 del Canal prioritario para solicitar la retirada de contenido sexual o violento publicado en Internet sin consentimiento. En 2022 la Agencia realizó 51 intervenciones de urgencia para retirar información, imágenes, vídeos o audios que se habían publicado en Internet sin permiso y que mostraban contenido sensible ‒sexual o violento‒. Un amplio porcentaje de esas intervenciones se ha clasificado como violencia digital contra mujeres y niñas, aglutinando un 70% de los casos que se denuncian en el Canal prioritario. En 46 de esos 51 casos se consiguió la retirada de los contenidos publicados con inmediatez, lo que supone más de un 90% de efectividad.

 

El Canal Prioritario, creado por la Agencia en 2019, es una iniciativa pionera a nivel mundial que permite solicitar la retirada urgente de contenidos sexuales o violentos publicados en internet sin el consentimiento de las personas que aparecen ellos. Desde su creación, la Agencia ha constatado cómo en un amplio porcentaje de los casos que se denuncian en el Canal, la publicación en Internet de contenidos de este tipo se utiliza para controlar y amedrentar a las mujeres, así como para humillarlas tras haberse separado, en el caso de exparejas, o tras negarse a seguir enviando contenidos sexuales.

 

Según datos del Instituto de las Mujeres en su informe ‘Mujeres jóvenes y acoso en redes sociales’, el 80% de las mujeres ha sufrido alguna situación de acoso en las redes sociales. El informe también recoge que dos de cada tres mujeres no han acudido a ninguna institución para denunciar su situación. Desde la Agencia se recuerda la importancia de denunciar la publicación no consentida de contenido sensible en Internet, ya que la AEPD, además de requerir de forma urgente la eliminación de los contenidos publicados sin permiso, puede imponer una sanción tras la localización del infractor. Es importante destacar que la Agencia puede declarar la infracción incluso cuando las imágenes se grabaran inicialmente con el consentimiento de la mujer, pero esta no haya consentido la publicación posterior.

 

El término violencia digital fue recogido a petición de la AEPD en la Ley Orgánica de protección integral a la infancia y la adolescencia frente a la violencia (LOPIVI), que también garantiza la existencia del Canal prioritario para denunciar contenidos ilícitos en Internet que suponen “un menoscabo grave del derecho a la protección de datos personales”.

 

Asimismo, la Ley también añade que las personas mayores de 14 años podrán ser sancionadas por infracciones de la normativa de protección de datos personales. De hecho, cuando la autoría de los hechos cometidos corresponda a una persona menor de 18 años, responderán de la multa impuesta sus padres o tutores.

 

A continuación, se recogen algunos ejemplos de reclamaciones recibidas a través del Canal prioritario donde el responsable ha tratado de humillar o establecer una dominación sobre la otra persona publicando contenidos sexuales, y en los que la Agencia ha conseguido la retirada de los contenidos y se ha impuesto una multa al responsable:

 

• PS/00421/2022. Una mujer denuncia que alguien ha publicado en un foro un anuncio de ella desnuda, que trata de humillarla publicando comentarios y que ofrece datos personales adicionales sobre su ubicación, de forma que todos los usuarios del foro puedan saber dónde reside. Se consigue la retirada del contenido y se le imputa una infracción de tratamiento de datos sin consentimiento con una multa de 10.000 euros.

 

• PS/00107/2022. El infractor comenzó a hablar con una niña de 13 años en una red social, entablando una relación en la que la menor llegó a enviarle vídeos y fotos de carácter íntimo. Pasado un tiempo, el reclamado exigió a la niña que le siguiera mandando fotos y vídeos, pero como ella se negó, éste la amedrentó diciéndole que subiría a las redes sociales las fotos y vídeos que ya tenía. La menor, ante el temor de que su imagen se difundiera en redes y llegara a sus conocidos, envió nuevos vídeos al reclamado. Se ordenó al infractor la eliminación de cualquier dato personal de la niña y la Agencia impuso una sanción de 5.000 euros por realizar un tratamiento ilícito de los datos de la niña. En este caso, dado que el infractor era también menor de 16 años, la sanción tuvo que ser abonada por sus padres.

 

En este sentido, padres, madres o tutores legales pueden llegar a tener que responder económicamente por las infracciones administrativas y conductas delictivas de sus hijos e hijas menores de edad, así como por los daños y perjuicios materiales y morales causados. Además de esa responsabilidad administrativa, también puede existir responsabilidad disciplinaria, civil y penal. Los menores de edad mayores de 14 años responden por delitos tipificados en el Código Penal como acoso, amenazas o difusión o reenvío de imágenes que menoscaben gravemente la intimidad de una persona, aunque se hubieran obtenido con su permiso, aplicables en casos de sexting, ciberacoso o ciberbullying.

 

La denuncia realizada en el Canal prioritario es independiente de la que pueda plantearse ante las Fuerzas y Cuerpos de Seguridad del Estado o la Fiscalía. Además, para facilitar la denuncia de este tipo de casos a los menores de edad, la Agencia ha flexibilizado los requisitos, facilitando un medio de contacto basado en un formulario abierto, sin necesidad de presentar certificado digital:

 

• La denuncia de contenido sexual o violento publicado en Internet sin el consentimiento de la persona afectada puede realizarse a través de este enlace

 

• En el caso de los y las menores de 18 años, la Agencia también ha habilitado una forma de contacto para denunciar la difusión de este tipo de contenido

Fuente: Confilegal

 

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 4.000 euros a una abogada por enviar sentencias por WhatsApp con datos personales con la finalidad de promocionarse profesionalmente. Ha vulnerado dos artículos del Reglamento General de Protección de Datos, (RGPD) el 6 y el 5.1.f). 

 

Según la reclamación, la afectada quiso poner en conocimiento los hechos porque la abogada había difundido la sentencia en formato PDF con sus datos personales.

 

La AEPD dio inicio a un procedimiento de averiguaciones previas solicitando información a la Abogada. Para ello le envió la reclamación con el objetivo de que formulase sus alegaciones. Pero ésta prefirió mantenerse en silencio porque, transcurrido el plazo para formular sus argumentos, no envió ninguna aclaración o pruebas que contradijesen los hechos denunciados a la agencia encargada de analizar el caso.

 

Para valorar los hechos, la AEPD ha analizado el citado artículo 6 del RGPD. Éste relata que el tratamiento de los datos es lícito si el interesado da su consentimiento; si hay un contrato de por medio o si hay que cumplir una misión realizada en interés público. Y en este caso, no ha habido consentimiento por parte de la afectada ni cabía justificar el tratamiento de datos en ninguno de los otros dos supuestos contemplados en los apartados b) y e) del 6.1 del Reglamento.

Por tanto, de acuerdo con las evidencias que dispone, la AEPD ha considerado que la abogada sí ha tratado los datos personales de la reclamante sin su consentimiento ni ninguna otra causa de legitimación de ese tratamiento.

 

Ante esta situación, la AEPD ha señalado que “ha vulnerado el artículo 6 del RGPD y ha violado el principio de integridad y confidencialidad” tipificado en el artículo 5.1 f) del mismo reglamento.

 

Pues además de utilizar datos íntimos, ha difundido por WhatsApp una sentencia, por lo que ha realizado de este modo un tratamiento ilícito de datos personales al no contar con permiso para dicha difusión.

 

Las infracciones tanto del artículo 6 como del 5.1 f) se pueden llegar a sancionar con hasta 20.000.000 de euros en función de la gravedad y la dimensión del hecho.

 

En este caso, han considerado que lo justo era 4.000 euros, 2.000 por cada infracción. Eso sí, aunque esta resolución pone fin a la vía administrativa, los interesados podrán presentar un recurso de reposición ante la AEPD en el plazo de un mes o directamente un contencioso-administrativo ante la Audiencia Nacional. 

 

La resolución de la letrada no ha sido la única dictada por la AEPD en un asunto relacionado con sentencias y datos.

 

Esta no es la primera sanción que impone la AEPD por actuaciones que dan lugar a sanciones de esta naturaleza. Así, la Federación Andaluza de Esgrima fue sancionada por publicar íntegramente una sentencia del Tribunal Superior de Justicia de la Comunidad Autónoma en la página web.

Aparecían los datos personales de dos chicas y el PDF se podía descargar libremente. Respecto a su contenido, se trataba de un recurso presentado por una de las mujeres contra una resolución de la Secretaría General para el Deporte de la Consejería de Turismo de la Junta de Andalucía en el que se acordó estimar el recurso de alzada presentado por la reclamante, por silencio positivo la licencia objeto de recurso.

 

En aquel caso, la sanción fue de 6.000 euros.

 

 

Fuente: El Derecho

 

La Sala de lo Penal del Tribunal Supremo ha condenado a un hombre a 1 año y 6 meses de prisión, y multa de 2.700 euros, por delito de descubrimiento y revelación de secretos por obtener mediante engaño datos bancarios de su exmujer para entablar una demanda civil de reclamación de cantidades contra ella.

 

El tribunal estima el recurso de casación de la mujer contra la sentencia de la Audiencia Provincial de Alicante que absolvió al hombre de un delito de descubrimiento y revelación de secretos por el que un juzgado de Elche le había condenado a la pena confirmada ahora por el Supremo.

 

Después del proceso de divorcio, el hombre interpuso una demanda civil contra su exmujer en la que adjuntaba extractos bancarios de la cuenta de ella expedidos cuando él ya había dejado de ser cotitular de la misma tres años antes.

 

La Sala de lo Penal,  en una sentencia ponencia del presidente Manuel Marchena, considera que los hechos encajan en el delito de descubrimiento y revelación de secretos del artículo  197.2 del Código Penal y por tanto no comparte la línea argumental de la Audiencia Provincial  que exculpó al hombre al considerar que los datos bancarios aportados   al pleito civil  no suministraban información íntima sobre la denunciante, como pudiera ser dónde, cómo o con quien gasta ese dinero, sino que tan solo reflejaban unas cuantas disposiciones mediante reintegros en caja.

 

La sentencia señala que “cualquier persona tiene derecho a que la información sobre los movimientos de su cuenta corriente, en un período que se prolongó durante más de un año, sea protegida frente a su excónyuge. La información que se contiene en esos extractos responde a la noción de dato reservado de carácter personal cuyo apoderamiento, por sí solo, es constitutivo del delito previsto en el art. 197.2 del CP”.

El tribunal añade que “la intimidad ligada a esa información no necesita de referencias locativas complementarias – dónde se gastó ese dinero- o de carácter subjetivo – con quién se gastó ese dinero- llevado a sus últimas consecuencias ese razonamiento podría entenderse que la protección penal de la intimidad ligada a los datos bancarios sólo se dispensa en el momento del gasto, o que el marido tiene derecho a controlar la titularidad e importe de los bienes de los que dispone su excónyuge y sólo le está vedado saber con quién o dónde se ha gastado su importe”.

 

La Sala concluye que el acusado colmó las exigencias típicas del art. 197.2 del C.P, fingiendo ante la entidad bancaria la titularidad de una cuenta corriente para la que ya no estaba autorizado y que ocasionó con ello una afectación del bien jurídico protegido, que no es otro que el derecho a la protección de datos frente a injerencias inconsentidas. “Con su conducta ocasionó un perjuicio a su titular, que no tiene porqué identificarse con un perjuicio económico”.

 

En el presente caso, el perjuicio según la Sala fluye del propio hecho probado, en el que se describe una relación conyugal de cuyo deterioro es la mejor muestra la existencia de un procedimiento judicial para reclamar las cantidades derivadas de los regalos de la lista de bodas. “Entender que el apoderamiento de esos datos no ofreció un beneficio estratégico para el acusado, con el correlativo perjuicio para (la exmujer), supondría prescindir de la finalidad que motivó la fraudulenta obtención de los movimientos bancarios”.

 

Es una de las cuestiones más planteadas y comunes que surgen en las reuniones de comunidad. En una sentencia muy reciente, la Audiencia Nacional avala a una Comunidad de Propietarios que publicó en el tablón de anuncios de la comunidad una convocatoria en la que constaba la deuda de una de las propietarias.

 

La reclamación fue interpuesta en 2019 por una propietaria de una comunidad de vecinos de Onteniente, Valencia, ante la Agencia Española de Protección de Datos (AEPD), al entender que se habían vulnerado sus derechos. En dicha reclamación alegó que se había vulnerado el artículo 9 h) de la Ley de Propiedad Horizontal, porque según sostenía, no había tenido constancia de que se intentara notificar previamente la convocatoria en su domicilio. Fundamentó también su reclamación indicando que el tablón donde se publicó la convocatoria estaba situado a menos de un metro de la zona de buzones, lo que permitía identificar claramente la deuda con el propietario/a, vulnerando así el deber de confidencialidad al que hace referencia el art. 5 de la Ley 3/2018 de Protección de Datos de carácter personal y garantía de los derechos digitales, LOPDGDD y, al ser accesible la publicación a cualquier persona ajena a la comunidad.

 

La AEPD en respuesta a dicha reclamación, concluyó que no se había vulnerado la normativa en protección de datos por parte de la comunidad para con esta propietaria ni tampoco por parte del Administrador de Fincas, ya que en el ámbito interno de una comunidad de vecinos no resulta necesario recabar su consentimiento expreso para el uso de sus datos personales. Además la AEPD puntualiza en su resolución que en la publicación de la convocatoria, únicamente se hacía mención a la propiedad y no se identificaba al propietario/a. Siendo esta, la cuestión clave por la que se respetan los datos personales de la propietaria, su intimidad y honor al ser morosa.

 

Fuente: Agencia Española de Protección de Datos

 

Las medidas que garantizan y las que demuestran que un tratamiento es conforme con la normativa de protección de datos hay que revisarlas y actualizarlas ante cualquier cambio en la naturaleza, ámbito, contexto, fines del tratamiento o una variación de los riesgos para los derechos y libertades de las personas físicas con relación al mismo. Entre todas las medidas, el subconjunto de medidas de seguridad, además, debe ser validado y revisado de forma regular. Una política de protección de datos deberá definir los procesos de gestión de los cambios para activar la revisión y actualización de las medidas, de forma regulares como de forma excepcional.

 

El Reglamento General de Protección de Datos, RGPD, (art.24) y la Ley Orgánica 7/2021 (art. 27 que traspone el art.19 de la Directiva 680/2016) exigen que el responsable del tratamiento revise y actualice las medidas implantadas en el tratamiento para garantizar que cumple con la normativa de protección de datos. La propia norma establece que hay que llevar a cabo dicha revisión y actualización cuando resulte necesario.

 

Existen dudas entre algunos responsables sobre cuándo es necesario revisar dichas medidas, aunque, de forma implícita, esto ya está definido en la normativa de protección de datos citada en el párrafo anterior.

 

Dicha normativa exige que se han de aplicar medidas de forma selectiva. Es decir, la norma establece que hay que implementar medidas adecuadas para garantizar y poder demostrar el cumplimiento. Las medidas seleccionadas por el responsable han de ser las adecuadas y no simplemente una acumulación de medidas. La selección de medidas ha de ser un proceso racional basado en criterios de aptitud y eficacia de las medidas del tratamiento con el objetivo de garantizar y demostrar el cumplimiento de un tratamiento concreto.

 

Los artículos antes citados determinan cómo tiene que analizarse un tratamiento para determinar la selección de medidas que serán adecuadas. Por un lado, hay que tener en cuenta la naturaleza, el ámbito o la extensión del tratamiento, el contexto y sus fines.  Por otro lado, hay que tener en cuenta los riesgos para los derechos y libertades de las personas físicas.

 

La naturaleza de un tratamiento determina el cómo está implementado: por ejemplo, automático, manual, mixto, en qué operaciones se estructura el tratamiento, si se ejecuta en la nube, en el móvil, si incluye operaciones biométricas y decisiones automatizadas, si participan encargados de tratamiento, si se llevan a cabo transferencias internacionales, etc.

 

El ámbito y la extensión del tratamiento se establece en función de las categorías de interesados afectados, categorías de especial protección, de datos personales, la duración del tratamiento en sí, la granularidad de los datos, la frecuencia de su recogida, la amplitud geográfica, la conservación de datos por categorías, etc.

 

El contexto está determinado por múltiples factores externos que pueden condicionar el tratamiento, como podrían ser el contexto normativo, las características y condicionantes del sector o mercado donde se despliega, las brechas de datos personales en tratamientos similares, el entorno social, la sensibilidad de las distintas comunidades, etc.

 

Hay que tener en cuenta el fin, o fines, últimos y los fines colaterales o instrumentales y, por supuesto, los distintos riesgos para los derechos y libertades.

 

Por tanto, si las medidas han de ser adecuadas con relación a la naturaleza, contexto, categorías, ámbito, fines y riesgos del tratamiento, será necesario revisarlas y actualizarlas cuando se produzca cualquier cambio en los mismos. Por ejemplo, sería necesario revisarlas si incorporamos una nueva tecnología en una operación del tratamiento, si empiezan a tratarse algunas categorías de datos con mayor granularidad, si se están materializando nuevos tipos de brechas de datos personales en entidades o tratamientos similares, si se amplían o modifican los fines últimos o instrumentales, si hay conciencia de nuevos riesgos para los derechos fundamentales, etc.

 

La normativa de protección de datos no exige que dicha revisión sea periódica, pero implícitamente exige que se esté al tanto de los cambios en la naturaleza, contexto, ámbito, fines y riesgos del tratamiento para actuar en consecuencia.

 

Sin embargo, existe un subconjunto de medidas para garantizar y demostrar la adecuación a la normativa de un tratamiento para los que sí se exige, además de una revisión cuando sea necesario, una revisión periódica: las medidas de seguridad. El artículo 32.1.d del RGPD establece que las medidas de seguridad tendrán “un proceso de verificación, evaluación y valoración regulares”. Por otro lado, los tratamientos sometidos al Esquema Nacional de Seguridad, p.ej. aquellos regulados en la Ley Orgánica 7/2021, deberán realizar, “una auditoría regular ordinaria, al menos cada dos años” como se establece en su capítulo V.

 

Una política de protección de datos deberá definir los procesos de gestión para detectar los cambios en la naturaleza, contexto, ámbito, fines y riesgos del tratamiento, y para activar de forma inmediata los procesos de revisión y actualización de las medidas para la protección de los derechos y libertades de las personas. En particular, en dicha política se ha de establecer la agenda periódica de validación y revisión de las medidas de seguridad para garantizar los derechos fundamentales, siendo recomendable que esta revisión periódica también se extienda al resto de medidas.

La agencia estatal advierte que la Ley contra el racismo y la intolerancia en el deporte no permite el tratamiento de información biométrica de los aficionados en las gradas de animación

 

La Agencia Española de Protección de Datos no ha avalado el plan con el que la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia pretendía establecer medidas para que los clubes deportivos, principalmente de fútbol, instalen “sistemas biométricos para el control de todos los accesos a las gradas de animación que permita la identificación unívoca de los aficionados que accedan a dichas gradas”.

 

Tras la reyerta mortal en Madrid

 

La comúnmente conocida como Comisión Antiviolencia planteó a la agencia si “sería viable jurídicamente conforme a la normativa reguladora de protección de datos” que la comisión, “en el ámbito de sus competencias”, estableciera esas medidas que deberían cumplir todos los clubes sobre los sistemas de identificación de los aficionados que entran en las gradas de animación.

 

Una de las medidas que aprobó la Liga de Fútbol Profesional (LFP) para controlar a los grupos ultras consistía en la instalación de controles especiales en las gradas de animación, donde tratan de mantener controlados a estos hinchas radicales. Algunos miembros especialmente violentos de estos grupos son sancionados y expulsados de los estadios, pero era muy habitual que se colaran cambiando los abonos con otros aficionados.

 

La cuestión de la violencia en el mundo ultra resurgió en noviembre de 2014. Miembros del Frente Atlético (peña ultra de extrema derecha del Atlético de Madrid) y de Riazor Blues (ultras de extrema izquierda e independentistas gallegos del Deportivo de la Coruña) protagonizaron una pelea junto al río Manzanares, no lejos del Estadio Vicente Calderón. Se apuntó también la presencia de ultras de otros grupos afines a cada bando.

 

En la pelea murió, agredido por otros radicales, un ultra del Deportivo, Francisco Javier Romero Taboada, ‘Jimmy’. Recientemente 75 implicados fueron condenados a multas económicas por riña tumultuaria, mientras la investigación sobre el homicidio ha dado muchas vueltas judiciales.

 

Esta muerte violenta elevó los llamamientos para expulsar del fútbol a los grupos ultras. El Atlético de Madrid anunció la prohibición de entrada al campo para los implicados, y también la expulsión del Frente Atlético, si bien lo que ocurrió en este caso es que la peña ultra dejó de poder exhibir su nombre y siglas.

 

Al inicio de la temporada siguiente, la Liga anunció la entrada en funcionamiento en los estadios de fútbol de un sistema de acceso a las gradas de animación mediante identificación biométrica, con la huella dactilar, para así evitar el acceso de “personas con prohibiciones de acceso a recintos deportivos en vigor”.

 

Aunque han pasado ya años, algunos estadios no tienen aún este sistema de vigilancia especial en las zonas que ocupan los sectores de las hinchadas más radicales.

 

Antiviolencia pretende aprobar medidas

 

La Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia planteó a la Agencia Española de Protección de Datos esa consulta para saber si estaba amparada a aprobar medidas para que los clubes instalen estos sistemas biométricos.

 

La comisión defendió que “dicha posibilidad se ampararía en la competencia legalmente atribuida por el artículo 13.1 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, que la faculta para decidir la implantación de medidas adicionales de seguridad para el conjunto de competiciones o espectáculos deportivos calificados de alto riesgo, o para recintos que hayan sido objeto de sanciones de clausura con arreglo a los títulos segundo y tercero de esta Ley, incluida en particular la de b) Promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos”.

 

Argumentó la Comisión Antiviolencia que “el tratamiento de los datos personales de los aficionados, incluidos sus datos biométricos, se realizaría en aplicación del artículo 6.1.e) del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), es decir, que el tratamiento de los datos sería necesario “para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento””.

 

En este caso, la misión de los clubes deportivos en interés público “sería la de garantizar la seguridad e integridad de las personas que acudan a los estadios de fútbol, así como prevenir y evitar vulneraciones de los derechos fundamentales de las personas, como los delitos de odio y discriminación, a través de las medidas anteriormente enunciadas”.

 

La Comisión Antiviolencia se comprometió a que su plan “garantizaría que el tratamiento de los datos personales identificativos (incluidos los biométricos) que realicen los Clubes/SAD [Sociedades Anónimas Deportivas] se lleve a cabo respetando debidamente los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, conservación, seguridad, así como de responsabilidad proactiva”, que requiere el Reglamento General de Protección de Datos.

 

Datos biométricos

 

En su informe, el gabinete jurídico de la Agencia Española de Protección de Datos explicó que el reglamento europeo define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

 

Esa misma norma comunitaria regula el tratamiento de categorías especiales de datos, entre los que se encuentran los datos biométricos, estableciendo que “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.

 

“En el presente caso no hay dudas de que la consulta se refiere a un tratamiento de datos biométricos dirigido a identificar unívocamente a una persona física y, por tanto, que implica el tratamiento de categorías especiales de datos personales”, consideró la agencia.

 

Resulta que “el tratamiento de datos biométricos, tanto en los supuestos de autenticación / verificación como de identificación implica un tratamiento de categorías especiales de datos, sometido al régimen de prohibición general y excepciones del artículo 9 del RGPD”.

 

Una de las excepciones es la esgrimida por la Comisión Antiviolencia: que el tratamiento sea necesario por razones de un interés público esencial. El informe analizó si concurrían los requisitos para que encajara en esa excepción.

 

Interés creciente por el reconocimiento facial

 

La Agencia Española de Protección de Datos revela en este informe que las consultas que recibe sobre sistemas de reconocimiento facial revelan “el interés creciente en utilizar estos sistemas”.

 

Eso a su vez ha motivado que la agencia haya ido pronunciándose sobre estas cuestiones, y que el mismo organismo muestre “y la constante preocupación de esta autoridad de control” por los sistemas de reconocimiento facial u otras formas de obtención de datos biométricos, “al tratarse de sistemas de identificación muy intrusivos para los derechos y libertades fundamentales de las personas físicas”.

 

En muchas de las consultas, la agencia determinó “que no existía norma legal en el ordenamiento jurídico español que reuniera los requisitos del artículo 9.2.g) del RGPD, por lo que el tratamiento únicamente podría ampararse en el consentimiento de los afectados siempre que quedara garantizado que el mismo es libre”.

 

Una norma con rango de ley

 

El informe cita extensamente un informe de 2020, y subraya sobre todo la parte en la que se indicaba que “el tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere que esté previsto en una norma de derecho europeo o nacional, debiendo tener en este último caso dicha norma, según la doctrina constitucional citada y lo previsto en el artículo 9.2 de la Ley Orgánica de Protección de Datos, rango de ley”.

 

En esa ley se tendría que “especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público”.

 

También regularía la ley “las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”, y todo ello respetando en todo caso el principio de proporcionalidad, según la doctrina del Tribunal Constitucional.

 

Las conclusiones reflejadas en el informe de 2020 “son trasladables al presente” caso, sobre los controles biométricos en los estadios de fútbol.

 

No existe norma legal que lo ampare

 

Los asesores jurídicos de la Agencia Española de Protección de Datos concluyeron que la Ley contra la violencia en el deporte “hace referencia a sistemas de verificación de la identidad”, sí, pero sin embargo “no contempla la posibilidad de que dichos sistemas puedan implicar tratamientos de datos biométricos, ni establece las garantías pertinentes y adecuadas para la protección del derecho fundamental a la protección de datos personales”.

 

Apuntaron que “dicha posibilidad tampoco aparece prevista en el artículo 15.3 del Real Decreto 203/2010, de 26 de febrero, aunque debe adelantarse que dicha norma carecería, tal y como se viene exponiendo, del rango legal adecuado para proceder a la regulación del tratamiento de categorías especiales de datos personales”.

 

Por tanto, no existe norma legal “que habilite dicho tratamiento al amparo del artículo 9.2.g) del RGPD, ya que el artículo 13.1. no cumple con los requisitos previstos legal y jurisprudencialmente, tal y como se ha venido analizando en el presente informe”.

 

Protección de Datos respondió a la consulta que esa laguna normativa no puede suplirse mediante un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, ya que dicho acuerdo no tendría el rango normativo adecuado para regular este tipo de cuestiones.

 

“La jurisprudencia del Tribunal Constitucional es clara respecto de la norma que ha de contener las garantías adecuadas que no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate”, remacha el informe.

 

Y es que “las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado (Sentencia 76/2019 de 22 mayo, FJ 8)”.

 

Todo ello le lleva a concluir que “la adopción de un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, en el ámbito de sus competencias, estableciendo medidas para el cumplimiento de los clubes consistentes en la instalación de sistemas biométricos para el control de todos los accesos a las gradas de animación que permita la identificación unívoca de los aficionados que accedan a dichas gradas, no es conforme con la normativa reguladora de protección de datos”.

 

FUENTE: CONFIDENCIAL DIGITAL