El Abogado General considera que el administrador de una página web que ha insertado el plug-in de un tercero, como el botón «Me gusta» de Facebook, que genera la recogida y transmisión de  datos personales de los usuarios, es corresponsable de esa fase del tratamiento de datos. No obstante, esa responsabilidad conjunta debe limitarse a aquellas operaciones respecto de las cuales decide de manera conjunta. En cambio, no puede ser considerada responsable de las fases anteriores o posteriores de la cadena de tratamiento de datos sobre las cuales no está en condiciones de decidir.

En cuanto a la legitimidad para el tratamiento de datos, el Abogado General recuerda que dicho tratamiento puede ser lícito cuando haya un interés legítimo y no prevalezcan los derechos y libertades fundamentales del interesado. A este respecto, el Abogado General propone al Tribunal de Justicia que declare que el interés legítimo de ambos corresponsables ha de tenerse en cuenta y ponderarse con los derechos de los usuarios de la página web.

Más información

Tras el polémico artículo de la nueva LOPDGDD que establecía la posibilidad de los partidos políticos de tratar datos, basándose en un interés público, para enviarles propaganda electoral, la AEPD ha emitido un informe en el que prohíbe tal actividad. La AEPD establece la modificación del artículo 58 bis de la LOREG no se incluía en el proyecto de Ley remitido por el Gobierno, por lo que no fue objeto del informe por su parte. La AEPD sostiene que los partidos políticos sólo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. Pero este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona”, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología (consagrado en el artículo 16.2 de la Constitución). La AEPD aclara además algunos aspectos de la redacción del nuevo artículo 58 bis de la LOREG.

Mas información

El Gobierno ha abierto un plazo de consulta pública para la Ley de fomento del ecosistema de Startups hasta el 25 de enero. Puede consultarse aquí

#IABLegal

A pesar de la ambición inicial de la Presidencia austriaca de aprobar el Reglamento de e-Privacy, la propuesta se ha estancado en el Consejo de la Unión Europea. En la última reunión del Consejo de Transporte, Telecomunicaciones y Energía (TTE) del 4 de diciembre se suscitó un debate sobre el informe de progreso de la Presidencia. La discusión se centró  en que, si bien hay una urgencia de concluir el texto después de dos años de negociaciones, hay una serie de cuestiones críticas que aún no están claras para las delegaciones de los Estados miembros. Entre ellos, los artículos 8 y 10 relativos a las cookies y los navegadores. Como os hemos venido contando, el Consejo ha matizado mucho el texto y propone eliminar el artículo 10 que establece que los navegadores por defecto cancelarán las cookies, siendo este uno de los artículos más representativos de la versión del Parlamento.

Además, existe una sensación cada vez mayor de que cuanto más tiempo pasa, más difícil es cerrar la brecha entre el Reglamento de e-Privacy, el RGPD y su implementación. Por último, varios Estados miembros han solicitado una evaluación de impacto de la norma actualizada  dado que la última se llevó a cabo hace tres años. A día de hoy no está claro cómo procederá el texto bajo la Presidencia rumana entrante y antes de las elecciones europeas de mayo de 2019.

La Comisión Europea ha presentado un plan para intensificar la lucha contra la desinformación de cara a las elecciones europeas.

El plan de acción tiene 4 pilares.

  1. Mejorar la detección.
  2. Respuesta coordinada
  3. Los firmantes del código de buenas prácticas deberán aplicar rápida y eficazmente los compromisos contraídos.
  4. Sensibilización y empoderamiento.

El Plan puede consultarse aquí. Al respecto, la Comisión de Asuntos Constitucionales del Parlamento Europeo apoyó la propuesta por la que se introducen sanciones a los partidos políticos europeos que infringen deliberadamente la protección de datos para alterar las elecciones de la UE.

Más info aquí.

#IABLegal

El pasado 6 de diciembre se publicó en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. Esta ley adapta el ordenamiento español al RGPD. Entre sus novedades, recoge el principio de transparencia y la posibilidad de informar por capas y la obligación de consultar las listas de exclusión publicitaria a aquellos responsables que pretendan realizar comunicaciones comerciales, salvo que tengan el consentimiento del afectado. Además realiza una categorización de las sanciones, diferenciando las muy graves (por ejemplo, incumplimiento del deber de información), las graves (por ejemplo, impedimento u obstaculización o la no atención reiterada los derechos otorgados a los afectados) y leves (no publicar los datos de contacto del DPO) así como los plazos de prescripción de las sanciones, de 3 a 1 año respectivamente.

Además, incluye un Título X dedicado a los derechos digitales y está compuesto de 19 artículos entre los que se incluyen los siguientes derechos:

  • Derecho a la neutralidad de internet
  • Derecho de acceso universal a Internet
  • Derecho de la seguridad digital
  • Derecho a la educación digital
  • Protección de los menores en Internet
  • Derecho de rectificación en Internet
  • Derecho a la actualización de informaciones en medios de comunicación digitales
  • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral
  • Derecho a la desconexión digital en el ámbito laboral
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito Laboral
  • Protección de datos de los menores en Internet
  • Derecho al olvido en búsquedas de Internet
  • Derecho al olvido en servicios de redes sociales y servicios equivalentes
  • erecho de portabilidad en servicios de redes sociales y servicios equivalentes
  • Derecho al testamento digital

Puede consultarse a Ley aquí.

 

#IABLegal

Los ministros debatieron  la propuesta de establecer un impuesto a los servicios digitales. La propuesta, publicada por la Comisión el 21 de marzo de 2018 es parte de un “paquete de impuestos digitales”, y pretende ser una solución provisional destinada a abordar las brechas más urgentes en la tributación de las actividades digitales, al tiempo que garantiza la igualdad de condiciones para todas las empresas. Tras un análisis exhaustivo de todos los problemas técnicos, la presidencia presentó un texto de compromiso que contiene los elementos que cuentan con el mayor apoyo de los Estados miembros. Sin embargo ese texto no obtuvo el apoyo necesario. Los ministros examinaron una declaración conjunta de las delegaciones francesa y alemana. La presidencia recomendó que el grupo de trabajo del Consejo continúe trabajando sobre la base del último texto de compromiso de la Presidencia y los elementos propuestos por Francia y Alemania, con el objetivo de llegar a un acuerdo lo antes posible. Más información

La autoridad francesa de protección de datos (CNIL), ha adoptado una decisión declarando que Vectaury, una start up francesa, no cumple con las condiciones para un consentimiento válido conforme al RGPD y ordena a la empresa que deje de tratar datos de geolocalización con fines publicitarios sin una base legal adecuada, instándole a  cambiar sus prácticas en RGPD en el plazo de 3 meses. Además, la CNIL le ordena eliminar todos los datos obtenidos sobre la base de este consentimiento inválido. Se resume a continuación los principales puntos:

  • Vectaury machea los datos de geolocalización recopilados a través de aplicaciones móviles con otros datos personales contenidos en solicitudes de RTB para perfilar a los usuarios, segmentar anuncios y medir el rendimiento de la campaña.
  • La decisión de la CNIL está centrada en la recogida y el tratamiento de datos de geolocalización obtenidos a través del SDK de Vectaury integrado en 20 aplicaciones móviles, y el tratamiento de datos personales a través de RTB de esas aplicaciones.
  • En su resolución, la CNIL encuentra que, en dos escenarios, Vectaury no tenía una base legal para el tratamiento de datos personales en virtud del RGPD. Primero, por la recopilación y tratamiento de datos geolocalización de usuarios de aplicaciones móviles a través de su SDK, y segundo en la recogida y tratamiento de datos personales a través de RTB para los inventarios en las aplicaciones móviles.
  • La base legal que esgrimía Vectaury era el consentimiento de los usuarios. Sin embargo la CNIL declara que en ambos escenarios, tanto Vectaury como sus socios no cumplieron con las condiciones para un consentimiento válido, y como resultado no pudo servir como base legal. Establece que Vectaury no informa conforme al RGPD y que las finalidades del tratamiento de datos son difíciles de entender, lo que no permite tomar una decisión informada y por tanto no hay base legal para el tratamiento.
  • Vectaury creó en mitad del procedimiento una plataforma de gestión de consentimiento (CMP) basada en el TCF pero no se adhirió a las Políticas del TCF (es decir, se adhirió de manera incompleta) y eso lleva a que  la CNIL considere como no compatible con el RGPD. Además, se instalaban por defecto las cookies, lo que es contrario al RGPD, que exige  una acción afirmativa.
  • Al respecto CNIL opina que, si bien el CMP de Vectaury mejoraría la transparencia para los usuarios, todavía no cumplía con el estándar de la norma para un consentimiento válido, porque (a) no se aseguraba que los usuarios estuvieran adecuadamente informados de las identidades de las empresas que iban a tratar sus datos, y (b) no se aseguró que el consentimiento se expresara mediante una acción clara y afirmativa. En ambos casos, el CMP de Vectaury no cumplía con sus obligaciones bajo las políticas del TCF.
  • La CNIL por tanto dictamina que, aunque Vectaury había intentado cumplir con la ley al proporcionar a sus desarrolladores de aplicaciones asociados un CMP, era incapaz de verificar de forma independiente que el consentimiento del usuario había sido obtenido cumpliendo con el RGPD.
  • Como aprendizaje, desde la industria se tiene que poner foco en una mejor descripción de los las finalidades, que estas sean específicas y fáciles de entender para que los usuarios puedan tomar una decisión libre.
  • El Grupo de Trabajo del  TCF actualmente está redefiniendo las finalidades para que sean más sencillas y reflejen todos los posibles escenarios del tratamiento de los datos.
  • La decisión de la CNIL y el hecho de que recomiende cómo mejorar el TCF, es un reconocimiento a este Marco como herramienta de cumplimiento para todo el sector.
  • Para más información puedes visitar la web http://advertisingconsent.eu o escribir a paula@iabspain.net

El jueves 22 de noviembre se aprobó, por el Pleno del Senado, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), que transpone el RGPD, e introduce nuevos derechos. Se recogen a continuación las principales novedades:

  • Consentimiento y finalidades. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades “será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”. Además no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. Refrenda lo recogido en el RGPD respecto al consentimiento.
  • Permite la recopilación de datos personales de las opiniones políticas por parte de los partidos políticos en el marco de sus actividades electorales, amparándolo en el interés público cuando se ofrezcan garantías adecuadas. El artículo 58 bis además permitirá a los partidos políticos dirigirse a los ciudadanos, estableciendo  que “los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”
  • Derechos digitales. El Título X, recoge una serie de derechos que van más allá de la protección de datos personales. Por ejemplo, se regula el acceso a internet como un derecho universal. También recoge el Testamento Digital estableciendo que “Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión”. Se prohíbe el acceso, rectificación o supresión cuando la persona fallecida lo hubiese prohibido expresamente (es decir, como excepción).
  • Ampliación del Derecho al olvido recogido por el RGPD. La LOPDGDD especifica las obligaciones de las redes sociales y los buscadores de forma particularizada, superando de esta forma el enfoque del RGPD.
  • Derecho de rectificación. Cuando los medios de comunicación digitales reciban una solicitud de rectificación deberán publicar en sus archivos digitales un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original. De esta forma la LOPDGDD amplía estos supuestos recogidos en la Ley 2/1984.

Puedes consultar el texto  aquí

Tras su aprobación en el Congreso, la LOPD & DG está en su trámite en el Senado. La Ley añade, a través del Título X, relativo a la Garantía de los Derechos Digitales, modificaciones respecto al RGPD a artículos como el derecho al olvido o la portabilidad. Está abierto el plazo para presentación de enmiendas o de veto hasta el lunes, 5 de noviembre. Puede consultarse el texto completo.