| Podcast | Noticias LA LEY te ofrece sus podcast, actualizados a diario, para que puedas estar puntualmente informado de la actualidad jurídica Todos los días podrás escuchar los contenidos que hemos preparado con las noticias más destacadas. | Especial LA LEY Privacidad, nº 20 | Contenidos del n.º 20 | | Sumario Inteligencia Artificial y Protección de Datos; Entrevista a Ana Caballero, Co-Presidenta de la Sección de Infancia y Adolescencia del ICAM; El deber de confidencialidad del Ministerio Fiscal en sus actuaciones; Derecho al olvido ¿también para las personas fallecidas?; Sanción al Burgos C.F.: uso de datos biométricos para el acceso a estadios de fútbol; Género y Protección de Datos: a propósito de la sanción de la AEPD por incluir la variable "no binario" en un formulario público; Avances del Proyecto de Ley Federal para la protección de derechos de privacidad de EEUU; Más de 11 millones y medio de euros en multas en los cinco primeros meses del 2024; Datos excesivos del DNI, publicación del torso de una persona sin legitimación, la imagen parcial como dato de salud y brechas de seguridad… | | Presentación del n.º 20 | | En este número… Llegamos a final de curso con muchas lecciones aprendidas, como suele decir nuestro Director, pero, también, con alguna que otra asignatura pendiente para septiembre. El maravilloso elenco de Profesionales que han colaborado en esta ocasión con nuestra Revista ha sabido identificar a los buenos y malos estudiantes y da buena cuenta de ellos en este número. | | Editorial | | Inteligencia Artificial y Protección de Datos Ricard Martínez Martínez El consenso finalmente alcanzado entre la Comisión Europea, el Parlamento y los Estados miembros ha facilitado la adopción de dos normas que van a resultar estratégicas para el futuro de la protección de datos. Nos referimos al Reglamento que regulará la Inteligencia Artificial (RIA) y al Reglamento del Espacio Europeo de Datos de Salud (EHDSR). | | Premio APEP 2024 (Medio de Comunicación) | | La revista LA LEY Privacidad, distinguida como mejor medio de comunicación por APEP La Asociación Profesional Española de Privacidad (APEP), ha otorgado a la revista LA LEY Privacidad, editada por Aranzadi LA LEY, su premio al mejor medio de comunicación 2023. | | Entrevistas | | Entrevista a Ana Caballero, Co-Presidenta de la Sección de Infancia y Adolescencia del Ilustre Colegio de Abogados de Madrid «Se necesita una legislación material más protectora de los menores. Nos hemos equivocado en pensar que nuestros hijos son "nativos digitales"» Ricard Martínez Martínez Entrevistamos a la Co-Presidenta de la Sección de Infancia y Adolescencia del Ilustre Colegio de Abogados de Madrid, quien ha tenido la generosidad de compartir con nuestros lectores sus impresiones y su preocupación por la falta de compromiso con la privacidad de los menores y por la generalizada falta de ponderación de criterios como la edad o la madurez del menor, o el interés superior del menor, en el diseño de productos y servicios dirigidos a ellos. | | Estudio Jurídico | | El deber de confidencialidad del Ministerio Fiscal en sus actuaciones Diego Fierro Rodríguez Letrado de la Administración de Justicia Este trabajo aborda el deber de confidencialidad del Ministerio Fiscal en sus actuaciones. Comienza con una visión general de los deberes de confidencialidad en el ámbito de las instituciones públicas, seguido de notas sobre el Ministerio Fiscal y la protección de datos en la Ley Orgánica del Poder Judicial. Luego, examina el régimen jurídico específico del deber de confidencialidad del Ministerio Fiscal, incluyendo el Estatuto Orgánico, instrucciones y recomendaciones internacionales. También considera la responsabilidad por el incumplimiento de este deber, tanto desde una perspectiva penal como disciplinaria, y reflexiona sobre la importancia de este principio ético. Se concluye con una discusión sobre la responsabilidad civil y referencias bibliográficas relevantes. | | El Foro de la Privacidad | | Derecho al olvido ¿también para las personas fallecidas? Celia Bouzas González Asociada senior del departamento Commercial, Privacy and Data Protection de Bird & Bird Este artículo examina la interpretación y alcance actual del derecho de supresión que reconoce el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) a la luz de una reciente sentencia del Tribunal Supremo que aborda el derecho al olvido en relación con los datos de personas fallecidas. El caso se inició en 2019 cuando un particular solicitó a Google la eliminación de las URL que contenían datos personales de su padre fallecido, petición que fue denegada por Google, sin que se acogieran tampoco sus pretensiones por la Agencia Española de Protección de Datos (AEPD) y por la Audiencia Nacional. Vía recurso de casación llegó al Tribunal Supremo que determinó que, en España, el alcance y los límites del derecho de supresión («derecho al olvido») de las personas fallecidas, se regula por las mismas disposiciones que el RGPD establece para las personas vivas. | | | Sanción al Burgos C.F.: uso de datos biométricos para el acceso a estadios de fútbol David Díaz Lima Abogado especialista en nuevas tecnologías La Agencia Española de Protección de Datos (AEPD) sancionó al BURGOS CLUB DE FÚTBOL, S.A.D., en el procedimiento sancionador PS/00483/2023, por implementar un sistema de acceso a las gradas de animación mediante huellas dactilares. La AEPD identificó múltiples infracciones del RGPD, incluyendo la falta de información adecuada a los usuarios y la ausencia de consentimiento explícito. La resolución concluyó con una sanción económica de 200.000 euros, por el incumplimiento de los artículos 5.1.c), el 8, el 9, el 13 y el 35 del RGPD. Además, la APED le impuso como medida correctiva la prohibición de todo tratamiento de huella dactilar para el acceso al estadio. | | | Género y Protección de Datos: a propósito de la sanción de la AEPD por incluir la variable «no binario» en un formulario público Mónica Arenas Ramiro Profesora Contratada Doctora La transición hacia una sociedad digital, donde los datos personales son la base de la gran mayoría de las innovaciones tecnológicas, aplicaciones y sistemas de Inteligencia Artificial que nos rodean, no puede obviar que el uso de dichos datos debe realizarse con una adecuada perspectiva de género so pena de reproducir digitalmente los odiosos estereotipos discriminatorios que, por desgracia, siguen existiendo en nuestras sociedades. La sanción impuesta, a finales de enero de 2024, por la AEPD a la Consejería del Gobierno canario por la inclusión en unos formularios públicos de la opción «no binario» en una casilla que preguntaba sobre el género del solicitante, ha abierto el debate sobre si se puede, o no, preguntar por dicha información, poniendo de manifiesto la necesidad de aplicar la perspectiva de género al tratamiento de datos personales. | | | Avances del Proyecto de Ley Federal para la protección de derechos de privacidad de Estados Unidos Romina Redondo Abogada y Profesional de Privacidad El 7 de abril de 2024 surgió un borrador de discusión, bipartidario y bicameral, de American Privacy Rights Act (APRA), un proyecto de ley integral de privacidad a nivel federal de Estados Unidos. En caso de aprobarse, APRA superaría el mosaico de leyes integrales a nivel de los estados, hacia la estandarización de obligaciones en materia de datos personales y el reconocimiento de derechos individuales (inclusive el derecho de demandar por violaciones a ciertas estipulaciones de la ley) sin perjuicio del estado de residencia de los individuos. Asimismo, el borrador consigna el principio de minimización de datos como rector del uso de datos personales. Una versión modificada del borrador fue tratada el 23 de mayo en el Subcomité de Innovación, Datos y Comercio del Comité de Energía y Comercio de la Cámara de Representantes del Congreso de Estados Unidos, y aprobada sin modificaciones para su tratamiento por parte del Comité en pleno. No obstante dicha aprobación, el debate en el Subcomité evidenció varios puntos de fricción; asimismo, el 20 de junio se dio a conocer una tercera versión del borrador, con sustanciales cambios. | | Infracciones y Procedimiento Sancionador | | Más de 11 millones y medio de euros en multas en los cinco primeros meses del 2024 Carmen Arbás Martín Especialista en protección de datos Comenzamos el 2024 con una actualización de los datos del año 2023, en este número, analizamos las resoluciones publicadas por la AEPD en los cinco primeros meses del 2024. Esta tabla resume los hechos infractores en este 2024, clasificándolos por sectores, e indicando los preceptos del RGPD vulnerados y la cuantía de la sanción para cada caso, con expresa mención si ha habido terminación por pago en periodo voluntario. Además, se incluyen prácticos gráficos que recogen de manera visual la información por meses, por infracciones y por cuantías en cada sector. | | | Datos excesivos del DNI, publicación del torso de una persona sin legitimación, la imagen parcial como dato de salud y brechas de seguridad F. Javier Sempere Letrado y Director de Supervisión y Protección de Datos del CGPJ Estamos acostumbrados a que, con una alta frecuencia, se nos solicita una copia del documento nacional de identidad en el que aparecen bastantes más datos de los que realmente se pueden necesitar. En otras ocasiones, esta copia se suele pedir por lo que podríamos denominar «por costumbre», cuando realmente es innecesario. Por otra parte, ¿Hasta dónde puede aplicarse el concepto de dato personal? Recordemos que su definición no sólo abarca a que se identifique a una persona sino también a que pueda ser identificable, como puede ocurrir con el torso o una imagen parcial de una persona. En el último apartado de este artículo abordamos algunas resoluciones sancionadoras sobre brechas de seguridad, en el que parece cambiar la tendencia anterior, puesto que eran muy excepcionales aquellos supuestos en los que responsables o encargados que las habían sufrido acababan siendo multados. | | Sector Público | | El tratamiento de datos biométricos requiere algo más que el consentimiento de los empleados públicos Maria Dolores Róo García Jefa de Sección d'e-Administración/ ACTIO El consentimiento de los empleados públicos no es suficiente base jurídica para la implantación de un sistema de control de presencia mediante reconocimiento facial. Será necesaria su previsión por una norma de rango legal o bien por un convenio colectivo, pacto o acuerdo fruto de la negociación colectiva donde se prevean las garantías. En cualquier caso, será necesario, antes de su implantación, una evaluación del impacto sobre la protección de datos. | | | Análisis de las cuestiones relevantes en protección de datos del Dictamen de la APDCAT relativo al uso de un dron por un Ayuntamiento Miguel Recio Gayo Profesor asociado de la Facultad de Derecho de la Universidad CEU San Pablo La Agencia Catalana de Protección de Datos («Autoritat Catalana de Protecció de Dades») dio respuesta, a través del Dictamen n.o CNS 9/2024, a una consulta de un Ayuntamiento sobre el uso de un dron que podría implicar un tratamiento de datos personales con diferentes finalidades, según su uso. El dictamen trata cuestiones tales como el título habilitante para el tratamiento de datos personales y la necesidad de llevar a cabo una Evaluación de Impacto relativa a la Protección de Datos («EIPD») cuando exista un riesgo para los titulares de los datos personales. | | Ciberseguridad | | Chile, a la vanguardia en la regulación de la ciberseguridad: un análisis de la Ley Marco de Ciberseguridad Damián Tuset Varela Jefe de Sección en la Secretaría General Técnica del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación Este artículo ofrece un análisis conciso de la Ley Marco de Ciberseguridad de Chile publicada en abril de 2024. Destaca su completitud y actualización en un tema de creciente importancia. La ley establece principios rectores que guían medidas efectivas, define roles para los operadores de importancia vital y prioriza la respuesta a incidentes. Aunque se señala una oportunidad de mejora en la cooperación internacional, la ley representa un avance significativo para la regulación de la ciberseguridad en Chile. | | Espacio Europeo de Protección de Datos | | Informes anuales del SEPD y del CEPD. Directrices sobre IA generativa y protección de datos, y Dictámenes sobre el modelo «consiente o paga» y sobre el uso de tecnologías de reconocimiento facial en aeropuertos Nerea Peris Brines Asesora Jurídica de la Secretaría del Comité Europeo de Protección de Datos Katerina Pouliou Asistente de Política del Secretario General del SEPD Coordinador: Leonardo Cervera Navas Director del Supervisor Europeo de Protección de Datos Con el verano a la vuelta de la esquina, el SEPD y el CEPD reflexionan sobre el trabajo realizado el pasado año y ponen la mirada en los siguientes meses, en los que el SEDP celebrará su vigésimo aniversario y el CEPD continuará su trabajo para implementar su nueva Estrategia para los siguientes años. | | | La viabilidad del modelo «consiente o paga» en relación a las grandes plataformas de internet Alonso Hurtado Bueno Socio IT&Compliance ECIJA El documento analiza el pronunciamiento del Comité Europeo de Protección de Datos (EDPB) sobre la validez del consentimiento en el contexto de los modelos de «consentimiento o pago» (Consent or Pay) que usan las grandes plataformas en línea para ofrecer servicios basados en la publicidad comportamental. Concretamente, se analizan los requisitos que debe cumplir el consentimiento para que el mismo sea conforme al Reglamento General Europeo de Protección de Datos (RGPD) y a otros instrumentos jurídicos de la Unión Europea (UE), como las Directivas sobre comunicaciones electrónicas, prácticas comerciales desleales, contratos de suministro de contenidos y servicios digitales, y las Leyes de Mercados Digitales y de Servicios Digitales, concluyen que, en la mayoría de los casos, las grandes plataformas en línea no podrán obtener un consentimiento válido si solo ofrecen a los usuarios una opción binaria entre dar su consentimiento para el tratamiento de datos personales con fines publicitarios basados en el comportamiento o pagar una cantidad económica. El EDPB recomienda que las grandes plataformas en línea ofrezcan a los usuarios una «alternativa equivalente» que no requiera el pago de una cantidad económica, ni el tratamiento de sus datos personales con fines de publicidad comportamental, o que al menos ofrezcan una «alternativa gratuita sin publicidad comportamental» que suponga el tratamiento de menos datos personales. Por último, se pone de relieve en el documento los posibles efectos que podría conllevar la imposibilidad de que los ciudadanos puedan decidir si desean o no que el uso de dichos servicios pueda ser realizado mediante un modelo de pago mediante la explotación de sus datos personales, en lugar de bajo un modelo de pago económico, que no es otro que dichos servicios, puedan, en un momento dado, pasar a ser servicios provistos bajo una única modalidad, la de pago económico. | | | Base legal para realizar publicidad comportamental. Decisión vinculante urgente 01/2023, del CEPD, en relación con Meta Platforms Ireland Ltd (art. 66.2 RGPD) Mònica Vilasau Solana Estudis de Dret i Ciència Política En octubre de 2023 el CEPD emitió una decisión vinculante urgente a petición de la Autoridad de protección de datos noruega respecto a la publicidad comportamental llevada a cabo por Meta. Dicho Comité analizó si existía una base legal para llevar a cabo esta práctica. Meta invocó inicialmente la existencia de un contrato (en base a las condiciones generales del servicio) y posteriormente el interés legítimo. Sin embargo, el CEPD considera que el art. 6.1.b) RGPD no puede servir de fundamento jurídico para la publicidad comportamental ya que el perfilado no puede considerarse necesario para ejecutar un contrato con el usuario. En cuanto a la alegación del interés legítimo [art. 6.1.f) RGPD], el CEPD pone de relieve que la publicidad comportamental no constituye un interés para todos los usuarios de los servicios que ofrece Meta. Además, se produce una situación de desequilibrio en contra de los afectados y no se les proporciona herramientas adecuadas para el ejercicio del derecho de oposición. Tampoco se respetan suficientemente los principios de minimización o de limitación de la finalidad. En consecuencia, deben prevalecer los derechos de los afectados por encima de los intereses de Meta. El CEPD concluye que no existe fundamento para la publicidad comportamental llevada a cabo por Meta. | | Crónica de Corresponsales | | Breve comentario sobre dos recientes documentos de la Conferencia de Autoridades de Protección de Datos Alemana en materia de Inteligencia Artificial Ricardo Morte Ferrer Abogado, Consultor y Docente Protección de Datos En el mes de mayo del presente año, la Conferencia de Autoridades de Protección de Datos Alemana ha emitido dos documentos relevantes en materia de Inteligencia Artificial. El primero se ocupa de las competencias originadas a nivel nacional por el Reglamento Europeo de Inteligencia Artificial (IA). El segundo contiene una guía de orientación para el uso de Large Language Models (LLM), también conocidos como chatbots, aunque también puede servir para otras aplicaciones. En este trabajo haremos un breve comentario sobre esos dos documentos. | | | Explorando y adaptando los criterios existentes en el ámbito laboral. Las directrices recientes del Gobierno Británico y del ICO (Parte I) Laura Aliaga Martínez Abogada. Investigadora en el Cloud Legal Project, Microsoft Cloud Computing Research Centre, Queen Mary University of London Aplicar la normativa de protección de datos que tiene un carácter horizontal, considerando el tapiz de normas y criterios que envuelven y delimitan el tratamiento de datos en materia laboral no es una cuestión sencilla. No lo es en España, ni tampoco en el Reino Unido. A esta complejidad se le suma los nuevos avances tecnológicos (e.g. la IA, etc.) que no siempre son fáciles de encajar en el actual marco normativo. Por ello, conscientes de la necesidad de ofrecer directrices, tanto el ICO como el Ministerio de Ciencia, Innovación y Tecnología han puesto su granito de arena. El Gobierno, por el momento, lo ha hecho en materia de IA, mientras que el ICO ha dispuesto en su web una sección específica dedicada al ámbito laboral que está en fase de desarrollo, pero que ya cuenta con numerosos recursos. | | | Incidentes de seguridad y el régimen de protección de datos personales en Argentina Mariano Peruzzotti Abogado. Socio del Estudio Ojam Bullrich Flanzbaum Este artículo desarrolla la temática de los incidentes de seguridad en Argentina, tanto desde el punto de vista legal como de eventos acontecidos en los últimos años y que han tomado estado público por su impacto y relevancia. | | | El Marco Nacional de Ciberseguridad en Chile y en Uruguay: una comparativa Ana Brian Nougrères Doctor en Derecho y Ciencias Sociales por la Universidad Mayor de la República de Uruguay El presente es un análisis de la nueva formulación normativa de la República de Chile en materia de ciberseguridad, contenida en la ley No. 21.663, de 8 de abril de 2024, que viene a integrar el Marco Nacional de Ciberseguridad 2023-2028 a los cuerpos normativos legales de la República. Asimismo, se compara dicho modelo de ciberseguridad con el Marco Nacional de Ciberseguridad uruguayo, que en diciembre de 2022 veía su versión actualizada. | | Actualidad Profesional | | Inicio del primer Estudio sobre el Buen Gobierno de la Ciberseguridad en España Pedro López Sáez Director de la Cátedra UCM-ISMS Forum sobre ciberseguridad y protección de datos El marco regulatorio en materia de ciberseguridad exige que los consejos de administración una mayor supervisión y rendición de cuentas en esta materia, incluyendo la evaluación de riesgos y amenazas cibernéticas, las medidas en respuesta a incidentes de ciberseguridad y la búsqueda de la resiliencia organizativa ante ciberataques. Aunque Código de Buen Gobierno de la Ciberseguridad incluye una serie de recomendaciones para una adecuada supervisión y rendición de cuentas, actualmente no existe evidencia de su grado de seguimiento y cumplimiento por parte de las sociedades cotizadas españolas. Por ello, la Cátedra Extraordinaria UCM-ISMS Forum sobre ciberseguridad y protección de datos ha decidido desarrollar el primer estudio nacional en materia de buen gobierno de la ciberseguridad, buscando la colaboración de las empresas que conforman el IBEX-35. | | Diario LA LEY, 10540 de 5 de julio de 2024 | | Opinión | Tribuna | | El deber de declaración del riesgo en el contrato de seguro Maria Planas Ballvé Profesora de Derecho Civil Se analiza el incumplimiento del art. 10 LCS, relativo al cuestionario de salud y al deber de declaración del riesgo en el contrato de seguro, y que supone que la aseguradora no estará obligada a pagar la póliza concertada. Este incumplimiento podrá darse desde un punto de vista formal y material. El Alto Tribunal, con su jurisprudencia, ha fijado doctrina jurisprudencial sobre alcance de la misma que permite resolver y concluir ante las diferentes casuísticas si tomador ha incumplido o no ese deber y si tendrá o no derecho a la indemnización establecida en la póliza de seguro suscrita. | | Tribuna | | La nueva litigación financiera: la autoridad administrativa independiente de defensa del cliente financiero y las acciones colectivas Sergio Velázquez Vioque Velázquez Vioque Abogados Se analiza la tramitación de dos Proyectos de Ley que afectarán de forma significativa a la litigación financiera en un futuro próximo y que supondrá un cambio de paradigma en la litigación financiera. | | Tribuna | | Nota en torno a la Sentencia T-234/22 del Tribunal General de la Unión Europea, Ismailova contra el Consejo, relativa al principio de asociación y el uso de sociedades pantalla como medio de evasión de las medidas restrictivas Diana Elena Nacea Cumplimiento normativo (sanciones) en Julius Baer Europe S.A., Luxemburgo La sentencia del Tribunal de Justicia de 8 de mayo de 2024, Ismailova contra el Consejo, reafirma el espíritu del régimen de las medidas restrictivas y los fundamentos de su ponderación con los derechos fundamentales de las personas sujetas a él. Proporciona, además, precisiones de interés con respecto a dos aspectos de gran relevancia práctica, a saber, de una parte, la interpretación del principio de «asociación» y, de otra, el uso de estructuras societarias opacas con el fin de eludir las sanciones impuestas a personas físicas por su conexión o apoyo al régimen ruso. | | La sentencia del día | | Abuso sexual: es suficiente que la acción tenga significado sexual en sí misma, sin necesidad de que concurra el "ánimo libidinoso" Basta con cometer un acto de contenido sexual realizado de manera consciente y voluntaria, para que surja una actuación atentatoria a la libertad sexual, que es el bien jurídico protegido. Su contenido objetivo se concreta en la realización de actos de inequívoco carácter sexual realizado por una persona contra otra que no consiente, o que no tiene capacidad para consentir la agresión, pues con ello queda afectada su intimidad y su indemnidad sexual. | | Sentencias y resoluciones | | Las diligencias preliminares no equivalen a un requerimiento extrajudicial previo a efectos de la imposición de costas procesales Cuando el art. 395 LEC se refiere a la "mala fe" contempla tres supuestos, pero no hace alusión ni referencia expresa alguna a las diligencias preliminares. | | | El Supremo anula el nombramiento de la Fiscal de Memoria Democrática El Consejo Fiscal no se pronunció sobre la posible concurrencia de una causa de prohibición para el ejercicio del cargo, ya que la designada está unida en relación equiparable a la conyugal con el titular de un despacho jurídico y de una fundación dedicada a la prestación de servicios profesionales que coinciden con la materia sobre la que versa la Fiscalía: los derechos humanos y la defensa de las víctimas de su violación. | | | No cabe una condena a la persona jurídica si la comisión de los hechos delictivos responde exclusivamente a la voluntad de su administrador único La sanción a la sociedad mercantil se funda en la falta de un sistema interno eficaz de prevención y, por aplicación del principio de consunción, no procede condenar al responsable de la decisión empresarial por cometer el delito y por no haber establecido mecanismos de prevención de su propio delito. Dada la mínima estructura societaria y la ausencia de posibilidad de establecer mecanismos de control, no puede surgir el fundamento de la responsabilidad de la mercantil. Lo importante para determinar la imputabilidad es que los mecanismos de control se pongan en relación con las dimensiones de la persona jurídica. | | | El TS entiende que una misma sala de suplicación debe actuar de forma homogénea ante supuestos sustancialmente idénticos Reprocha que una misma sala de suplicación omita toda referencia en una sentencia posterior a una anterior suya que sentó un criterio distinto ante dos despidos objetivos de dos trabajadoras de la misma empresa realizados con cuatro días de diferencia y en las que se invocaban las mismas causas económicas y productivas. | | |
No hay comentarios:
Publicar un comentario