915 752 750
aec@aec.es
915 752 750
aec@aec.es
El pasado 23 de septiembre tuvo lugar el III Insight del Club del DPD de 2024 organizado por la Asociación Española para la Calidad, con la colaboración de Govertis, parte de Telefónica Tech.
El evento, dirigido por Javier Villegas, Lead Advisor y responsable de Desarrollo de Negocio de Govertis, se dividió en tres partes: una mesa redonda sobre «¿Cómo acreditar el cumplimiento de medidas de seguridad en encargados de tratamiento y la responsabilidad in vigilando?», otra mesa redonda sobre «Gestión de riesgos en proveedores/cadena de suministro y brechas de seguridad» y, un taller práctico sobre cómo llevar a cabo correctamente las Transfer Impact Assessments (TIAs) o evaluaciones de impacto de transferencias internacionales de datos personales.
1. ¿Cómo acreditar el cumplimiento de medidas de seguridad en encargados de tratamiento y la responsabilidad in vigilando?
La primera mesa redonda fue impartida por Eduard Blasi Casagran, abogado especializado en Derecho Digital y Privacidad, y Elena Gil González, abogada especializada en Protección de Datos y Derecho Digital. Se abordó la responsabilidad in vigilando y medidas de seguridad de los encargados de tratamiento.
En primer lugar, Eduard consideró esencial que los responsables de los datos generen una lista de proveedores ya que nos va a permitir tener un termómetro del estado de los terceros en materia de privacidad. Además, de tener otras herramientas como los sellos de confianza y las certificaciones, como la de calidad.
Igualmente, es importante prestar atención a la tipología de los proveedores porque solo aquellos que presentan una especial sensibilidad en el tratamiento de los datos tienen que estar más presentes en nuestro análisis.
Además, hay que tener en cuenta los contratos de encargados de tratamiento para verificar la responsabilidad in vigilando, por eso se debe realizar un triaje de valoración de terceros en el que se incorpore no solo las medidas de seguridad sino también el cumplimiento de la protección de datos, así como una cláusula de auditoría para los terceros proveedores.
Asimismo, Eduard resaltó la verificación del flujo de los datos en las transferencias internacionales de datos y que la labor de control de los proveedores conlleva la atención de derechos, el control de los subencargados, los límites de la responsabilidad y la devolución o destrucción de la documentación una vez finalizada la relación contractual.
Por último, durante su ponencia, Eduard resaltó que la imposibilidad de negociar un contrato de encargado con las grandes multinacionales no supone una eximente o atenuación de responsabilidad ante la Agencia Española de Protección de Datos, aspecto que deberá tenerse en cuenta.
También es necesaria una intervención del DPD para cambios menores en la negociación de los contratos de encargados por el departamento legal de las empresas. Y, terminó apuntando que la accountability consiste en verificar el cumplimiento de las medidas de seguridad en detalle y no rellenar un simple formulario.
A continuación, Elena Gil González, nos habló de la complejidad de abarcar toda la normativa digital recientemente legislada en la Unión Europea; destacando, por su importancia, el Reglamento DORA para entidades financieras, NIST2 para operadores críticos o la normativa de Inteligencia artificial, que regula no solo los aspectos de los datos personales sino también todo lo referente a la tecnología. Lo complicado es aplicar las obligaciones de transparencia sobre la lógica de un modelo algorítmico en una empresa.
Elena incidió en el cuidado con la elección del proveedor y que cualquier error en el modelo de inteligencia artificial va a afectar dicha elección. Así como la excesiva maraña contractual, dado que es muy complicado gestionar por el responsable como también elegir un único proveedor, ya que te hace super dependiente del mismo.
Según Gil, una buena praxis es realizar auditorías anuales y si ocurriese algo, por ejemplo, contar con una sospecha fundada de incidencia de cambio normativo, realizar una auditoría extraordinaria. Además, es importante realizar una distribución de la responsabilidad de los terceros en función de las culpas por la importancia de datos que tratan. Igualmente hay que resaltar que la medición de los contratos de encargados de tratamientos en cuanto a eficiencia requiere mucho esfuerzo y recursos para las empresas, así como el control de los subencargados, ya que hay numerosos.
Por último, apuntó que se requieren elementos de homologación de los proveedores para verificar que cumplen con la normativa, pero que la certificación que se obtenga esté vinculada al problema en cuestión para poder eximir de responsabilidad a la empresa como encargado de tratamiento.
2. Gestión de riesgos en proveedores/cadena de suministro y brechas de seguridad.
Posteriormente, Javier Cao Avellaneda, Senior Consultant de Govertis y Marcos Rubiales Olmedo, también consultor senior de Govertis, abordaron la gestión de riesgos en proveedores y cadena de suministro, y analizaron un supuesto de una brecha de seguridad que conllevó la apertura de expediente sancionador por la AEPD.
Javier nos indicó que en el programa de gestión de proveedores tenemos que revisar la norma ISO 27001 y NIST SP-800-161, teniendo en cuenta las fases de evaluar, monitorizar y responder, así como los nuevos controles de la ISO 27001 del 5.19 al 5.23.
Por lo tanto, en la fase in eligiendo vamos a desarrollar la clasificación de los proveedores, disponiendo de un inventario inicial y aplicando una proporcionalidad en la criticidad de los mismos orientada al riesgo.
Por ejemplo, se pueden tener criterios de valoración técnicos, es decir, por la tipología del sector, por el grado de confidencialidad, integridad y disponibilidad (la matriz de KRALJIC) incluso la complejidad del servicio, el riesgo inherente al proveedor, la dependencia y ubicación geográfica.
Deja claro que la intensidad del cumplimiento de los requisitos y garantías debe ser proporcional a la importancia y riesgos del proveedor. Y que incluir las garantías previas en esta fase resulta importante, así como establecer una clasificación de proveedores sin impacto, proveedores normales, proveedores esenciales y proveedores críticos. Establecer desde un contrato general a contratos más específicos con SLA, certificaciones, auditorías de terceras partes, scoring tecnológico y agencia rating para aquellos proveedores más importantes.
En la fase in eligendo + in vigilando se va a tener en cuenta los alcances de la certificación otorgada con las certificaciones en seguridad (ISO 27001, 27701 o 22301) y los resultados de la gestión (indicadores de seguridad, evaluación del mantenimiento tras la auditoría) así como otros elementos ya indicados como la auditoria de tercera parte y de dependencias del proveedor.
Por último, en la fase de respuesta los elementos importantes son: identificar al CISO del proveedor con quien hay que hablar del incidente, definir qué incidentes sufre el proveedor que tiene que estar informado al responsable en todo momento, establecer claramente los criterios de gravedad y escalado. Así como la capacidad de respuesta y tiempos de resolución, los contratos de SLAs y, en definitiva, la penalización e indemnización.
A continuación, Marcos Rubiales expuso un análisis de un expediente sancionador de una brecha de seguridad, a partir del robo y posterior venta no autorizada de una base de datos del CRM del responsable. Entre las medidas que debiera haber implementado estaría el doble factor de autenticación como medida preventiva, clave para esta circunstancia, ya que se accedía al CRM. La AEPD detalló que si esta medida se hubiera implementado se hubiera evitado la incidencia.
También entre otras medidas, estaría la realización de una auditoría de control de los proveedores, que, al producirse a posteriori, no se llega a evitar la incidencia.
O la importancia de contar con procedimientos específicos en materia de protección de datos.
Ilustración 1 – Principales conclusiones del análisis del procedimiento sancionador
3. Transfer Impact Assesment (TIA): Claves prácticas para abordar correctamente las evaluaciones de impacto de transferencias internacionales de datos.
En la parte final de la sesión se realizó un taller por Félix Haro, consultor senior en Govertis, sobre las evaluaciones de impacto de transferencias internacionales de datos personales.
Básicamente, indicó que hay que procurar un nivel equivalente en los países al que marca la UE, el denominado nivel de protección sustancialmente equivalente.
Asimismo, el Considerando 108 del RGPD nos marca cómo conseguir un nivel equivalente y aparte de los instrumentos que pone a disposición el Reglamento, como las cláusulas tipo hay garantías adicionales que no vincula a organismos públicos solo entre las partes.
Al no indicarlo expresamente el RGPD, nos podemos ir a las Recomendaciones 1/2020 CEPD para saber cuáles son las medidas que complementan los instrumentos de transferencia.
El proceso para conocer las transferencias parte del Registro de actividades de tratamiento (RAT), conocer los encargados y subencargados y cumplir con la minimización como principio, aunque los softwares no suelen ser flexibles, y te dan licencia en bloque.
Además, es importante determinar los instrumentos de transferencia con el orden jerárquico:
1. Decisión de adecuación (45).
2. Garantías adecuadas (46).
3. Excepciones.
Además, hay que ver si las cláusulas contractuales tipo se ajustan a uno en función de las circunstancias específicas:
a) Tener en cuenta la legislación de la privacidad.
b) Legislación de vigilancia.
c) Acceso por autoridades públicas.
d) Independencia de las autoridades de Protección de datos.
Incluso hay que evaluar si el instrumento de transferencia es eficaz, con las Recomendaciones 2/2020, analizar la injerencia injustificable con normas claras, precisas, necesidad y proporcionalidad, mecanismos de supervisión independientes, recursos efectivos a disposición del interesado.
En el caso de legislación problemática, podemos suspender la transferencia, aplicar medidas complementarias o no aplicar la legislación problemática.
Un aspecto para verificar la eficacia de nuestro instrumento a utilizar en la transferencia internacional es en base a las fuentes de jurisprudencia, resoluciones e informes de órganos de control.
Una vez que el instrumento de transferencia no es suficiente por las características de la legislación, podemos tomar medidas técnicas en el acceso como el cifrado, en tránsito y local, realizar una transferencia datos seudonimizados, que el receptor esté protegido por legislación local o el tratamiento esté fraccionado.
Es importante tener en cuenta que hay legislaciones en los que hay prohibición de cifrado. Otras medidas como las contractuales entre las que encontramos la utilización de medidas técnicas específicas, la transparencia y responsabilidad proactiva como registro de solicitudes o los métodos de organización y adopción de normas y buenas prácticas.
Incluso hay medidas complementarias como las políticas internas de gobernanza, obligaciones de transparencia (solicitudes de acceso recibidas) o la operativa (puertas traseras software, procesos comerciales, impugnación órdenes) o las auditorías o inspecciones.
Por último, necesitamos realizar una evaluación periódica y un seguimiento, así como cumplir la responsabilidad proactiva.
Ilustración 2 – Ejemplo de transferencia internacional de datos
Por último, en las conclusiones finales, resalta la necesidad de realizar una evaluación de riesgos, calcular el riesgo, verificar la amplitud del tratamiento, verificar las actividades de vigilancia gubernamental y, por supuesto, realizar un control más continuo junto con la agilidad, que en definitiva es un sistema de gestión, así nos permitirá efectuar la evaluación más exhaustiva de las transferencias internacionales de datos.
José Alberto Rueda
Govertis, parte de Telefónica Tech
Una vez que tenemos claro a dónde van los datos personales de nuestra responsabilidad, y que son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se van a tratar, el segundo paso que tenemos que seguir es la determinación del instrumento en el que vamos a basar la transferencia (Capítulo V RGPD).
Los instrumentos que tenemos a nuestra disposición son los siguientes:
1. Decisiones de adecuación de la Comisión Europea (art. 45 RGPD).
2. Instrumentos de transferencia que ofrecen garantías adecuadas (art. 46 RGPD).
3. Vía de excepción (art. 49 RGPD).
La vía de excepción del artículo 49 permite la transferencia internacional siempre y cuando no dispongamos de una decisión de adecuación de la Comisión Europea, ni podamos hacer la transferencia conforme a algún instrumento que ofrezca las garantías adecuadas. Es decir, a la hora de elegir el instrumento adecuado hemos de comprobar primero si existe una decisión de adecuación; después, si podemos realizarla conforme a cualquier instrumento de transferencia con garantías adecuadas, y solo en ausencia de las dos primeras opciones, acudir a la vía de excepción.
Como cierre, si tampoco fuera aplicable ninguna de las excepciones que ofrece el artículo 49 RGPD, solo podremos llevar a cabo la transferencia internacional si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos que persigamos y sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y hayamos evaluado todas las circunstancias concurrentes en la transferencia de datos. Basándonos en esta evaluación, habremos de ofrecer garantías apropiadas con respecto a la protección de datos personales, y en este caso, habremos de informar a la autoridad de control de la transferencia.
1. Decisiones de adecuación.
La Comisión Europea ha reconocido que ciertos países ofrecen un nivel adecuado de protección de los datos personales. Si la empresa importadora se encuentra en alguno de estos países, no tendremos que adoptar ninguna otra medida adicional.
2. Instrumentos de transferencia con garantías adecuadas.
Los instrumentos numerados en el artículo 46 (cláusulas tipo, normas corporativas vinculantes, códigos de conducta, mecanismos de certificación y cláusulas contractuales específicas) contienen garantías adecuadas y pueden ser utilizados en ausencia de decisión de la Comisión Europea. El instrumento tiene que garantizar que los datos personales transferidos gocen de un nivel de protección esencialmente equivalente, pero hemos de tener en cuenta que es posible que la situación del tercer país al que exportamos los datos personales puede requerir que tomemos medidas complementarias para garantizar ese nivel de protección.
3. Evaluación de la eficacia del instrumento de transferencia.
Es posible que en el país de destino de la transferencia existan legislación o prácticas en vigor que socaven la eficacia de las garantías adecuadas de los instrumentos de transferencia del artículo 46 RGPD. La protección ofrecida ha de ser esencialmente equivalente a la garantizada en el Espacio Económico Europeo, y habremos de comprobar este extremo con la ayuda del importador de los datos personales, y siempre sobre las circunstancias específicas de la transferencia de datos que pretendemos llevar a cabo, nunca de modo general. Es recomendable acordar con el importador los extremos de esta colaboración y fijarlos en un documento de trabajo conjunto, ya que habrá que revisar la evaluación si se producen cambios que puedan afectar a las circunstancias de la transferencia.
Además de las circunstancias específicas de los datos que se quieren transferir (tipo de datos, finalidad, formato de transferencia, entidades participantes, etc.), es muy importante incluir a todos los agentes que puedan participar, sobre todo si van a existir transferencias ulteriores. Habremos de exigir información fiable al importador sobre estas transferencias, así como documentar todas sus características e incluirlas en nuestra evaluación de idoneidad.
Tendremos que comprobar si la legislación vigente y las prácticas en el país respeta los derechos fundamentales de los titulares de los datos personales. Es posible que se concedan poderes a las autoridades públicas que los restrinjan, pero habrá de tratarse de medidas necesarias y proporcionadas en una sociedad democrática, al igual que ocurre en los Estados miembros de la Unión Europea. Se considera que son incompatibles si no respetan la esencia de los derechos y libertades fundamentales de la Carta de los Derechos Fundamentales de la Unión Europea, o si exceden lo dispuesto en las salvaguardas contempladas en el artículo 23 RGPD. Para esto, acudiremos a las Recomendaciones 02/2020 del Comité Europeo de Protección de Datos sobre las garantías esenciales europeas para medidas de vigilancia, de 10 de noviembre de 2020, para conocer qué se entiende como injerencia justificable.
Como resultado final de esta evaluación, es posible que encontremos que la legislación presente problemas de compatibilidad, que no garantice el nivel esencialmente equivalente de protección y que la transferencia de datos personales o la actividad del importador caiga bajo el ámbito de aplicación de esta legislación. En este caso, tendremos tres opciones:
1. No realizar la transferencia o suspenderla, si es que se estaba llevando a cabo.
2. Aplicar medidas complementarias para lograr el nivel de protección.
3. No aplicar medidas complementarias si no hay motivos para creer que esta legislación se aplique al caso concreto.
Como siempre, habremos de documentar exquisitamente este análisis para cumplir con el principio de responsabilidad proactiva.
Félix Haro
Govertis, parte de Telefónica Tech
El pasado 11 de junio tuvo lugar el II Insight del Club del DPD de 2024 organizado por la Asociación Española para la Calidad, con la colaboración de Govertis, parte de Telefónica Tech.
El evento fue dirigido por Javier Villegas, Lead Advisor y responsable de Desarrollo de Negocio del territorio sur de Govertis y se dividió en tres partes: la ponencia sobre «Privacidad y Marketing digital, ¿cómo nos preparamos para un mundo sin cookies?»; la mesa redonda sobre «El papel del DPD en los medios de comunicación. ¿Una profesión de riesgo?» y, un taller práctico sobre el desarrollo de proyectos de investigación y protección de datos.
La primera ponencia fue impartida por Lorena Roque Masi, responsable de Ads Privacy en Google España, en la que se trató de abordar la influencia de las cookies en la vida cotidiana de las personas y en el marketing digital.
«Nos movemos de un mundo donde medíamos el 1:1 a un mundo consentido, agregado y anonimizado. Tenemos que aprender a hacer más con menos» – explicó Roque destacando que los cambios regulatorios y tecnológicos para proteger la privacidad de los usuarios en internet están transformando radicalmente la industria de la publicidad online.
En un segundo bloque, se dio paso a una mesa redonda moderada por Santiago Cruz Roldán, DPD externo en Tele Madrid y miembro de Govertis Telefónica Tech, en la que participaron Luis Javier Sánchez, periodista especializado en Derecho TIC y Jesús Fernández Acevedo, abogado y DPD, la cual versó sobre la problemática del tratamiento de los datos personales en los medios de comunicación. En concreto, durante las ponencias se abordaron las siguientes cuestiones:
1. La ponderación entre el derecho a la libertad de información y el derecho a la protección de datos en situaciones de inmediatez.
Luis Javier Sánchez indicó que esta cuestión es una problemática que se lleva arrastrando desde hace mucho tiempo y para la que no existe una solución concreta. Los medios de comunicación han ido aprendiendo lo que se puede o no se puede publicar a raíz, por ejemplo, de sanciones impuestas por la Agencia Española de Protección de Datos (AEPD).
Actualmente, se tiene un especial cuidado con temas relacionados con menores o anonimización de sentencias jurisprudenciales, sin embargo, sigue siendo un ámbito escasamente regulado.
2. La necesidad de establecer unas directrices que regulen la protección de datos en los medios de comunicación.
Jesús Fernández puso de relieve la necesidad de concienciar a los periodistas sobre la normativa de protección de datos y cómo esta puede afectar a la calidad de las noticias. En este sentido, Jesús defendió la importancia de contar con un protocolo que regule esta materia como ocurrió con el documento de «buenas prácticas en materia de comunicación» elaboradas por la Autoridad Italiana de Protección de Datos que contiene una serie de recomendaciones sobre cómo se puede tratar la información de una forma ética y respetuosa.
Ambos ponentes apuntaron la pérdida de oportunidad del Legislador español de regular esta materia a raíz de la entrada en vigor del actual Reglamento General de Protección de Datos (RGPD).
3. La importancia de la figura del DPD en los medios de comunicación.
Respecto a este tema, Jesús Fernández quiso resaltar que la figura del DPD en los medios de comunicación no está suficientemente valorada, en numerosas ocasiones, debido a la inmediatez que requieren determinadas noticias.
Por ello, según Fernández, es fundamental formar a los trabajadores de los medios de que existe la figura y las funciones del DPD para que puedan acudir a ellos en los casos de duda.
A raíz de lo expuesto durante la jornada, Luis Javier Sánchez abogó por la creación de un Pacto Digital entre los medios de comunicación y la Agencia Española de Protección de Datos.
4. ¿La actuación del DPD en determinadas ocasiones es vista por los periodistas como una injerencia?
En este sentido, Luis Javier Sánchez apuntó que los periodistas, en un primer momento, sí que pueden ver la actuación del DPD como un obstáculo debido a la inmediatez con la que se publican las noticias. Explicó que sería obligatorio un diálogo interno en los medios donde se exponga la necesidad de ser cauteloso en determinadas ocasiones por las posibles consecuencias que pueden surgir posteriormente como, por ejemplo, multas de la AEPD.
Asimismo, según Jesús Fernández, cada vez hay más periodistas concienciados con dar cumplimiento a la normativa de protección de datos.
5. ¿Qué protocolos se puede implementar para dar cumplimiento a la normativa de protección de datos?
Fernández sostuvo que es necesario realizar una evaluación de los contenidos que puedan generar más riesgo (grabaciones de menores durante las cabalgatas del día de Reyes, a las puertas de juzgados y tribunales o de los cofrades durante las procesiones de Semana Santa) y tener un mapa de actuación.
La conclusión general de la ponencia se tradujo en la creación de un protocolo donde se recojan los aspectos clave que deben tener en cuenta los medios de comunicación para dar cumplimiento a la normativa de protección de datos.
Para finalizar el encuentro, se dio paso a Borja Sendra Buigues, DPD y miembro de Govertis, parte de Telefónica Tech, que impartió un taller práctico orientado a cómo aplicar la normativa sobre protección de datos en los comités de ética universitarios en proyectos de investigación.
Durante la ponencia, se explicó que el papel del DPD en el Comité de ética y evaluación es dar soporte a los investigadores (redacción de cláusulas informativas, realizar una Evaluación de Impacto de la Protección de Datos -EIPD- o instruir sobre el buen uso de la información) y, velar por el cumplimiento de la normativa.
En concreto, los proyectos de investigación es preciso que cumplan el principio de privacidad desde el diseño y por defecto, diseñando el tratamiento en la memoria del proyecto e imponiendo las medidas necesarias para proteger los datos, que se aplicarán durante todo el proceso y cuando este finalice.
El Comité es responsable de analizar toda la información del proyecto (tipología de datos, origen, finalidad, destinatarios, información facilitada a los interesados, etc.) para comprobar si el tratamiento es conforme al RGPD.
En resumen, los pasos que tiene que seguir el Comité para analizar si un proyecto de investigación cumple con las obligaciones recogidas en el RGPD son los siguientes:
II Insight del Club del DPD – 2024
Claudia Arias
Govertis, parte de Telefónica Tech
Las recomendaciones 01/2020
El Comité Europeo de Protección de Datos (CEPD) elaboró las recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE, para ayudar a los exportadores de datos personales (responsables o encargados) a evaluar a terceros países y tomar medidas complementarias para mantener un nivel de protección esencialmente equivalente al garantizado en el Espacio Económico Europeo.
Es importante resaltar que estamos ante recomendaciones, lo que implica la posibilidad de adaptar el método que proponen para optimizarlo aún más, mediante la incorporación de más fases o medidas adicionales, siempre y cuando estemos seguros de su efectividad y podamos respaldar su utilidad mediante pruebas sólidas.
El método
El método propuesto por el CEPD tiene como objetivo principal que el exportador sepa si tiene que tomar medidas complementarias para poder transferir los datos y la implementación de estas si procediese. Consta de cinco pasos:
1º. Conocer la transferencia
2º. Determinación del instrumento de transferencia
3º. Evaluación de eficacia del instrumento de transferencia
4º. Adopción de medidas complementarias
5º. Procedimiento de aplicación de medidas complementarias
En la ejecución del método habremos de documentar de un modo exquisito las fuentes en las que nos apoyemos, la colaboración recibida por parte del importador de los datos, las medidas que se ponen en marcha antes de realizar la transferencia y cualquier decisión que se tome junto con los parámetros que han llevado a ella. En mi opinión, es recomendable formar un “expediente” específico para cada transferencia, en el que incluyamos toda la información referente a ella. No podemos perder de vista que la autoridad de control puede solicitar esta documentación, con la que demostraremos que hemos actuado con la diligencia debida a la hora de realizar la transferencia, cumpliendo con el principio de responsabilidad proactiva.
Conocer la transferencia… ¿fácil?
El primer paso en esta evaluación de impacto es conocer la transferencia. Las recomendaciones sugieren partir del registro de actividades de tratamiento, que ha de contener una descripción de la transferencia y de las garantías adecuadas, en su caso. Aquí nos encontramos con el primer reto, porque tal y como apunta el CEPD, “registrar y catalogar todas las transferencias puede ser un ejercicio complejo para las entidades que participan en transferencia múltiples, diversas y periódicas con terceros países y que utilizan una serie de encargados y subencargados”.
La inmensa mayoría de las transferencias internacionales se producen cuando el exportador de datos utiliza los servicios de empresas de soluciones de software. Es altamente probable que estas empresas, en la configuración de los sistemas que ponen a disposición del exportador, dispongan de subencargados que intervienen de una forma u otra en la gestión de la información o en la gestión del mismo software, siendo auxiliares necesarios en esa transferencia.
Vamos a poner un ejemplo sencillo. Imaginemos que el software de la empresa norteamericana HAPPY PEOPLE (obviamente nombre ficticio) sirve para gestionar el nivel de felicidad de los empleados de una empresa situada en España, que la contrata y será la empresa exportadora de datos. Conforme a la información proporcionada por HAPPY PEOPLE, el software hará los análisis de felicidad en los Estados Unidos y los datos personales de los empleados de la empresa española se alojarán y analizarán allí. Sin embargo, las copias de seguridad se llevan a cabo por una empresa india en sus propias instalaciones en Nueva Delhi, y la asistencia técnica en caso de errores de los usuarios o en el mismo software se lleva a cabo en Costa Rica desde un centro de llamadas y de recepción de peticiones de ayuda por correo electrónico. En este caso nos encontramos con que al menos tenemos dos empresas más, la india y la costarricense, como subencargadas, y además, no están situadas en países que tengan reconocido un nivel equivalente de protección de datos al del EEE.
Pero la historia puede no terminar aquí, ¿qué ocurre si a su vez, esas empresas subencargadas, para prestar sus propios servicios recurren a otras empresas también de software no situadas en países con equivalente nivel de protección al del EEE? Pues sí, exactamente eso: que nos encontramos con que todas las transferencias ulteriores que se realicen han de estar sujetas al mismo régimen de protección equivalente, y consecuentemente, habremos de evaluar el impacto de la transferencia teniéndolas en cuenta.
En este primer paso, las recomendaciones también nos recuerdan el principio de la minimización de los datos. La transferencia deberá restringirse únicamente a los datos adecuados, pertinentes y limitados en relación con las finalidades para las que serán tratados. Recordemos los flujos de datos personales necesarios para usar el software de HAPPY PEOPLE: unos datos personales son los que son enviados desde la empresa exportadora española a Estados Unidos para análisis de felicidad, y otros son los que deberían ser transferidos por ésta posteriormente para las copias de seguridad que se hacen en India, o los que se han de enviar para la asistencia técnica telefónica o por correo electrónico desde Costa Rica… ¿Qué datos específicos van a cada empresa y para qué?
Sirva el ejemplo para ilustrar la posible complejidad del primer paso que, a pesar de parecer inocente, esconde bastantes dificultades.
Félix Haro, CIPM, CIPP/e, CIPP/us
Govertis part of Telefónica Tech
¿Pero cómo empezó todo esto?
La sentencia Schrems II anuló el Escudo de Privacidad como posibilidad para realizar transferencias internacionales de datos personales a EE.UU. debido a la legislación que permite acceder a datos personales transferidos desde la UE con fines de seguridad nacional. La Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA, Foreign Intelligence Surveillance Act) permite llevar a cabo investigaciones de vigilancia de personas extranjeras ubicadas fuera de EE.UU. con la ayuda de los proveedoresde servicios de comunicación, y la Orden Ejecutiva 12333 habilita a la Agencia de Seguridad Nacional para obtener datos en tránsito antes de que lleguen a Estados Unidos.
La Comisión Europea adoptó, tras una ardua negociación con EE.UU., la decisión de adecuación el 10 de julio de 2023, el Marco de Privacidad de Datos UE-EE.UU., que pone a las empresas norteamericanas que se adhieran al Marco de Privacidad en igualdad de condiciones con las que se encuentren en países que tienen reconocido un nivel de protección adecuado por la Comisión. En ambos casos no resultará necesario acudir a ninguno de los instrumentos contemplados en punto 2 del artículo 46 RGPD.
La Decisión de la Comisión Europea 2021/914 puso a disposición de las organizaciones el nuevo conjunto de cláusulas contractuales tipo, que abordaron ciertas deficiencias de las cláusulas anteriores, y abordan transferencias de datos que involucran a múltiples partes, respondiendo también a la sentencia Schrems II.
En lo básico, la situación es parecida a la anterior: las organizaciones disponen de las decisiones de adecuación en el caso de ciertos países, entre los que ya se encuentran los EE.UU., y los instrumentos del artículo 46 RGPD, una vez modificadas las cláusulas contractuales tipo propuestas por la Comisión Europea.
Cómo llegamos a la necesidad de evaluar el impacto de las transferencias internacionales
La sentencia Schrems II no solo anuló el Escudo de Privacidad, sino que también cuestionó el uso de las cláusulas contractuales tipo, ya que solo son obligatorias para las partes firmantes, pero no para el país tercero en el que se encuentra la organización que importa los datos personales procedentes del Espacio Económico Europeo. En este caso, la legislación de ese país tercero puede permitir a sus autoridades públicas acceder a esos datos personales y llevar a cabo injerencias en los derechos de los interesados relativos a esos datos. No ocurre lo mismo en el caso de las transferencias a los países cuyo nivel de protección ha sido declarado equivalente por la Comisión, porque este tipo de decisiones sí que se adopta solo si se ha constatado que la legislación del país tercero sí que tiene todas las garantías exigibles, como establece el artículo 45 RGPD en su punto 3.
Vemos entonces que en el caso de las cláusulas contractuales tipo anteriores, al no examinarse en particular la legislación del país de destino, el responsable o el encargado debían ofrecer las garantías adecuadas, y conforme a los considerandos 108 y 114, “deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado” y que “esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas (…) en la Unión o en un tercer país”.
El responsable o el encargado deben entonces proporcionar medidas adicionales para garantizar el respeto del nivel de protección exigido por el Derecho de la Unión Europea.
Para solucionar esta situación, el 10 de noviembre de 2020 el Comité Europeo de Protección de Datos (CEPD) publicó y sometió a consulta púbica las Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento de nivel de protección de los datos personales de la UE. Transcurrido el plazo de consulta, el 18 de junio se publicaron las definitivas, disponibles en el sitio web del SEPD.
Así que tenemos que las organizaciones se enfrentan al reto de tener que evaluar caso por caso las transferencias internacionales que realizan para comprobar el nivel de protección de datos en los países de destino. Esto es lo que se conoce como una evaluación de impacto de transferencias internacionales (EITI), evaluación que ha de contemplar diferentes aspectos, como veremos en la segunda parte.
Félix Haro, CIPM, CIPP/e, CIPP/us
CdC Internacional part of Telefonica Tech.
En el presente artículo expondremos las nuevas actualizaciones en materia de cookies, las cuales revisten de una especial importancia, ya que reflejan la continua evolución de las regulaciones y prácticas relacionadas con el tratamiento de cookies en el entorno digital.
En primer lugar, destacamos la actualización de la Guía sobre el uso de las cookies del pasado mes de julio, cuya finalidad era adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).
Si bien el objetivo principal de las Directrices era la regulación de las interfaces de las redes sociales, también se afirma que los patrones de diseño engañosos no son exclusivos de tales plataformas, pudiendo incluir sitios web, tiendas en línea, videojuegos, aplicaciones móviles…
No obstante, con la incorporación de tales Directrices a la Guía de cookies, estas exigencias se vieron ampliadas a todos aquellos prestadores de servicio de la sociedad de la información, quienes tuvieron que cumplirlas estableciéndose, como plazo para ello, el pasado 11 de enero de 2024.
Por lo tanto, los prestadores de servicios de la sociedad de la información tendrán la obligación de evitar los patrones engañosos cuando informen acerca del uso de cookies a sus usuarios, en concreto, en lo relativo a las acciones de aceptar o rechazar las cookies. Los patrones que deberán evitar, según lo señalado en las Directrices, serán: la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, así como los diseños inconsistentes, poco claros y oscuros.
Cabe destacar que el principio de licitud del tratamiento (artículo 5 RGPD) es el punto de partida para evaluar la presencia de patrones de diseño engañosos.
En la siguiente imagen que recoge el CEPD en las Directrices, se detallan las categorías de patrones de diseño engañosos y sus subcategorías. De igual modo, se enumeran las disposiciones del RGPD más afectadas por estos tipos de patrones, incluyendo también ejemplos y casos de uso (UC) correspondientes para ayudar a encontrar los diferentes patrones de manera más ágil.
Por otro lado, no debemos olvidar los requisitos de transparencia de la información relativo al uso de cookies, que exigen que la información facilitada en dicha política sea concisa, transparente e inteligible. Además, se deberá utilizar un lenguaje claro y sencillo, evitando frases o palabras que pudieran inducir a error al usuario. Asimismo, la información deberá resultar de fácil acceso y evidente para el usuario en todo momento, tanto a la hora de prestar el consentimiento, como una vez prestado.
Estos requisitos de transparencia serán exigibles tanto en la información facilitada al usuario en las capas 1 y 2, tal y como detallábamos en el anterior artículo “Cookies en el horno: última llamada para su cumplimiento”, del Blog de la Asociación Española para la Calidad (AEC).
Respecto a la información facilitada en la primera capa, la Guía de la AEPD exige que las acciones de aceptar o rechazar cookies se presenten en un lugar y formato destacados, debiendo encontrarse tales acciones en el mismo nivel, sin que resulte más complicado rechazarlas que aceptarlas. Además, se incluyen nuevos ejemplos sobre cómo deben mostrarse estas opciones, ofreciendo indicaciones relativas al color, tamaño y lugar en el que aparecen, entre otros. A modo de ejemplo, el CEPD indica que un tamaño pequeño o un color que no contraste lo suficiente como para ofrecer una clara legibilidad pudiera tener un impacto negativo y resultar engañoso para los usuarios, al igual que modificar los colores de los interruptores de consentimiento.
Otro punto importante de la Guía es la relativa a los llamados “muros de cookies”. Con la nueva actualización se permite que la alternativa a la no aceptación de cookies a la hora de navegación en un sitio web, pueda ser de pago, lo que se traduce en que el usuario puede verse obligado a pagar un precio por acceder a dicha información si no desea la implementación de determinadas cookies que no se encuentran exentas de consentimiento, como las cookies de análisis o medición o de publicidad comportamental. Como se ha podido observar con mayor frecuencia en las últimas semanas, ya son muchas las webs que incluyen el llamado “Pay or OK”, teniendo el usuario, por lo tanto, la opción de aceptar seguir navegando de manera gratuita, a cambio de la instalación de cookies no exentas de consentimiento en su dispositivo, o bien pagar una cuota, lo que le permitirá seguir navegando sin publicidad y, por tanto, sin la instalación de cookies no exentas en sus dispositivos.
El pasado mes de noviembre, la organización austriaca sin ánimo de lucro NOYB (Centro Europeo de Derechos Digitales) planteó una reclamación contra el “Pay or OK” instaurado por META, al ascender la cantidad solicitada por la entidad a cada usuario a un total de 251’88€ al año por “conservar su derecho fundamental a la protección de datos en Instagram y Facebook», tal y como señala la propia organización en su nota de prensa. La organización considera que dicho consentimiento no se trataría de un consentimiento libre, además de ser accesible solamente para personas pudientes económicamente. Quedaremos a la espera de la resolución de la autoridad austriaca de protección de datos al respecto.
Por último, en este mes de enero, la AEPD ha publicado una nueva guía sobre el uso de cookies para herramientas de medición de audiencia. Dicha información se ha incorporado mediante la creación de un Anexo II, lo que implica una nueva actualización de la Guía sobre el uso de cookies.
En esta guía se aborda el uso de herramientas de medición de audiencia y cookies en la gestión de sitios web o aplicaciones móviles por parte de los editores, cuestión esencial para recopilar estadísticas de tráfico o rendimiento necesarias para la prestación del servicio. Asimismo, la guía detalla las condiciones que permiten que determinadas cookies de medición puedan estar exentas de requerir consentimiento, siempre que su propósito sea limitado a la medición exclusiva de la audiencia y se utilicen para producir datos estadísticos anónimos.
A tal efecto, la AEPD considera estrictamente necesario el tratamiento de los siguientes datos, por lo que no será necesario obtener el consentimiento de los usuarios:
De igual modo, se establecen garantías mínimas para el uso de cookies exentas que deben ser implementadas por el editor, como informar a los usuarios del uso de las cookies a través de políticas de privacidad; limitar la vida útil de las cookies, y conservar la información recopilada por un período específico que no debe superar los 25 meses, debiendo realizarse revisiones periódicas.
Cuando se recurre a un proveedor de servicios de medición de audiencia, se exige un compromiso contractual que prohíba la reutilización de datos y que garantice un tratamiento independiente de datos en caso de servir a más editores. También se requiere que el proveedor restrinja el tratamiento de datos a propósitos específicos y a cumplir con las condiciones para la transferencia de datos fuera de la Unión Europea. Finalmente, será necesaria una evaluación para asegurar que las herramientas del proveedor cumplen con los requisitos establecidos.
En resumen, resulta evidente que el “mundo cookie” ha experimentado numerosas modificaciones en los últimos meses. No obstante, aún estamos a la espera de conocer las acciones que tomarán las autoridades de control, así como la respuesta de los usuarios frente a tales cambios significativos.
Cristina Zato, CdC Privacidad de Govertis part of Telefonica Tech
La protección del menor en Internet, desde la perspectiva del derecho fundamental a la protección de datos de carácter personal, ha estado presente en la legislación española (artículo 13 del RDLOPD) y así continúa considerándose (artículo 7 y artículo 84 LOPDGDD); estando, de este modo, en sintonía con el sentir del legislador europeo (artículo 8 RGPD).
Actualmente, es cada vez mayor la preocupación por resguardar a los menores de contenidos para adultos, que puedan perjudicar a su desarrollo físico, mental o moral. Es por esto que, la Agencia Española de Protección de Datos (AEPD), a los efectos de restringir el acceso a este tipo de contenidos, presentó un sistema de verificación de edad para proteger a los menores de edad. Este sistema de verificación no busca que los proveedores de Internet puedan conocer la edad exacta del usuario, o incluso su identidad, o someterlo a vigilancia y seguimiento, sino que se trata de un primer paso que avanza en el interés común de proteger a los menores del acceso incontrolado a contenidos inadecuados.
Los sistemas y soluciones actuales de verificación de edad -véase, por ejemplo, cualquiera de los modelos de autodeclaración de mayoría de edad, habilitadores de acceso sin restricciones a contenidos para adultos- presentan grandes deficiencias, no siendo conformes, en absoluto, a las citadas disposiciones de la normativa en protección de datos personales.
Este tipo de acceso incontrolado a dichos contenido supone, en la mayoría de las ocasiones, una infracción de los principios generales en protección de datos y, por ende, deben considerarse de carácter muy grave. Entre otros, se efectúa una recogida de datos personales innecesario (incluso, perfilado de usuarios, con observación de hábitos de navegación y localización) con una total falta de transparencia y sin estar legitimados, obviamente, por los titulares de la patria potestad o tutela.
Esto, por supuesto, supone un alto riesgo para los derechos y libertades fundamentales de los menores. En aras a proteger el interés superior de los menores, la AEPD ha publicado un Decálogo de Principios. Este decálogo se configura como exigencias mínimas que deben cumplir los sistemas de verificación de edad y del que se desprenden las siguientes ideas:
• No se persigue que el proveedor conozca que la persona que accede a Internet es menor, sino que tengan la garantía de que la persona puede hacerlo, acreditando su condición de “persona autorizada a acceder”.
• El sistema debe garantizar que no es posible la identificación, el seguimiento o la localización de menores a través de Internet.
• El sistema debe garantizar que las personas no pueden ser perfiladas en función de su navegación.
• Todo sistema debe tener definido un marco de gobernanza.
• La estrategia más adecuada para la gestión del sistema es aquella que vela por preservar el anonimato del usuario, debido al alto riesgo de estos sistemas.
• Para el diseño y la implementación del sistema, se tomará como base el interés superior del menor y el derecho a la privacidad y la intimidad.
• Los sistemas, en la medida que supongan un tratamiento de datos personales, han de estar legitimados, ser idóneos, necesarios y proporcionales.
• Se obliga a implementar todas las medidas de privacidad necesarias que resulten de la realización de una evaluación de impacto para la protección de datos y superar un análisis de idoneidad, necesidad y proporcionalidad.
A partir de este Decálogo, la AEPD, con la colaboración de un equipo del Consejo General de Colegios Profesionales de Ingeniería Informática, realizó una serie de pruebas para demostrar que la protección del menor se puede materializar de forma práctica y concreta. Así, estas pruebas se han desarrollado sobre distintos tipos de sistemas y empleando varios proveedores de identidad accesibles a la ciudadanía, demostrando la viabilidad de su aplicación y diversas formas prácticas de llevarlo a escenarios reales.
No obstante, la AEPD nos aclara que este sistema de verificación de edad no pretenden ser una solución final única (con esto, preserva la neutralidad tecnológica y el libre mercado de opciones) sino demostrar que es posible la puesta en marcha de un sistema efectivo y animar, así, a los distintos intervinientes en el ecosistema de Internet a encontrar sus propias soluciones respetuosas con los derechos fundamentales. En esta línea, la Fábrica Nacional de Moneda y Timbre (FNMT) se ha comprometido a desarrollar una app, que servirá para ayudar a proteger a este colectivo tan vulnerable.
En fin, desde aquí queremos continuar haciendo eco de esta iniciativa de nuestra autoridad de control española e instar a que los distintos proveedores de contenido e intervinientes de Internet, (en particular, páginas de pornografía, sitios de juego, redes sociales con contenidos de todo tipo, páginas de venta de tabaco o alcohol, etc.) adopten sistemas de verificación de la edad de sus usuarios, con arreglo al citado Decálogo, y cumplir con los requisitos necesarios para proteger los datos personales de todos éstos, adultos y menores, a la vez que se protege el interés superior de estos últimos.
Eva Mª Simón, CdC Privacidad de Govertis part of Telefonica Tech.
El pasado mes de diciembre tuvo lugar en Madrid el VI Congreso de Privacidad «Diálogos de DPDs» organizado por la Asociación Española para la Calidad, con la colaboración de GOVERTIS, parte de Telefónica Tech.
En la ponencia inaugural, Ofelia Tejerino, presidenta de la Asociación de Internautas, destacó la necesidad de abordar la ciberseguridad de manera integral, mediante el establecimiento de estándares técnicos, legales y éticos en los procesos que implementen sistemas de IA para mitigar riesgos inherentes. Además, subrayó la importancia de asumir una responsabilidad proactiva, así como la necesidad de inversión en I+D en talento y formación, generando así un impacto positivo en el capital reputacional de las empresas.
La primera mesa redonda, moderada por María Loza, responsable del Centro de Competencia de Tecnologías Emergentes de Govertis, en la que participaron Antonio Muñoz, Director de la oficina global del DPD de Telefónica; Estrella Gutiérrez, Profesora en la Universidad Complutense y Doctora en Derecho; Santiago Ferrís, Jefe del Servicio de Telecomunicaciones de la Generalitat Valenciana y Manuel González, Jefe del Gabinete de Cumplimiento, Consejo de Transparencia y Protección de Datos de Andalucía, versó sobre los retos ante la propuesta de regulación de la IA en el nuevo Reglamento Europeo. Las ponencias abordaron las siguientes cuestiones:
1. La propuesta de reglamento de IA no es la primera, ni la única norma.
Antonio Muñoz indicó que existe un cierto consenso en los principios, riesgos y la forma de mitigarlos, a pesar de que las aproximaciones sean diferentes. También describió diferentes modelos normativos que existen a nivel mundial (Brasil, China, EE.UU.) y sus principales rasgos, pero, sobre todo, destacó la importancia de generar preocupación y, a partir de ahí, convergencia en las soluciones.
2. Concepto de IA. Explicabilidad y Transparencia. Desafíos en la implementación de sistemas prohibidos en el ámbito del Sector Público.
Es importante delimitar el concepto de IA y, de hecho, la definición se ha ido modificando en las diferentes versiones de la propuesta de Reglamento, incluyendo, por ejemplo, sistemas estadísticos.
Estrella Gutiérrez destacaba que Interpretabilidad, transparencia y explicabilidad son términos diferentes, interrelacionados, pero distintos.
Actualmente, las licitaciones pocas veces incluyen requisitos de transparencia o métricas de error y se han licitado sistemas de IA definidos como sistemas prohibidos.
Surge la cuestión de cómo se determina el impacto o cuáles son los criterios para determinar dicho impacto, en la seguridad, derechos fundamentales y la salud.
Para la Administración Pública será un desafío ya que, como apuntaba Santiago Ferrís, deberán realizarse evaluaciones de riesgo de todos los casos de uso aplicables a los procedimientos administrativos y servicios públicos, indicando con certeza, que se acabarán utilizando precisamente sistemas de IA.
Previamente, también deberán establecerse procedimientos mediante los que se decida y apruebe la implementación de un sistema de IA en la Administración Pública.
3. Cuestiones técnicas del Reglamento de IA
Santiago Ferrís enfatizó la necesidad de supervisión humana en sistemas de IA basados en correlaciones y también la dificultad de garantizar el anonimato. También aboga por un enfoque integral que aborde conjuntamente protección de datos e Inteligencia artificial y no diferentes sistemas de gobernanza.
Respecto a los riesgos técnicos, no hay un criterio único para todas las situaciones, por lo que debe analizarse cada caso.
En relación con la normalización, Santiago Ferrís entiende que es una solución a medio plazo y que deben desarrollarse estándares, métricas de error, etc. Manuel González puntualizó que serán organismos de naturaleza técnica, los que confeccionen los estándares técnicos normalizados que se deban implementar, lo cual tiene relevancia en lo que a derechos fundamentales se refiere.
4. Comparación entre el concepto de transparencia en el Reglamento de IA y el RGPD. Diferencias en las evaluaciones de impacto en protección de datos y derechos fundamentales.
Manuel González indicó que mientras que en el RGPD la transparencia, como se indica en el Considerando 39, radica en el conocimiento que el interesado tiene de qué, para qué y cuándo se tratan sus datos personales en la propuesta de reglamento de IA se habla de una definición explícita que apunta a que el usuario pueda comprender las capacidad, límites y riesgos y sea capaz de entender la información de salida.
La transparencia en la propuesta de reglamento de IA, aplica en tres niveles: sistemas de alto riesgo, sistemas de propósito general y a determinados sistemas de IA, frente al RGPD que aplica a todos los responsables de tratamiento en todos los casos.
Los sistemas de alto riesgo deberán cumplir con obligaciones de transparencia y registro de cierta información en bases de datos de acceso público, incluyendo el derecho a una explicación para las personas afectadas por decisiones automatizadas.
En lo relativo a la evaluación de impacto de derechos fundamentales que deberán realizar los usuarios, esta deberá coordinarse con la evaluación de protección de datos correspondiente.
5. Rol del DPD sobre la gobernanza de IA y coordinación con las diferentes autoridades de control en protección de datos y la Agencia Estatal de Inteligencia Artificial (AESIA).
Se coincidió por varios ponentes en que el rol del DPD es fundamental en el modelo de gobierno de la IA. El rol del DPD y todas las funciones de coordinación interna no deben replicarse, sino deben incorporar los mecanismos de aseguramiento de IA.
La AESIA y las autoridades de protección de datos deberán coordinarse, dada la interrelación de competencias, y deberán coordinarse, no solo con la AEPD, sino también con las autoridades de control autonómicas.
La segunda mesa redonda, moderada por Patrick Monreal, responsable del Centro de Privacidad de Govertis, contó con los expertos Pablo Garrote, abogado, profesor y DPD del Grupo IMQ; Eusebio Moya, Jefe de Protección de Datos y Seguridad de la Información de la Diputación de Valencia y DPD de la Institución y Francesc Xavier Urios, profesor y Jefe de la Asesoría Jurídica de la Autoridad Catalana de Protección de Datos. En ella se abordaron los nuevos frentes del DPD: AARR, EIPD en tecnologías disruptivas, destacando los problemas y riesgos de la contratación de proveedores relativos a las transferencias internacionales de datos, derivados de la falta de información y transparencia, así como la reticencia de los encargados de tratamiento de cara a la protección de los secretos industriales.
Por otro lado, se enfatizó en focalizar los esfuerzos de supervisar la tecnología que controla al dato, más que en el propio dato. También se recordó la importancia del consentimiento –que no lo puede todo-, que ha ser libre, aunque dicha condición no suele cumplirse cuando nos encontramos ante relaciones jerárquicas.
Otra cuestión fundamental que se destaca es el principio de atender al estado de la tecnología, debiendo implementarse medios para constatar la mayor fiabilidad de la misma, pero se resalta la preocupación de la posibilidad de habilitar paraísos tecnológicos, lo que conllevaría una gran inseguridad jurídica, al no haber, hasta la fecha, garantías para el control del fraude derivado de su uso.
Por último, David Rubio compartió su perspectiva sobre la situación actual de las transferencias internacionales de datos y el nuevo marco de privacidad de datos entre la UE y EE.UU., abordando cuestiones relativas al sistemático cuestionamiento ante el TJUE de los mecanismos establecidos en la UE para facilitar las exportaciones de datos personales de europeos, resultando cada vez más habitual que las jurisdicciones establezcan limitaciones a las exportaciones de datos personales desde sus territorios. Además, destaca la importancia del principio de responsabilidad proactiva en lo relativo a la necesidad de documentar todas las evaluaciones y decisiones relacionadas con las TID, manteniendo así una transparencia y trazabilidad constantes.
Cristina Zato. Equipo Govertis- Telefónica Tech.
El pasado mes de julio la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies, para alinearse con las Directrices europeas 03/2022 del Comité Europeo de Protección de Datos (CEPB) sobre patrones engañosos en plataformas de redes sociales.
Estas Directrices brindan recomendaciones prácticas a proveedores, responsables y usuarios de plataformas de redes sociales sobre cómo evaluar y evitar los “patrones de diseño engañosos” que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).
Entonces, ¿cómo impactarán estos cambios en la forma en que mi organización proporciona información sobre cookies a los usuarios?
Tras la incorporación de las consideraciones del CEPB en la Guía de Cookies, aplicables a todos los prestadores de servicio de la sociedad de la información, se ha señalado un plazo máximo de adecuación hasta el 11 de enero del 2024, como ha señalado la propia AEPD.
Los prestadores de servicios de la sociedad de la información deberán evitar los patrones engañosos al informar sobre cookies a los usuarios, como la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, diseños poco claros y oscuros.
La información facilitada deberá ser concisa, transparente, inteligible, en un lenguaje claro y sencillo y de fácil acceso.
Para ello, se proporcionará información por capas:
1ª CAPA:
No resultará válida la aceptación automática de cookies al continuar navegando, ni se sugerirá que no aceptar impide la navegación.
Además, no se permitirán colores o contrastes que generan confusión al usuario y que induzcan a consentir involuntariamente.
2º CAPA:
En resumen, es esencial para las organizaciones adaptarse a estas Directrices para garantizar el cumplimiento y la transparencia relativa a las cookies, evitando patrones engañosos y proporcionando información clara y accesible a los usuarios.
Cristina Zato, Elías Vallejo
Equipo Govertis
El artículo 28 del RGPD establece que la vinculación entre responsable y encargado del tratamiento de datos debe reflejarse mediante un acto jurídico o contrato escrito. En este acto o contrato, además de definir el objeto, la duración, naturaleza, tipología y finalidad del tratamiento de datos, se establece la obligación por parte del encargado de seguir las instrucciones del responsable a lo largo de todo el tratamiento de datos, así como la necesidad de regular el régimen de subcontratación En relación a esto último, el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios (artículo 28.2 RGPD).
Pues bien, la AEPD nos ha recordado la importancia de esto último, desestimando el recurso de reposición interpuesto por el reclamado contra la resolución de la AEPD dictada con fecha 4 de abril de 2023, en el expediente EXP202105473. (reposicion-ps-00668-2022.pdf (aepd.es).
En este supuesto, se formuló la reclamación por la realización de una llamada comercial, a la línea de telefonía móvil de la reclamante, que la cual tenía por objeto ofrecer los servicios del responsable del tratamiento. A este respecto, el responsable del tratamiento indicó, inicialmente, que la llamada comercial se había realizado por un encargado del tratamiento, quien prestaba servicios de asesoría y apoyo comercial y técnico para la captación de clientes en nombre del responsable del tratamiento, incluyendo la realización de acciones de venta telefónica.
No obstante lo anterior, tras las averiguaciones oportunas por el responsable a través de la información facilitada por su encargado, este último reconoció que la llamada telefónica en cuestión había sido realizada por una entidad subcontratada para tal fin. El responsable manifestó al respecto que no conocía esta subcontratación y que la misma se realizó sin su consentimiento, a pesar de que el Contrato de Servicios y el Contrato de Encargo del Tratamiento, celebrados entre responsable y encargado, prohibían expresamente la subcontratación de trabajos sin la aprobación previa y por escrito del responsable.
En consecuencia, la #AEPD considera que los hechos expuestos vulneran lo dispuesto en el artículo 28 del #RGPD por parte del encargado del tratamiento, que da lugar a la aplicación de los poderes correctivos que se indican en el artículo 58 del citado Reglamento.
Tras el análisis del caso, podemos extraer dos conclusiones fundamentales. La primera, la obligación por parte del encargado de respetar lo establecido en el contrato de encargo y no recurrir a otro encargado, sin la autorización previa por escrito, específica o general, del responsable; a quien deberá informar de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dándole la oportunidad de oponerse a dichos cambios, según se establezca. Es por esto que, es aconsejable que entre las instrucciones, que transmita el responsable del tratamiento, a través del contrato de encargo, se recoja perfectamente estos extremos. La segunda, de igual importancia y exigida explícitamente (artículo 28.1 RGPD), la diligencia que debe tener el responsable del tratamiento, al momento de elegir (diligencia in eligiendo) únicamente a aquellos encargados, que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado, así como supervisar el cumplimiento del contrato por parte del encargado (diligencia in vigilando).
Víctor Bermejo Sánchez GRC Consultant
Equipo Govertis