La Sentencia del Tribunal de Justicia (Sala Primera) de 7 de diciembre de 2023, OQ contra Land Hessen (asunto C-634/21) resulta de especial interés para la protección de datos en las decisiones apoyadas en la automatización. Esta STJUE responde a una … Sigue leyendo
Archivo de la etiqueta: Datos personales
Geolocalización y protección de datos
Como es sabido, los datos de ubicación, pueden servir para inferir y conocer diversa información personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios
En EEUU se han ido conociendo reclamaciones frente a grandes compañías de servicios digitales, con base en prácticas de geolocalización irrespetuosas con el ordenamiento.
- En noviembre 2022, un grupo de 40 Attorney General (fiscales generales) de Minesota en EEUU llegó a un acuerdo con Google LLC, a raíz de una sobre la presunta violación por parte de la compañía de las correspondientes normativas estatales de protección del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalización. Poco antes, se había alcanzado un acuerdo similar en Arizona. Según ha trascendido, Google habría trasmitido la errónea impresión de que cuando los usuarios desactivaban los servicios de seguimiento de localización la compañía dejaría de recopilar datos de geolocalización sobre ellos. En realidad, Google seguía acumulando estos datos y luego los ofrecía a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de dólares, así como facilitar a los usuarios información adicional al activar o desactivar un determinado ajuste relacionado con la localización; y tiene que asegurar que la obtención de información clave sobre el seguimiento de la localización sea «insoslayable» para los usuarios , así como proporcionar información detallada sobre los tipos de datos de localización que recopila y utiliza. Más aquí
- En la UE, dado que los sistemas de geolocalización capturan, almacenan y analizan la información geográfica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicación el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimación. Cuando el dispositivo sea propiedad de una persona física será necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de una empresa, se podrá legitimar por interés legítimo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recuérdese que el art. 20.3 del Estatuto de los Trabajadores permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española, en coherencia además con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibición del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c RGPD, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Además, los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.
Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a obligaciones del GDPR:
- El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 RGPD).
- El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
- Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
- La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 RGPD).
Ver también
- GT29, Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes, WP 185, 16 de mayo de 2011,
- GT29, Dictamen 5/2005 sobre el uso de los datos de localización con vistas a prestar servicios con valor añadido, WP 115, 25 de noviembre de 2005,
- AEPD. Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4)
En España, en enero de 2023, Audiencia Nacional anuló una decisión de la AEPD en la que sostuvo que la empresa Virgin telco había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. El asunto había sido planteado por una ONG especializada: NOYB.
- Noyb, cuyas siglas proceden de la expresión inglesa None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relación con los acuerdos de trasmisión de datos a EEUU). La ONG especializada en protección de datos recurrió una decisión de la AEPD. NOYB sostenía que la información sobre geolocalización es un dato personal y debe facilitarse al amparo del derecho de datos personales.
Un cliente de Virgin telco en España solicitó acceder a sus datos de geolocalización. Le fueron denegados por lo que reclamó ante la AEPD. La agencia dio la razón a la empresa por lo que Noyb recurrió esa decisión en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en España están obligados a almacenar datos de geolocalización de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa información a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado sólo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anuló la decisión inicial de la AEPD. Ver aquí la web de esta ONG
TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo
El 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisión, el TJUE aclaró los criterios para evaluar si existe un conflicto de intereses entre la función de Delegado de Protección de Datos («DPD/DPO») y otras tareas o funciones asignadas al mismo DPD/DPO.
- Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislación sobre protección de datos y las políticas adoptadas en cada organización, y actuar como punto de contacto con las autoridades de control.
- Para desempeñar eficazmente estas tareas debe operar con independencia. A tales efectos, el artículo 38, apartado 3, del RGPD establece específicamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al más alto nivel directivo (recuérdese que el mismo artículo prohíbe despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).
En esta sentencia, el TJUE hizo hincapié en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecución de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en función de otro cargo que compatibilice) determinar los objetivos y métodos del tratamiento de datos personales.
Ahora bien, a efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluación casuística, para determinar si existe un conflicto de intereses. En esta evaluación se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, así como las políticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este último aspecto, se planteó la cuestión de si esta prohibición se opone a una legislación nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal únicamente cuando exista una causa justificada, aunque el despido no esté relacionado con el ejercicio de las tareas del DPD/DPO. Para llegar a esta conclusión, el Tribunal reiteró que los conceptos de «destituir» y «sancionar» deben interpretarse con arreglo al lenguaje corriente (véase también la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra «cualquier decisión que ponga fin a sus funciones, por la que se le coloque en una situación de desventaja o que constituya una sanción». El Tribunal confirmó que una medida de despido por parte de un empleador puede constituir una decisión de este tipo.
El Tribunal también reiteró que la prohibición de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relación con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo sólo cuando los motivos subyacentes a la decisión se refieren al desempeño de sus funciones. El Tribunal consideró que cada Estado miembro es libre de establecer disposiciones específicas más protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protección no menoscabe la consecución de los objetivos del RGPD. Tal menoscabo podría producirse, por ejemplo, cuando la legislación nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.
- En cuanto al conflicto de intereses, el TJUE señala que el artículo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el artículo 39 del RGPD), pero impone la obligación de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
- Sobre las circunstancias podrían suponer tal conflicto de intereses, el Tribunal respondió de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan «menoscabar la ejecución de las funciones desempeñadas por el DPD/DPO». Más concretamente, el Tribunal confirmó que se produciría un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinación de los objetivos y métodos de tratamiento de datos personales por su parte. Evidentemente, la determinación de objetivos o métodos de tratamiento de datos chocaría con el requisito de poder revisar de forma independiente dichos objetivos y métodos. La evaluación de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y políticas aplicables).
1) El artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.
2) El artículo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.
Más:
- Esta conclusión es coherente con las directrices del Grupo de Trabajo del Artículo 29 sobre los responsables de la protección de datos de 2017.
Sanción belga por conflicto entre DPD y compliance Officer
El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).
Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,
- el deber de cooperar con la APD;
- las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
- los requisitos relacionados con el cargo de DPD de la sociedad.
En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.
En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:
- Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
- El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
- Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.
En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.
En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
TJUE: RGPD y Despido del Delegado de Protección de Datos
En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunció sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminación del empleo de un responsable de la protección de datos (DPO) de conformidad con el artículo 38 (2) y el artículo 6 (4) frase 2 de la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG).
Antecedentes
La decisión del TJUE se basa en la petición de decisión prejudicial del Tribunal Federal de Trabajo alemán (Bundesarbeitsgericht, BAG) formulada mediante la decisión de 30 de julio de 2020 (2 AZR 225/20). El BAG debía pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.
- El empleador, una sociedad de Derecho privado que, con arreglo a la legislación alemana, está obligada a nombrar a un DPO, había puesto fin a la relación laboral de la DPO con la debida antelación debido a una medida de reestructuración. Los tribunales de primera instancia consideraron que la rescisión no era válida porque eran aplicables las disposiciones que regulan la rescisión de la relación laboral de un DPO con arreglo al artículo 38, apartado 2, y al artículo 6, apartado 4, segunda frase, de la BDSG, por lo que la relación laboral sólo podía haberse rescindido por “causa justificada”, en el sentido de la BDSG y el RGPD.
-
-
-
-
- El artículo 6 (4) de la BDSG, establece:…No se pondrá fin a la relación laboral del responsable de la protección de datos a menos que existan hechos que den al organismo …. una causa justa para poner fin a la relación laboral sin previo aviso. […]»
-
-
-
-
- El BAG tenía dudas sobre la compatibilidad de esta disposición (artículo 6 (4) de la BDSG) con el artículo 38, apartado 3, frase 2, del RGPD («El responsable del tratamiento o el encargado del tratamiento no podrá despedirlo ni sancionarlo por el desempeño de sus funciones«), ya que las disposiciones alemanas imponen requisitos más estrictos al cese del empleo de un DPO que la disposición de la legislación de la UE. En este contexto, el BAG planteó la siguiente pregunta al TJCE*:
«¿Debe interpretarse el artículo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisión ordinaria del contrato de trabajo del delegado de protección de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempeño de sus funciones?».
En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y que el l artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3 y 5: «3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.[…] 5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.» El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», dispone, en su apartado 1, letra b): «El delegado de protección de datos tendrá como mínimo las siguientes funciones:…, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;…..
La respuesta del TJUE a la pregunta del BAG es que la segunda frase del artículo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislación nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protección de datos, que es miembro de su personal, únicamente con justa causa, aunque la rescisión contractual no esté relacionada con el desempeño de las tareas de dicho delegado, en la medida en que dicha legislación no menoscabe la consecución de los objetivos del RGPD. Según el TJCE, las disposiciones alemanas, en virtud de las cuales la relación laboral de un DPO sólo puede rescindirse por causa justificada, aunque la rescisión no esté relacionada con el desempeño de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicación tradicional de la legislación alemana de protección del empleo favorable a los trabajadores.
El TJUE justificó su decisión afirmando que el artículo 38, apartado 3, frase 2, del RGPD sirve únicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relación laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero sólo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijación de normas sobre la protección de los DPD/DPO frente a la terminación de su relación laboral es fundamentalmente una cuestión de política social, ámbito en el que los Estados miembros de la UE pueden establecer disposiciones más tuitivas y estrictas que el legislador de la UE, siempre dentro de unos límites. Así, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE señala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podrían impedir la rescisión del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempeñar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD
Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerarán estos dos casos como «causas justas» para el despido en futuras decisiones y/o si desarrollarán otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuestión de si existe una causa justa para el despido aún debe determinarse caso por caso, si bien los efectos de una rescisión sobre las obligaciones derivadas del RGPD desempeñarán un papel importante a la hora de determinar si existe una causa justa para la rescisión.
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
El mercado de datos como supuesto de aplicación de las normas antitrust de la UE. A propósito de un acuerdo en materia de acceso a datos en el sector asegurador
Tras la consiguiente investigación iniciada de oficio por el supervisor europeo de la libre competencia, la Comisión Europea ha llegado a un acuerdo con una asociación irlandesa de compañías de seguros que participaba en el mercado de datos compartidos.
Antecedentes
Insurance Ireland (II) es una asociación de empresas que participan en el sector de los seguros en Irlanda. II ofrecía a sus asociados un sistema de intercambio de información llamado Insurance Link. Este sistema incorporaba información útil para detectar y combatir el fraude en el mercado irlandés de los seguros de automóviles. A compartirse la información del Insurance Link entre los asociados de II, el mecanismo planteaba dudas desde la perspectiva antitrust.
Este comportamiento debe analizarse a la luz de lo dispuesto en el Derecho Europeo de la libre competencia. Concretamente, el artículo 101 del TFUE y el artículo 53 del Acuerdo sobre el Espacio Económico Europeo prohíben los acuerdos anticompetitivos y las decisiones de asociaciones de empresas que impidan, restrinjan o distorsionen la competencia en el mercado único de la UE.
Dependiendo de su diseño, los acuerdos de intercambio de datos pueden contribuir al funcionamiento eficaz de los mercados de seguros e incluso propiciar la libre competencia. Por lo tanto, es importante garantizar que estos acuerdos, incluidas sus condiciones de acceso, se ajusten al ordenamiento. La estrategia europea de datos refleja estos principios. En la hoja de ruta para la evaluación de impacto de la revisión de las Directrices sobre la aplicabilidad del artículo 101 del TFUE a los acuerdos de cooperación horizontal, la Comisión anunció recientemente su intención de incluir orientaciones que ayuden a las partes interesadas en la autoevaluación de los acuerdos de puesta en común y uso compartido de datos.
Las investigaciones y procedimientos de la Comisión Europea
- En julio de 2017, la Comisión realizó inspecciones sin previo aviso en el mercado de los seguros de automóviles en Irlanda. Y, el 14 de mayo de 2019, abrió una investigación formal sobre la conducta de II por una posible infracción del artículo 101 del Tratado de Funcionamiento de la Unión Europea («TFUE»).
- En junio de 2021, la Comisión emitió un pliego de cargos en el que exponía sus preocupaciones preliminares. Recuérdese que el pliego de cargos representa un paso formal, dentro de los procedimientos de investigación antitrust de la Comisión Europea. En este documento, la Comisión informa a las partes afectadas de las objeciones planteadas contra los comportamientos que hayan realizado. En este caso, el compartir información del Insurance link. Las entidades que reciben el pliego pueden examinar los documentos del expediente de investigación de la Comisión, responder por escrito y solicitar una audiencia para presentar sus comentarios ante la Comisión y las autoridades nacionales de competencia.
- Recuérdese que el apartado 1 del artículo 9 del Reglamento nº 1/2003 permite a la Comisión finalizar los procedimientos antimonopolio aceptando los compromisos ofrecidos por una asociación. Una decisión de este tipo no llega a una conclusión sobre si se han infringido, o no, las normas antimonopolio de la UE, sino que se limita a aprobar compromisos de cumplimiento obligatorio para las entidades investigadas obliga legalmente a la asociación a respetar los compromisos (consultar las Directrices sobre la aplicabilidad del artículo 101 del Tratado de Funcionamiento de la Unión Europea a los acuerdos de cooperación horizontal aqui ). En el asunto que nos ocupa, si II incumpliera los compromisos, la Comisión podría imponer una multa de hasta el 10% del volumen de negocios mundial de la asociación o de la suma del volumen de negocios de sus miembros activos en el mercado de referencia.
Los compromisos de II para hacer frente a la investigación (y la posición de la Comisión Europea al recibir estos compromisos)
- Para responder a las investigaciones de la Comisión, II ofreció algunos compromisos
- Entre el 4 de marzo y el 4 de abril de 2022, la Comisión sometió estos compromisos a una prueba de mercado y consultó a los terceros interesados para comprobar si eliminaban los problemas de competencia. La prueba de mercado hizo necesario que II modificase sus compromisos iniciales, para especificar el perfil y el papel del encargado de facilitar acceso a terceros, a los datos de la asociación II, entre otros.
- La Comisión consideró que los compromisos finales garantizarán el acceso de los participantes en el mercado a la plataforma Insurance Link, y decidió hacerlos jurídicamente vinculantes para esta asociación:
- Hacer que el acceso al sistema de intercambio de información Insurance Link sea independiente de la afiliación a II.
- Cambiar los criterios de acceso a Insurance Link y hacerlos justos, objetivos, transparentes y no discriminatorios y aplicarlos de manera uniforme a todos los solicitantes, tanto de Irlanda como de otros Estados miembros.
- Establecer un nuevo procedimiento de solicitud de Insurance Link con un calendario definido que será gestionado por un funcionario de solicitudes operacionalmente independiente, con un nivel suficiente de antigüedad y con experiencia en el sector de los seguros adquirida a título profesional. Los solicitantes a los que se les deniegue el acceso podrán recurrir al Comité de Supervisión, un órgano de apelación independiente. Establecer un modelo de tarifas basado en el coste y el uso y garantizar que se cobrará una tarifa justa, transparente y no discriminatoria a los usuarios de Insurance Link.
- Garantizar que los criterios para ser miembro de la asociación II sean justos, objetivos, transparentes y no discriminatorios.
- Los compromisos finales estarán en vigor durante 10 años. Bajo la supervisión de la Comisión, un administrador se encargará de vigilar la aplicación y el cumplimiento de los compromisos.
Más información, incluido el texto completo de la Decisión de la Comisión del artículo 9 y la versión completa de los compromisos está disponible en el sitio web de competencia de la Comisión, en el registro público , con el número de asunto AT.40511.
Entrada redactada con el apoyo de los siguientes Proyectos:
- Proyecto de investigación “Sostenibilidad, digitalización e innovación: nuevos retos en el Derecho del Seguro”, de (ref.: PID2020-117169GB-I00), financiado por FEDER/Ministerio de Ciencia e Innovación – Agencia Estatal de Investigación
Trasferencia internacional de datos. Nuevas Cláusulas estándar (CTT) de la Comisión Europea
Las CCT son cláusulas estandarizadas de protección de datos que han sido aprobadas por la Comisión Europea. Su inclusión en los acuerdos internacionales de transferencia de datos permite a los responsables y a los encargados del tratamiento cumplir con sus obligaciones en virtud del RGPD.
La Comisión Europea adoptó dos conjuntos de CCT el 4 de junio de 2022:
- uno que aborda diversas transferencias entre responsables y encargados del tratamiento : la Decisión de ejecución(UE) 2021/915 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo
- y otro que aborda las transferencias fuera de la UE: La Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
Se acompañan ambos de una serie de preguntas y respuestas, que la Comisión Europea pone a disposición con «fines informativos generales únicamente», pero, no obstante, para «proporcionar orientación práctica sobre el uso de las CCE y ayudar a las partes interesadas en sus esfuerzos de cumplimiento en virtud del RGPD
Dado que el llamado Escudo de Privacidad EE.UU.-UE fue invalidado por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 2020, ECLI:EU:C:2020:559, «Schrems II». , las CCT han sido el principal mecanismo para transferir datos de la UE a los EE.UU., en cumplimiento del RGPD . Las directrices anteriores de las autoridades europeas explicaban que las transferencias en el marco de las CCT son aceptables siempre que los datos personales que se transfieren estén sujetos a protecciones «esencialmente equivalentes» a las que tendrían en la UE. Para lograr protecciones «esencialmente equivalentes», el Supervisor Europeo de Protección de Datos indica que las partes que transfieren datos que pueden necesitar adoptar salvaguardias adicionales, como la codificación de los datos antes de la transferencia
Para trasferir datos fuera de la UE, las nuevas CCT crean la obligación, principalmente para el exportador de datos, de llevar a cabo una «evaluación del impacto de la transferencia» que implica evaluar el marco jurídico de protección de datos de la jurisdicción de destino que regirán los datos que se recibirán del controlador en la UE. Al realizar este análisis, se deben considerar las circunstancias específicas de las transferencias contempladas, incluyendo la categoría y el formato de los datos, el tipo de destinatario, el sector económico en el que se produce la transferencia y la longitud de la cadena de tratamiento. Las orientaciones que acompañan ambas Decisiones aclaran los tipos de información que deben tenerse en cuenta al realizar una evaluación del impacto de la transferencia. En concreto, las orientaciones señalan que las empresas pueden tener en cuenta
- información cierta sobre la aplicación de la legislación nacional del país de destino en la práctica, incluida la jurisprudencia y los informes de organismos de supervisión independientes,
- la existencia o ausencia de solicitudes de las autoridades públicas del país de destino para acceder a los datos en el sector correspondiente y, en determinadas condiciones,
- la experiencia práctica documentada del exportador y/o importador de datos. Cuando haya una evaluación negativa del impacto de la transferencia, las partes sólo podrán transferir datos basándose en las CCT «si establecen salvaguardias «suplementarias» adicionales (por ejemplo, medidas técnicas para garantizar la seguridad de los datos, como el cifrado de extremo a extremo) que aborden la situación y garanticen así el cumplimiento» de las CCT.
PERSPECTIVAS
Aunque el panorama de las transferencias internacionales de datos puede cambiar significativamente en los próximos meses a partir del reciente anuncio de que EE.UU. y la UE han alcanzado un «acuerdo de principio» sobre un nuevo marco de transferencia bilateral, no puede obviarse que NOYB, la organización de Schrems, ya ha redactado una carta abierta en la que se opone al acuerdo de principio y anima a «los negociadores de ambos lados del Atlántico a avanzar en las tan necesarias reformas de la legislación estadounidense». Además, Schrems «está dispuesto a impugnar cualquier decisión final de adecuación que no proporcione la necesaria seguridad jurídica». Por lo tanto, es probable que los CCT sigan siendo un mecanismo importante para efectuar transferencias de datos de la UE a los Estados Unidos que cumplan con el Reglamento (UE) General de Protección de Datos
MAS
- Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo: Dos años de aplicación del Reglamento General de Protección de Datos COM(2020) 264 final}{SWD(2020) 115 final}
- EDPB Issues Draft Guidance on Post-Schrems II GDPR Compliant Data Transfers, By 11.23.20
- EUCJ invalidates the EU-US Privacy Schield, by 07.20.20
Transferencia de datos entre autoridades de supervisión financiera del EEE y de terceros países: Dictamen favorable del SEPD sobre el borrador de acuerdo de garantías
El Supervisor Europeo de Protección de Datos, SEPD, emite su Dictamen 4/2019, sobre el proyecto de acuerdo administrativo para la transferencia de datos personales entre las Autoridades de Supervisión Financiera del Espacio Económico Europeo («EEE») y las Autoridades de Supervisión Financiera no pertenecientes al EEE (12 de febrero de 2019).
De acuerdo con el Reglamento General Europeo de Protección de Datos , los datos personales pueden ser transferidos de un país del EEE a un tercer país cuando se ofrezcan las garantías adecuadas. Una de las formas de proporcionar las salvaguardas es mediante un acuerdo administrativo entre los poderes públicos. Pues bien, el Dictamen 4/2019 del SEPD , on the draft Administrative Arrangement for the transfer of personal data between European Economic Area (“EEA”) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities de 12 de febrero de 2019 da el visto bueno al borrador de acuerdo administrativo relativo a la trasferencia de datos personales entre autoridades europeas de supervisión financiera (y de las Autoridades Nacionales Competentes) con Autoridades de supervisión de terceros países. Este acuerdo ha sido promovido desde ESMA, actuando en un papel de colaboración y coordinación con las Autoridades Nacionales Competentes en el EEE.
Teniendo en cuenta los compromisos de las autoridades nacionales de terceros Estados, que ratificarán mediante la firma de este Acuerdo para poner «en vigor las salvaguardias adecuadas para el tratamiento de datos personales en el ejercicio de sus respectivos mandatos y responsabilidades reglamentarios» y para «actuar de forma coherente con el Acuerdo», el SEPD considera que el acuerdo garantiza las salvaguardias precisas cuando los datos personales sean trasferidos a organismos públicos de terceros países no cubiertos por una decisión de adecuación de la Comisión Europea. Eso sí, el SEPD recuerda que, de acuerdo con el principio de rendición de cuentas, cada ANC y la ESMA mantendrán registros de la información para facilitar la tarea de supervisión de las autoridades. La información deberá, en cualquier caso, ponerse a disposición de las autoridades competentes, a petición de éstas. Por tanto, el SEPD considera, según se pone de manifiesto en este dictámen, que el acuerdo garantiza las salvaguardias precisas, incluso cuando los datos personales sean trasferidos a futuros suscriptores del mismo como son los organismos públicos de terceros países no cubiertos por una decisión de adecuación de la Comisión Europea. Y esta opinión ya sido acogida positivamente también desde fuera de la UE como lo ha manifestado IOSCO que actualmente cuenta con un Acuerdo Marco en virtud del cual se intercambian información 121 supervisores y reguladores de valores; que anuncian su intención de suscribir este acuerdo.
Además, el SEPD recuerda que, de acuerdo con el principio de rendición de cuentas, cada ANC y la ESMA deberán mantener registros de la información para facilitar la tarea de supervisión de las autoridades. La información deberá, en cualquier caso, ponerse a disposición de las autoridades competentes, a petición de éstas.
Este dictamen, primero de este tipo, permitirá el intercambio continuo de información sobre el cumplimiento de la normativa financiera y de mercados. Ya ha sido acogido positivamente por ESMA y por organizaciones internacionales como IOSCO, que ya ha anunciado su interés por participar en el Acuerdo liderado por ESMA
Protección de datos. Reformado el ordenamiento de la UE
Tras un proceso prelegislativo de varios años, publica el DOUE de 4.05.2016 el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Se publicó también la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. La reforma lleva aparejadas modificaciones en el Reglamento (CE) 45/2001 del Parlamento Europeo y del Consejo sobre al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión. La entrada aplicación completa del nuevo régimen se retrasa hasta 2018.
Como fundamento jurídico principal de estas normas están el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. La protección de datos presenta perspectivas generales y también específicas en relación con otros derechos como la libertad de expresión, y religión, de información; el derecho a un juicio justo; la libertad de empresa, a la diversidad lingüística y cultural, entre otros. Además, el tratamiento automatizado y las nuevas tecnologías TIC se sitúan en el corazón de las novedades, y es en ese ámbito en el que se refuerza especialmente la protecicón
Entre otras novedades, la reforma unifica la supervisión para toda la UE; y que se introducen sistemas de protección de datos en productos y servicios que utilizan datos personales de que son diseñados (Data protection by design), promueven de seudoanonimización y otras para salvaguardar los beneficios de la innovación en los tratamientos de datos
- Ver un primer comentario en castellano en noticias jurídicas.
- Fact sheets de la Comisión Europea sobre aspectos parciales de la reforma
- How does the data protection reform strengthen citizens’ rights?
- How will the EU’s reform adapt data protection rules to new technological developments?
- What benefits for businesses in Europe?(308 kB)
- How will the data protection reform affect social networks?(658 kB)
- How will the EU’s data protection reform strenghten the internal market?
- How will the EU’s data protection reform make international cooperation easier?
- How will the EU’s data protection reform simplify the existing rules?
- The EU data protection reform and Big Data
- Post
- Law 360
- German Law (comentario sobre reforma)
Post Scriptum.- Léase en comentario del Profesor Pedro Asensio aquí y aquí. También Jordi Bacaria para Economist & Jurist