En este Digital Newsflash de mayo se recoge un resumen de las noticias recientes más relevantes relacionadas con la regulación legal del entorno digital:
Posible multa a empresa danesa de búsqueda de empleo
El Comité europeo se hacía eco el pasado 15 de mayo del asunto, procedente de la Autoridad Danesa de Protección de Datos y concerniente al derecho de acceso a los datos por parte de un interesado. La referida empresa, JobTeam, habría incumplido los principios de licitud, lealtad y transparencia en el tratamiento, establecidos en RGPD, al haber borrado los datos personales objeto de la solicitud de acceso de un interesado durante el período posterior a la presentación de la solicitud y antes de la respuesta de la empresa. Al hacerlo, se habría impedido que la Autoridad de Protección de Datos y los tribunales revisasen la referida solicitud de acceso. Si finalmente los tribunales imponen la sanción (pues en Dinamarca la Autoridad de datos no es competente para ello), la multa podría elevarse a 50.000 coronas danesas (unos 6.700€). Es claro que la intención de la empresa era erradicar todo rastro de un tratamiento que, parece bien claro, carecería a todas luces de licitud; o bien de proceder a un borrado debido, pero ya extemporáneo, en cuanto que debió haberse producido con anterioridad a la fecha en que el interesado solicitó el acceso a su información personal.
Difusión de datos especialmente protegidos en un web público
Algo antes, el 13 de mayo de 2020, el propio Comité europeo de protección de datos difundía otro asunto relativo a sanciones procedentes de autoridades nacionales de protección de datos, esta vez originado en la Agencia sueca de protección de datos. Una autoridad médica de la región de Örebro publicó en el sitio web de la propia región datos personales especialmente protegidos de un paciente ingresado en una clínica psiquiátrica. No parece, según se constató en el expediente, que la autoridad regional contara con un protocolo escrito para este tipo de publicaciones, siendo únicamente orales las instrucciones al efecto; esto es lo que llevó a la Agencia a considerar que la autoridad regional en cuestión no adoptó medidas organizativas suficientes para garantizar una adecuada protección de los datos personales en este tipo de circunstancias. La Agencia sueca estimó también que la publicación de esos datos carecía de finalidad legítima, así como de base lícita, tanto más necesaria a la vista de la prohibición general de tratar datos personales especialmente protegidos, establecida en RGPD. A resultas de todo ello, se acordó una sanción de 120.000 coronas suecas (aproximadamente 11.000€). El tratamiento de datos personales especialmente protegidos, entre los que se cuentan los de salud, solo puede llevarse a cabo legalmente, conforme a RGPD, si se puede hacer uso de una de las exenciones a la prohibición general previstas en esta norma. Llama la atención que una autoridad del ámbito médico, por tanto habituada al tratamiento cotidiano de este tipo de información, no pusiera más cuidado en ello; como también que se careciera de unas medidas organizativas adecuadas al riesgo de seguridad que la publicación de este tipo de datos puede suponer para quien la sufre.
Indagaciones de la Agencia irlandesa de protección de datos sobre el asistente de voz Siri de Apple
Al ser en Irlanda donde Apple tiene su principal sucursal europea, el Comisionado de Protección de Datos de ese país (DPC) es también el, por así decir, regulador "de cabecera" de esta Big Tech estadounidense en la UE. El 21 de mayo, fuentes de dicha autoridad afirmaron estar en contacto con esta empresa, después de que un denunciante, antiguo contratista de Apple, pidiera que se actuara contra ella a propósito de un programa implementado en su asistente de voz Siri, supuestamente diseñado para grabar y subsiguientemente escuchar las voces de sus usuarios. El asunto no llega sin embargo de nuevas, pues desde el verano pasado el DPC viene estudiando el asunto, que según el propio DPC habría motivado ya algunos cambios de Apple en la tecnología correspondiente. A raíz de esta denuncia, no obstante, el regulador irlandés se ha vuelto a dirigir a Apple, quien deberá manifestarse al respecto. Al hilo de este caso, el DPC ha recordado que el propio Comité europeo de protección de datos está en estos momentos elaborando una guía relativa a las tecnologías de asistente de voz. Será fundamental seguir esos trabajos, dada la evidente alarma que las grabaciones de voz generan en los usuarios de este tipo de tecnologías; más que lógica, si tenemos en cuenta que, en mayor medida incluso que la imagen, la grabación de voz puede llegar a ser una herramienta profundamente intrusiva en la privacidad. Claramente, ésta es también la razón por la que la grabación de voz es un instrumento visto con gran recelo por la interpretación que de la normativa de datos vienen haciendo los reguladores europeos, al ser difícil compaginarlo, entre otros, con principios básicos de la protección de datos como es el de proporcionalidad.
Actualización por el Comité europeo de protección de datos de su Guía sobre consentimiento en cookies
El 10 de abril de 2018 el ya extinto Grupo de Trabajo del Artículo 29 aprobó su Guía sobre consentimiento en virtud de RGPD (WP259.01), que fue refrendada por el Comité en su primera sesión plenaria. El presente documento actualiza dicha Guía en solo dos aspectos, quedando el resto exactamente como estaba. El primero de dichos aspectos (parágrafos 38 a 41) se refiere a los llamados "muros de cookies": según el Comité, ningún responsable puede condicionar el disfrute por el usuario de determinados servicios al hecho de que éste otorgue al responsable su consentimiento para la utilización de las cookies que se le han presentado al usuario en ese "muro". En la medida en que el usuario solo podrá superar ese "muro" y disfrutar de tales servicios una vez haya aceptado las cookies, el consentimiento que al efecto haya prestado no puede considerarse libre, y por tanto válido a efectos de RGPD, al no hacer posible una verdadera elección por parte de aquél. El segundo aspecto indicado (parágrafo 86) se refiere a uno de los ejemplos de uso incluidos en la Guía, en concreto el del desplazamiento ("scrolling") o la navegación por una página web o una actividad similar del usuario como opción sustitutiva a la de una clara acción afirmativa por su parte. En cuanto, según el Comité, tales acciones pueden ser difíciles de distinguir de cualquier otra actividad o interacción de un usuario, tampoco será posible determinar que se ha obtenido su consentimiento. Además, en tal caso, será difícil proporcionar al usuario una forma de retirar el consentimiento de una manera que sea tan fácil como otorgarlo. En consecuencia, estas fórmulas sustitutivas en ningún caso pueden considerarse válidas a los efectos de lograr un consentimiento conforme con RGPD. Se da la circunstancia de que, con esta decisión, el Comité enmienda a la Agencia española de protección de datos, la cual, en su Guía sobre cookies de noviembre de 2019, había aceptado el "scrolling" como modalidad válida, siempre que cumpliera algunas condiciones, básicamente tendentes a reforzar el consentimiento. En síntesis, ambas modificaciones se orientan a fortalecer una de las principales novedades de RGPD en relación con el consentimiento, cual es su carácter necesariamente inequívoco.
