Derecho al olvido: la autoridad de control de Eslovenia ordena la eliminación de fotografías

  1. El derecho al olvido está detrás de la última resolución de la autoridad de control de Eslovenia IPRS, que ha ordenado al responsable de los datos la eliminación de 88 fotografías.

 

La autoridad de control de Eslovenia ha ordenado la eliminación de una colección de 88 fotografías recogidas durante un período de tiempo de entre siete y 15 años. La resolución, que fue emitida en julio, gira en torno al ejercicio del derecho al olvido por parte de la interesada, tal y como ha informado el CEPD.  El Artículo 17 establece que los sujetos tienen derecho “a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”, bajo determinadas circunstancias. En este caso el responsable de los datos era una agencia de producción de contenido que creaba material sobre estilos de vida, y en este contexto almacenaba un total de 88 fotografías de la interesada demandante, quien indicó que no había otorgado su permiso para el tratamiento de sus datos y también se opuso al tratamiento tras afirmar que no existían motivos legítimos imperiosos para el que el mismo fuese válido.

 

El responsable alegó que el tratamiento era legítimo y rechazó la solicitud de la interesada para la eliminación de sus fotografías.

 

El responsable rechazó la solicitud de eliminación de las fotografías presentada por la interesada bajo la afirmación de que el tratamiento se realizaba sobre la base de interés legítimo conforme al artículo 6 (1) (f) del RGPD. Sin embargo, la autoridad de control consideró que el derecho a la libertad de expresión y el derecho a la información en este caso no prevalecían frente al derecho al olvido de la interesada y recordó que el derecho a la protección de datos debe valorarse frente al derecho a la libertad de expresión y a la información caso por caso.

 

Las fotografías y otros elementos de la página web estaban organizados de manera que se podía elaborar un perfil del interesado mediante la búsqueda de su nombre.

 

La autoridad de control de Eslovenia concluyó que las fotografías eran datos personales que formaban parte de un fichero. La fotografía principal y la descripción del resto de las fotografías iban acompañadas del nombre y el apellido de la interesada. Mediante las fotografías y la información adicional era posible determinar los eventos a los que la interesada había acudido, con quién y también sus características personales. El nombre de la interesada en el buscador podía crear un perfil que destacase las fotografías y sus datos. La web no podía concebirse como una página con información sobre un evento específico, pues permitía realizar búsquedas con el nombre y el apellido.

La autoridad de control ordenó la eliminación de las fotografías y los datos asociados, conforme a la solicitud del derecho al olvido del interesado.

 

La autoridad de control ordenó que el responsable tenía que eliminar no sólo las fotografías, sino también el nombre de la interesada, la URL y los metadatos que permitían el acceso a las fotografías. Este tipo de publicaciones normalmente se hacen con la intención de ofrecer información sobre eventos públicos y la vida íntima de algunas personas específicas. Sin embargo, la autoridad de control observe que la interesada no era una figura pública y el contenido de la página web no contribuía a ningún debate social de importancia ni se vinculaba con ningún tema de interés público. Por ello, la autoridad de control de Eslovenia decidió satisfacer la solicitud de derecho al olvido de la demandante.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Los banners de consentimiento de cookies, entre los temas de debate en la última cumbre de la ICO y los países del G7

La ICO indica que los banners de consentimiento de cookies deberán abordarse para ofrecer un consentimiento más significativo y una mejor experiencia de navegación.

 

La semana pasada tuvo lugar una cumbre en la que participaron las autoridades de control de protección de datos de los países del G7 y la ICO, que propuso una serie de cambios sobre la manera en la que actualmente se gestionan los banner de cookies, tras informar sobre la gran cantidad de quejas recibidas en relación a la necesidad de interactuar con los banner de cookies de manera continua cuando se accede a una página web. La ICO señaló también que estas herramientas por lo general hacen que los usuarios otorguen su consentimiento para más categorías de datos personales y usos de los mismos de lo que realmente quisieran. Puede accederse al comunicado aquí.

 

La ICO considera que los actuales banners de cookies pueden llevar a los sujetos a consentir más usos de sus datos personales de los que quisieran.

 

Los banners de cookies y los requisitos de consentimiento han sido tema de debate durante mucho tiempo, no sólo entre los usuarios de internet, sino también entre las autoridades de control. Uno de los pronunciamientos más recientes en este sentido fue el de la autoridad de control de Malta, del que informamos en nuestro blog. La ICO defiende que el formato actual de los banners de cookies no ofrece a los sujetos una posibilidad de elección absoluta, pues están configurados de tal manera que hacen que estos otorguen su consentimiento para más datos y tratamientos de los que realmente desearían

 

Mientras que el modelo actual cumple con la normativa de protección de datos, la ICO sostiene que las autoridades del G7 tienen poder suficiente para influir en su desarrollo futuro.

 

La ICO anunció hace unas semanas su intención de realizar varios cambios sobre su modelo de protección de datos, entre los que se encuentran los banner de cookies como uno de los principales elementos. A pesar de que el estándar actual cumple con la normativa de protección de datos, la ICO cree que las autoridades del G7 pueden influir en su desarrollo futuro.  El enfoque de la ICO se basa en que los navegadores, las apps y los ajustes de los dispositivos permitan a los sujetos establecer preferencias de privacidad duraderas, en lugar de tener que hacerlo de manera individual mediante banners de cookies cada vez que acceden a una página web o app. La autoridad de control de Reino Unido mantiene que esta alternativa dará lugar a un consentimiento más consciente, y que, aunque se trata de una opción que ya es posible tecnológicamente y que además cumple con el marco vigente, aún queda mucho trabajo para hacer el cambio efectivo y promover soluciones orientadas a la privacidad.

 

La actual normativa de cookies se encuentra dividida entre el RGPD y la Directiva ePrivacy.

 

Actualmente las normas sobre cookies están recogidas tanto en el RGPD como en la Directiva ePrivacy. Existen varios tipos de cookies entre las cuales los usuarios pueden realizar su selección. Por ejemplo, pueden decidir permitir sólo el uso de cookies estrictamente necesarias y rechazar todas aquellas que sean adicionales con finalidades de marketing o análisis de preferencias.  El Considerando 30 del RGPD menciona la importancia de las cookies en tanto en cuanto pueden ser empleadas para identificar a los sujetos, sobre todo si se tiene en cuenta la cantidad de información del usuario a la que se puede acceder mediante las cookies. La Directiva ePrivacy es también conocida como la “ley de cookies”, pues ha sentado las condiciones de los actuales banners de cookies y dado lugar a un consentimiento ético. Las reglas que regulan las cookies y las cookies empleadas cambian continuamente, lo que implica que los banners y las políticas de cookies requieren revisión continua.

 

 

¿Utilizas cookies en tu página web o app? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Reino Unido se plantea reformar su normativa de privacidad

Reino Unido se plantea reformar su normativa de privacidad con el objetivo de incrementar su eficacia y a su vez mantenerse en línea con el marco de la Unión Europea y otros países.  

El Gobierno británico busca crear una nueva normativa de privacidad que se base en “el sentido común, no en la marcación de casillas”. Esta iniciativa podría distanciar a Reino Unido del marco legal de protección de datos de la Unión Europea, incluido el RGPD, que también ha servido de base para redactar la versión británica del mismo, el denominado “UK GDPR”, actualmente en aplicación tras el Brexit. Conforme al secretario de cultura, esto podría suponer el final de los banner y consentimiento de cookies tal y como los conocemos ahora. Sin embargo, este nuevo régimen tendría que ser validado por la Comisión si se pretende obtener una decisión de adecuación, pues de otra forma las transferencias de datos entre Reino Unido y Europa podrían verse afectadas. 

Después de octubre se nombrará un nuevo presidente de la ICO que sustituirá a Elizabeth Denham.

El secretario de cultura pretende desarrollar en el campo de protección de datos una política que ayude tanto a las empresas como a los particulares a lo largo de Reino Unido. El Gobierno prevé asignar la tarea de supervisar esta transformación a John Edwards, que será designado como nuevo presidente de la ICO. Actualmente es el Presidente de la autoridad de control de Nueva Zelanda y la primera opción de Reino Unido para sustituir a la actual presidenta de la ICO, Elizabeth Denham, cuyo mandato finaliza el 31 de octubre.

¿Ayudará la nueva normativa a las pequeñas empresas o implicará más barreras al comercio y la inversión? 

Mientras que las normas sobre consentimiento para las cookies han sido muy criticadas tanto por la industria como por los usuarios, representan una porción ínfima del actual marco del RGPD y es improbable que jueguen un rol decisivo en lo que respecta a una adecuación mutua entre naciones. La foto completa es la actual libertad de transferencia de datos entre Reino Unido y la UE/EEE, que se basa en la decision de adecuación de la Comisión Europea y todavía aporta a las empresas de tecnología de Reino Unido una ventaja competitiva. Al respecto, Bostjan Makarovic, Socio Gerente de Aphaia, afirma que “poner esto en peligro perjudicaría, con una alta probabilidad, cualquier beneficio de las empresas tecnológicas en lo que se refiere a un régimen de cumplimiento simplificado. Debemos también tener en cuenta que los consumidores de Reino Unido se han acostumbrado a un alto grado de protección de datos, y ellos no consideran el RGPD (y su equivalente en Reino Unido) como una carga burocrática innecesaria”.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Una decisión vinculante del CEPD modifica una resolución anterior sobre el caso de WhatsApp Irlanda

Una decisión vinculante del CEPD modifica el borrador de decisión sobre la controvertida actualización de la política de privacidad de WhatsApp y menciona la infracción del principio de transparencia y la necesidad de recalcular el importe de la multa  

 

A raíz de la controvertida actualización de la política de privacidad de WhatsApp, la autoridad de control de Irlanda emitió una resolución inicial. Sin embargo, otras autoridades de control presentaron sus objeciones a la misma. De acuerdo a este informe, el Comité Europeo de Protección de Datos (CEPD) ha adoptado una decisión vinculante conforme al Artículo 65 del RGPD por la cual reconoce la necesidad de realizar una serie de modificaciones en varias áreas de la resolución de la autoridad de control de Irlanda, entre las que se incluyen las partes relativas a la infracción del principio de transparencia, la subestimación del cálculo de la multa y la otorgación de un plazo indulgente para actualizar sus operaciones en cumplimiento con la normativa. El artículo 65 del RGPD permite al CEPD tomar la decisión final cuando existe desacuerdo entre la autoridad de control principal y otras autoridades de control interesadas en la materia.  

El CEPD explica que la infracción implica una brecha del principio de transparencia del RGPD. 

 

El CEPD señaló que la información proporcionada no aportaba detalles sobre los intereses legítimos que se persiguen, lo cual supone una infracción del artículo 13 (1) (d) del RGPD. El CEPD explicó también que de ello se derivaba una brecha del principio de transparencia del Artículo 5 (1) (a) del RGPD. De hecho, el procedimiento empleado para recoger datos de no usuarios no asegura que se haga de forma anónima. 

La decisión vinculante del CEPD toma en cuenta el beneficio de la matriz de WhatsApp para decidir el importe de la multa. 

El CEPD considera que el beneficio de una empresa no es sólo importante para el cálculo de la máxima multa que se puede imponer, sino que también debe tenerse en cuenta para determinar el importe recomendado para una multa a fin de que ésta sea proporcionada, efectiva y con efecto disuasorio. Asimismo, el CEPD indicó que a estos efectos deberá considerarse también el beneficio de la empresa matriz (en este caso, Facebook Inc.). Por otro lado, el CEPD interpretó por primera vez el Artículo 83 (3) del RGPD, en relación al cual concluyó que cuando se han cometido varias infracciones vinculadas con las mismas actividades de tratamiento, todas ellas deberían valorarse para el cálculo de la multa. 

El CEPD también propone un plazo más corto para que WhatsApp actualice sus operaciones en cumplimiento con la normativa.  

La autoridad de control de Irlanda estableció un plazo de seis meses para que WhatsApp actualizase sus operaciones en cumplimiento con la normativa aplicable. Sin embargo, el CEPD considera que las obligaciones relativas al principio de transparencia deben ser implementadas a la mayor brevedad posible. Como resultado, se reduce el plazo inicial de seis meses a tres. 

 

En consecuencia, la autoridad de control de Irlanda ha adoptado una nueva resolución que incorpora los comentarios del CEPD. WhatsApp Irlanda ha sido notificado debidamente de esta resolución y también se ha adjuntado una copia de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.