La Ley de Mercados Digitales y la Ley de Servicios Digitales se aprueban de manera oficial en la UE

La Ley de Mercados Digitales y la Ley de Servicios Digitales se han aprobado oficialmente en la UE.

 

El Parlamento Europeo ha aprobado recientemente la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales (DSA), que permitirán controlar cualquier ventaja desleal que pretendan tomar los gigantes tecnológicos como Google, Amazon, Apple, Facebook y Microsoft. Las empresas podrán ahora enfrentarse a multas que alcanzan el 10% de su beneficio global anual por infracciones de la DMA y el 6% por infracciones de la DSA. El legislador europeo y los Estados Miembro de la UE han llegado a un acuerdo político al respecto, pero aún quedan algunos detalles por definir.  

 

La DMA y la DSA establecerán normas estrictas sobre la manera en la que las grandes compañías tecnológicas pueden operar, a fin de prevenir el abuso de poder. 

 

La DSA prohíbe la publicidad dirigida a niños o aquella que utilice categorías especiales de datos como religión, género, raza y opiniones políticas. La DMA requerirá a las empresas hacer sus servicios de mensajería interoperables y asegurar que los usuarios tienen acceso a sus datos. Los usuarios profesionales de estas plataformas serán ahora capaces de promocionar productos y servicios de la competencia y cerrar acuerdos con los clientes fuera de las mismas. Las grandes empresas tecnológicas no podrán otorgar una ventaja desleal a sus propios servicios frente a los de sus rivales ni impedir a sus usuarios eliminar software o apps preinstaladas. Se espera que estas dos normas afecten en concreto a Google y Apple. Los patrones oscuros, técnicas que confunden a los usuarios para dar sus datos personales a las empresas de forma online tal y como desarrollamos en el blog de Aphaia, también estarán prohibidos. 

 

La Comisión Europea ha establecido un grupo de trabajo para la aplicación de la DMA y la DSA. 

 

La Comisión Europea ha establecido un grupo de trabajo que consta de alrededor de 80 expertos para colaborar en la aplicación de la DMA y la DSA. Además, los reguladores crearán el Centro Europeo para la Transparencia Algorítmica para atraer científicos de datos y algoritmos que ayuden con su implantación. Andreas Schwab, el diputado que se encargó de llevar este tema en el Parlamento Europeo, ha propuesto el uso de un grupo de trabajo más grande para contrarrestar la capacidad económica de las Big Tech y su acceso a abogados.  Otras organizaciones también han expresado sus preocupaciones. La Directora Adjunta de la Organización Europea de Consumidores, Ursula Pachl, indicó que “Hicimos sonar las alarmas la semana pasada junto a otros grupos civiles en torno al hecho de que si la Comisión no contrata a los expertos que necesita para controlar las prácticas de las Big Tech en el mercado, la legislación podría verse obstaculizada por una aplicación ineficaz”.  El Comisario Europeo de Mercado Interior y Servicios Thierry Breton ha dado respuesta a estas preocupaciones y ha afirmado que varios equipos trabajarán en asuntos particulares como evaluaciones de riesgo, interoperabilidad de los servicios de mensajería y acceso a los datos durante el proceso de aplicación de estas normas.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Bélgica apercibe a Google

La autoridad de control de Bélgica apercibe a Google por su falta de transparencia en relación a una solicitud de eliminación de artículos. 

 

Esta reciente decisión de la autoridad de control de Bélgica se refiere a un abogado inhabilitado hace 10 años que trabaja ahora como asesor legal y solicitó que se eliminasen los artículos que contuviesen información al respecto, pero la autoridad de control de Bélgica desestimó su petición. Según este informe del EDPB, la autoridad de control ha apercibido a Google por la falta de transparencia en el caso. Bajo el RGPD, la autoridad de control Belga reconoció algunas deficiencias en la forma en que Google había gestionado la queja. 

 

Google ha sido apercibido por la autoridad de control de Bélgica a pesar de que se desestimó la queja presentada contra la compañía 

 

Mientras que la autoridad de control belga desestimó las quejas relacionadas con la negación de Google de eliminar los artículos, sí ha considerado necesario apercibir a la empresa por la forma en que se ha gestionado la solicitud. Google no atendió la petición al considerar que existe interés público sobre el acceso a la información relativa al abogado. Aunque la autoridad de control belga no estuvo en desacuerdo con esta decisión, señaló que la solicitud había sido transferida de Google Ireland a Google LLC mediante Google Belgium y que se daban algunas deficiencias en la calidad de la explicación sobre la decisión tomada. En consecuencia, se determinó que la respuesta otorgada por Google no era transparente, en incumplimiento del artículo 12 del RGPD. 

 

Los principales problemas identificados por la autoridad de control de Bélgica en cuanto a la calidad de la respuesta.

 

En relación al artículo 17 del RGPD, la autoridad de control belga estableció que Google había infringido el artículo 12 del RGPD. El artículo 17 trata sobre el derecho de supresión y mientras que la autoridad desestimó la queja del interesado en este caso, consideró que la compañía había violado el artículo 12 por su falta de transparencia al responder al sujeto. El Artículo 12 estipula que “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo…” El apercibimiento se vio motivado por la imprecisa identificación del responsable.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Protección de datos de salud: nueva sección en la página de la AEPD

La AEPD ha inaugurado una nueva sección dentro de su página web, destinada a información y recursos específicos para la protección de datos de salud. 

 

La AEPD acaba de inaugurar un nuevo espacio dentro de la zona ‘Áreas de Interés’ en su página web, para facilitar la consulta y la divulgación de información sobre el tratamiento de datos de salud. El objetivo de esta iniciativa es dar una respuesta a las necesidades expresadas por los representantes del sector salud sobre contra con una compilación de legislación y otros recursos en materia de salud y protección de datos. Los datos de salud se consideran categorías especiales de datos personales y por tanto se precisan garantías adicionales para la protección de este tipo de daos en particular.  

 

Esta nueva sección en la página web de la AEPD contiene información destinada a varios miembros de la comunidad. 

 

Los recursos proporcionados por la AEPD en esta nueva sección de su página web se destinan a los ciudadanos, responsables del tratamiento, profesionales de protección de datos, instituciones de salud y la industria farmacéutica, entre otros. Se compone de siete secciones que incluyen información general sobre el tratamiento de datos de salud y cómo ejercer el derecho de acceso a registros médicos. Además, se ofrecen respuestas a preguntas relacionadas con la investigación médica. Asimismo se detalla el criterio establecido por la AEPD en consultas planteadas por miembros del sector de la salud, y también información sobre inspecciones que se han llevado a cabo. Algunos de los recursos adicionales que pueden encontrarse en esta nueva sección son asuntos relacionados con la investigación de salud y ensayos clínicos, al igual que información sobre brechas de datos personales dentro del sector salud. 

 

Se anima a los profesionales de la salud y a otras partes a utilizar estos recursos. 

 

Esta nueva sección de la página web de la AEPD se lanzó el 3 de mayo y contiene numerosos enlaces de utilidad. Se espera que esta información se actualice de manera regular con noticias, novedades legislativas y brechas de datos personales que afecten a datos de salud en concreto. Se puede acceder a este nuevo espacio aquí, disponible para todo el mundo. Se anima a los profesionales de la salud y otras partes interesadas a utilizar este nuevo recurso de gran utilidad ofrecido por la AEPD.   

¿Tratas datos de salud? ¿Necesitas ayuda con los requisitos específicos que se aplican a las categorías especiales de datos personales? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Multa a un banco danés por no eliminar datos que ya no necesitaba

La autoridad de control de Dinamarca ha propuesto una multa para el banco Danske por no haber supuestamente eliminado los datos que ya no eran necesarios y ha presentado un informe policial.

 

La autoridad de control de Dinamarca ha presentado un informe policial contra Danske Bank y ha propuesto que se le imponga una multa de 1,3 millones de euros, según este informe del CEPD. Estos hechos son el resultado de una investigación que data de noviembre de 2020, cuando la autoridad de control inició un caso de oficio tras haber el banco comunicado que había identificado un problema con la supresión de los datos para los que no existía base ni justificación de tratamiento. Se precisa una base legal para poder tratar datos conforme al RGPD y estos sólo podrán almacenarse mientras sea necesario para la finalidad para la que fueron recogidos.

 

El banco no pudo demostrar cumplimiento e infringió así el artículo 5(2) del RGPD. 

 

En relación con la investigación de la autoridad de control de Dinamarca, se descubrió que el banco no había sido capaz de demostrar que se habían establecido normas para el almacenamiento y supresión de datos personales, y tampoco pudo justificar los procesos de eliminación manual de los mismos. El artículo 5(2) del RGPD señala de manera específica que “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo” y el artículo 5(1)(e) indica que “los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales“. De acuerdo a Kenni Elm Olsen, consultora especialista de la autoridad de control de Dinamarca “uno de los principios básicos del RGPD es que sólo se puede tratar la información necesaria, y cuándo ésta ya no lo sea, deberá ser eliminada. Cuando se trata de una organización del tamaño del Danske Bank, que tiene muchos sistemas y muy complejos, es esencial que documentes que la supresión tuvo lugar”. 

 

La autoridad de control de Dinamarca ha propuesto una multa total de 1,3 millones de euros tras considerar los detalles del caso

 

En la determinación de la multa que debería imponerse, la autoridad de control de Dinamarca consideró que se trataba de una infracción de un principio básico del RGPD (Artículo 5) en relación al tratamiento de datos personales. La autoridad de control también tuvo en cuenta que las acciones del banco afectaron a un gran número de interesados. Los sistemas del banco tratan datos personales de varios millones de interesados. La autoridad de control de Dinamarca ha enfatizado la naturaleza y la seriedad de la infracción y también el requisito de que una multa debe ser efectiva, proporcionada al incumplimiento y tener un efecto disuasorio. La autoridad de control de Dinamarca también valoró que el Danske Bank ofreció información de manera activa durante el caso y considera que el banco intentó mitigar el daño potencial ocasionado a los sujetos. Como resultado, se ha impuesto una multa de 1,3 millones de euros.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.