Оглавление
Elena Davara Fernández de Marcos. Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores
Análisis práctico de sanciones en materia de protección de datos –divididas por conceptos y sectores–
Dedicatoria
Listado de autores
Sumario
Prólogo
Abreviaturas
Capítulo I. Sanciones en el ámbito laboral
I. Jurisprudencia destacada y Resoluciones de la AEPD. I.1. Necesaria evaluación del equilibrio entre el interés legítimo del empresario y la expectativa razonable de privacidad de los trabajadores
I.2. Principios de protección de datos y relaciones laborales
I.3. Procesos de selección de personal. Comunicación del curriculum vitae entre entidades19
I.4. Solicitud de datos en los procesos de selección. Los antecedentes penales y certificado de delitos sexuales
I.5. Las relaciones laborales y el principio de exactitud y actualización de los datos
I.6. Cláusulas de confidencialidad29 y su incumplimiento como causa de despido disciplinario
I.7. Tratamiento del dato de discapacidad de un/a candidato/a en la Administración Pública
I.8. Nulidad de las cláusulas incorporadas en el contrato de trabajo que exigen al trabajador proporcionar el teléfono y correo electrónico
I.9. Comunicaciones empresario-trabajador mediante aplicaciones de mensajería instantánea
I.10. Licitud de la cláusula de un contrato de una empresa de contact-center sobre cesión de imagen de empleados para telemarketing
I.11. Listas negras de trabajadores
I.12. Exigencia a los trabajadores del Banco de España de entregar su declaración de IRPF
I.13. El Registro horario y la huella dactilar como dato biométrico
I.14. Las tarjetas identificativas de los trabajadores en los trabajos de cara al público
I.15. Tratamiento de datos de salud de los trabajadores con el fin de control del absentismo laboral
I.16. Comentarios vertidos en una red social sobre la salud de un empleado constituyen intromisión ilegítima en su derecho a la intimidad personal
I.17. Prevención de riesgos laborales y protección de datos
I.18. Seguridad de los datos y función de las organizaciones sindicales. I.18.1. No se autoriza el uso de teléfonos móviles en el centro de trabajo
I.18.2. Distribución de información sindical en soporte papel y seguridad
I.19. Cesión de datos personales de trabajadores a organizaciones sindicales
I.20. Remisión de información sindical por correo electrónico a los trabajadores
I.21. Publicación de información sindical que incorpore datos personales de trabajadores en los tablones de anuncios o en la intranet corporativa
I.22. Comunicación de datos de trabajadores a los representantes sindicales y, en particular, al comité de empresa
II. Impacto desde una visión jurisprudencial. II.1. Videovigilancia y grabación de sonidos en el ámbito laboral. II.1.1. El principio de proporcionalidad de la medida de videovigilancia y grabación de sonidos en el centro de trabajo
II.1.2. Información a los trabajadores y sus representantes, acerca de la instalación de sistemas de videovigilancia y grabación de sonidos
II.2. Grabación de sonidos en el centro de trabajo
II.3. Sistemas de geolocalización de los trabajadores
II.4. Quiebras de seguridad en el tratamiento de los datos: reconocimientos médicos de trabajadores esparcidos en la vía pública
II.5. El derecho a la desconexión digital
II.6. Jurisprudencia que ha configurado el control de los dispositivos tecnológicos en la relación laboral182. II.6.1. Doctrina jurisprudencial en España respecto al control de los dispositivos puestos a disposición de los trabajadores
II.7. Jurisprudencia del Tribunal Europeo de Derechos Humanos: la expectativa razonable de intimidad y privacidad en el ámbito laboral. II.7.1. Expectativa razonable de intimidad y privacidad
II.7.2. Caso Barbulescu I
II.7.3. Caso Barbulescu II
II.7.4. Caso López Ribalda y otros I
II.7.5. Caso Libert
II.7.6. Caso López Ribalda y otros II
Capítulo II. Sanciones en la Administración Pública
I. Introducción
II. La posición de las Administraciones Públicas como sujetos obligados a la protección de datos. II.1. Las Administraciones Públicas ante la protección de datos personales
II.2. Régimen sancionador
III. Resoluciones de impacto en la gestión pública analizadas
IV. Conclusiones: algunos apuntes sobre el modelo de gobernanza de los datos en la gestión pública
Capítulo III. Sanciones sobre el uso de Redes Sociales
I. Introducción
II. Concepto estudiado
III. Resoluciones de la AEPD analizadas
III.1. Procedimiento N.°: PS/00595/20125: Suplantación de identidad en Red Social
III.2. Procedimiento N.° PS/00094/20187: envío de información personal por parte de un pediatra a través de WhatsApp a terceros
III.3. Procedimiento No: PS/00195/20199 por haber sido incluido en grupo de WhatsApp sin consentimiento
III.4. Procedimiento No: PS/00334/201910: Difusión de imágenes íntimas en estado de WhatsApp sin consentimiento
III.5. PS/00383/201912: envío de WhatsApp a un móvil al que se tuvo acceso por cuestiones profesionales
III.6. PS/00425/201913: enviar por WhatsApp un documento en el que constan datos personales de tres personas
III.7. PS-00124-202015: Uso de datos obtenidos vía profesional para ponerse en contacto por WhatsApp con fines personales
III.8. PS/00178/202016: uso de imagen de menor con fines comerciales contando con consentimiento para fines de difusión
III.9. PS/00405/202017: difusión de la imagen de un niño de cuatro años por parte de una Asociación Cultural sin consentimiento de los padres
III.10. N.°: PS/00048/202118: Publicación en Twitter de una demanda de acto de conciliación que contiene datos personales
IV. Sentencias de interés
V. Conclusión
Capítulo IV. Sanciones en el ámbito sanitario
I. Introducción
II. Material examinado: Resoluciones. II.1. Resoluciones sancionadoras AEPD. II.1.1. Procedimiento sancionador PS/00187/2019 por infracción del artículo 5.1.a) del RGPD1. HECHOS
FUNDAMENTOS DE DERECHO
COMENTARIO
II.1.2. Procedimiento sancionador PS/00074/2020 por infracción del artículo 5.1.f) del RGPD, en relación con el artículo 5 de la LOPDGDD2. HECHOS
FUNDAMENTOS DE DERECHO
COMENTARIO
II.1.3. Procedimiento n.° E/10681/2019. Requerimiento de información con objeto de aclarar los términos de la notificación de Brecha de seguridad presentado por el HOSPITAL en fecha 25 de octubre de 2019 ante la AEPD. HECHOS
FUNDAMENTOS DE DERECHO
COMENTARIO
II.2. Resoluciones sancionadoras Organismos Europeos. II.2.1. Autoridad de Protección de Datos Austriaca (“Datenschutzbehörde” o “DSB”). Procedimiento sancionador DSB-D213.692 / 0001-DSB / 2018 por infracción del artículo 37 del RGPD3. HECHOS
FUNDAMENTOS DE DERECHO
COMENTARIO
III. Conclusiones
Capítulo V. Sanciones a sindicatos y partidos políticos
I. Un nuevo comienzo, el Reglamento (UE) 2016/679
II. Un nuevo comienzo (bis), el Reglamento (UE) 2018/1807
III. Un nuevo comienzo (ter), la Directiva (UE) 2019/1024
IV. Un nuevo comienzo (quater), la comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. Una Estrategia Europea de Datos
V. La sentencia en el asunto C-658/19, que tiene por objeto un recurso por incumplimiento interpuesto, con arreglo a los artículos 258 TFUE y 260 TFUE, apartado 3 por parte del Reino de España
VI. Las sanciones a partidos políticos y a sindicatos españoles dentro del marco de la normativa que nace con el RGPD publicadas en webs europeas
VII. Las Sanciones a partidos políticos en la web de la Agencia Española de Protección de Datos
VIII. In fine
Capítulo VI. Sanciones en el sector Seguros y Reaseguros
I. Introducción
II. Sector estudiado
III. Resoluciones analizadas
IV. Conclusiones
Capítulo VII. Sanciones relacionadas con Fuerzas y Cuerpos de Seguridad del Estado
I. introducción
II. Sanciones administrativas en protección de datos y FFCCS
III. Análisis de resoluciones sancionadoras. III.1. Procedimiento sancionador PS/00124/20199. Reclamante: Policía Local de Alcobendas. Sancionado: Ayuntamiento de Alcobendas. Temática: GPS como forma de control laboral o como medida de cumplimiento de las tareas asignadas a los componentes del Cuerpo de la Policía Local. Desvío de la finalidad del tratamiento
III.2. Procedimiento sancionador PS/00027/201912. Reclamante: Agente Cuerpo Nacional de Policía. Sancionado: Dirección General de la Policía. Temática: Uso de imágenes del sistema de videovigilancia de detenidos instalado en la Comisaria para incoar procedimiento disciplinario. Desvío de la finalidad propia del sistema videovigilancia. Ausencia de información a los agentes finalidad tratamiento. Principio de proporcionalidad
III.3. Procedimiento sancionador PS/00420/201813. Reclamante: Policía Local de San Fernando. Sancionado: Ayuntamiento de San Fernando. Temática: Acceso universal e indiscriminado a los datos de carácter personal del sistema informático de la Policía Local por parte de todos los agentes. Datos especialmente protegidos (Salud) de agentes. Principio de Seguridad. Derecho del policía a la protección de datos en su relación estatutaria con la Administración
III.4. Procedimiento sancionador PS/00071/202015. Reclamante: Defensor del Pueblo. Sancionado: Ayuntamiento de Ribaforada (Navarra). Temática: Citación de ciudadano extranjero con el pretexto ficticio de realizar gestiones para su empadronamiento cuando el fin pretendido era su detención por agentes policiales para su expulsión. Principios de licitud, lealtad y transparencia
III.5. Procedimiento sancionador PS/00576/201716. Reclamante: Policía Local del Ayuntamiento de la Font de la Figuera. Sancionado: Ciudadano. Temática: Grabación de imágenes de agentes de la autoridad en la vía pública y posterior distribución a través de la red de mensajería WhatsApp
IV. Conclusiones
Capítulo VIII. Sanciones a comunidades de propietarios
I. Introducción
II. Consideraciones generales sobre protección de datos en comunidades de propietarios
III. Resoluciones sancionadoras sobre publicación de datos
IV. Resoluciones sancionadoras sobre videovigilancia
V. Resoluciones sancionadoras sobre administradores de fincas
Capítulo IX. Sanciones sobre comunicaciones comerciales
I. Introducción. I.1. Directiva de Comercio electrónico (2000)
II. Resoluciones. II.1. Procedimiento N.°: PS/00089/2021: ORANGE-JAZTEL13
II.2. Procedimiento N.°: PS/00421/202014: BANCO DE SABADELL
II.3. Procedimiento N.°: PS/00041/202015: AGENTES DE LA PROPIEDAD INDUSTRIAL
II.4. Procedimiento N.°: PS/00184/201916: VODAFONE
II.5. Procedimiento N.°: A/00008/201917: OVANIE AGENCY/SANITAS
III. Conclusiones
Capítulo X. Sanciones sobre encargados del tratamiento
I. Introducción
II. Concepto estudiado. II.1. La figura del Encargado en el RGPD y su relación con el Responsable
II.2. Régimen sancionador aplicable a la figura el encargado de tratamiento
III. Conclusiones
Capítulo XI. Sanciones sobre medidas de seguridad
I. El concepto de la seguridad y confidencialidad adecuadas. Enfoque de Riesgo
II. Algunos casos a partir de resoluciones sancionadoras. Lecciones aprendidas y recomendaciones asociadas
II.1. Primer caso de uso. Procedimiento N.° PS/00212/2019. Sanción impuesta a VODAFONE ONO, S.A.U., por cuantía de 60.000 €, por infracción del artículo 32 del RGPD12
II.1.1. Antecedentes
II.1.2. Hechos probados
II.1.3. Fundamentos de derecho
II.1.4. Lecciones aprendidas y recomendaciones asociadas
II.2. Segundo caso de uso. Procedimiento N.° PS/00185/2020: Sanción impuesta a MIGUEL IBÁÑEZ BEZANILLA S.L, por cuantía de 1.000 €, por infracción del artículo 32 del RGPD, falta de protocolo https en la web17
II.2.1. Antecedentes
II.2.2. Hechos probados
II.2.3. Fundamentos de derecho
II.2.4. Lecciones aprendidas y recomendaciones asociadas
II.3. Tercer caso de uso. Procedimiento N.° PS/00322/2020: Expediente sancionador frente a LOSADA ADVOCATS S.L., sanción de APERCIBIMIENTO por infracción del artículo 32 del RGPD y multa de cuantía 10.000 € por infracción del artículo 5, f) RGPD21. II.3.1. Antecedentes
II.3.2. Hechos probados
II.3.3. Fundamentos de derecho
II.3.4. Lecciones aprendidas y recomendaciones asociadas
II.4. Caso de uso cuarto. Sanción de la CNIL: falta de implementación de medidas de autenticación de usuarios. Provoca una brecha de seguridad. Sanción por cuantía de 400.000 €26. II.4.1. Antecedentes
II.4.2. Hechos
II.4.3. Fundamentos de derecho
II.4.4. Lecciones aprendidas y recomendaciones asociadas
III. Conclusiones finales
Capítulo XII. Sanciones sobre cookies
I. Una breve introducción al mundo de las cookies
II. Primeras resoluciones sancionadoras en materia de cookies en España
III. Las Cookies y el RGPD
III.1. La instalación o descarga de las cookies se debe realizar posteriormente al consentimiento informado
III.2. Consentimiento granular para la instalación de las cookies
III.3. Distinción entre cookies técnicas y cookies no necesarias
IV. Conclusiones
Capítulo XIII. Sanciones relacionadas con el ejercicio de derechos
I. Introducción
II. Concepto estudiado. II.1. Sobre los derechos ARSOPL y el procedimiento para su ejercicio
II.2. Aspectos relativos al régimen sancionador vinculado a los derechos ARSOPL
III. Resoluciones analizadas
III.1. Procedimientos de archivo. III.1.1. Necesidad o no de aportar el DNI o documento identificativo equivalente
A. Procedimiento N.°: E/09130/2018
III.1.2. Archivo por producirse un error y atenderse el derecho… aunque sea fuera de plazo
A. Resolución relativa al Procedimiento N.°: E/09287/2018
B. Expediente N.°: E/09289/2018
C. Resolución relativa al Procedimiento N.°: E/03598/2019
III.1.3. Conservación y necesidad de mantener los datos
A. Procedimiento N.°: E/09433/2018
B. Procedimiento N.°: E/10492/2018
III.2. Procedimientos en los que se ha producido sanción
III.2.1. La sanción con mayor importe en cuanto a ejercicio de derechos ARSOPL. Procedimiento N.°: PS/00451/2019
IV. Conclusiones
Capítulo XIV. Sanciones relativas al deber de información
I. Introducción
II. Concepto analizado
III. Resoluciones de la AEPD analizadas
III.1. Procedimiento sancionador PS/00268/20201: sitio web con formulario de contacto que carece de política de privacidad
III.2. PS/00477/20193: no cumplir adecuadamente (con detalle, con transparencia, con claridad…) con el deber de información en el tratamiento de datos por una entidad bancaria
III.3. PS/00437/20207: no ofrece información sobre finalidad del tratamiento, ejercicio de derechos etc
IV. Conclusión
Capítulo XV. Sanciones sobre el consentimiento en marketing
I. Introducción
II. Preguntas y (mis) respuestas. II.1. ¿Qué es el marketing?
II.2. ¿Por qué es necesario el marketing?
II.3. ¿Hablan el mismo idioma los departamentos legales y de cumplimiento que el negocio?
II.4. ¿Qué es el consentimiento?
II.5. ¿Por qué existe esa diferencia de conceptos entre las diversas áreas entre lo que es marketing y lo que es servicio?
II.6. ¿Cuáles son las consecuencias del incumplimiento para el individuo y la empresa?
II.7. ¿Cuáles son los siguientes retos?
II.8. ¿Qué ocurre en las organizaciones nuevas versus las que tienen ya un largo recorrido?
III. Resoluciones analizadas
III.1. Resolución de la Autoridad Belga de Protección de Datos relativa a Family Service/ N.D.P.K. nv5
III.1.1. Hechos
III.1.2. Fundamentos de derecho
III.1.3. Atenuantes
III.1.4. Agravantes
III.1.5. Conclusiones
III.2. Resolución de la Agencia Española de Protección de Datos relativa a La Liga Nacional de Fútbol Profesional (La Liga)
III.2.1. Hechos
III.3. Fundamentos de derecho
III.3.1. Atenuantes
III.3.2. Agravantes
III.3.3. Conclusiones
III.4. Resolución de la Autoridad Italiana de Protección de Datos11 (Garante) relativa a Vodafone Italia S.p.A
III.4.1. Hechos
III.4.2. Fundamentos de derecho
III.4.3. Atenuantes
III.4.4. Agravantes
III.4.5. Conclusiones
IV. Conclusión final
Capítulo XVI. Sanciones derivadas del uso de interés legítimo como base legitimadora
I. Introducción
Capítulo XVII. Sanciones relativas a la inclusión en sistemas de información crediticia
I. Introducción
II. La deuda cierta
III. La suplantación de identidad
IV. El requerimiento
V. La notificación de la inclusión de los datos en los SICs
VI. La consulta de los sistemas de información crediticia
VII. La responsabilidad del titular de los ficheros de cumplimiento de obligaciones económicas
VIII. El derecho de indemnización
Capítulo XVIII. Sanciones sobre protección de datos desde el diseño y por defecto
I. Introducción. La protección de datos desde el diseño y por defecto y el reto de la “accountability”
II. El despliegue de la protección de datos desde el diseño y por defecto
II.1. El registro de actividades de tratamiento: un elemento central
III. Protección de datos desde el diseño y por defecto en el softlaw
III.1. Las recomendaciones de la Agencia Noruega de Protección de Datos (Datatilsynet)5
III.2. Las directrices del Comité Europeo de Protección de Datos (CEPD)7
III.3. Guía de privacidad desde el diseño de la Agencia Española de Protección de datos9
III.4. Otros recursos
IV. Las resoluciones de la Agencia Española de Protección de Datos
IV.1. Las resoluciones de la Agencia Española de Protección de Datos
IV.1.1. Transparencia y condiciones de uso
IV.1.2. Seguridad desde el diseño
IV.1.3. Videovigilancia y minimización de datos
IV.1.4. Diseño de aplicaciones: la relevancia del softlaw
V. Breve conclusión
Capítulo XIX. Sanciones desde la óptica del derecho a indemnización
I. Responsabilidad civil por daños sufridos por una vulneración de PD. I.1. Planteamiento
I.2. Naturaleza de la RC
II. Daños. II.1. Concepto de daño
II.2. Los daños más habituales. II.2.1 Daños en el ámbito laboral
II.2.2. Daños por cesión no consentida de datos y la elaboración de listas negras
II.2.3. Daños por la elaboración de perfiles
II.2.4. Daños por inclusión indebida en un registro de morosos
II.2.5. Daños por el uso de datos erróneos
II.2.6. Daños por vulnerar el derecho al olvido
III. Cuantía de la indemnización
IV. Legitimación activa
V. Legitimación pasiva. Los posibles responsables. V.1. Responsables y encargados del tratamiento
V.2. Posible responsabilidad de los buscadores de internet
V.3. Responsabilidad del titular del fichero de morosos
V.4. Responsabilidad del titular de una hemeroteca digital
VI. Procedimiento, acción y prueba
Capítulo XX. Sanciones sobre transferencias internacionales de datos
I. Planteamiento
II. Breve aproximación a las transferencias internacionales de datos en el RGPD
III. Régimen de las transferencias internacionales de datos en la LOPDGDD
IV. Procedimientos sancionadores abiertos por la AEPD en el periodo 2010-2020. Análisis práctico de algunos procedimientos sancionadores en materia de transferencias internacionales de datos
V. Reflexiones finales
Capítulo XXI. Sanciones relacionadas con brechas de seguridad
I. Introducción
II. Contexto normativo
III. Resoluciones analizadas. III.1. Procedimiento n.° PS-00336-20182
III.1.1. Resumen
III.1.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.1.3. Conclusiones
III.2. Procedimiento n.° E-01562-20203
III.2.1. Resumen
III.2.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.2.3. Conclusiones
III.3. Procedimiento n.° E-06442-20194. III.3.1. Resumen
III.3.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.3.3. Conclusión
III.4. Procedimiento n.° E-05722-20195
III.4.1. Resumen
III.4.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.4.3. Conclusión
III.5. Procedimiento n.° E-01783-20206
III.5.1. Resumen
III.5.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.5.3. Conclusión
III.6. Procedimiento n.° PS-00389-20197
III.6.1. Resumen
III.6.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.6.3. Conclusión
III.7. Procedimiento n.° COMO07835428
III.7.1. Resumen
III.7.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.7.3. Conclusión
III.8. Procedimiento n.° E-05724-20199. III.8.1. Resumen
III.8.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.8.3. Conclusión
III.9. Procedimiento n.° E-12007-201910. III.9.1. Resumen
III.9.2. Análisis
A) Medidas previas
B) Medidas posteriores
III.9.3. Conclusión
III.10 Procedimiento n.° PS-00179-202011. III.10.1. Resumen
III.10.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.10.3. Conclusión
III.11. Procedimiento n.° E-08448-2019 y similares12
III.11.1. Resumen
III.11.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.11.3. Conclusión
IV. Conclusiones finales
Capítulo XXII. Sanciones relacionadas con la figura del Delegado de Protección de Datos
I. Introducción
II. Sector estudiado: el delegado de protección de datos
III. Resoluciones analizadas. III.1. Procedimiento N.°: PS/00417/2019, de la Agencia Española de Protección de Datos. III.1.1. Antecedentes
III.1.2. Hechos probados
III.1.3. Fundamentos de Derecho
III.1.4. Circunstancias agravantes o atenuantes
III.1.5. Sanción
III.2. Procedimiento No: PS/00001/2020, de la Agencia Española de Protección de Datos. III.2.1. Antecedentes
III.2.2. Hechos probados
III.2.3. Fundamentos de Derecho
III.2.4. Circunstancias agravantes o atenuantes
III.2.5. Sanción
III.3. Procedimiento No: PS/00251/2020, de la Agencia Española de Protección de Datos. III.3.1. Antecedentes
III.3.2. Hechos probados
III.3.3. Fundamentos de Derecho
III.3.4. Circunstancias agravantes o atenuantes
III.3.5. Sanción
IV. Conclusiones
Capítulo XXIII. Sanciones sobre el derecho al olvido
I. Introducción: volver a empezar
II. La doctrina del TJUE: reconocimiento y criterios. II.1. Así empezó todo. La doctrina del TJUE
III. La doctrina del TEDH
IV. Jurisprudencia de tribunales extranjeros
IV.1. Alemania
IV.2. Reino Unido
IV.3. Francia
IV.4. Países Bajos
V. Casos y jurisprudencia española
V.1. Un doctor sinvergüenza, timador y sacaperras
V.2. El caso del exfutbolista que quería ser entrenador y pretendía olvidar una condena de hace 14 años por una falta de amenazas a una joven estudiante, de que la iba a violar y a matar
V.3. El caso del director de una ONG condenado por delitos contra la libertad sexual de sus pacientes
V.4. El caso del empresario del sector del ocio nocturno, vinculado con el caso Gürtel, beneficiado por la amnistía fiscal de 2012
V.5. La aportación de la doctrina jurisprudencial española
VI. A modo de conclusión
Bibliografía
