Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 3

Prólogo

Abreviaturas

PRIMERA PARTE Sanciones divididas por sectores

Capítulo I Sanciones en el ámbito laboral

Javier Álvarez Hernando

I. Jurisprudencia destacada y Resoluciones de la AEPD

I.1. Necesaria evaluación del equilibrio entre el interés legítimo del empresario y la expectativa razonable de privacidad de los trabajadores

I.2. Principios de protección de datos y relaciones laborales

I.3. Procesos de selección de personal. Comunicación del curriculum vitae entre entidades

I.4. Solicitud de datos en los procesos de selección. Los antecedentes penales y certificado de delitos sexuales

I.5. Las relaciones laborales y el principio de exactitud y actualización de los datos

I.6. Cláusulas de confidencialidad y su incumplimiento como causa de despido disciplinario

I.7. Tratamiento del dato de discapacidad de un/a candidato/a en la Administración Pública

I.8. Nulidad de las cláusulas incorporadas en el contrato de trabajo que exigen al trabajador proporcionar el teléfono y correo electrónico

I.9. Comunicaciones empresario-trabajador mediante aplicaciones de mensajería instantánea

I.10. Licitud de la cláusula de un contrato de una empresa de contact-center sobre cesión de imagen de empleados para telemarketing

I.11. Listas negras de trabajadores

I.12. Exigencia a los trabajadores del Banco de España de entregar su declaración de IRPF

I.13. El Registro horario y la huella dactilar como dato biométrico

I.14. Las tarjetas identificativas de los trabajadores en los trabajos de cara al público

I.15. Tratamiento de datos de salud de los trabajadores con el fin de control del absentismo laboral

I.16. Comentarios vertidos en una red social sobre la salud de un empleado constituyen intromisión ilegítima en su derecho a la intimidad personal

I.17. Prevención de riesgos laborales y protección de datos

I.18. Seguridad de los datos y función de las organizaciones sindicales

I.18.1. No se autoriza el uso de teléfonos móviles en el centro de trabajo

I.18.2. Distribución de información sindical en soporte papel y seguridad

I.19. Cesión de datos personales de trabajadores a organizaciones sindicales

I.20. Remisión de información sindical por correo electrónico a los trabajadores

I.21. Publicación de información sindical que incorpore datos personales de trabajadores en los tablones de anuncios o en la intranet corporativa

I.22. Comunicación de datos de trabajadores a los representantes sindicales y, en particular, al comité de empresa

II. Impacto desde una visión jurisprudencial

II.1. Videovigilancia y grabación de sonidos en el ámbito laboral

II.1.1. El principio de proporcionalidad de la medida de videovigilancia y grabación de sonidos en el centro de trabajo

II.1.2. Información a los trabajadores y sus representantes, acerca de la instalación de sistemas de videovigilancia y grabación de sonidos

II.2. Grabación de sonidos en el centro de trabajo

II.3. Sistemas de geolocalización de los trabajadores

II.4. Quiebras de seguridad en el tratamiento de los datos: reconocimientos médicos de trabajadores esparcidos en la vía pública

II.5. El derecho a la desconexión digital

II.6. Jurisprudencia que ha configurado el control de los dispositivos tecnológicos en la relación laboral

II.6.1. Doctrina jurisprudencial en España respecto al control de los dispositivos puestos a disposición de los trabajadores

II.7. Jurisprudencia del Tribunal Europeo de Derechos Humanos: la expectativa razonable de intimidad y privacidad en el ámbito laboral

II.7.1. Expectativa razonable de intimidad y privacidad

II.7.2. Caso Barbulescu I

II.7.3. Caso Barbulescu II

II.7.4. Caso López Ribalda y otros I

II.7.5. Caso Libert

II.7.6. Caso López Ribalda y otros II

Capítulo II Sanciones en la Administración Pública

Concepción Campos Acuña

I. Introducción

II. La posición de las Administraciones Públicas como sujetos obligados a la protección de datos

II.1. Las Administraciones Públicas ante la protección de datos personales

II.2. Régimen sancionador

III. Resoluciones de impacto en la gestión pública analizadas

IV. Conclusiones: algunos apuntes sobre el modelo de gobernanza de los datos en la gestión pública

Capítulo III Sanciones sobre el uso de Redes Sociales

Laura Davara Fernández de Marcos

I. Introducción

II. Concepto estudiado

III. Resoluciones de la AEPD analizadas

III.1. Procedimiento N.°: PS/00595/2012: Suplantación de identidad en Red Social

III.2. Procedimiento N.° PS/00094/2018: envío de información personal por parte de un pediatra a través de WhatsApp a terceros

III.3. Procedimiento No: PS/00195/2019 por haber sido incluido en grupo de WhatsApp sin consentimiento

III.4. Procedimiento No: PS/00334/2019: Difusión de imágenes íntimas en estado de WhatsApp sin consentimiento

III.5. PS/00383/2019: envío de WhatsApp a un móvil al que se tuvo acceso por cuestiones profesionales

III.6. PS/00425/2019: enviar por WhatsApp un documento en el que constan datos personales de tres personas

III.7. PS-00124-2020: Uso de datos obtenidos vía profesional para ponerse en contacto por WhatsApp con fines personales

III.8. PS/00178/2020: uso de imagen de menor con fines comerciales contando con consentimiento para fines de difusión

III.9. PS/00405/2020: difusión de la imagen de un niño de cuatro años por parte de una Asociación Cultural sin consentimiento de los padres

III.10. N.°: PS/00048/2021: Publicación en Twitter de una demanda de acto de conciliación que contiene datos personales

IV. Sentencias de interés

V. Conclusión

Capítulo IV Sanciones en el ámbito sanitario

Ricardo De Lorenzo Aparici

I. Introducción

II. Material examinado: Resoluciones

II.1. Resoluciones sancionadoras AEPD

II.1.1. Procedimiento sancionador PS/00187/2019 por infracción del artículo 5.1.a) del RGPD

II.1.2. Procedimiento sancionador PS/00074/2020 por infracción del artículo 5.1.f) del RGPD, en relación con el artículo 5 de la LOPDGDD

II.1.3. Procedimiento n.° E/10681/2019. Requerimiento de información con objeto de aclarar los términos de la notificación de Brecha de seguridad presentado por el HOSPITAL en fecha 25 de octubre de 2019 ante la AEPD

II.2. Resoluciones sancionadoras Organismos Europeos

II.2.1. Autoridad de Protección de Datos Austriaca (“Datenschutzbehörde” o “DSB”). Procedimiento sancionador DSB-D213.692 / 0001-DSB / 2018 por infracción del artículo 37 del RGPD

III. Conclusiones

Capítulo V Sanciones a sindicatos y Partidos políticos

Josep Jover

I. Un nuevo comienzo, el Reglamento (UE) 2016/679

II. Un nuevo comienzo (bis), el Reglamento (UE) 2018/1807

III. Un nuevo comienzo (ter), la Directiva (UE) 2019/1024

IV. Un nuevo comienzo (quater), la comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. Una Estrategia Europea de Datos

V. La sentencia en el asunto C-658/19, que tiene por objeto un recurso por incumplimiento interpuesto, con arreglo a los artículos 258 TFUE y 260 TFUE, apartado 3 por parte del Reino de España

VI. Las sanciones a partidos políticos y a sindicatos españoles dentro del marco de la normativa que nace con el RGPD publicadas en webs europeas

VII. Las Sanciones a partidos políticos en la web de la Agencia Española de Protección de Datos

VIII. In fine

Capítulo VI Sanciones en el sector Seguros y Reaseguros

Marcos María Judel Meléndrez

I. Introducción

II. Sector estudiado

III. Resoluciones analizadas

IV. Conclusiones

Capítulo VII Sanciones relacionadas con Fuerzas y Cuerpos de Seguridad del Estado

Juan Antonio Pavón Pérez

Alonso Ramón Díaz

I. Introducción

II. Sanciones administrativas en protección de datos y FFCCS

III. Análisis de resoluciones sancionadoras

III.1. Procedimiento sancionador PS/00124/2019. Reclamante: Policía Local de Alcobendas. Sancionado: Ayuntamiento de Alcobendas. Temática: GPS como forma de control laboral o como medida de cumplimiento de las tareas asignadas a los componentes del Cuerpo de la Policía Local. Desvío de la finalidad del tratamiento

III.2. Procedimiento sancionador PS/00027/2019. Reclamante: Agente Cuerpo Nacional de Policía. Sancionado: Dirección General de la Policía. Temática: Uso de imágenes del sistema de videovigilancia de detenidos instalado en la Comisaria para incoar procedimiento disciplinario. Desvío de la finalidad propia del sistema videovigilancia. Ausencia de información a los agentes finalidad tratamiento. Principio de proporcionalidad

III.3. Procedimiento sancionador PS/00420/2018. Reclamante: Policía Local de San Fernando. Sancionado: Ayuntamiento de San Fernando. Temática: Acceso universal e indiscriminado a los datos de carácter personal del sistema informático de la Policía Local por parte de todos los agentes. Datos especialmente protegidos (Salud) de agentes. Principio de Seguridad. Derecho del policía a la protección de datos en su relación estatutaria con la Administración

III.4. Procedimiento sancionador PS/00071/2020. Reclamante: Defensor del Pueblo. Sancionado: Ayuntamiento de Ribaforada (Navarra). Temática: Citación de ciudadano extranjero con el pretexto ficticio de realizar gestiones para su empadronamiento cuando el fin pretendido era su detención por agentes policiales para su expulsión. Principios de licitud, lealtad y transparencia

III.5. Procedimiento sancionador PS/00576/2017. Reclamante: Policía Local del Ayuntamiento de la Font de la Figuera. Sancionado: Ciudadano. Temática: Grabación de imágenes de agentes de la autoridad en la vía pública y posterior distribución a través de la red de mensajería WhatsApp

IV. Conclusiones

Capítulo VIII Sanciones a comunidades de propietarios

F. Javier Sempere Samaniego

I. Introducción

II. Consideraciones generales sobre protección de datos en comunidades de propietarios

III. Resoluciones sancionadoras sobre publicación de datos

IV. Resoluciones sancionadoras sobre videovigilancia

V. Resoluciones sancionadoras sobre administradores de fincas

SEGUNDA PARTE Sanciones divididas por conceptos

Capítulo IX Sanciones sobre comunicaciones comerciales

Borja Adsuara Varela

I. Introducción

I.1. Directiva de Comercio electrónico (2000)

II. Resoluciones

II.1. Procedimiento N.°: PS/00089/2021: ORANGE-JAZTEL

II.2. Procedimiento N.°: PS/00421/2020: BANCO DE SABADELL

II.3. Procedimiento N.°: PS/00041/2020: AGENTES DE LA PROPIEDAD INDUSTRIAL

II.4. Procedimiento N.°: PS/00184/2019: VODAFONE

II.5. Procedimiento N.°: A/00008/2019: OVANIE AGENCY/SANITAS

III. Conclusiones

Capítulo X Sanciones sobre encargados del tratamiento

Sandra Ausell Roca

I. Introducción

II. Concepto estudiado

II.1. La figura del Encargado en el RGPD y su relación con el Responsable

II.2. Régimen sancionador aplicable a la figura el encargado de tratamiento

III. Conclusiones

Capítulo XI Sanciones sobre medidas de seguridad

Noemí Brito Izquierdo

I. El concepto de la seguridad y confidencialidad adecuadas. Enfoque de Riesgo

II. Algunos casos a partir de resoluciones sancionadoras. Lecciones aprendidas y recomendaciones asociadas

II.1. Primer caso de uso. Procedimiento N.° PS/00212/2019. Sanción impuesta a VODAFONE ONO, S.A.U., por cuantía de 60.000 €, por infracción del artículo 32 del RGPD

II.1.1. Antecedentes

II.1.2. Hechos probados

II.1.3. Fundamentos de derecho

II.1.4. Lecciones aprendidas y recomendaciones asociadas

II.2. Segundo caso de uso. Procedimiento N.° PS/00185/2020: Sanción impuesta a MIGUEL IBÁÑEZ BEZANILLA S.L, por cuantía de 1.000 €, por infracción del artículo 32 del RGPD, falta de protocolo https en la web

II.2.1. Antecedentes

II.2.2. Hechos probados

II.2.3. Fundamentos de derecho

II.2.4. Lecciones aprendidas y recomendaciones asociadas

II.3. Tercer caso de uso. Procedimiento N.° PS/00322/2020: Expediente sancionador frente a LOSADA ADVOCATS S.L., sanción de APERCIBIMIENTO por infracción del artículo 32 del RGPD y multa de cuantía 10.000 € por infracción del artículo 5, f) RGPD

II.3.1. Antecedentes

II.3.2. Hechos probados

II.3.3. Fundamentos de derecho

II.3.4. Lecciones aprendidas y recomendaciones asociadas

II.4. Caso de uso cuarto. Sanción de la CNIL: falta de implementación de medidas de autenticación de usuarios. Provoca una brecha de seguridad. Sanción por cuantía de 400.000 €

II.4.1. Antecedentes

II.4.2. Hechos

II.4.3. Fundamentos de derecho

II.4.4. Lecciones aprendidas y recomendaciones asociadas

III. Conclusiones finales

Capítulo XII Sanciones sobre cookies

Jorge Campanillas

I. Una breve introducción al mundo de las cookies

II. Primeras resoluciones sancionadoras en materia de cookies en España

III. Las Cookies y el RGPD

III.1. La instalación o descarga de las cookies se debe realizar posteriormente al consentimiento informado

III.2. Consentimiento granular para la instalación de las cookies

III.3. Distinción entre cookies técnicas y cookies no necesarias

IV. Conclusiones

Capítulo XIII Sanciones relacionadas con el ejercicio de derechos

Eduard Chaveli Donet

I. Introducción

II. Concepto estudiado

II.1. Sobre los derechos ARSOPL y el procedimiento para su ejercicio

II.2. Aspectos relativos al régimen sancionador vinculado a los derechos ARSOPL

III. Resoluciones analizadas

III.1. Procedimientos de archivo

III.1.1. Necesidad o no de aportar el DNI o documento identificativo equivalente

A. Procedimiento N.°: E/09130/2018

III.1.2. Archivo por producirse un error y atenderse el derecho… aunque sea fuera de plazo

A. Resolución relativa al Procedimiento N.°: E/09287/2018

B. Expediente N.°: E/09289/2018

C. Resolución relativa al Procedimiento N.°: E/03598/2019

III.1.3. Conservación y necesidad de mantener los datos

A. Procedimiento N.°: E/09433/2018

B. Procedimiento N.°: E/10492/2018

III.2. Procedimientos en los que se ha producido sanción

III.2.1. La sanción con mayor importe en cuanto a ejercicio de derechos ARSOPL. Procedimiento N.°: PS/00451/2019

IV. Conclusiones

Capítulo XIV Sanciones relativas al deber de información

Elena Davara Fernández de Marcos

I. Introducción

II. Concepto analizado

III. Resoluciones de la AEPD analizadas

III.1. Procedimiento sancionador PS/00268/2020: sitio web con formulario de contacto que carece de política de privacidad

III.2. PS/00477/2019: no cumplir adecuadamente (con detalle, con transparencia, con claridad…) con el deber de información en el tratamiento de datos por una entidad bancaria

III.3. PS/00437/2020: no ofrece información sobre finalidad del tratamiento, ejercicio de derechos etc.

IV. Conclusión

Capítulo XV Sanciones sobre el consentimiento en marketing

Teresa del Casar Ximénez

I. Introducción

II. Preguntas y (mis) respuestas

II.1. ¿Qué es el marketing?

II.2. ¿Por qué es necesario el marketing?

II.3. ¿Hablan el mismo idioma los departamentos legales y de cumplimiento que el negocio?

II.4. ¿Qué es el consentimiento?

II.5. ¿Por qué existe esa diferencia de conceptos entre las diversas áreas entre lo que es marketing y lo que es servicio?

II.6. ¿Cuáles son las consecuencias del incumplimiento para el individuo y la empresa?

II.7. ¿Cuáles son los siguientes retos?

II.8. ¿Qué ocurre en las organizaciones nuevas versus las que tienen ya un largo recorrido?

III. Resoluciones analizadas

III.1. Resolución de la Autoridad Belga de Protección de Datos relativa a Family Service/ N.D.P.K. nv

III.1.1. Hechos

III.1.2. Fundamentos de derecho

III.1.3. Atenuantes

III.1.4. Agravantes

III.1.5. Conclusiones

III.2. Resolución de la Agencia Española de Protección de Datos relativa a La Liga Nacional de Fútbol Profesional (La Liga)

III.2.1. Hechos

III.3. Fundamentos de derecho

III.3.1. Atenuantes

III.3.2. Agravantes

III.3.3. Conclusiones

III.4. Resolución de la Autoridad Italiana de Protección de Datos (Garante) relativa a Vodafone Italia S.p.A

III.4.1. Hechos

III.4.2. Fundamentos de derecho

III.4.3. Atenuantes

III.4.4. Agravantes

III.4.5. Conclusiones

IV. Conclusión final

Capítulo XVI Sanciones derivadas del uso de interés legítimo como base legitimadora

Jorge García Herrero

Elena Gil González

I. Introducción

Capítulo XVII Sanciones relativas a la inclusión en sistemas de información crediticia

Antonio Linares Gutiérrez

I. Introducción

II. La deuda cierta

III. La suplantación de identidad

IV. El requerimiento

V. La notificación de la inclusión de los datos en los SICs

VI. La consulta de los sistemas de información crediticia

VII. La responsabilidad del titular de los ficheros de cumplimiento de obligaciones económicas

VIII. El derecho de indemnización

Capítulo XVIII Sanciones sobre protección de datos desde el diseño y por defecto

Ricard Martínez Martínez

I. Introducción. La protección de datos desde el diseño y por defecto y el reto de la “accountability”

II. El despliegue de la protección de datos desde el diseño y por defecto

II.1. El registro de actividades de tratamiento: un elemento central

III. Protección de datos desde el diseño y por defecto en el softlaw

III.1. Las recomendaciones de la Agencia Noruega de Protección de Datos (Datatilsynet)

III.2. Las directrices del Comité Europeo de Protección de Datos (CEPD)

III.3. Guía de privacidad desde el diseño de la Agencia Española de Protección de datos

III.4. Otros recursos

IV. Las resoluciones de la Agencia Española de Protección de Datos

IV.1. Las resoluciones de la Agencia Española de Protección de Datos

IV.1.1. Transparencia y condiciones de uso

IV.1.2. Seguridad desde el diseño

IV.1.3. Videovigilancia y minimización de datos

IV.1.4. Diseño de aplicaciones: la relevancia del softlaw

V. Breve conclusión

Capítulo XIX Sanciones desde la óptica del derecho a indemnización

Iñigo Navarro Mendizabal

I. Responsabilidad civil por daños sufridos por una vulneración de PD

I.1. Planteamiento

I.2. Naturaleza de la RC

II. Daños

II.1. Concepto de daño

II.2. Los daños más habituales

II.2.1 Daños en el ámbito laboral

II.2.2. Daños por cesión no consentida de datos y la elaboración de listas negras

II.2.3. Daños por la elaboración de perfiles

II.2.4. Daños por inclusión indebida en un registro de morosos

II.2.5. Daños por el uso de datos erróneos

II.2.6. Daños por vulnerar el derecho al olvido

III. Cuantía de la indemnización

IV. Legitimación activa

V. Legitimación pasiva. Los posibles responsables

V.1. Responsables y encargados del tratamiento

V.2. Posible responsabilidad de los buscadores de internet

V.3. Responsabilidad del titular del fichero de morosos

V.4. Responsabilidad del titular de una hemeroteca digital

VI. Procedimiento, acción y prueba

Capítulo XX Sanciones sobre Transferencias internacionales de datos

Alfonso Ortega Giménez

I. Planteamiento

II. Breve aproximación a las transferencias internacionales de datos en el RGPD

III. Régimen de las transferencias internacionales de datos en la LOPDGDD

IV. Procedimientos sancionadores abiertos por la AEPD en el periodo 2010-2020. Análisis práctico de algunos procedimientos sancionadores en materia de transferencias internacionales de datos

V. Reflexiones finales

Capítulo XXI Sanciones relacionadas con brechas de seguridad

Xavier Ribas

I. Introducción

II. Contexto normativo

III. Resoluciones analizadas

III.1. Procedimiento N.° PS-00336-2018

III.1.1. Resumen

III.1.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.1.3. Conclusiones

III.2. Procedimiento N.° E-01562-2020

III.2.1. Resumen

III.2.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.2.3. Conclusiones

III.3. Procedimiento N.° E-06442-2019

III.3.1. Resumen

III.3.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.3.3. Conclusión

III.4. Procedimiento N.° E-05722-2019

III.4.1. Resumen

III.4.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.4.3. Conclusión

III.5. Procedimiento N.° E-01783-2020

III.5.1. Resumen

III.5.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.5.3. Conclusión

III.6. Procedimiento N.° PS-00389-2019

III.6.1. Resumen

III.6.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.6.3. Conclusión

III.7. Procedimiento N.° COMO0783542

III.7.1. Resumen

III.7.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.7.3. Conclusión

III.8. Procedimiento N.° E-05724-2019

III.8.1. Resumen

III.8.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.8.3. Conclusión

III.9. Procedimiento N.° E-12007-2019

III.9.1. Resumen

III.9.2. Análisis

A) Medidas previas

B) Medidas posteriores

III.9.3. Conclusión

III.10 Procedimiento N.° PS-00179-2020

III.10.1. Resumen

III.10.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.10.3. Conclusión

III.11. Procedimiento N.° E-08448-2019 y similares

III.11.1. Resumen

III.11.2. Análisis de las medidas

A) Medidas previas

B) Medidas posteriores

III.11.3. Conclusión

IV. Conclusiones finales

Capítulo XXII Sanciones relacionadas con la figura del Delegado de Protección de Datos

Juan Francisco Rodríguez Ayuso

I. Introducción

II. Sector estudiado: el delegado de protección de datos

III. Resoluciones analizadas

III.1. Procedimiento N.°: PS/00417/2019, de la Agencia Española de Protección de Datos

III.1.1. Antecedentes

III.1.2. Hechos probados

III.1.3. Fundamentos de Derecho

III.1.4. Circunstancias agravantes o atenuantes

III.1.5. Sanción

III.2. Procedimiento No: PS/00001/2020, de la Agencia Española de Protección de Datos

III.2.1. Antecedentes

III.2.2. Hechos probados

III.2.3. Fundamentos de Derecho

III.2.4. Circunstancias agravantes o atenuantes

III.2.5. Sanción

III.3. Procedimiento No: PS/00251/2020, de la Agencia Española de Protección de Datos

III.3.1. Antecedentes

III.3.2. Hechos probados

III.3.3. Fundamentos de Derecho

III.3.4. Circunstancias agravantes o atenuantes

III.3.5. Sanción

IV. Conclusiones

Capítulo XXIII Sanciones sobre el derecho al olvido

Pere Simón Castellano

I. Introducción: volver a empezar

II. La doctrina del TJUE: reconocimiento y criterios

II.1. Así empezó todo. La doctrina del TJUE

III. La doctrina del TEDH

IV. Jurisprudencia de tribunales extranjeros

IV.1. Alemania

IV.2. Reino Unido

IV.3. Francia

IV.4. Países Bajos

V. Casos y jurisprudencia española

V.1. Un doctor sinvergüenza, timador y sacaperras

V.2. El caso del exfutbolista que quería ser entrenador y pretendía olvidar una condena de hace 14 años por una falta de amenazas a una joven estudiante, de que la iba a violar y a matar

V.3. El caso del director de una ONG condenado por delitos contra la libertad sexual de sus pacientes

V.4. El caso del empresario del sector del ocio nocturno, vinculado con el caso Gürtel, beneficiado por la amnistía fiscal de 2012

V.5. La aportación de la doctrina jurisprudencial española

VI. A modo de conclusión

Bibliografía