Finalizado el plazo de adaptación del uso de cookies
El plazo para implementar los cambios necesarios para la utilización de cookies, según los criterios previstos en la Guía sobre el uso de cookies, ya ha finalizado, tras un período transitorio de seis meses.
El pasado 11 de julio de 2023 la Agencia Española de Protección de Datos (AEPD) publicó una nueva versión de su Guía sobre el uso de cookies, con la finalidad de adaptar la misma a las Directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD) sobre patrones de diseño engañosos.
Las Directrices 03/2022 establecieron las recomendaciones de buenas prácticas tanto para los titulares de páginas web, aplicaciones informáticas o plataformas como para los usuarios de las mismas sobre cómo detectar y evitar esos patrones engañosos que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).
Según se indican en estas Directrices 03/2022 “los patrones de diseño engañosos pretenden influir en el comportamiento de los usuarios y pueden obstaculizar su capacidad para proteger eficazmente sus datos personales y tomar decisiones conscientes. Las autoridades de protección datos son los responsables de sancionar el uso de patrones de diseño engañosos si incumplen los requisitos del RGPD.
Por tal razón, la AEPD incorporó las recomendaciones del CEDP en la última versión de su Guía que, entre otros nuevos criterios, recoge los siguientes:
- Las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. En este sentido, ya no son válidos los banners que sólo dispongan de las opciones de “ACEPTAR” y “CONFIGURAR COOKIES”, asimismo, el botón de “RECHAZAR TODAS LAS COOKIES” debe estar claramente visible y accesible, y no debe estar oculto o dificultarse su uso.
- La política de cookies ha de ser clara y transparente sobre el uso de cookies en la web o aplicación. La información que contenga debe ser clara y concisa, utilizando un lenguaje sencillo y comprensible para los usuarios.
- Respecto de las cookies de personalización, cuando es el propio usuario quien decide sobre el uso de estas cookies no es necesario obtener el consentimiento, siempre que esos datos no se utilicen para otras finalidades (por ejemplo, cuando el usuario selecciona el idioma del sitio web al clicar en la opción correspondiente).
En caso de querer utilizar estas cookies para otros fines como personalizar contenidos publicitarios, o elaborar perfiles de usuario, se ha de requerir el consentimiento.
Estos nuevos criterios suponen un avance más en el ámbito de la protección de datos personales y la privacidad, asegurando una mayor transparencia en las obligaciones que han de cumplir los titulares de los páginas web, aplicaciones informáticas o plataformas que emplean el uso de cookies. Por tanto, la finalización del plazo dado por la AEPD para la adaptación a estos criterios deja abierta la puerta, a partir de ahora, a la aplicación de sanciones y multas económicas en caso de incumplimiento.
Autora: Melanie Díaz
Departamento de Compliance de Molins Defensa Penal.
Compliance y protección de datos: integración y gobernanza
Gestionar adecuadamente la protección de los datos personales dentro de una organización es hoy en día una cuestión de vital importancia. Constantemente somos testigos de sanciones administrativas y juicios reputacionales a las que se ven expuestas aquellas organizaciones que no cumplen con la regulación en esta materia y/o no han adecuado sus actividades a los estándares mínimos que prevé la normativa.
Por ello, incardinar dentro de nuestro Sistema de Compliance lo previsto en el Reglamento (UE) 2016/679 de 27 de abril de 2016, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, así como las guías elaboradas por la Agencia Española de Protección de datos y las directrices emitidas por el Comité Europeo de Protección de Datos, es asumir una postura proactiva en la adopción de lo que tal normativa prevé y denomina como privacidad desde el diseño (“Privacy by design”) y privacidad por defecto (“Privacy by default”).
Partiendo de lo que conocemos como Sistema de Compliance, tener presente desde el diseño del mismo o incorporar en nuestro sistema ya desarrollado la regulación sobre protección de datos, nos permitirá integrar las obligaciones, requisitos y recomendaciones que la regulación, guías y directrices en esta materia nos afecten, con la finalidad última de fortalecer nuestra cultura ética y de cumplimiento, ampliándola a aquellos ámbitos en los que también nos podamos ver afectados por riesgos de compliance no previstos.
Retomando los conceptos señalados de privacidad desde el diseño y privacidad por defecto, por un lado, siempre que tengamos previsto realizar una nueva actividad en nuestra organización, una de las primeras cuestiones que deberíamos plantearnos es si en tal actividad vamos a tratar datos personales, con la finalidad de tener en cuenta los requisitos y recomendaciones mínimos y adecuar e implementar las medidas técnicas y organizativas necesarias, y así evitar riesgos de compliance y reputacionales desde un principio, desde el diseño de la actividad.
Por otro lado, si tenemos en cuenta en el desarrollo de nuestra actividad, en la que tengamos previsto tratar datos personales, la privacidad por defecto, ello nos llevará a aplicar desde un inicio los principios de minimización de datos y limitación de la finalidad, asegurándonos así que podemos garantizar el cumplimiento en esta materia.
En tal sentido, no sólo nos basta con disponer de una Política de privacidad, una Política de cookies, un registro de actividades y diversas políticas que muchas veces desconocemos que tenemos o cómo nos pueden ayudar a gestionar nuestra actividad, sino que es necesario realizar una revisión interna de las actividades que realizamos para conocer en cuales de ellas tratamos efectivamente datos personales y bajo qué premisas y con qué medidas de seguridad lo estamos haciendo. En base a tal evaluación, podremos determinar aquellos aspectos que tenemos que adaptar, adecuar y/o actualizar para asegurar un efectivo cumplimiento que nos garantice que estamos aplicando las medidas técnicas y organizativas que nos exige la regulación.
Al incluir dentro de nuestro Sistema de Compliance la regulación en materia de protección de datos, podremos realizar una valoración de los riesgos a los que se puede ver expuesta nuestra organización siguiendo el modelo de gobernanza empleado para la incorporación de las demás regulaciones normativas que nos afectan, y elaborar las respuestas proactivas, preventivas y reactivas mediante políticas, protocolos y procedimientos que sirvan de guía y referencia en el modo de desarrollar la cultura ética y de cumplimiento que los miembros de la organización han de observar respecto también de la privacidad y la protección de datos personales.
El desarrollo constante de las actividades que puede realizar una organización, así como el empleo de los datos personales y las actividades de tratamiento que se realizan sobre los mismos, han hecho que la regulación sobre la protección de los datos personales resulte de aplicación transversal a la organización y por ende, ello está ligado con la función de compliance, siendo por tanto una normativa más como se ha indicado antes – tan relevante como las otras- a tener en cuenta dentro de nuestro Sistema de Compliance.
Tal es así que, la evolución normativa en materia de protección de datos personales de la que hemos sido testigos estos últimos años, surge de la necesidad de contar con una regulación tecnológicamente resistente que nos permita salvaguardar los derechos y libertades de las personas de los tratamientos de datos personales que se realizan en la nueva sociedad digital, como consecuencia del desarrollo y evolución de la tecnología.
Por ello, resulta necesario conocer cómo estamos gestionando nuestras actividades de tratamiento sobre los datos personales, en función de las medidas técnicas y organizativas que hemos aplicado, así como verificar el empleo que realizamos de la tecnología de conformidad con lo que la regulación prevé y en particular, poder demostrar que las medidas que hemos adoptado en determinado momento, continúan siendo lo suficientemente robustas para garantizar como mínimo la confidencialidad, integridad y disponibilidad de los datos personales que tratamos.
No podemos perder de vista que, para la gran mayoría de organizaciones, el tratamiento de datos personales constituye un activo esencial, y el hecho de poder garantizar que realizan un empleo seguro y correcto de los mismos refuerza su reputación y confianza por parte de la ciudadanía y de sus socios de negocio.
En definitiva, como tareas a realizar para asegurar el cumplimiento en materia de protección de datos y la implicación de toda la organización con la finalidad de interiorizar esta cultura ética y de cumplimiento, podemos listar las siguientes, sin ánimo de exhaustividad:
- Determinar la gobernanza y el nombramiento del Delegado de Protección de Datos (en los supuestos previstos por la regulación, y/o de forma voluntaria).
- Evaluación de riesgos de las actividades de tratamiento de datos personales.
- Inventario de tratamientos y análisis de bases de licitud.
- Análisis de riesgos y evaluaciones de impacto.
- Registro de actividades de tratamiento.
- Política de privacidad y Política corporativa de privacidad.
- Revisión de cláusulas informativas y de Contratos de encargados de tratamiento.
- Procedimientos para el ejercicio de derechos, brechas de seguridad, conservación de datos, etc.
- Gestionar las medidas de seguridad pertinentes, involucrando a todos los miembros de la organización.
- Formación y concienciación de los miembros de la organización.
- Seguimiento y monitorización continua.
Departamento de Compliance de Molins Defensa Penal.
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
En fecha 16 de junio ha entrado en vigor, parcialmente, la Ley Orgánica 7/2021 mencionada, tras la dura sanción económica impuesta a España por el Tribunal de Justicia de la Unión Europea (STJUE 25 de febrero de 2021, C-658/19) al no haber transpuesto en tiempo la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
La LO 7/2021 regula el tratamiento de datos personales con fines jurisdiccionales penales (art. 2.1 LO 7/2021 y art. 236 ter 2 LOPJ). Recordemos que, en nuestro ordenamiento jurídico, el tratamiento con fines no jurisdiccionales se contiene en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que adaptó el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679). La Ley Orgánica 3/2018 derogaba –salvo puntuales excepciones- la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Objeto.
Según establece el artículo 1, esta Ley Orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Ámbito de aplicación.
El tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.
Expresamente se contiene que se rige por esta Ley Orgánica el tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de las actuaciones o procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, en el ámbito del artículo 1, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, las leyes procesales que le sean aplicables y, en su caso, por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal.
Finalidad.
La finalidad principal es que los datos sean tratados por estas autoridades competentes de manera que se cumplan los fines prevenidos, así como establecer mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos, de forma que se cumpla lo dispuesto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, así como en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución.
Se incluyen determinadas previsiones específicas para el tratamiento de los datos de personas fallecidas a similitud de lo que se dispone en la precitada Ley Orgánica 3/2018, de 5 de diciembre.
Autoridades competentes.
Será autoridad competente, toda autoridad pública que tenga competencias encomendadas legalmente para el tratamiento de datos personales relacionados con el objeto de la misma. En particular, tendrán esa consideración, en el ámbito de sus respectivas competencias, las siguientes autoridades:
- a) Las Fuerzas y Cuerpos de Seguridad.
- b) Las Administraciones Penitenciarias.
- c) La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria.
- d) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.
- e) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.
También tendrán consideración de autoridades competentes las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.
Todo ello, sin perjuicio de que los tratamientos que se lleven a cabo por los órganos jurisdiccionales se rijan por lo dispuesto en esta Ley Orgánica, en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales penales.
Principios relativos al tratamiento de datos personales.
Conforme al artículo 6, los datos personales serán:
- a) Tratados de manera lícita y leal.
- b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines.
- c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.
- d) Exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen, sin dilación indebida, los datos personales que sean inexactos con respecto a los fines para los que son tratados.
- e) Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados.
- f) Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Para ello, se utilizarán las medidas técnicas u organizativas adecuadas.
Es importante destacar que los datos personales recogidos por las autoridades competentes no serán tratados para otros fines distintos de los establecidos en el artículo 1, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por la legislación española. Cuando los datos personales sean tratados para otros fines, se aplicará el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea.
Lógicamente, para adecuar otras normas a la presente Ley Orgánica, se modifica la Ley Orgánica del Poder Judicial, la Ley que regula el Estatuto Orgánico del Ministerio Fiscal y la Ley Orgánica Penitenciaria entre otras.
Por último, señalar que la presente regulación prevé que los interesados que sufran daño o lesión en sus bienes o derechos por parte del encargado del tratamiento que no forme parte del sector público, como consecuencia del incumplimiento de lo dispuesto en esta Ley Orgánica, tendrán derecho a ser indemnizados. Del mismo modo establece un régimen sancionador cuyas multas pueden ascender hasta el millón de euros