(Madrid, 4 de marzo de 2019). El Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia Española de Protección de Datos, ha aprobado unas orientaciones dirigidas a empresas y entidades públicas que realicen transferencias de datos personales a Reino Unido en caso de producirse un Brexit sin acuerdo. Actualmente, el flujo de datos entre países del Espacio Económico Europeo (EEE) y Reino Unido puede realizarse sin garantías adicionales.

En el caso de un Brexit sin acuerdo, Reino Unido se convertiría en un país tercero desde el 30 de marzo de 2019. La normativa establece que si los datos se envían a países que no pertenecen al EEE habría una transferencia internacional de datos, para cuya realización es necesario que el responsable del tratamiento proporcione las garantías jurídicas adecuadas.

El objetivo de este documento es ayudar a las organizaciones que envíen datos personales a Reino Unido a decidir con antelación qué instrumento jurídico pueden adoptar para seguir realizándolas.

En este escenario, el documento recuerda que la transferencia de datos personales a Reino Unido sólo podrá realizarse amparándose en alguno de estos instrumentos: cláusulas de protección de datos estándar o ad hoc, normas corporativas vinculantes, códigos de conducta y mecanismos de certificación, e instrumentos de transferencia específicos a disposición de las autoridades públicas. A falta de cláusulas estándar de protección de datos u otras garantías alternativas apropiadas, pueden utilizarse excepciones en determinadas condiciones, recogidas en el artículo 49 del Reglamento General de Protección de Datos.

La nota informativa del CEPD ha identificado cinco puntos básicos que tienen que plantearse las organizaciones que envíen datos personales a Reino Unido:

Identificar qué actividades de tratamiento implicarán la transferencia de datos personales al Reino Unido.
Determinar el instrumento de transferencia de datos adecuado para su situación.
Aplicar el instrumento elegido para que esté listo para el día 30 de marzo de 2019.
Indicar en la documentación interna qué transferencias se realizarán al Reino Unido.
Actualizar el aviso de privacidad para informar a los particulares.

Flujo de datos del Reino Unido al EEE

En lo que respecta a las transferencias de datos desde Reino Unido al EEE, según el Gobierno británico, la práctica actual, que permite que los datos personales fluyan libremente, continuará en el caso de un Brexit sin acuerdo

(Madrid, 12 de febrero de 2019). La Agencia Española de Protección de Datos (AEPD) ha iniciado el trámite de audiencia para recabar la opinión de los interesados acerca del proyecto de Circular sobre el tratamiento de datos relativos a opiniones políticas por los partidos. El texto se realiza tras la aprobación de la Disposición final tercera de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, que modifica la Ley Orgánica del Régimen Electoral General añadiendo el artículo 58 bis.

La elaboración y publicación de este 

proyecto de Circular

, que consta de una parte expositiva, diez artículos y una disposición final, se lleva a cabo tras la publicación por parte de la AEPD de un 

informe jurdico

 en el que analizaba el tratamiento de datos personales relativos a opiniones políticas por los partidos. Dada la tipología de los datos que se tratarían y que existe un alto riesgo para los derechos y libertades de las personas, el borrador de Circular establece, entre otras garantías, la obligación de consultar a la AEPD antes de proceder al tratamiento de datos a no ser que el partido político justifique que ha adoptado medidas para mitigar los riesgos. En ese caso, deberá remitir a la Agencia el análisis de riesgos y la evaluación de impacto realizada junto a la justificación de las medidas adoptadas. Todo ello sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias, como la Junta Electoral Central, el Tribunal de Cuentas, el Ministerio del Interior y, en último término, el Tribunal Constitucional.

El objetivo del proyecto de Circular es fijar los criterios a los que responderá la actuación de la AEPD en la aplicación de la normativa de protección de datos. En ese sentido, interpreta el citado artículo 58 bis conforme a lo establecido en la Constitución Española y en el Reglamento UE 2016/679, y de modo que no conculque derechos fundamentales como el derecho a la protección de datos de carácter personal reconocido en el artículo 18.4, el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20 o el derecho a la participación política del artículo 23.

Las contribuciones al texto publicado podrán remitirse hasta el día 5 de marzo de 2019 a través del correo electrónico circularpartidos@aepd.es.

(Madrid, 7 de febrero de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado el estudio ‘Fingerprinting o huella digital del dispositivo’ (también disponible en inglés), un documento que analiza esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos. Para su realización la Agencia ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado. El estudio también incluye las medidas que pueden poner en marcha los usuarios para tratar de evitar este tipo de seguimiento y una serie de recomendaciones a la industria, tanto a los fabricantes y desarrolladores como a las compañías que explotan datos obtenidos a partir de la huella de los dispositivos.

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar de forma unívoca dicho terminal. Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma. El perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información detallada en el estudio permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

El estudio afirma, entre otras conclusiones, que con mucha frecuencia se emplean estas técnicas para recoger datos del equipo del usuario sin ofrecerle información y sin solicitarle su consentimiento, y que el conjunto de datos recabados puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos. El documento añade que, en la mayoría de los casos, al usuario no se le proporcionan herramientas para poder evitar de forma efectiva la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el RGPD cuando se recogen o asocian a datos personales.

El estudio incluye un apartado completo con recomendaciones para el usuario, entre las que se encuentran utilizar la opción Do not track del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores, que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales. El estudio de la AEPD recuerda que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento, proyectando una falsa sensación de seguridad.

El estudio también incluye unas recomendaciones para la industria, tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo. En el caso de fabricantes o desarrolladores, el documento afirma que deberían incluir en sus productos las opciones necesarias para que el usuario disponga de capacidades para denegar o aceptar, de forma total o parcial, el uso de estas tecnologías. Además, deberían proporcionar al consumidor los equipos con las máximas opciones de privacidad activadas de forma predeterminada, y que sea el propio usuario quien reduzca esas opciones. Como buena práctica, los navegadores podrían tener activada por defecto la opción Do Not Track.

En el caso de entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, se indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, toda aplicación de huella debería chequear el estado de la opción Do Not Track. En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados. Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios.

(Madrid, 28 de enero de 2019). La Agencia Española de Protección de Datos (AEPD) ha fallado los ‘Premios de Protección de Datos 2018’, que reconocen los trabajos que promueven en mayor medida el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos.

 En esta edición se han recibido un total de 68 candidaturas, 14 en la categoría de ‘Comunicación’, 11 en la de ‘Investigación Emilio Aced’, 29 en la categoría de ‘Buenas prácticas sobre iniciativas para adaptarse al Reglamento General de Protección de Datos’ (RGPD) y 14 en la de ‘Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet’.

Premio de Comunicación

El jurado ha concedido el premio a Mediaset por la campaña realizada para difundir los derechos y obligaciones del Reglamento General de Protección de Datos en sus canales Telecinco, Cuatro, FDF, Energy, Divinity y Be Mad. La campaña de difusión realizada también incluye los vídeos de educación digital emitidos en el canal infantil Boing, orientados al uso responsable de internet y las nuevas tecnologías.

Premio de ‘Investigación en protección de datos personales Emilio Aced’

En esta categoría el jurado ha otorgado el premio principal a Ángel Cuevas Rumín, José González Cabañas y Rubén Cuevas Rumín por su trabajo ‘Análisis y cuantificación del uso de datos sensibles por parte de Facebook’, un análisis sobre las categorías especiales de datos en la red social.

 También ha concedido el accésit a Javier Parra Arnau, Jagdish Prasad Achara y Claude Castelluccia, por su trabajo ‘MyAdChoices. Transparencia y control de la publicidad en línea’, por diseñar una herramienta que tiene como fin permitir a los usuarios averiguar hasta qué punto se explotan sus perfiles de navegación para servirles anuncios, e investigar si los perfiles construidos por las empresas de publicidad revelan patrones de navegación únicos que puedan permitir, eventualmente, la identidad real del usuario.

Premio a las ‘Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos’

En la modalidad de empresas, asociaciones y fundaciones, el jurado ha concedido el premio, ex aequo, a la Asociación Española de la Economía Digital (ADIGITAL) y a la Asociación Multisectorial de la Información (ASEDIE), por la adaptación del servicio de Lista Robinson al RGPD, y por el Código de conducta del sector infomediario para el tratamiento de datos de carácter personal, respectivamente.

 En relación con la modalidad de entidades del sector público, ha otorgado el premio a la Diputación Provincial de Valencia, por su proyecto de asistencia a las entidades locales para el cumplimiento de la normativa de protección de datos. El jurado reconoce el grado de implicación de la institución, por desarrollar el proyecto principalmente con medios y recursos propios y aportar una propuesta innovadora en lo que se refiere a la formación y apoyo a los Delegados de Protección de Datos en el ámbito local, y especialmente en los municipios más pequeños.

Premio a las ‘Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de internet’

En esta categoría, el jurado ha concedido el premio en la modalidad dirigida a centros de enseñanza públicos, concertados y privados de Educación Primaria, Educación Secundaria Obligatoria, Bachillerato y Formación Profesional, al IES Parque Goya, por su programa ‘Ciberayudantes’, en virtud del cual alumnos a partir de 3º de la ESO ofrecen charlas al resto de alumnos de cursos inferiores del propio centro, así como a distintos centros de la zona.

 Finalmente, en la modalidad que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas y privadas que hayan destacado por el impulso y difusión entre los menores de edad de buenas prácticas para un uso seguro de internet, el jurado ha otorgado el premio, ex aequo, a ‘Pantallas Amigas’ -por su proyecto compuesto por varias iniciativas online dirigidas a la protección del colectivo de menores- y a Iván Carrasco Lozano ( Ivangel Music), por la difusión a través de su canal de YouTube de vídeos en los que trata de fomentar la conciencia crítica de los jóvenes para evitar situaciones como el grooming o el ciberbullying.