2024: Principales novedades en el cumplimiento de la normativa de protección de datos personales

Escrito por Víctor López Jr.

Resumen ejecutivo

Han pasado más de cinco años desde que comenzó a aplicarse el RGPD (Reglamento General de Protección de Datos)y se han desarrollado nuevos criterios e interpretaciones, tanto por parte de la AEPD como por el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD), y la razón de ser de muchos incumplimientos es por desconocimiento de las empresas de estos cambios.

El riesgo de una denuncia de incumplimiento ante Agencia Española de Protección de Datos (AEPD) es muy alto, ya que puede provenir de sus clientes, de sus trabajadores de la empresa o de cualquier denunciante o empresa de la competencia. La denuncia no proviene de un inspector que visita su empresa sino de cualquier persona que entiende que no está cumpliendo con la normativa de protección de datos.

Con nuestra Consultoría de Protección de Datos periódicamente revisamos y actualizamos el cumplimiento de la normativa de protección de datos y recomendamos las medidas técnicas y organizativas adecuadas para mantener un nivel de riesgo aceptable.

En nuestra labor de Consultoría de Protección de Datos hemos sido testigos del aumento de denuncias que hemos gestionado con nuestros clientes y que irán en aumento ya que no tienen tasas judiciales ni necesidad de abogado ni de procurador. 

Las principales novedades de este año 2024 son:

  • El nuevo criterio de la AEPD en el uso de datos biométricos (huella dactilar o reconocimiento facial) en sistemas de control de acceso y horario que conlleva en general su prohibición. 

  • Nueva guía sobre el uso de las cookies para adaptarla a las nuevas directrices del CEPD.

Las actividades que más procedimientos sancionadores recibieron son los relativos a videovigilancia, a publicidad y acciones comerciales, a las políticas de privacidad y de cookies de sitios web, a tratamientos sin base de legitimación y a no informar correctamente al interesado que se le está tratando sus datos personales. Por otro lado, los expedientes derivados de brechas de seguridad han crecido espectacularmente por la adopción de medidas de seguridad totalmente insuficientes.

El importe de las multas impuestas por las autoridades de control europeas por incumplimiento del RGPD superaron los dos mil millones de euros en 2023, siendo España el país de la Unión Europea que mayor cantidad de multas ha impuesto.

Los medios informan de multas millonarias a multinacionales, pero también reciben multas las microempresas y las asociaciones de vecinos. Por ejemplo, cualquier persona puede poner una denuncia al comprobar que un sitio web no dispone de una política de cookies adecuada y por ello, puede ser sancionado el titular de dicha web con una multa de 2.000€.

Tratamientos de control de presencia mediante sistemas biométricos

La AEPD acaba de publicar la guía "Tratamientos de control de presencia mediante sistemas biométricos", que adjuntamos, en la que cambia su interpretación sobre la autenticación biométrica, considerando que esta es un proceso que implica el tratamiento de categorías especiales de datos personales.

La AEPD publicó en el año 2021 la guía "La Protección de Datos en las Relaciones Laborales", en la cual interpretaba que la autenticación biométrica estaba fuera de las categorías especiales de datos. Sin embargo, la AEPD ha adaptado esta interpretación basándose en las Directrices 05/2022 del CEPD, sobre el uso de reconocimiento facial en el ámbito de las fuerzas de orden público (versión de 2023), en la que determinan que el concepto de dato biométrico abarca tanto la “autenticación” como la “identificación”, y si bien son conceptos distintos, en ambos procedimientos se tratan datos dirigidos a identificar a una persona física, por lo que ambos se incluyen en el concepto de “tratamientos de datos”, y más específicamente, son tratamientos de datos personales de categorías especiales. En consecuencia, a ambos se extiende la prohibición general establecida en el art. 9.1 del RGPD, por lo que dicha prohibición ha de aplicar no sólo a los tratamientos dirigidos a la identificación sino también a los supuestos de tratamientos de datos biométricos dirigidos a la autenticación o verificación de la persona con respecto al patrón previamente establecido para la misma.

Este cambio interpretativo conllevaría la prohibición del uso de sistemas de control de presencia para el registro de jornada y control de acceso con fines laborales que impliquen tratamiento de datos biométricos, al no incurrir el interés legítimo, la ejecución de un contrato o medidas precontractuales entre las excepciones a la prohibición del tratamiento de datos de categoría especial.

Una excepción a la prohibición de tratamiento de los datos de categoría especial sería que el tratamiento fuera necesario para el cumplimiento de una norma con rango legal y se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad.

Por último, recogemos las conclusiones que presenta la guía con respecto al registro de jornada y control de acceso con fines laborales mediante técnicas biométricas de identificación o autenticación para tener en cuenta por los responsables del tratamiento:

  • La utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos.

  • En la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.

  • Es necesario que exista una circunstancia para levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento.

  • En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española 

  • En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.

  • En el tratamiento de control de presencia, no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar basadas en el proceso biométrico, si no se cumple la circunstancia de un interés público esencial basado en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

  • En el caso de que el sistema biométrico se implemente con técnicas de inteligencia artificial, para poder incluirlos en un tratamiento se deberán tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.

  • En cualquier caso, será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.

  • Superados todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deben implementarse garantías organizativas, técnicas y jurídicas. En particular, al menos han de estar presentes las siguientes medidas por defecto:

  • Informar a los trabajadores, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.

  • Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.

  • Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito. 

  • Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.

  • Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

  • Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.

  • Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no hay posibilidad de revelar categorías especiales de datos adicionales.

  • En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPDGDD. 

  • Entre las medidas recomendables para minimizar el riesgo se encuentran:

  • La utilización de tecnologías biométricas debería basarse en utilizar dispositivos bajo el control exclusivo de los usuarios.

  • Es recomendable que la toma de los datos se realice de forma consciente por el individuo, e incluso con la exigencia de una acción positiva para iniciar el procesamiento de datos biométricos. 

  • Preferentemente no debería emplearse un almacenamiento centralizado de las plantillas biométricas. 

  • Deberían implementarse mecanismos automatizados de supresión de datos.

  • Finalmente, todas las acciones y las medidas implementadas se revisarán y actualizarán cuando sea necesario.

Cambios en el uso de las cookies

La principal novedad, se basa en que la AEPD ha incorporado el criterio del Comité Europeo de Protección de Datos según el cual las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, es decir, no puede ser más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen.

La otra gran novedad está relacionada con los muros de cookies. Si bien, en la última versión de la Guía de la AEPD sobre el uso de cookies ya se hacía mención de que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Esta circunstancia, podía permitir supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. En la nueva versión de la Guía se aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita.

De este modo, si el usuario no aceptase el uso de las cookies, la web estará en su pleno derecho, como alternativa de exigirle un pago para poder acceder a la web o aplicación y utilizar sus servicios.

Sanciones

Las sanciones más frecuentes impuestas por la AEPD en el año 2023 han estado relacionadas con las siguientes infracciones:

  • Medidas técnicas y organizativas insuficientes

  • Tratamiento de datos ilícitos

  • Incumplimiento de los principios relativos al tratamiento, principalmente: minimización de datos (tratamiento de datos personales inadecuados, no pertinentes y no necesarios) y confidencialidad e integridad (datos indebidamente expuestos)

  • No facilitar al interesado toda la información relativa al tratamiento de los datos o facilitar información incompleta

La sanción más alta de la AEPD de 6.100.000 € ha sido a Endesa por diversos hechos relacionados con una brecha de seguridad sufrida y no gestionada adecuadamente, lo que también subraya la importancia de establecer protocolos organizativos y de gestión frente a brechas, además de impulsar la ciberseguridad.

El BBVA pagó una sanción de 800.000 € acogiéndose al pronto pago por un procedimiento sancionador de no hacer caso a una notificación de sustracción de tarjeta bancaria.

A nivel europeo, a Meta se le ha sancionado por 1.200 millones de euros y a TikTok por 345 millones de euros.

Es imposible el cumplimiento RGPD sin medidas de seguridad de protección de datos

La realidad es que todas las empresas pueden estar seguras de que tarde o temprano van a recibir ciberataques. El RGPD y la LOPD obligan a las empresas por el principio de responsabilidad proactiva a adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos y minimicen el riesgo a sufrir una brecha de seguridad. La falta de implantación de dichas medidas se considera una infracción grave. Como las medidas deben ser las adecuadas en base a los tratamientos de datos que realice la empresa es conveniente la intervención de expertos en ciberseguridad.

En LBO Legal disponemos de expertos en normativa de protección de datos y de técnicos expertos certificados en ciberseguridad y entre los servicios que realizamos están la implantación de medidas de seguridad de protección de datos, la auditoría de seguridad y los ataques de hacker ético.

Víctor López Jr.
Director & Fundador de LBO Legal

Víctor López Jr.

35 años. Víctor López es fundador de lbo.legal y especialista en Derecho de las Nuevas Tecnologías y Derecho Internacional Privado. Tras su paso por escuelas de Londres y Edimburgo, se formó en la Universidad Pablo de Olavide donde estudió dos Masters Universitarios: Derecho de las Nuevas Tecnologías y Derecho Patrimonial Privado en el Mercado Global.

https://www.lbo.legal
Anterior

SaaS como Activo Intangible. Valoración y tratamiento contable y fiscal.
Siguiente

¿Cómo atraer inversores a tu proyecto en 2024? Toma nota: