Inteligencia Artificial y Protección de Datos; Entrevista a Ana Caballero, Co-Presidenta de la Sección de Infancia y Adolescencia del ICAM; El deber de confidencialidad del Ministerio Fiscal en sus actuaciones; Derecho al olvido ¿también para las personas fallecidas?; Sanción al Burgos C.F.: uso de datos biométricos para el acceso a estadios de fútbol; Género y Protección de Datos: a propósito de la sanción de la AEPD por incluir la variable “no binario” en un formulario público; Avances del Proyecto de Ley Federal para la protección de derechos de privacidad de EEUU; Más de 11 millones y medio de euros en multas en los cinco primeros meses del 2024; Datos excesivos del DNI, publicación del torso de una persona sin legitimación, la imagen parcial como dato de salud y brechas de seguridad…

Llegamos a final de curso con muchas lecciones aprendidas, como suele decir nuestro Director, pero, también, con alguna que otra asignatura pendiente para septiembre. El maravilloso elenco de Profesionales que han colaborado en esta ocasión con nuestra Revista ha sabido identificar a los buenos y malos estudiantes y da buena cuenta de ellos en este número.

El consenso finalmente alcanzado entre la Comisión Europea, el Parlamento y los Estados miembros ha facilitado la adopción de dos normas que van a resultar estratégicas para el futuro de la protección de datos. Nos referimos al Reglamento que regulará la Inteligencia Artificial (RIA) y al Reglamento del Espacio Europeo de Datos de Salud (EHDSR).

La Asociación Profesional Española de Privacidad (APEP), ha otorgado a la revista LA LEY Privacidad, editada por Aranzadi LA LEY, su premio al mejor medio de comunicación 2023.

Entrevistamos a la Co-Presidenta de la Sección de Infancia y Adolescencia del Ilustre Colegio de Abogados de Madrid, quien ha tenido la generosidad de compartir con nuestros lectores sus impresiones y su preocupación por la falta de compromiso con la privacidad de los menores y por la generalizada falta de ponderación de criterios como la edad o la madurez del menor, o el interés superior del menor, en el diseño de productos y servicios dirigidos a ellos.

Este trabajo aborda el deber de confidencialidad del Ministerio Fiscal en sus actuaciones. Comienza con una visión general de los deberes de confidencialidad en el ámbito de las instituciones públicas, seguido de notas sobre el Ministerio Fiscal y la protección de datos en la Ley Orgánica del Poder Judicial. Luego, examina el régimen jurídico específico del deber de confidencialidad del Ministerio Fiscal, incluyendo el Estatuto Orgánico, instrucciones y recomendaciones internacionales. También considera la responsabilidad por el incumplimiento de este deber, tanto desde una perspectiva penal como disciplinaria, y reflexiona sobre la importancia de este principio ético. Se concluye con una discusión sobre la responsabilidad civil y referencias bibliográficas relevantes.

Este artículo examina la interpretación y alcance actual del derecho de supresión que reconoce el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) a la luz de una reciente sentencia del Tribunal Supremo que aborda el derecho al olvido en relación con los datos de personas fallecidas. El caso se inició en 2019 cuando un particular solicitó a Google la eliminación de las URL que contenían datos personales de su padre fallecido, petición que fue denegada por Google, sin que se acogieran tampoco sus pretensiones por la Agencia Española de Protección de Datos (AEPD) y por la Audiencia Nacional. Vía recurso de casación llegó al Tribunal Supremo que determinó que, en España, el alcance y los límites del derecho de supresión («derecho al olvido») de las personas fallecidas, se regula por las mismas disposiciones que el RGPD establece para las personas vivas.

La Agencia Española de Protección de Datos (AEPD) sancionó al BURGOS CLUB DE FÚTBOL, S.A.D., en el procedimiento sancionador PS/00483/2023, por implementar un sistema de acceso a las gradas de animación mediante huellas dactilares. La AEPD identificó múltiples infracciones del RGPD, incluyendo la falta de información adecuada a los usuarios y la ausencia de consentimiento explícito. La resolución concluyó con una sanción económica de 200.000 euros, por el incumplimiento de los artículos 5.1.c), el 8, el 9, el 13 y el 35 del RGPD. Además, la APED le impuso como medida correctiva la prohibición de todo tratamiento de huella dactilar para el acceso al estadio.

La transición hacia una sociedad digital, donde los datos personales son la base de la gran mayoría de las innovaciones tecnológicas, aplicaciones y sistemas de Inteligencia Artificial que nos rodean, no puede obviar que el uso de dichos datos debe realizarse con una adecuada perspectiva de género so pena de reproducir digitalmente los odiosos estereotipos discriminatorios que, por desgracia, siguen existiendo en nuestras sociedades. La sanción impuesta, a finales de enero de 2024, por la AEPD a la Consejería del Gobierno canario por la inclusión en unos formularios públicos de la opción «no binario» en una casilla que preguntaba sobre el género del solicitante, ha abierto el debate sobre si se puede, o no, preguntar por dicha información, poniendo de manifiesto la necesidad de aplicar la perspectiva de género al tratamiento de datos personales.

El 7 de abril de 2024 surgió un borrador de discusión, bipartidario y bicameral, de American Privacy Rights Act (APRA), un proyecto de ley integral de privacidad a nivel federal de Estados Unidos. En caso de aprobarse, APRA superaría el mosaico de leyes integrales a nivel de los estados, hacia la estandarización de obligaciones en materia de datos personales y el reconocimiento de derechos individuales (inclusive el derecho de demandar por violaciones a ciertas estipulaciones de la ley) sin perjuicio del estado de residencia de los individuos. Asimismo, el borrador consigna el principio de minimización de datos como rector del uso de datos personales. Una versión modificada del borrador fue tratada el 23 de mayo en el Subcomité de Innovación, Datos y Comercio del Comité de Energía y Comercio de la Cámara de Representantes del Congreso de Estados Unidos, y aprobada sin modificaciones para su tratamiento por parte del Comité en pleno. No obstante dicha aprobación, el debate en el Subcomité evidenció varios puntos de fricción; asimismo, el 20 de junio se dio a conocer una tercera versión del borrador, con sustanciales cambios.

Comenzamos el 2024 con una actualización de los datos del año 2023, en este número, analizamos las resoluciones publicadas por la AEPD en los cinco primeros meses del 2024.

Esta tabla resume los hechos infractores en este 2024, clasificándolos por sectores, e indicando los preceptos del RGPD vulnerados y la cuantía de la sanción para cada caso, con expresa mención si ha habido terminación por pago en periodo voluntario.

Además, se incluyen prácticos gráficos que recogen de manera visual la información por meses, por infracciones y por cuantías en cada sector.

Estamos acostumbrados a que, con una alta frecuencia, se nos solicita una copia del documento nacional de identidad en el que aparecen bastantes más datos de los que realmente se pueden necesitar. En otras ocasiones, esta copia se suele pedir por lo que podríamos denominar «por costumbre», cuando realmente es innecesario. Por otra parte, ¿Hasta dónde puede aplicarse el concepto de dato personal? Recordemos que su definición no sólo abarca a que se identifique a una persona sino también a que pueda ser identificable, como puede ocurrir con el torso o una imagen parcial de una persona. En el último apartado de este artículo abordamos algunas resoluciones sancionadoras sobre brechas de seguridad, en el que parece cambiar la tendencia anterior, puesto que eran muy excepcionales aquellos supuestos en los que responsables o encargados que las habían sufrido acababan siendo multados.

El consentimiento de los empleados públicos no es suficiente base jurídica para la implantación de un sistema de control de presencia mediante reconocimiento facial. Será necesaria su previsión por una norma de rango legal o bien por un convenio colectivo, pacto o acuerdo fruto de la negociación colectiva donde se prevean las garantías. En cualquier caso, será necesario, antes de su implantación, una evaluación del impacto sobre la protección de datos.

La Agencia Catalana de Protección de Datos («Autoritat Catalana de Protecció de Dades») dio respuesta, a través del Dictamen n.^o CNS 9/2024, a una consulta de un Ayuntamiento sobre el uso de un dron que podría implicar un tratamiento de datos personales con diferentes finalidades, según su uso. El dictamen trata cuestiones tales como el título habilitante para el tratamiento de datos personales y la necesidad de llevar a cabo una Evaluación de Impacto relativa a la Protección de Datos («EIPD») cuando exista un riesgo para los titulares de los datos personales.

Este artículo ofrece un análisis conciso de la Ley Marco de Ciberseguridad de Chile publicada en abril de 2024. Destaca su completitud y actualización en un tema de creciente importancia. La ley establece principios rectores que guían medidas efectivas, define roles para los operadores de importancia vital y prioriza la respuesta a incidentes. Aunque se señala una oportunidad de mejora en la cooperación internacional, la ley representa un avance significativo para la regulación de la ciberseguridad en Chile.

Con el verano a la vuelta de la esquina, el SEPD y el CEPD reflexionan sobre el trabajo realizado el pasado año y ponen la mirada en los siguientes meses, en los que el SEDP celebrará su vigésimo aniversario y el CEPD continuará su trabajo para implementar su nueva Estrategia para los siguientes años.

El documento analiza el pronunciamiento del Comité Europeo de Protección de Datos (EDPB) sobre la validez del consentimiento en el contexto de los modelos de «consentimiento o pago» (Consent or Pay) que usan las grandes plataformas en línea para ofrecer servicios basados en la publicidad comportamental. Concretamente, se analizan los requisitos que debe cumplir el consentimiento para que el mismo sea conforme al Reglamento General Europeo de Protección de Datos (RGPD) y a otros instrumentos jurídicos de la Unión Europea (UE), como las Directivas sobre comunicaciones electrónicas, prácticas comerciales desleales, contratos de suministro de contenidos y servicios digitales, y las Leyes de Mercados Digitales y de Servicios Digitales, concluyen que, en la mayoría de los casos, las grandes plataformas en línea no podrán obtener un consentimiento válido si solo ofrecen a los usuarios una opción binaria entre dar su consentimiento para el tratamiento de datos personales con fines publicitarios basados en el comportamiento o pagar una cantidad económica. El EDPB recomienda que las grandes plataformas en línea ofrezcan a los usuarios una «alternativa equivalente» que no requiera el pago de una cantidad económica, ni el tratamiento de sus datos personales con fines de publicidad comportamental, o que al menos ofrezcan una «alternativa gratuita sin publicidad comportamental» que suponga el tratamiento de menos datos personales. Por último, se pone de relieve en el documento los posibles efectos que podría conllevar la imposibilidad de que los ciudadanos puedan decidir si desean o no que el uso de dichos servicios pueda ser realizado mediante un modelo de pago mediante la explotación de sus datos personales, en lugar de bajo un modelo de pago económico, que no es otro que dichos servicios, puedan, en un momento dado, pasar a ser servicios provistos bajo una única modalidad, la de pago económico.

En octubre de 2023 el CEPD emitió una decisión vinculante urgente a petición de la Autoridad de protección de datos noruega respecto a la publicidad comportamental llevada a cabo por Meta. Dicho Comité analizó si existía una base legal para llevar a cabo esta práctica. Meta invocó inicialmente la existencia de un contrato (en base a las condiciones generales del servicio) y posteriormente el interés legítimo. Sin embargo, el CEPD considera que el art. 6.1.b) RGPD no puede servir de fundamento jurídico para la publicidad comportamental ya que el perfilado no puede considerarse necesario para ejecutar un contrato con el usuario.

En cuanto a la alegación del interés legítimo [art. 6.1.f) RGPD], el CEPD pone de relieve que la publicidad comportamental no constituye un interés para todos los usuarios de los servicios que ofrece Meta. Además, se produce una situación de desequilibrio en contra de los afectados y no se les proporciona herramientas adecuadas para el ejercicio del derecho de oposición. Tampoco se respetan suficientemente los principios de minimización o de limitación de la finalidad. En consecuencia, deben prevalecer los derechos de los afectados por encima de los intereses de Meta. El CEPD concluye que no existe fundamento para la publicidad comportamental llevada a cabo por Meta.

En el mes de mayo del presente año, la Conferencia de Autoridades de Protección de Datos Alemana ha emitido dos documentos relevantes en materia de Inteligencia Artificial. El primero se ocupa de las competencias originadas a nivel nacional por el Reglamento Europeo de Inteligencia Artificial (IA). El segundo contiene una guía de orientación para el uso de Large Language Models (LLM), también conocidos como chatbots, aunque también puede servir para otras aplicaciones. En este trabajo haremos un breve comentario sobre esos dos documentos.

Aplicar la normativa de protección de datos que tiene un carácter horizontal, considerando el tapiz de normas y criterios que envuelven y delimitan el tratamiento de datos en materia laboral no es una cuestión sencilla. No lo es en España, ni tampoco en el Reino Unido. A esta complejidad se le suma los nuevos avances tecnológicos (e.g. la IA, etc.) que no siempre son fáciles de encajar en el actual marco normativo. Por ello, conscientes de la necesidad de ofrecer directrices, tanto el ICO como el Ministerio de Ciencia, Innovación y Tecnología han puesto su granito de arena. El Gobierno, por el momento, lo ha hecho en materia de IA, mientras que el ICO ha dispuesto en su web una sección específica dedicada al ámbito laboral que está en fase de desarrollo, pero que ya cuenta con numerosos recursos.

Este artículo desarrolla la temática de los incidentes de seguridad en Argentina, tanto desde el punto de vista legal como de eventos acontecidos en los últimos años y que han tomado estado público por su impacto y relevancia.

El presente es un análisis de la nueva formulación normativa de la República de Chile en materia de ciberseguridad, contenida en la ley No. 21.663, de 8 de abril de 2024, que viene a integrar el Marco Nacional de Ciberseguridad 2023-2028 a los cuerpos normativos legales de la República. Asimismo, se compara dicho modelo de ciberseguridad con el Marco Nacional de Ciberseguridad uruguayo, que en diciembre de 2022 veía su versión actualizada.

El marco regulatorio en materia de ciberseguridad exige que los consejos de administración una mayor supervisión y rendición de cuentas en esta materia, incluyendo la evaluación de riesgos y amenazas cibernéticas, las medidas en respuesta a incidentes de ciberseguridad y la búsqueda de la resiliencia organizativa ante ciberataques. Aunque Código de Buen Gobierno de la Ciberseguridad incluye una serie de recomendaciones para una adecuada supervisión y rendición de cuentas, actualmente no existe evidencia de su grado de seguimiento y cumplimiento por parte de las sociedades cotizadas españolas. Por ello, la Cátedra Extraordinaria UCM-ISMS Forum sobre ciberseguridad y protección de datos ha decidido desarrollar el primer estudio nacional en materia de buen gobierno de la ciberseguridad, buscando la colaboración de las empresas que conforman el IBEX-35.

Se analiza el incumplimiento del art. 10 LCS, relativo al cuestionario de salud y al deber de declaración del riesgo en el contrato de seguro, y que supone que la aseguradora no estará obligada a pagar la póliza concertada. Este incumplimiento podrá darse desde un punto de vista formal y material. El Alto Tribunal, con su jurisprudencia, ha fijado doctrina jurisprudencial sobre alcance de la misma que permite resolver y concluir ante las diferentes casuísticas si tomador ha incumplido o no ese deber y si tendrá o no derecho a la indemnización establecida en la póliza de seguro suscrita.

Se analiza la tramitación de dos Proyectos de Ley que afectarán de forma significativa a la litigación financiera en un futuro próximo y que supondrá un cambio de paradigma en la litigación financiera.

La sentencia del Tribunal de Justicia de 8 de mayo de 2024, Ismailova contra el Consejo, reafirma el espíritu del régimen de las medidas restrictivas y los fundamentos de su ponderación con los derechos fundamentales de las personas sujetas a él. Proporciona, además, precisiones de interés con respecto a dos aspectos de gran relevancia práctica, a saber, de una parte, la interpretación del principio de «asociación» y, de otra, el uso de estructuras societarias opacas con el fin de eludir las sanciones impuestas a personas físicas por su conexión o apoyo al régimen ruso.

Basta con cometer un acto de contenido sexual realizado de manera consciente y voluntaria, para que surja una actuación atentatoria a la libertad sexual, que es el bien jurídico protegido. Su contenido objetivo se concreta en la realización de actos de inequívoco carácter sexual realizado por una persona contra otra que no consiente, o que no tiene capacidad para consentir la agresión, pues con ello queda afectada su intimidad y su indemnidad sexual.

Cuando el art. 395 LEC se refiere a la "mala fe" contempla tres supuestos, pero no hace alusión ni referencia expresa alguna a las diligencias preliminares.

El Consejo Fiscal no se pronunció sobre la posible concurrencia de una causa de prohibición para el ejercicio del cargo, ya que la designada está unida en relación equiparable a la conyugal con el titular de un despacho jurídico y de una fundación dedicada a la prestación de servicios profesionales que coinciden con la materia sobre la que versa la Fiscalía: los derechos humanos y la defensa de las víctimas de su violación.

La sanción a la sociedad mercantil se funda en la falta de un sistema interno eficaz de prevención y, por aplicación del principio de consunción, no procede condenar al responsable de la decisión empresarial por cometer el delito y por no haber establecido mecanismos de prevención de su propio delito. Dada la mínima estructura societaria y la ausencia de posibilidad de establecer mecanismos de control, no puede surgir el fundamento de la responsabilidad de la mercantil. Lo importante para determinar la imputabilidad es que los mecanismos de control se pongan en relación con las dimensiones de la persona jurídica.

Reprocha que una misma sala de suplicación omita toda referencia en una sentencia posterior a una anterior suya que sentó un criterio distinto ante dos despidos objetivos de dos trabajadoras de la misma empresa realizados con cuatro días de diferencia y en las que se invocaban las mismas causas económicas y productivas.