Comenzamos esta nueva entrega de la revista con un EDITORIAL poliédrico, en el que nuestro director analiza diversos aspectos de la gran cantidad de nuevas normas y decisiones que están afectando al ámbito digital y de la protección de datos. Destaca en este sentido el Informe de la AEPD 0054/2023 que, matizando el anterior 0020/2022, aclara que quien debe ser considerado responsable del tratamiento en el marco del artículo 5 de la Ley 2/2023, de 20 de febrero (LA LEY 1840/2023). O la aprobación por parte del Parlamento Europeo de la propuesta de Reglamento Europeo de Inteligencia Artificial (IA), con sus implicaciones en el ámbito de la privacidad, sin olvidar la situación de la tramitación de la Propuesta de Reglamento del Espacio Europeo de Datos de Salud y la reciente aprobación del Data Privacy Framework entre la Unión Europea y los Estados Unidos.
En nuestra ENTREVISTA, recogemos las opiniones de cinco reputados expertos en el marco del quinto aniversario de la plena aplicabilidad del Reglamento General de Protección de Datos (LA LEY 6637/2016). En ella, Pablo Lucas Murillo de la Cueva; Yolanda González; Andrés Javier Prado Domínguez; Gloria González Fuster y Carmen Romero Ternero, nos aportan diferentes experiencias vitales, desde la academia y la investigación de vanguardia al duro día a día de la tarea de una persona delegada de protección de datos, o desde la formación y la proximidad a la inteligencia artificial a la pelea cotidiana para garantizar la seguridad, incluyendo la experta mirada del juez y constitucionalista.
El ESTUDIO de este número lleva la firma de Moisés Barrio, quien analiza los contenidos de la reforma de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) llevada a cabo por la disposición final novena de la Ley 11/2023, de 8 de mayo (LA LEY 5860/2023). Una reforma que elimina el apercibimiento del catálogo de sanciones, sustituyéndolo por un requerimiento; aumenta de 9 a 12 meses la duración máxima del procedimiento sancionador y de 12 a 18 meses la de las actuaciones previas de investigación, reforma la notificación de la admisión a trámite de aquellos procedimientos que se refieran a un elevado número de reclamaciones, implanta unos modelos obligatorios de reclamación ante la Agencia Española de Protección de Datos y regula la sustitución o suplencia del Presidente de la Agencia en los supuestos de ausencia, vacancia, enfermedad, abstención y recusación y en lo que se refiere al ejercicio de potestades sancionadoras. Unas reformas que, en opinión de este experto, contribuirán a hacer más eficiente la tramitación de los distintos procedimientos y redundarán, a la postre, en beneficio de los particulares y en la garantía de sus derechos.
El FORO DE LA PRIVACIDAD se abre con el análisis que Joaquín Cañada González y Emma Sarrión Navarro llevan a cabo de las Recomendaciones de protección de datos en relación con mujeres víctimas de violencia de la Delegación de protección de datos de la Generalitat Valenciana. Unas recomendaciones basadas en la experiencia de varios años de este organismo en el desarrollo de sus funciones de asesoramiento, que ha ido evidenciando a lo largo del tiempo una serie de cuestiones que, enfocadas de forma apropiada, mejorarían la vida y el ejercicio de los derechos por parte de las mujeres víctimas.
Seguidamente, David Sanz Esteban plantea un Análisis de las opciones exploradas para la prevención del fraude académico en la evaluación online a raíz del procedimiento sancionador a la UOC. Un tema de la mayor actualidad, dado que las universidades del autor, estamos ante un caso complejo en el que no se puede afirmar la radical prevalencia de la protección de los datos personales sobre la prevención del fraude académico.
Cerramos este apartado con dos colaboraciones habituales: en primer lugar, Lucía Miralles, que nos presenta la relación actualizada de Guías y otros documentos de la AEPD en relación con el RGPD. Por su parte, Elena Davara puntos a destacar de la Memoria de la Agencia Española de Protección de Datos correspondiente a 2022.
Inauguramos en este número una nueva sección titulada INFRACCIONES Y PROCEDIMIENTO SANCIONADOR, en la que queremos presentar tanto la recopilación de las sanciones impuestas por la AEPD durante el trimestre anterior, de la mano de nuestra colaborada habitual Carmen Arbás Martín, como el análisis de las sanciones más relevantes impuestas en ese período. Este apartado correrá de la mano de Javier Sempere Samaniego, acreditado experto y habitual colaborador de la revista, que en esta primera entrega, el autor se ocupa del caso de la empresa organizadora del Mobile World Congress multada con 200.000 € por falta de EIPD; la ponderación entre la libertad de expresión e información y la protección de datos personales, en relación con el caso de 14 medios de comunicación social que han sido multados por publicar la declaración ante el juez de una víctima de una violación múltiple; la resolución sancionadora de la AEPD que fundamenta la obligatoriedad de la designación de DPD en relación con los tratamientos que conllevan una observación habitual y sistemática a gran escala y, finalmente, con la sanción impuesta a una abogada que envió a a un grupo de Whatsapp, con la finalidad de promocionarse, una sentencia sin eliminar los datos personales de la reclamante.
La sección SECTOR PÚBLICO incluye un comentario de Pedro Daniel García Ajenjo a la Resolución de la AEPD por la que se sanciona (con apercibimiento) a la Dirección General de la Policía Nacional por incumplimiento del deber de confidencialidad y falta de medidas de seguridad por parte de dos agentes de la Policía Nacional que anotaban los datos personales de las personas que acudían a una comisaría de Policía Nacional y de los propios agentes allí destinados, en unos folios grapados escritos por una sola cara (con la finalidad de reciclar ese papel por su cara en blanco), evidenciando la ausencia de cualquier tipo de medida de seguridad en el acceso, conservación y destrucción de los datos personales contenidos en dichos documentos, que se encontraban así a la vista de terceros.
El ESPACIO EUROPEO se abre con la habitual, pero siempre imprescindible colaboración de Leonardo Cervera Navas y su equipo del EDPS, integrado esta vez por Nerea Pérez Brines e Inés Fernández Gallego, quienes nos recuerdan, una vez más, que la protección de datos se encuentra intrínsecamente ligada a prácticamente todas las facetas de nuestra vida diaria, en actividades tan dispares como el uso de redes sociales, la conducción o la elaboración de un currículum a través de ChatGPT. Y que es precisamente debido a ese carácter horizontal de nuestra disciplina, por el que son necesarias políticas y leyes transversales, que tengan en cuenta la protección de datos por defecto, así como autoridades de control de datos robustas, coherentes y dispuestas a cooperar para conseguir un cumplimiento normativa efectivo que proteja los derechos fundamentales de los ciudadanos. Junto a ello, se analizan temas como la acción europea coordinada para analizar la designación y situación de los delegados de protección de datos o el Informe anual 2022 del Supervisor, así como la designación de la nueva presidenta del Comité Europeo de Protección de Datos, la finlandesa Anu Talus.
A continuación, Nelia Álvarez García explora las Implicaciones prácticas de la propuesta de Reglamento de aplicación del Reglamento General de Protección de Datos (LA LEY 6637/2016) presentada por la Comisión Europea el pasado 4 de julio, una propuesta que busca otorgar mayor seguridad jurídica tanto a empresas como a particulares en la resolución de sus reclamaciones en casos transfronterizos y así, contribuir a que las investigaciones concluyan a tiempo y sean resueltas con una mayor celeridad.
No podía faltar en este espacio un primer análisis del nuevo Marco Transatlántico de Privacidad de Datos. Alfonso Ortega Giménez se encarga de la tarea subrayando que con la aprobación del texto definitivo de este Acuerdo, la Comisión Europea esperaba, por un lado, dar carpetazo de una vez por todas a la falta de garantías señalada por el TJUE y que provocó la invalidez de los dos marcos de privacidad anteriores (Safe Harbor y Privacy Shield) y, por otro, establecer un nuevo marco seguro, duradero y mediante el que se puedan realizar las transferencias de datos personales necesarias a los EE.UU. con el fin de construir una economía digital competitiva en la UE. Algo que todavía está por ver, ante las recientes advertencias de Max Schrems.
A continuación Guillermo Orozco Pardo y Margarita Orozco González abordan, al hilo de la STJUE de 4 de mayo de 2023, en el asunto C‐300/21, UI y Österreichische Post AG, uno de los aspectos controvertidos del RGPD que han requerido la interpretación jurisprudencial: la responsabilidad civil por daños ocasionados por la inaplicación del Reglamento. Según estos autores, la postura adoptada por el TJUE en su resolución nos conduce a la relevante tarea de analizar la compatibilidad de la exigencia de indemnización contemplada en la norma europea, con el régimen de responsabilidad civil consagrado en nuestro ordenamiento jurídico español.
Siguiendo con el análisis de la jurisprudencia europea, Rubén Ortiz Uroz comenta la sentencia de 4 de mayo de 2023 sobre el derecho de acceso y, en particular, en relación con el derecho a obtener copia. Una cuestión que el TJUE resuelve en el sentido de que, teniendo en cuenta el tenor, el contexto y los objetivos de la tercera frase del artículo 15.3 del RGPD (LA LEY 6637/2016), el concepto «información» se refiere exclusivamente a los datos personales de los que el responsable del tratamiento debe facilitar una copia con arreglo a la primera frase del artículo 15.3 del RGPD (LA LEY 6637/2016).
Para cerrar esta sección, Lucía Miralles nos presenta la tabla actualizada de Directrices y recomendaciones del Comité Europeo de Protección de Datos en relación con el articulado del RGPD.
Finalmente, nuestra CRÓNICA DE CORRESPONSALES comienza repasando la crítica vertida desde la Conferencia de Autoridades de Protección de Datos Alemana a la Propuesta de Reglamento para la regulación del Espacio Europeo de Datos de Salud. Una crítica centrada sobre todo en que el actual proyecto de reglamento aún no equilibra adecuadamente el derecho fundamental a la protección de datos o el derecho a la autodeterminación informativa con los diversos intereses de los usuarios. En particular, reclama mejoras en lo que respecta a los derechos de los interesados, la claridad jurídica y la regulación de las medidas técnicas y organizativas. Nuestro corresponsal en Alemania, Ricardo Morte Ferrer recoge todos estos aspectos en su crónica.
Desde el Reino Unido, Laura Aliaga Martínez y Estrella Gutiérrez David nos ofrecen una comparativa del derecho de acceso a los datos personales en la Unión Europea y en el Reino Unido. Una aproximación en la que destaca la importancia de la facilidad y rapidez con la que el interesado puede instar el derecho de acceso, así como su uso instrumental para obtener información para otros litigios, lo que hace que la gestión de las solicitudes de acceso del interesado o SAR en inglés, genere un alto número de expedientes y una gran litigiosidad.
Para concluir, Ana Brian Nougrères, nos trae las recomendaciones emitidas el pasado 8 de mayo por la Red Iberoamericana de Protección de Datos en relación con el servicio Chat GPT.
* * *
N. de la R.: Como viene sucediendo desde el primer número de La Ley PRIVACIDAD, esta nueva entrega de la revista no habría sido posible sin el incansable y entusiasta trabajo de nuestra querida coordinadora, la profesora Mónica Arenas, que estos días está recuperándose de un percance de salud.
Por ello, el resto del equipo que colaboramos con ella, queremos dejar aquí, con nuestro deseo de tenerla de vuelta con nosotros lo antes posible, pública constancia de nuestro cariño y reconocimiento.