El avance histórico de los servicios notariales en línea
El Boletín Oficial del Estado (BOE) publicó el pasado 9 de mayo, la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos. En lo que aquí interesa, el texto abre por primera vez en la historia, la posibilidad de que los notarios presten servicios online a ciudadanos o empresas. A partir de comienzos de noviembre próximo, la autorización y firma de estos documentos se llevará a cabo en la sede electrónica notarial mediante el uso de videoconferencia y firma electrónica cualificada (sin necesidad, pues, de desplazamiento alguno). Los actos o negocios afectados serán en general los unilaterales, y en particular, los relativos a autorización de determinados actos jurídicos (como poderes notariales), envío de copias de escrituras y todos los actos relativos a sociedades limitadas. Todos los servicios digitales que presten los notarios tendrán lugar en la sede electrónica notarial, quedando la seguridad adicionalmente garantizada por el uso de la firma electrónica cualificada de los notarios, todo ellos desarrollados por el centro tecnológico del Notariado, Ancert. El Notariado español demuestra con esta medida, su capacidad para afrontar los retos derivados de la digitalización, evitando desplazamientos físicos cuando éstos se pueden razonablemente evitar. Lejos pues de verse amenazado por la generalización de las tecnologías criptográficas, el Notariado se apresta a utilizarlas, combinando así la agilidad y eficacia de éstas con las insustituibles fiabilidad y certeza de nuestra función notarial (de indiscutible ejemplaridad mundial). El mismo texto legal mencionado introduce, también, modificaciones en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Entre las modificaciones más relevantes destacan la eliminación del apercibimiento del catálogo de sanciones, sustituyéndolo por la realización de un requerimiento; la habilitación para realizar las actuaciones de investigación a través de sistemas digitales; el aumento de los plazos del procedimiento sancionador y de las actuaciones previas de investigación; o la posibilidad de establecer modelos de presentación de reclamaciones ante la Agencia Española de Protección de Datos (AEPD) en todos los ámbitos en los que sea competente.
Multa histórica a Meta (Facebook) en materia de datos personales
Tras actuación conjunta del Comité europeo de protección de datos y las Agencias alemana, española, francesa e irlandesa, esta última hacía pública el 22 de mayo, una sanción de €1.200 millones a dicha empresa (la mayor jamás impuesta por agencia alguna), por inadecuación de las cláusulas contractuales tipo empleadas por Meta para llevar a cabo transferencias de datos personales de sus usuarios a los EE.UU.
En concreto, las autoridades reprochan a Meta que, aunque se pusieron en práctica medidas suplementarias a dichas cláusulas a raíz de la sentencia europea Schrems II, éstas no garantizan en suficiente medida la seguridad de tales datos personales frente a potenciales actuaciones de los poderes públicos estadounidenses. Meta debe cesar las transferencias en cinco meses y adoptar las oportunas medidas de regularización en seis. La resolución ha de poner en guardia a cualquier empresa que se encuentre en situación semejante a la de Meta; pues si bien es claro que el volumen de datos correspondiente a las transferencias de Meta resulta difícilmente equiparable si no es por cualquier otra de las Big techs, también lo es que la resolución evidencia la inseguridad jurídica, algunas veces reseñada aquí, desde la citada sentencia Schrems II en las transferencias transatlánticas de datos en particular, e internacionales en general. Una inseguridad aún no remediada a este lado del Atlántico, pese a que los EE.UU. ya avanzaron aumentando garantías durante el otoño pasado. Medidas de auditoría interna son, pues, clave en este sentido, a fin de afinar, en primer lugar, las cláusulas tipo y más allá, adoptar cualesquiera medidas suplementarias que (como cifrados o acuerdos de encargo) minimicen el riesgo de incurrir en este tipo de infracción.
Estado del teletrabajo 2022
En marzo de 2023, el Observatorio Nacional de Tecnología y Sociedad de la Información (ONTSI) publicó el “Informe Flash. Datos de Teletrabajo 2022”, documento que muestra cómo ha evolucionado esta modalidad de prestación de servicios laborales en el último año, atendiendo al grupo de edad y tipo de relación laboral de las personas trabajadoras a escala nacional y por comunidades autónomas. Entre los resultados destaca la reducción del teletrabajo de manera gradual en el último año, una vez se puso fin a las restricciones por la pandemia, solo observándose un aumento en la modalidad de teletrabajo ocasional y siendo las personas de entre 35 y 54 años quienes más emplean esta modalidad de trabajo. Por otro lado, se observa cómo la brecha de género en el teletrabajo se ha reducido en gran medida en el último año. Finalmente, respecto al ámbito territorial, la Comunidad de Madrid se sitúa con el mayor porcentaje de personas que teletrabajan, seguida de Cataluña y la Comunidad Valenciana. En el plano europeo, España se sitúa por debajo de la media europea del 24%, situándose en la cabeza los Países Bajos. Pese al descenso, añadimos por nuestra parte, es claro que el teletrabajo "ha venido para quedarse" como fórmula de prestación de servicios laborales, una vez constatada su operatividad en cualquier sector productivo que no exija necesariamente la presencialidad y siendo especialmente así en los servicios de índole informática. La existencia de regulación específica en esta materia, acentuada a raíz de la pasada pandemia, coadyuvará también sin duda a todo ello.
Directrices europeas sobre derecho de acceso a datos personales
El pasado 28 de marzo, el Comité Europeo de Protección de Datos (EDPB) adoptó tras consulta pública, las “Directrices sobre los derechos de los interesados: derecho de acceso”, que analizan y aclaran este derecho derivado del Reglamento General de Protección de datos (RGPD), en especial en cuanto a la información que efectivamente el responsable debe proporcionar al interesado, el formato de la solicitud de acceso, las principales modalidades para brindar acceso y el carácter "manifiestamente infundado" o "excesivo" de las peticiones. En la misma fecha, se aprobó también una actualización de las “Directrices de identificación de la autoridad de control principal del responsable o encargado” y de las “Directrices de notificación de violaciones de datos”. Todas ellas serán de enorme utilidad en la aplicación práctica de las correspondientes disposiciones del RGPD, de naturaleza inevitablemente abierta.
Comunicación de datos entre administraciones públicas ante el riesgo de brechas de datos personales
Igualmente, en marzo de 2023, la AEPD publicaba las “Orientaciones para tratamientos que implican comunicación de datos entre administraciones públicas ante el riesgo de brechas de datos personales”. Las Orientaciones incluyen un listado de medidas preventivas de detección, respuesta, revisión y supervisión con el objetivo de conseguir una gestión eficaz de los riesgos. El listado, que como ha señalado la AEPD, no es exhaustivo ni exigible en su totalidad, recoge, entre otras medidas, implementar un marco de coordinación de los Delegados de Protección de Datos (DPD) de las entidades involucradas, estrategias de minimización de datos accesibles por Internet o aumentar la intervención humana en la gestión de los accesos. Aun cuando dirigidas a las administraciones públicas, las empresas harían muy bien en tomar estas orientaciones en cuenta a la hora de desarrollar este tipo de procesos, pues es claro que, de este modo, se asegurarán un ajuste a los estándares que quepa esperar de la Agencia ante situaciones homólogas a las de las administraciones.
Jurisprudencia europea sobre indemnización por infracción del RGPD
El 4 de mayo pasado, el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia en el asunto C-300/21, concluyendo que la mera infracción del RGPD no fundamenta un derecho a indemnización. El fallo tiene su origen en la cuestión prejudicial planteada por un tribunal austriaco relativa a cuándo se ha de reconocer el derecho a indemnización y cómo debe determinarse el importe de la misma. En su sentencia, el TJUE declaró, en primer lugar, que el derecho a indemnización establecido por el RGPD está supeditado de forma unívoca a tres requisitos acumulativos: una infracción del RGPD, unos daños y perjuicios materiales o inmateriales consecuencia de esa infracción, y una relación de causalidad entre los daños y perjuicios y la infracción. Por lo tanto, no toda infracción del RGPD da lugar, por sí sola, al derecho a indemnización. Eso sí, y esta precisión resulta fundamental, para que exista este derecho no es necesario que los daños y perjuicios sufridos hayan alcanzado cierto umbral de gravedad, dado que esto sería contrario a la acepción amplia del concepto de “daños y perjuicios” utilizada por el legislador de la Unión. Por último, el TJUE finalizó señalando que, respecto a la cuantificación de la indemnización, y dado que el RGPD no contiene disposiciones al respecto, la cuestión corresponde al ordenamiento jurídico interno de cada Estado miembro. La sentencia resulta a nuestro juicio de gran importancia, dada la facilidad con la que el RGPD se presta a denuncias por infracción en ocasiones demasiado abiertas para dar lugar a compensaciones económicas, más allá de las sanciones que puedan generar.
Jurisprudencia europea sobre derecho de acceso a datos personales En idéntica fecha, el TJUE dictó, a
En idéntica fecha, el TJUE dictó, asimismo, sentencia en el asunto C-487/21 (igualmente con base en la cuestión planteada por un tribunal austríaco) por la que concluyó que el derecho a obtener una "copia" de los datos personales se ha de entender en un sentido amplio, lo que implica que se entregue al interesado una reproducción auténtica e inteligible de todos los datos objeto de tratamiento. Por último, el TJUE subrayó que todo esto se ha de hacer efectuando una ponderación entre los derechos y libertades en cuestión, es decir, siempre que sea posible, ha de optarse por modalidades de comunicación de datos personales que no vulneren los derechos o libertades de otros, con el límite último de que esas consideraciones no terminen generando una negativa a prestar al interesado toda la información que precise. La sentencia llega en un momento especialmente oportuno, apenas unas semanas después de que, como acabamos de ver líneas arriba, el EDPB publicase sus nuevas Directrices sobre acceso a datos personales.
