Refuerzo de la seguridad de sistemas y redes, en especial, de entidades críticas
En diciembre de 2022, el Consejo de la UE adoptó una Recomendación sobre un enfoque de coordinación a escala de la Unión para reforzar la resiliencia de las infraestructuras críticas, en la que se invita a los Estados miembros a acelerar los trabajos preparatorios para la transposición y aplicación de la Directiva relativa a medidas de ciberseguridad (Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2), más conocida como NIS2) y de la Directiva sobre la resiliencia de las entidades críticas (Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo, CER). Las nuevas normas son un elemento clave en la estrategia de la Unión Europea para reforzar la resistencia de las infraestructuras críticas y digitales frente a toda una serie de amenazas, tanto en línea como fuera de ella. Ambas normas entraron en vigor el pasado 27 de diciembre de 2022 y los Estados miembros disponen de 21 meses para transponerlas a la legislación nacional. NIS2 acentúa las obligaciones que su predecesora NIS imponía a los operadores de servicios esenciales y a los proveedores de servicios digitales. CER hace lo propio con las que se imponen a los operadores de infraestructuras críticas, que en España se viene exigiendo legislativamente desde 2011.
Grupos de Whatsapp de trabajo y protección de datos
El pasado 9 de enero, la Agencia Española de Protección de Datos (AEPD) publicó una resolución en respuesta a una la reclamación recibida sobre la creación de dos grupos de Whatsapp, por parte de la empresa reclamada, en los que se había incluido a la parte reclamante (un trabajador) sin su consentimiento. y concluía que no había encontrado evidencias que acreditasen la existencia de infracción en el ámbito de su competencia y procedía a archivar las actuaciones. En dichos grupos se publicaba diversa información laboral, teniendo todos los integrantes de los grupos acceso a esta información de los demás compañeros. La AEPD concluyó que, en el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo. El tratamiento de los datos personales debe respetar los principios establecidos en el artículo 5 del Reglamento General de Protección Datos (RGPD). En este supuesto, la AEPD destacó los principios de minimización de datos, debiendo ser adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos; y de confidencialidad. En el presente caso, señaló que los datos objeto de tratamiento eran los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada que, además, informó a los trabajadores de la finalidad del tratamiento en los grupos de Whatsapp. Sin perjuicio de la legalidad de esta práctica, ya corroborada por la Agencia, y cada vez más extendida, conviene recordar que la información manejada en entornos empresariales suele tener tintes confidenciales, lo que hace especialmente inadecuada esta vía de comunicación para su intercambio, en términos de seguridad de la información; y ello, aunque solo fuese por el carácter ordinariamente privado o personal de su utilización.
Acceso a la información en supuestos de cesión de datos personales
El pasado 12 de enero de 2023, el Tribunal Superior de Justicia (TJUE) dictó sentencia en el asunto C-154/21, Österreichische Post, relativo al alcance del derecho de acceso a la información sobre los destinatarios de datos personales, regulado en el artículo 15, apartado 1, letra c) del RGPD. El asunto tiene su origen en la demanda interpuesta contra Österreichische Post ante los tribunales austriacos, solicitando que se ordenase a esta empresa, que le facilitase al demandante, la identidad de los destinatarios a los que se habían comunicado sus datos personales. En el litigio se ventilaba el alcance del derecho de acceso a la información de los destinarios, en concreto, si dicho acceso debe interpretarse en el sentido de informar sobre las “categorías de destinatarios” o sobre la identidad concreta de estos. En su sentencia, el TJUE concluyó que, conforme al artículo 15 del RGPD, en el supuesto de que esos datos hayan sido o vayan a ser comunicados a destinatarios, el responsable del tratamiento está obligado a facilitar al interesado, cuando lo solicite, la identidad de esos destinatarios. Solo cuando no sea posible identificar a esos destinatarios puede aquel limitarse a indicar únicamente las categorías de destinatarios de que se trate. Lo mismo sucede cuando el responsable demuestre que la solicitud es manifiestamente infundada o excesiva. Es notorio que el TJUE apela en su sentencia a conceptos jurídicos indeterminados, que, por ende, solo una interpretación caso por caso puede terminar por aclarar. En cualquier caso, no resulta sencillo pensar en supuestos en los que realmente "no resulte fácil" para la empresa en cuestión identificar los concretos destinatarios de determinada información personal, lo que nos lleva a aconsejar un esfuerzo en tal sentido; evitar posibles reclamaciones ulteriores, con el consiguiente desdoro en términos de reputación, parece razón suficiente a tal fin.
Ejercicio de los recursos administrativo y civil previstos en el RGPD
En la misma fecha, el TJUE se pronunció sobre el asunto C-132/21, Budapesti Elektromos Művek. La cuestión prejudicial fue presentada por un tribunal húngaro en relación con la interpretación de los artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1 del RGPD, que recogen las vías de recurso administrativo y civil en esta materia. Esta petición se presentó en el contexto de un litigio entre un ciudadano húngaro y la Autoridad Nacional de Protección de Datos, la cual le denegó la solicitud de que se le proporcionasen extractos del fonograma de la junta general de accionistas de una sociedad en la que había participado. Dada la decisión, el ciudadano interpuso dos recursos contra ésta, uno por la vía contenciosoadministrativa (pendiente de resolución), y otro por la vía civil, sobre el cual se pronunciaron los tribunales dictando sentencia firme y declarando que la sociedad violó su derecho de acceso a sus datos personales. La cuestión prejudicial se centra en la determinación de si el ejercicio paralelo de las vías de recurso, previstas en los artículos 77 a 79 del RGPD, podría dar lugar a la adopción de resoluciones contradictorias sobre hechos idénticos. El TJUE concluyó que los preceptos mencionados permiten un ejercicio concurrente e independiente de las vías de recurso previstas. Y en todo caso, corresponde a los Estados miembros, de acuerdo con el principio de autonomía procesal, establecer la forma de articular estas vías de recurso para salvaguardar la efectividad de la protección de los derechos garantizados por dicho Reglamento. El hecho de que, como sucedía en este caso, la resolución en vía contencioso-administrativa terminase corroborando la decisión de denegación de la Agencia húngara, no prejuzga necesariamente la previa resolución en la vía civil, al no estar una vinculada por la otra. Eso sí, el TJUE reconoce, acertadamente, que una posible contradicción generaría inseguridad jurídica a lo largo y ancho de la UE, de ahí la apelación a los Estados miembros para que su organización procesal se oriente a impedirla.
Tratamiento de datos biométricos para entrada a gradas de animación
El pasado 20 de enero de 2023, la AEPD declaró la inviabilidad del tratamiento de datos biométricos para el control de accesos a los estadios de fútbol. En su informe N/REF: 0098/2022, la Agencia examinó esta medida, implementada por el Club Atlético Osasuna para el estadio El Sadar, con amparo en el artículo 13.1 b) de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte (Ley 19/2007), que faculta para decidir la implantación de medidas adicionales de seguridad para el conjunto de competiciones o espectáculos deportivos calificados de alto riesgo, o para recintos que hayan sido objeto de sanciones de clausura. En primer lugar, la Agencia aclaró que, en este supuesto, se estaba ante un caso de “identificación” de personas a partir de datos biométricos que, posteriormente, se comparaban con un registro previo de los datos buscando una coincidencia. Se trataba, por tanto, de un tratamiento de categorías especiales de datos personales, sometido por ello al régimen de prohibición general del artículo 9 del RGPD. En segundo lugar, la AEPD señaló que el RGPD recoge determinadas excepciones a esta prohibición general en el artículo 9.2 del RGPD. Haciendo referencia a resoluciones anteriores, aclara que el tratamiento de datos biométricos, al amparo de dicho precepto, requiere que esté previsto en una norma de derecho europeo o nacional, debiendo ésta última tener rango de ley. A mayor abundamiento, dicha ley debe especificar el interés público esencial que justifique el uso de estos sistemas y, en todo caso, debe respetar el principio de proporcionalidad. Visto todo ello, la AEPD concluyó que el artículo 13.1.b) de la Ley 19/2007, no cumple con los requisitos expuestos, y añadió que este tratamiento permite, además, la identificación unívoca de los aficionados que acceden a las gradas y, por tanto, no es conforme con la normativa reguladora de protección de datos. La resolución contrasta con la línea establecida por la Agencia en su también resolución de 21 de julio de 2022 (N/REF: 00218/2021), sobre uso de datos biométricos en el registro de jornada, que viene adicionalmente justificado, entre otras, por la base de tratamiento del contrato laboral (por más que en esta última resolución, el uso concreto por la entidad responsable fuera desproporcionado y, por tanto, contrario al RGPD); un contraste dado por el hecho de que también la base laboral exige una autorización específica para usar datos sensibles, mediante norma legal o convenio colectivo, así como garantías adecuadas de respeto a los derechos e intereses del titular de los datos; autorización específica y garantías que (más allá de lo que algunos convenios puedan disponer) no concurren en la legislación laboral española.
