Día de la Protección de Datos

El año 2019 ha terminado de forma algo turbulenta en el terreno de la protección de datos, con la publicación el pasado 19 de diciembre de 2019 de las conclusiones que Saugmandsgaard Øe, Abogado General ("AG") del Tribunal de Justicia de la UE, sobre la cuestión prejudicial suscitada en el Asunto Schrems II.

Las conclusiones del AG se enmarcan en el contexto de una nueva cuestión prejudicial, en la que se reflexiona sobre la validez de las cláusulas contractuales tipo en materia de transferencias internacionales cuando existe un conflicto entre las obligaciones derivadas de dichas cláusulas, y las obligaciones derivadas del derecho de terceros países.

Las conclusiones del AG establecen que, con independencia de que las autoridades del país de destino puedan tratar los datos de los interesados por motivos de seguridad nacional, la normativa comunitaria de protección de datos resulta de aplicación a la transferencia internacional de datos.

En ese sentido, las cláusulas contractuales tipo pueden considerarse, por el momento, como garantías adecuadas para llevar a cabo una transferencia internacional de datos siempre que aquellas se apliquen de forma íntegra, ya que permiten crear controles independientes en el país de destino de los datos.

Por otro lado, en España también se han producido algunas novedades ciertamente interesantes. En particular, la Agencia Española de Protección de Datos ("AEPD") publicó el 8 de noviembre de 2019 una nueva Guía sobre el uso de las cookies, que ha sustituido en su contenido a la anterior Guía publicada en el año 2013.

Esta Guía ha venido a aportar soluciones y orientaciones prácticas en relación con el uso de cookies y tecnologías similares (dispositivos de almacenamiento y recuperación de datos), sobre aspectos en los que no existía una orientación definida, y en línea con los últimos pronunciamientos y resoluciones de la propia AEPD.

Con carácter adicional, el 17 de octubre de 2019, la AEPD publicó una "Guía de Privacidad desde el Diseño" (Privacy by Design). Esta guía tiene por objetivo proporcionar pautas y principios prácticos para garantizar el cumplimiento normativo en materia de protección de datos desde las fases previas de planificación de los productos y servicios.

Por último, este último año ha traído la imposición de sanciones significativas por parte de la AEPD. Estas sanciones han venido motivadas, fundamentalmente, por cuestiones tales como el incumplimiento del deber de información (artículos 13 y 14 del RGPD) el incumplimiento del principio de integridad y confidencialidad de los datos (artículos 5.1.f) y 32 RGPD) en el contexto de una brecha de seguridad, y la realización de tratamientos de datos que no se encontraban correctamente legitimados (artículo 6 del RGPD).

A continuación, encontrarás los enlaces a la documentación señalada:

• Opinión del Abogado General Saugmandsgaard Øe del Tribunal de Justicia de la Unión Europea en el caso C-311/18 Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems ("Schrems II").
• Guía sobre el uso de las Cookies (noviembre 2019).
  
• Guía sobre Privacidad desde el diseño (octubre 2019).