El Tribunal de Justicia de la Unión Europea (TJUE) ha dado la razón a la autoridad de protección de datos de Bélgica en un caso que le enfrentaba con la multinacional tecnológica Facebook a cuenta de las competencias de la primera para denunciar infracciones de las reglas comunitarias en la gestión de datos de los usuarios de la red social.

En concreto, el tribunal con sede en Luxemburgo ha dictaminado que “en determinadas condiciones”, una autoridad nacional de control “puede ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción” con respecto al tratamiento de datos transfronterizos incluso “aunque nos ea la autoridad de control principal” en dicha gestión.

El asunto fue elevado a la Justicia europea por el Tribunal de Apelación de Bruselas (Bélgica) y enfrenta a la Autoridad de Protección de datos belga, que alberga dudas sobre los efectos de la aplicación del mecanismo de ‘ventanilla única’ previsto en el reglamento general de protección de datos (RGPD).

El caso se remonta a 2015, cuando la autoridad belga de protección de datos demandó a Facebook Irlanda, Facebook y Facebook Bélgica para que se pusiera fina a una serie de infracciones que consistían en la recogida y utilización de información sobre hábitos de navegación de internautas belgas, fueran usuarios de la red social o no.

El tribunal que evaluó el caso dio la razón a la autoridad belga y argumentó que Facebook no había informado lo suficiente a los internautas de la recogida y uso de dicha información y además no consideró válido el consentimiento de los internautas. Esta sentencia, sin embargo, fue recurrida por Facebook y sus dos filiales europeas.

El Tribunal de Apelación de Bruselas solo se declaró competente para estudiar el recurso de Facebook Bélgica y preguntó al TJUE si la Autoridad de Protección de Datos belga puede iniciar acciones judiciales contra la empresa, puesto que la responsable del tratamiento de datos en cuestión es Facebook Irlanda.

Esto supone que, desde que se aplica el principio de ‘ventanilla única’ del reglamento europeo de protección de datos, el único competente es el Comisario irlandés de protección bajo el control de los tribunales belgas.

En su sentencia, la gran sala del Tribunal de Justicia de la UE ha declarado que, en determinadas condiciones, la normativa “autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo aunque no sea la autoridad de control principal en lo referente a ese tratamiento”.

Esta sentencia ha sido celebrada por la Asociación Europea de Consumidores (BEUC), organización que ha asegurado que tendrá “importantes implicaciones” en la aplicación del reglamento europeo de protección de datos y “repercusiones positivas” en “la lucha para proteger mejor los datos personales de los consumidores”.

Fuente: Expansión

La entrada El TJUE confirma el poder de las autoridades nacionales de protección de datos frente a Facebook se publicó primero en DataProtectPlus.

El Tribunal de Justicia de la Unión Europea (UE) ha condenado este jueves a España a pagar 15 millones de euros por no haber transpuesto la directiva sobre protección de datos personales en el marco de la prevención y detección de infracciones penales, ni haber comunicado las medidas de transposición. La Directiva de Protección de Datos Personales es una ley europea que se remitió por escrito, pero España no ha cumplido.

Además, España también tendrá que pagar una multa coercitiva de 89.000 euros por cada día de retraso que se prolongue el incumplimiento desde el 25 de febrero.

La Carta de Derechos Fundamentales de la UE establece que los ciudadanos de la Unión tienen derecho a que se protejan sus datos personales. Más del 90% de los europeos quieren tener el mismo derecho a la protección de sus datos en toda la UE, con independencia del lugar donde se realice su tratamiento. El Reglamento de la UE fortalece los derechos fundamentales de las personas en la era digital y facilita la actividad económica, además de la existencia de una norma única, que pone fin a la fragmentación en distintos sistemas nacionales y a las cargas administrativas innecesarias.

La normativa comunitaria entró en vigor el 24 de mayo de 2016 y se aplica desde el 25 de mayo de 2018. Meses después, las autoridades españolas no habían informado sobre la transposición de la directiva, por lo que Bruselas abrió un procedimiento de infracción.

En marzo de 2019, España indicó que el procedimiento estaba en curso y debía finalizarse en marzo de 2020. Pero en ese momento, se indicó un retraso debido “al contexto político particular”. Sin Embargo, todavía no tiene la directiva europea transpuesta al marco nacional, por lo que el Tribunal de Justicia Europea de la UE ha decidido actuar.

Protección de datos en la UE

La directiva de la UE defiende la protección del tratamiento de datos personales por parte de las autoridades para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de sanciones penales, y a la libre circulación de dichos datos.

También, protege el derecho fundamental de los ciudadanos a la protección de sus datos cuando los utilicen las autoridades policiales y judiciales a efectos de aplicación de la ley. Por último, garantiza que se protejan adecuadamente los datos personales de víctimas, testigos y sospechosos de delitos, además de facilitar la cooperación transfronteriza en la lucha contra la delincuencia y el terrorismo.

Fuente: Mirada 21

La entrada La UE multa a España por su retraso en protección de datos se publicó primero en DataProtectPlus.

El Tribunal de Justicia de la Unión Europea (TJUE) invalidó este jueves el acuerdo de protección de datos personales entre la UE y Estados Unidos por el temor a injerencias en los derechos fundamentales de las personas cuyos datos se transfieren a ese país.

En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo invalidó el llamado “escudo de protección” de datos entre la UE y Estados Unidos, pues considera que “la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense” posibilitan dichas injerencias.

El llamado “escudo de protección” es un mecanismo, según el cual, los datos provenientes de la UE y tratados en Estados Unidos tienen que estar sometidos a un alto nivel de protección, es decir, que la empresa en cuestión los procese con un robusto sistema de normas y salvaguardias en materia de protección de datos.

Esto implica que la empresa esté dada de alta en ese sistema en el Departamento de Comercio de Estados Unidos y respete ciertos compromisos, como informar del derecho al dueño de los datos si pretende transferirlos a terceras partes y los motivos o la obligación de no utilizar nunca los datos con un fin distinto al original, entre otras cláusulas.

Según el Tribunal de Justicia, las limitaciones de la protección de datos personales de la normativa interna de EEUU sobre el acceso y la utilización de estos por las autoridades estadounidenses “no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas (…) en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario”.

Entre otros puntos, el Tribunal de Justicia añade que, si bien la normativa “establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales”.

En cambio, el TJUE respaldó el sistema general de privacidad de datos europeos con terceros países a través del Reglamento General de Protección de Datos (RGPD) pues entiende que debe interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión.

La evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa, agrega la corte.

La decisión del tribunal, con jurisdicción en el conjunto de la Unión Europea, es una respuesta al Tribunal Supremo irlandés que parte de la denuncia de un activista por la privacidad de los datos de la red social estadounidense Facebook interpuesta en Irlanda por el nacional austríaco Max Schrems.

La multinacional de Mark Zuckerberg tiene en Irlanda su sede europea (Facebook Irlanda) y desde allí se transfieren los datos de la empresa hasta Estados Unidos. Schrems solicitó a las autoridades irlandesas que prohibieran ese flujo de sus datos personales, al considerar que la normativa estadounidense no ofrecía suficiente protección ante el acceso a estos de las autoridades de ese país.

Fuente: EFE

La entrada La justicia europea anula el ‘escudo’ de protección de datos entre la UE y EEUU se publicó primero en DataProtectPlus.