info@ecija.com

Mes: mayo 2021

PSD2 y protección de datos: perspectivas a casi un año de la consulta realizada por el Comité Europeo de Protección de Datos

Posted on by soporte

Autora: Daniela Vidal Bucher.

A casi un año del lanzamiento de la consulta que el Comité Europeo de Protección de Datos hizo en julio de 2020 a los distintos actores y operadores del mercado sobre las implicaciones jurídicas que tenía la PSD2 o Second Payment Services Directive[1] en materia de protección de datos, sigue siendo relevante en la actualidad y prueba de ello son la cantidad de nuevos actores que se han incorporado al mercado de servicios de pago y financiero, donde podemos observar a empresas como WhatsApp entrando en Brasil hace sólo unas semanas, ofreciendo mecanismos de pago inmediatos y sin ninguna clase de comisión a los usuarios.

La PSD2, traspuesta al ordenamiento jurídico español a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, “RDL 19/2018”) introduce varias novedades, pero sin lugar a dudas la más relevante, por implicar una alteración de los participantes en el mercado, fue habilitar que los consumidores tuviesen el derecho de permitir que terceros, es decir, que terceras empresas pudiesen acceder a las cuentas de pago que el cliente tuviese con su banco o incluso en distintos bancos. Estos terceros son los denominados “iniciadores de pago” y los “agregadores de información sobre cuentas”. Los primeros ejecutan órdenes de pago en nombre del cliente y, los segundos normalmente analizan los datos de las transacciones o movimientos bancarios para devolver información agregada al cliente sobre sus niveles de gasto, ingresos, porcentajes de endeudamiento, ahorro, etc.

Esto ha supuesto para todo el sector un antes y un después en cuanto parecía que la relación exclusiva con los clientes se veía amenazada. Hoy, echando la vista hacia atrás vemos que el mercado ha abierto las puertas a estos actores y que de hecho muchos de ellos se han transformado en auténticos players de la banca.

Siendo esto así, como no podía ser de otra manera y dada la sensibilidad que supone que haya terceros accediendo a las cuentas de pago de los clientes, que la PSD2 hace referencias explícitas a la protección de datos y al Reglamento General de Protección de Datos (en adelante, “RGPD”)[2]. Tres son los pilares fundamentales o limitaciones que se van a encontrar estos actores.

La primera de ellas, el acceso a las cuentas de pago deberá estar autorizada por los clientes. Debe quedar rastro de ese acceso, y estar autorizado e informado, de acuerdo a lo establecido por la normativa de protección de datos. Es decir, las obligaciones informativas del RGPD y de licitud del tratamiento se aplican en toda su extensión.

En segundo lugar, el acceso deberá ser limitado a lo solicitado por el cliente. El acceso a una cuenta de pago no puede ser una vía libre para obtener cuantos datos se quiera acerca del cliente, más teniendo en cuenta lo sensible que son determinados datos que figuran en dichas cuentas, como ocurre, por ejemplo, con el pago de las afiliaciones a partidos políticos, asociaciones religiosas, o incluso determinada información de la que pudiera extraerse conclusiones sobre la inclinación sexual de determinada persona o incluso, a nivel salud, por ejemplo, tipo de primas abonadas a los seguros, o el abono de determinado tratamiento, etc.

En definitiva, lo que la normativa de protección de datos clasifica como categorías de datos de especial protección que requieren a los responsables del tratamiento medidas adicionales para su tratamiento. En otro orden de cuestiones, también es importante considerar qué ocurre con los datos de los beneficiarios de una transferencia bancaria que figura también en esas cuentas de pago y a quienes no se les ha pedido autorización para el tratamiento de sus datos.

En relación con lo anterior, el Comité Europeo de Protección de Datos en su guía de diciembre sobre este tema habla de la proporcionalidad. Elemento que también ha sido mencionado en reiteradas ocasiones por la AEPD en sus recientes sanciones económicas.

Por último, el pilar de la seguridad. El acceso no podrá darse si no es seguro como no podía ser de otra manera, y por ello se incluye toda una serie de medidas de seguridad tendentes a proteger la confidencialidad, integridad y disponibilidad de los datos y que variará según estemos hablando de iniciadores de pago o de agregadores de información sobre cuentas.

En definitiva, la PSD2 eleva las obligaciones a estos operadores por la sensibilidad de los datos involucrados en esta clase de tratamientos, aspectos que, sin duda, redundan tanto en el cumplimiento normativo como en la generación de confianza y valor a entidades y usuarios.

Si tienes cualquier duda sobre los tratamientos de datos mencionados en el presente artículo o cualesquiera otros, no dudes en contactar con nuestro Departamento especializado en Privacidad y Protección de Datos.

[1] Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE

[2] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Denominación de Origen: ¿puede proteger frente a servicios vinculados a la distribución directa o indirecta?

Posted on by soporte

Autor: Claudia Peña

El 10 de octubre de 2019, la Audiencia Provincial de Barcelona, elevaba una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea (TJUE) relativas a la interpretación del artículo 103 del Reglamento Europeo 1308/2013 por el que se crea la organización común de mercados de los productos agrarios[1] (Reglamento), sobre la tutela que aporta la normativa a los productos protegidos por la denominación de origen.

El proceso principal del que se derivan las cuestiones prejudiciales involucra al Comité Interprofessionnel du Vin de Champagne (CIVC) y a GB, usando los últimos el signo “champanillo” en el sector de la hostelería como nombre comercial de locales destinados a bares de tapas en Cataluña; es decir, utilizado para designar servicios y no productos.

CVIC alegó que existía riesgo de confusión en el mercado por el uso del término champanillo con la denominación de origen champagne, solicitando el cese inmediato del uso del término champanillo no solo en los locales, sino también en todas las redes sociales y páginas de internet.

El Reglamento define denominación de origen como “nombre de una región, de un lugar determinado o, en casos excepcionales debidamente justificados, de un país, que sirve para designar un producto […]”, este producto deberá cumplir una serie de requisitos recogidos en el Reglamento para gozar de la designación.  

Aunque el procedimiento de cuestiones prejudiciales sigue pendiente de resolución por parte del TJUE, el Abogado General, Giovanni Pitruzzella, emitió el pasado 29 de abril sus conclusiones sobre las mismas.

El artículo 103 en su apartado segundo letra b del Reglamento establece que las denominaciones de origen están protegidas de cualquier “[…] evocación, aunque se indique el origen verdadero del […] servicio […]”, y es por ello que el Abogado General recomienda al TJUE que, para dar respuesta a la primera cuestión prejudicial, interprete la protección que otorga el Reglamento no solo para prácticas que hagan referencia a productos o servicios similares, sino también para las que evoquen una denominación de origen en prestación de servicios.

Para poder aportar su interpretación a la cuestión prejudicial segunda y tercera, el Abogado General analiza si el término champanillo evoca al término champán y puede inducir a error al consumidor medio, asociando por ende los mismos. Indica que ha de realizarse por parte de la Audiencia Provincial de Barcelona un análisis en conjunto de las circunstancias, además de la similitud fonética y visual de la denominación de origen y el término controvertido. El Abogado General concluye en este punto que, a su percepción es de aplicación el apartado segundo letra b del artículo 103 del Reglamento, ya que champanillo[…] induce al consumidor medio europeo normalmente informado y razonablemente atento y cuidadoso a pensar directamente, como imagen de referencia, en el producto amparado por la DOP «Champagne» […][2].

Respecto la cuarta y última cuestión prejudicial, la cual hace referencia a si la evocación se puede interpretar como competencia desleal, el Abogado General indica que la normativa de protección de las denominaciones de origen frente a términos que las evoquen, no implica que exista una competencia entre los productos protegidos por la mismas y los servicios, en este caso, controvertidos.

Quedamos a la espera de la resolución del TJUE, donde podremos ver hasta qué punto el tribunal ha seguido las recomendaciones recibidas por parte del Abogado General y qué recomendaciones e indicaciones facilita el mismo a la Audiencia Provincial de Barcelona, ¿tendrán que retirar champanillo de los locales de bares y tapas de Cataluña? Pronto lo sabremos.

[1] Reglamento Europeo 1308/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, por el que se crea la organización común de mercados de los productos agrarios y por el que se derogan los Reglamentos (CEE) n ° 922/72, (CEE) n ° 234/79, (CE) n ° 1037/2001 y (CE) n ° 1234/2007

[2] CONCLUSIONES DEL ABOGADO GENERAL SR. GIOVANNI PITRUZZELLA presentadas el 29 de abril de 2021(1). Asunto C‑783/19.

Protección de datos y redes sociales: ¿cómo casan ambos factores?

Posted on by soporte

Autor: Lorea Roncal, asociada en ECIJA

Como bien sabemos el Reglamento General de Protección de Datos de la Unión Europea (RGPD), que entró en vigor en mayo de 2018, supuso la existencia de una norma común en toda la UE sobre la protección de datos personales, sin embargo, también trajo consigo importantes novedades, entre las que destacamos:

  • Consentimiento explícito de los usuarios para determinadas finalidades.
  • Comunicación a la AEPD de infracciones en materia de protección de los datos en un plazo máximo de 72 horas.
  • En determinados supuestos, comunicación a los usuarios de tal infracción, cuando sus consecuencias les afecten.
  • Se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento.
  • Obligación de informar a los usuarios de los datos de responsable de tratamiento, finalidad, plazo de guarda, derechos e información adicional, de forma concisa, transparente y fácil de entender
  • El RGPD aplica a todas las empresas que traten datos de ciudadanos de la UE, aunque no estén registradas en un país europeo.
  • DPO obligatorio en determinados supuestos
  • Si compartes datos personales con otras empresas, has de asegurarte de que también cumplen el RGPD (por ejemplo, en el caso de proveedores de e-mailing o campañas de co-marketing).

Si bien en el presente únicamente nos centraremos en los cambios que trajo consigo el RGPD en las áreas de comunicación y marketing de las empresas y, cerrando el círculo, las consecuencias que implica el cumplimiento de tan aludida norma en el uso de RRSS.

Facebook, Instagram WhatsApp y Messenger

Estas RRSS; como otras y otros tantos dominios, actualizaron con motivo de la cita norma sus políticas de privacidad con la finalidad de adecuarse, así como de seguir prestando sus servicios en el territorio UE en los términos que venían haciendo hasta la fecha.

En 2018 con motivo de la obligatoriedad marcada por el RGPD, FB, entre otras, se dedicó a enviar notificaciones por medio de email a sus usuarios con la finalidad de obtener el consentimiento claro, expreso e inequívoco en los términos recogidos por el RGPD.

Si bien el consentimiento, en cumplimiento de norma, se ciñe a aquellas personas mayores de 14 años, siendo así que en el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores, cabe recalcar que es WhatsApp quien eleva esta edad a los 16, recogiendo en sus políticas de uso que Si resides en un país del Espacio Económico Europeo (incluida la Unión Europea) o en cualquier otro país o territorio que forme parte de él (denominados en conjunto Región europea), debes tener al menos 16 años de edad (o más, si así lo requiere la legislación de tu país) para registrarte y utilizar WhatsApp. https://faq.whatsapp.com/general/security-and-privacy/minimum-age-to-use-whatsapp/?lang=es ofreciendo si cabe una postura un poco mas garante que el resto de las redes, si podemos entenderlo así.

Twitter

Twitter gestionó los cambios por medio de una posibilidad amplia de configuración de privacidad en cuenta. Esta RRSS permite, y como tal se recoge en su política política de privacidad, la configuración de no solo de acceso y comunicación pública del perfil, sino también de los accesos, lecturas, privacidad o publicidad de comentarios y tweets, entre otros.

Twitter permite, en esta configuración personalizar anuncios, personalizar dispositivos donde se ha iniciado sesión, Aplicaciones, preferencias y gustos según criterios de ubicación, entre otras.

LinkedIn

Los cambios en esta RRSS no han sido, quizás, de tanta relevancia como los anteriores, si bien es importante remarcar que a fecha de hoy la política de uso de datos de LinkedIn ofrece la posibilidad de acceder a los datos de los usuarios desde puntos externos a esta plataforma, si bien ofrece la posibilidad de oposición y/o revocación de consentimiento pudiendo el usuario negarse a dicho acceso desde fuera de esta plataforma.

Cambios más destacados

Común a todas las mencionadas, y resumiendo los cambios más destacados que vinieron con el RGPD, son:

  • Obtención del consentimiento expreso y manifiesto, en lenguaje claro y sencillo cuando el tratamiento es para determinadas finalidades (Comunicaciones comérciales, perfilados, etc).
  • Obligación de informar, entre otros puntos como los plazos de guarda, de las cesiones y comunicaciones, de que los datos de usuarios se compartirán entre distintas plataformas, independientemente de que formen parte de un mismo grupo (Ejemplo FB y WhatsApp).
  • La posibilidad de revocación de consentimiento, ejercicios del derecho de oposición, y sobre determinadas finalidades, no aprobando todas en bloque, como se hacía con anterioridad.
  • La elevación de la edad de uso de aplicación de los 14 a los 16, como hemos comentado del caso de WhatsApp.

Si bien hemos querido presentar de manera somera las novedades en las políticas y condiciones de uso de las RRSS mentadas, queremos hacer de igual modo una reflexión sobre los peligros en materia de ciberseguridad, privacidad y riesgos que implica no solo el uso de RRSS sino del acceso a las mismas, iniciando sesiones desde distintos dispositivos y Apps, guardando tales datos de acceso, como son usser y password.

En el propio blog de la Agencia Española de Protección de Datos describe los riesgos de la privacidad en las condiciones de uso que indicamos, esto es la posibilidad que nos ofrecen determinados servicios o Webs, de ingresar en los mismo no por medio de usser y password ex novo, sino utilizando los propios datos de acceso de otras cuentas, o RRSS, como son Google,  Instagram, TikTok, Twitter, Facebook, para ingresar en dominios como Aliexpress o Ebay entre muchos otros., de este modo se nos permite no tener que darnos de alta, ex novo como decimos, si no usar esas webs o Apps usando los datos de registro previos en otros dominios. Este servicio se basa en que un tercero independiente (como es una RRSS) es quien autentica al usuario ante las diferentes aplicaciones o sitios webs. Esto, a los ojos de cualquier usuario es una práctica que comporta riesgos en la privacidad del usuario, así como en la confidencialidad de nuestros datos.

La multitud de identidades digitales que tenemos hoy en día hace que sea cada vez más complicado recordar las contraseñas en los términos que cualquier reglamento, guías o recomendaciones de seguridad nos indican (número de caracteres mínimos, mayúsculas, minúsculas, números, caracteres extraños, etc.)

Este sistema de acceso se denomina Identidad Federada (Federated Identity Management) cuyo objeto es obtener una gestión de usuarios eficiente y la sincronización de datos identificativos, gestión de acceso y servicios de agrupación de identidades y accesos.

El uso de identidades federadas supone una serie de ventajas, y así lo indica la AEPD, estas son:

  • Reducir el número de credenciales que usamos.
  • Agilizar los procesos de registro.
  • Menor riesgo de hackeo de credenciales de acceso afectadas por una brecha de seguridad dado que esas aplicaciones no guardarán nuestras contraseñas. Y en caso de verse afectada sólo sería necesario cambiar una contraseña.

El uso de la autenticación de Identidad federada debe contar con las garantías suficientes para no perder el control sobre nuestros datos personales. Por tanto, esta manera de proceder implica igualmente ciertos riesgos, como:

  • Pérdida de control sobre los datos personales.
  • Utilización de los datos para finalidades distintas de las consentidas por el usuario.
  • Acceso de las RRSS a una mayor información sobre nuestro uso de las aplicaciones o datos comportamentales.
  • En caso de perder el control sobre la cuenta de la red social (robo de credenciales), se pierde también el control del resto de servicios donde nos hemos registrado con esa cuenta, que podrían también verse comprometidos.

La propia AEPD, como otras entidades, dan recomendaciones sobre el uso racional y seguro de RRSS, aplicaciones y registros, si bien, en la ponderación de la comodidad del usuario y agilidad de acceso, frente al control, confidencialidad y privacidad de la información que damos o cuyo acceso facilitamos de manera más o menos informada, ha de prevalecer la privacidad el usuario, el secreto, la intimidad el uso racional de redes; sin embargo, estas cuestiones no son tema en boga hoy en día.

Buscamos la rapidez, la inmediatez y eso nos hace relegar a un segundo plano factores o principios como la racionalidad y la intimidad en la navegación que hagamos por las redes.

Sea por exceso de información, sea por la falta de claridad, esta manera de funcionar puede suponer la limitación en las libertades del usuario, las cuales, además, se dan con su propio consentimiento, eso sí, expreso, manifiesto, libre e informado.