Comunicación, tecnología y ocio
| Páginas | 173-179 |
Page 173
[Unión Europea]
Modificaciones y propuestas legislativas
Reglamento (UE) Nº 611/2013, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas
La Comisión Europea ha aprobado el Reglamento (UE) Nº 611/2013, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación (y no en caso de «riesgo particular de violación») de datos personales tanto a la autoridad nacional (en nuestro caso, la Agencia Española de Protección de Datos, «AEPD») como a los abonados.
Este Reglamento, que entró en vigor el 25 de agosto), se dicta al amparo de las competencias que la Directiva 2002/58/CE (modificada por la Directiva 2009/136/CE) atribuye a la Comisión para la adopción de medidas técnicas de ejecución en relación con la obligación de notificación
Page 174
a las autoridades competentes y a los abonados (previstas en los apartados 2, 3 y 4 de su artículo 4 e implementadas en el artículo 34 de la Ley General de Telecomunicaciones).
A tales efectos, el Reglamento precisa los requisitos (de fondo y forma) aplicables a estas notificaciones, del que destacamos:
(i) Un contenido prefijado del tipo de la información que debe contener la notificación a las autoridades y a los abonados.
(ii) La necesidad de notificar a la autoridad en 24 horas, autorizándose una notificación en dos tiempos cuando no se disponga inicialmente de toda la información requerida.
(iii) La necesidad de que la autoridad nacional ponga a disposición de los proveedores un soporte electrónico seguro a través del cual notificar las violaciones así como la información necesaria para su utilización.
(iv) Una serie de criterios que determinan cuando una violación de datos personales puede afectar negativamente a los datos personales o a la intimidad de un abonado.
(v) La obligación de que el/los subcontratista/s del proveedor de servicios de comunicaciones electrónicas informen a este (y no a la autoridad) de manera inmediata de las violaciones de datos personales.
(vi) La exención de notificación de las violaciones a los abonados cuando pueda demostrarse que se han aplicado medidas tecnológicas de protección a los datos personales afectados de forma que han convertido dichos datos en «incomprensibles» (p.ej., mediante cifrados especiales).
[Unión Europea]
Las esperadas conclusiones relativas al caso «Google»
El 25 de junio de 2013 fueron presentadas las conclusiones del abogado general del Tribunal de Justicia de la Unión Europea («TJUE») a través de las cuales propone al TJCE una respuesta a una gran parte de las cuestiones prejudiciales remitidas por la Audiencia Nacional española en un caso muy seguido en toda Europa que enfrenta a la AEPD y a Google en torno al controvertido «derecho al olvido» en Internet.
El caso específico al que se refieren las cuestiones prejudiciales trae causa del recurso presentado por Google Inc. (la entidad responsable del motor de búsqueda en EE.UU.) y su filial española, por el cual solicitan la nulidad de una resolución de la Agencia Española de Protección de Datos que les requirió la desindexación de una información (sobre un embargo de una persona física identificada) publicada -por obligación legal- en un periódico español. En la citada resolución, la AEPD sí desestimó la reclamación del afectado contra la fuente de dicha información sobre la que se solicitaba el «olvido», esto es, el periódico.
Las principales conclusiones del Abogado General pueden resumirse de la siguiente forma:
(i) Motores de búsqueda y prestadores de servicios de la sociedad de la información
El Abogado General considera que los motores de búsqueda en Internet no estarían regulados en la normativa de la UE y, en particular, en la Directiva 2000/31/CE, sobre el comer-cio electrónico, al no prestar «su servicio como contrapartida de una remuneración por parte de los usuarios de Internet». A pesar de ello, examina su papel aplicando por analogía los principios de responsabilidad de aquellos prestadores de servicios de intermediación que se regulan en la Directiva 2000/31/CE.
(ii) Concepto de «establecimiento» funcional
El Abogado General sostiene que el criterio del establecimiento (uno de los criterios de aplicación territorial de las normas de protección de datos) debe examinarse desde la perspectiva del modelo de negocio, en este caso, del proveedor de servicios de motor de bús-
Page 175
queda. Por ello, propone al TJUE que concluya que se aplica la norma de protección de datos europea (conforme al criterio del establecimiento en un Estado Miembro) cuando una «empresa que provee el motor de búsqueda establece en un Estado Miembro, a fines de pro-mover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado».
(iii) Responsabilidad del tratamiento de datos personales indexados
Sin perjuicio de que el Abogado General considera que la indexación es un tratamiento de datos personales, entiende que el motor de búsqueda no debe ser considerado «responsable» de dicho tratamiento a los efectos de la Directiva 95/46/CE dado que, en este caso, el motor de búsqueda no indexa (trata) los datos personales que figuran en páginas web fuente de terceros «con una intención relacionada con su tratamiento como datos personales», esto es, el tratamiento no se realiza de un «modo semánticamente relevante» sino «como mero código informático».
El Abogado General considera que el motor de...
Para continuar leyendo
Solicita tu prueba