Desde la Ley Hipotecaria de 1861, los registradores de la propiedad garantizan que la seguridad jurídica que ofrece la publicidad registral se concilie con los derechos de quienes figuran en los Registros de la Propiedad. Esa garantía, que se presta a través del control sobre la existencia de un interés legítimo en los solicitantes del acceso a su contenido, ha adquirido en las últimas décadas una nueva dimensión, ya que, también, ha debido extenderse a la protección de sus datos personales. Es una exigencia ineludible, un imperativo constitucional y del Derecho de la Unión Europea y una demanda de la conciencia social sobre la trascendencia de ese derecho para la libertad individual y la democracia. En ese contexto de constante avance tecnológico y de desarrollo de la inteligencia artificial la función registral ha de seguir velando porque el progreso que implica siga ofreciendo esa doble garantía de la publicidad y de los derechos.

El ecosistema normativo del dato; Entrevista a Javier Martínez Cruz; La nueva Ley Orgánica para la protección de datos personales en la prevención, investigación, enjuiciamiento de delitos y ejecución de penas; El Reglamento de e-Privacy; El Derecho Fundamental a la protección de datos en la pandemia de la Covid-19: ¿derecho público de excepción, emergencia o normalidad jurídica?; El proyecto tracker de Telepizza no supera el juicio de proporcionalidad; Gestión de procesos en legaltech y su impacto en la protección de datos; Lecciones aprendidas de las primeras sanciones millonarias de la Agencia Española de Protección de Datos; Multas publicadas por la AEPD en aplicación del RGPD durante el primer cuatrimestre de 2021: motivos y cuantías; Análisis de la aplicabilidad de las Recomendaciones para métodos de evaluación y examen en remoto del CCN-CERT y su aplicabilidad en el ámbito universitario…

Decaído el estado de alarma, llegamos a un octavo número de nuestra Revista, que se abre con el Editorial del Director, quien nos enumera los retos a los que se enfrenta la normativa de protección de datos y diseña un escenario de superproducción normativa donde se hace necesario un desarrollo tecnológico ordenado y centrado en el ser humano, con una visión integradora de la normativa de protección de datos. Los autores de este número analizan estos retos con un enfoque crítico y desde esa visión integradora.

En este número presentamos al lector un análisis de la Ley Orgánica para la protección de datos personales en la investigación, enjuiciamiento de delitos y ejecución de penas que traspone la Directiva 2016/680. Sin embargo, esta trasposición no cierra círculo alguno. El Reglamento General de Protección de Datos, se nos decía, iba a sustituir la Directiva 95/46/CE, acabar con la fragmentación legislativa nacional y a regular la materia de modo general. Nada más lejos de la realidad. Esto era algo obvio para los expertos, para el constituyente del 78, y para el Tribunal Constitucional desde la STC 254/1993. El derecho fundamental a la protección de datos es un derecho de naturaleza instrumental, relacional, contextual, esencialmente adjetivo.

Javier Martínez Cruz, Comisionado del Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios, nos habla de la situación de la protección de datos en los EEUU Mexicanos; del marco regulatorio existente en este país; del modelo dual mexicano; de la influencia del RGPD en la normativa mexicana, tanto federal como estatal; del necesario acercamiento entre las regulaciones de ambos lados del Atlántico; de la relación que mantienen con las autoridades de protección de datos europeas y española; de las dificultades que encuentran en materia de protección de datos con los Estados Unidos de América, así como de otros muchos aspectos como el posible uso de datos para el bien común o la necesaria conciliación de la garantía del derecho fundamental a la protección de datos y la transformación digital.

La Directiva 2016/680 obliga a todos los Estados miembros de la Unión Europea (UE) a establecer medidas legislativas en materia policial, procesal y penitenciaria que permitan un mismo estándar en materia de protección de datos para todo el territorio de la UE cuando su tratamiento tiene por finalidad la prevención, investigación o represión de infracciones penales. En este trabajo se analizan los aspectos más destacados de la actual Ley Orgánica, que realiza su transposición a nuestro ordenamiento jurídico.

El Reglamento de privacidad en las comunicaciones comerciales específica y complementa a la normativa general de protección de datos en cuestiones tan importantes como la identidad digital.

La pregunta clave que se intenta responder en este trabajo es: si todas las medidas y acciones adoptadas por España en el marco de lo extraordinario de la pandemia de la Covid-19 que afectan el derecho a la protección de datos personales, importan un estado de excepción en su goce, —limitando o suspendiendo el mismo—, o, por el contrario, el régimen legal específico aplicable contiene las herramientas jurídicas necesarias y adecuadas para hacer frente a los desafíos que presentan los tratamientos de datos personales requeridos en el contexto de emergencia sanitaria apuntado, consagrando así una «normalidad jurídica». En la prevención y lucha contra la pandemia, se ha hecho necesario el tratamiento de diferentes datos de carácter personal, y en muchos casos de aquéllos que corresponden por su sensibilidad —como por ejemplo los de salud y biométricos— a la categoría de especiales, y que, cuentan con una reforzada protección bajo el régimen legal aplicable...

Las tecnologías usadas en el ámbito laboral suponen un impacto en las relaciones entre empleador y trabajadores, de forma que su implementación se debe realizar de conformidad a la normativa aplicable, respetando en todo momento los derechos de los mismos. La LOPDGDD no fue ajena a esta situación y recogió de forma expresa en su título X dedicado a la garantía de los derechos digitales determinadas salvaguardas en favor de los trabajadores cuando se utilizase la videovigilancia, gps y dispositivos proporcionados por la empresa con fines de control laboral.

Asimismo, hace casi una década se puso de moda una corriente denominada «Bring your own device» (trae tu dispositivo) que consistía en que el trabajador a la hora de realizar la prestación laboral utilizase los dispositivos de su propiedad, como un ordenador, un móvil o una tablet, de manera que no fuesen aportados por la empresa. Para ello, debían implantarse, al menos, unas políticas de uso y aportación de estos dispositivos, así como también la posible compensación al trabajador. Pero ¿Existe una verdadera libertad para decidir si el trabajador quiere o no aportar estos dispositivos? ¿Qué ocurre si la empresa los exige de forma obligatoria?

El desarrollo de legaltech requiere el diseño de procesos internos que definan claramente los tratamientos de datos incluidos en cada uno de ellos. Realizamos un breve repaso a las categorías de servicios que pueden prestarse en el ámbito de las legaltech para facilitar la identificación de necesidad de consentimiento por los usuarios y la gestión de la evaluación de impacto.

La Agencia Española de Protección de Datos (AEPD) ha impuesto las mayores sanciones conocidas hasta la fecha. Se abordan a continuación los elementos que han merecido el reproche de la AEPD por el tratamiento ilícito de los datos personales de los clientes de las entidades bancarias sancionadas y por no proporcionar suficiente información sobre el tratamiento de los datos personales.

Actualizamos nuestra recopilación de multas de la AEPD publicadas a partir del 1 de enero hasta el 30 de abril de 2021. Si bien en 2020 se alcanzó la cantidad de 10 millones de euros, desde que ha comenzado este año la cuantía de las sanciones se ha disparado, recaudando en solo cuatro meses casi 17 millones de euros.

La imposibilidad de realizar pruebas presenciales para la evaluación de las competencias profesionales de las personas con motivo de la situación de emergencia sanitaria provocada por la COVID-19 ha trasladado los exámenes a un entorno online. El hecho de utilizar nuevas tecnologías introduce nuevos riesgos que amenazan la integridad de las evaluaciones. Consciente de esto, el CCN-CERT ha publicado una guía con recomendaciones en materia de seguridad para tratar de minimizarlos. Este documento trata de analizar la aplicación de estas medidas en el ámbito de las evaluaciones universitarias.

El primer trimestre del año 2021 ha sido un período de mucho trabajo en lo relativo a la protección de los datos personales tanto para el Supervisor Europeo de Protección de Datos (en adelante SEPD) como para el Comité Europeo de Protección de Datos (en adelante CEPD). Con las restricciones aún vigentes por el temor a nuevas olas de la pandemia y con la esperanza de vacunar e inmunizar a la población en el menor tiempo posible el SEPD y CEPD han continuado con su trabajo para asegurar que los datos personales de los interesados gozan del nivel de protección recogido en los distintos instrumentos jurídicos.

El 17 de marzo de 2021 la Comisión Europea presentó su propuesta de Reglamento sobre el Certificado Verde Digital, también conocido como Pasaporte COVID, acreditación digital creada con el fin de facilitar la libre circulación de forma segura durante la pandemia por COVID-19 en la Unión Europea. Meses más tarde, el 20 de mayo, el Parlamento Europeo y el Consejo llegaron a un acuerdo sobre la citada Propuesta, que pasaron a denominar «Certificado COVID Digital de la UE». Damos noticia aquí del contenido de la Propuesta, así como de las cuestiones jurídicas más controvertidas que se están planteando respecto del tratamiento de datos personales y la privacidad de los ciudadanos y que han provocado la Opinión conjunta 04/2021 del Comité Europeo de Protección de Datos (CEPD) y del Supervisor Europeo de Protección de Datos (SEPD) al respecto. Analizamos ambos documentos y vemos cómo la falsa creencia de tener que elegir entre salvar la economía, por un lado, y proteger la salud, por otro, está llevando a adoptar medidas más políticas que científicas y jurídicas, de dudosa eficacia y con un potencial efecto discriminador y lesivo de nuestra vida privada.

El pasado 25 de febrero de 2020 el TJUE impuso a España una multa millonaria por no haber transpuesto la Directiva 2016/608 a tiempo. El TJUE acude en este supuesto al Artículo 260.3 TFUE poniendo de relieve la importancia que la protección de datos personales tiene para Europa.

La reciente Sentencia del TJUE (Gran Sala) de 2 de marzo de 2021. Asunto c-746/2018, resolviendo una cuestión prejudicial planteada por el Tribunal Supremo de Estonia trata dos asuntos de gran interés: 1) ¿en qué supuestos cabe autorizar el acceso a datos de tráfico o de localización vinculados a las comunicaciones electrónicas de los investigados? y 2) ¿puede autorizar tal acceso el Ministerio Fiscal, encargado en Estonia de la instrucción de las causas penales y en ejercer la acusación pública ante los Tribunales?

En noviembre pasado, el Estado de California promulgó la California Privacy Rights Act, una modificación de la California Consumer Privacy Act de 2018, que expande los derechos de los consumidores, incrementa las exigencias a las empresas para que cumplan con la protección de datos y aumenta las sanciones en caso de incumplimiento. Por otra parte, el pasado mes de marzo el Estado de Virginia promulgó la  Virginia Consumer Data Protection Act (Ley de Protección de Datos de los Consumidores), convirtiéndose así en el segundo Estado de la Unión en establecer una regulación específica sobre protección de la privacidad de sus ciudadanos.

Recientemente se ha producido en Alemania un movimiento contra la «Digitalización forzada» motivado por diferentes proyectos y aplicaciones implementados en relación con la pandemia del COVID-19, datos de salud y otros ámbitos en los que la digitalización presuntamente puede aportar soluciones viables, pero que si se investigan a fondo y caso por caso plantean serias dudas sobre su viabilidad y sobre su respeto a la normativa vigente en materia de derechos fundamentales en general y de Protección de Datos en especial.

Este artículo examina algunos de los desafíos que las técnicas de Machine Learning (ML) plantean para su óptimo funcionamiento desde una perspectiva jurídica. Quizás, incluso de forma invertida para el afectado (por ejemplo, a través de tratamientos invisibles de datos), el ML está siendo ampliamente utilizado por la industria y las Administraciones Públicas. De hecho, esta expansión sigue creciendo. Sin embargo, el ML es una tecnología que todavía no es fácilmente entendida por los profesionales de la protección de datos. En la práctica, el uso del ML se ve frecuentemente ensombrecido por problemas de cumplimiento normativo respecto, entre otras cuestiones, el cumplimiento del principio de transparencia (fuertemente alineado con la explicabilidad de las decisiones adoptadas mediante algoritmos ML a los interesados), las evaluaciones de impacto de protección de datos y la valoración del rol del responsable y del encargado. Para hacer frente a estas cuestiones, el Reino Unido ha desarrollado un cuerpo significativo de doctrina autorizada bajo la forma de guías y otros recursos publicados por el ICO.

Tras una descripción del sistetema de protección de datos en Uruguay, se pasa a detallar las medidas que el Gobierno uruguayo tomó con el fin de frenar la pandemia, entre ellas, la aplicación informática Coronavirus.UY. Se analiza la necesidad de buscar un equilibrio entre el tratamiento de datos personales y la forma en la que frenar la expansión de la pandemia.

Una actividad exclusivamente personal o doméstica es aquella realizada por una persona física sin conexión alguna con una actividad profesional o comercial, entre aquéllas cabe incluir: la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. Dichas actividades exclusivamente personales o domésticas constituyen una de las excepciones materiales a la aplicación del ordenamiento de protección de datos de carácter personal que, dada su trascendencia práctica, abordamos su estudio desde distintos pronunciamientos jurisdiccionales, de las Autoridades de Control y doctrinales.

El Estado español tiene el deber jurídico de proteger y salvaguardar el patrimonio cultural. A analizar qué se debe proteger y cómo se articula esa protección desde los distintos niveles del ordenamiento jurídico está dedicado el presente artículo.

Advertir públicamente de la contradicción que actualmente se está produciendo en sentencias dictadas por determinados órganos judiciales en cuanto a la interpretación de una determinada cuestión, no resulta fácil, pero entiendo que es necesario, dada la inseguridad jurídica que se está produciendo en la praxis judicial en torno al criterio plasmado en la sentencia 389/2020 dictada por la Sala de lo Penal del Tribunal Supremo, referente a la no posibilidad de acogerse a la dispensa judicial quien ha ostentado la posición de acusación particular en la causa y posteriormente ha cesado en esa condición. Dedicada al estudio de esa materia durante años y pudiendo no compartir el criterio adoptado por el Alto Tribunal, considero necesario que por el mismo se dicte una nueva sentencia que genere jurisprudencia a fin de dar solución a la incertidumbre creada.

¿Es igualmente garantista nuestro Derecho Sustantivo con los ataques a la Intimidad, honor y propia imagen del menor en el instante que este cumple su mayoría de edad y resto de su vida, en relación a hechos que pudiera haber cometido siendo menor? La acción de prevención general protectora del menor debería continuar después de la mayoría de edad.

Delitos contra la ordenación del territorio: afectación de un espacio natural protegido (art. 338 CP).

No puede considerarse como día inicial la fecha en que recibió la comunicación de la aseguradora informándole de que aceptaba su obligación de pago, sino la fecha en que recogió la documentación de la abogada que tramitaba la declaración de herederos del asegurado, hermano del beneficiario, fecha en la que reúne la información precisa y adquiere un conocimiento lo más aproximado posible de la situación (dentro de sus limitaciones intelectuales).

Constituyen medios de financiación del contratista y no actuaciones dirigidas al cobro. Por ello, no pueden incluirse en el concepto de “costes de cobro” del art. 8 de la Ley 3/2004, sobre medidas de lucha contra la morosidad.

La medida está debidamente motivada, se ajusta a unos límites temporales y se adopta en pro del interés superior del menor, en evitación de sucesivas situaciones de riesgo tanto para el alumno como para sus compañeros y profesores.

La singularidad del caso es la mascarilla empleada por el acusado para dificultar su identificación en el atraco. El uso obligatorio de la mascarilla se impuso con posterioridad a la fecha de ejecución del hecho delictivo (8 de abril de 2020), por lo que se rechaza el argumento de la defensa, que invocó el carácter sanitario de la mascarilla para evitar la aplicación de la agravante de disfraz.