DIA DE PROTECCIÓN DE DATOS
28 Enero 2025

28 DE ENERO: DÍA DE LA PROTECCIÓN DE DATOS

EL DÍA DE PROTECCIÓN DE DATOS

Para conmemorar el día de protección de datos, hemos realizado un recorrido por los hitos del año 2024: restricción en el control biométrico, sanciones, cookies y actuaciones de oficio.
    La velocidad a la que se trasforma nuestra sociedad, cada vez más digitalizada y con multitud de posibilidades para acceder a la información, requiere de la constante actualización en materia de protección de datos. Desde la entrada en vigor del RGPD y de la LOPDyGDD, se han marcado nuevos criterios tanto de la AEPD, como de los organismos europeos. La rapidez con la que se aplican estos cambios provoca que las empresas, a menudo por desconocimiento, sean objeto de cuantiosas sanciones por infringir esta normativa. En este blog te traemos los cambios más recientes y las sanciones más recurrentes.
    Comenzamos el año analizando la Guía sobre tratamientos de control de presencia mediante sistemas biométricos que supone el establecimiento de un criterio definitivo para los sistemas de control de acceso y horario. Hasta ahora, aunque se podía intuir la postura de la Agencia con respecto al uso de la huella para el control de presencia, no había un pronunciamiento suficientemente claro. El cambio interpretativo ha conllevado la prohibición de la huella dactilar y del uso de datos biométricos al pesar sobre ellos la aplicación del art. 9.1 del RGPD sobre los datos personales de categorías especiales.
    A propósito de los datos biométricos, Worldcoin, una empresa extranjera que empezó a recopilar datos del iris en España a mediados del año 2023, tuvo que cesar su actividad en marzo por la imposición de una orden cautelar por parte de la AEPD. La Agencia ha recibido numerosas reclamaciones con relación a esta organización por tratar datos especialmente protegidos sin proporcionar información suficiente, captar datos de menores y no permitir la retirada del consentimiento. En consecuencia, esta entidad se comprometió a paralizar su actividad a mediados del año 2024 hasta que finalmente, el mes pasado, fue instada a eliminar todos los códigos de iris almacenados desde el inicio del proyecto por, además de los motivos previamente citados, no emplear las medidas de seguridad necesarias.
    También ha habido cambios en la legalización de las páginas web, concretamente relativos a la gestión de las cookies. La AEPD publicó en julio del año 2023 una actualización de la Guía sobre el uso de cookies (actualizada en mayo del año 2024), cuyos cambios debían de aplicarse a más tardar el 11 de enero de 2024. Se introducen novedades con respecto al consentimiento de la instalación de cookies, sobre el concepto de cookies de personalización y relativos al banner de cookies.
1.    Instalación de cookies: los botones de “aceptar”, “aceptar cookies”, etc. tienen que tener idéntico color y forma que los de rechazar, sin que un botón destaque más que el otro. Y si la página web no cuenta con botón de “rechazar”, “denegar”, etc. deberá incluirlo obligatoriamente. Además, estos botones deben aparecer en un espacio y formato destacado de la página web, sin que su posición complique tomar la acción deseada.
2.    Cookies de personalización: no hará falta solicitar el consentimiento para instalar las cookies de personalización si es el usuario web quien las active (selección de idioma, de país, de moneda, etc.), y no se empleen para finalidades distintas.
3.    Banner de cookies: como quiera que el consentimiento para la instalación de cookies debe ser otorgado de forma libre, el acceso a la web o a los servicios que ofrece no puede estar condicionado a que el usuario presione el botón de aceptar. Por lo tanto, se debe ofrecer una alternativa de acceso, esta alternativa, señalaba la nueva guía, no tiene por qué ser gratuita.
    Las nuevas directrices en relación al banner de cookies provocaron que multitud de empresas adoptaran el modelo de pay or okay, es decir, impedir navegar al usuario web que no consienta si no realiza un pago. Este fenómeno suscitó dudas entre los profesionales de la privacidad, de modo que en mayo del año 2024 se añadió un nuevo párrafo en la Guía a raíz de las opiniones en esta materia del Comité Europeo de Protección de Datos. Entonces, ¿puedo impedir que un usuario web acceda a mi página web si no consiente la instalación de cookies? Sí, pero: tiene que ofrecer una alternativa equivalente e informada, sin publicidad comportamental y sin el pago de una tarifa, pudiendo consistir en publicidad general o contextual.
    En relación con las páginas web, hay que tener especial cuidado porque nuestra imagen digital es el escaparate de nuestro negocio en internet y está al alcance de cualquiera. La AEPD en 2024 ha iniciado expedientes de oficio, el más sonado ha sido contra SEAT, S.A. por no recoger correctamente el consentimiento para el uso de las cookies. A esta entidad, no configurar correctamente la instalación de las cookies le podría haber supuesto una sanción de hasta 20.000 euros, todo ello sin la necesidad de una denuncia previa.
    ¿Tu empresa está al día en materia de protección de datos? ¿No sabes si tu página web está legalizada? Contáctanos, con cualquier duda estamos para ayudarte.