El impacto del Reglamento General de Protección de Datos (RGPD) tras su primer año de aplicación

Después de un año de aplicación del RGPD es un buen momento para analizar el impacto el mismo en nuestro ordenamiento jurídico a través de la jurisprudencia.

El Reglamento General de Protección de Datos (RGPD) celebró, este pasado 25 de mayo, su primer año de obligado cumplimiento. Asimismo, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), ha aclarado y completado las disposiciones del RGPD.

Coincidiendo con esta fecha, la Agencia Española de Protección de Datos (AEPD), ha publicado una memoria en la que resume en números los principales aspectos de este primer año de vida de aprobación del RGPD.

El balance de este primer año es positivo, y se constata que el grado de conocimiento que tiene la ciudadanía sobre sus derechos en esta materia ha mejorado. En este sentido, las cifras confirman este dato, en este primer año el número de reclamaciones de ciudadanos por violaciones de privacidad ha aumentado hasta alcanzar la cifra de 150.000 denuncias.

Al respecto, destacamos las siguientes resoluciones dictadas al amparo del nuevo marco normativo:

1. La Sentencia del Tribunal Supremo de 10 de abril de 2019, por la que declara la validez de una cláusula contractual en los contratos de trabajo de una empresa, en virtud de la cual, los empleados, al firmar el contrato, consienten la cesión de su imagen capturada a través de cámara web o cualquier otro medio, con el fin de desarrollar el objeto del contrato. El Tribunal Supremo consideró que el consentimiento del interesado (trabajador) no debe prestarse expresamente cuando el tratamiento del dato es necesario para la ejecución de un contrato suscrito por el interesado. Y todo ello, a la luz del artículo 6.1.b (“el tratamiento sólo será lícito si es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación o petición de este de medidas precontractuales”) y 9.2.b (“tratamiento de datos biométricos cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral y de seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”) del RGPD. La clave del caso radica en que las videollamadas realizadas o recibidas por el trabajador se encontraban dentro del objeto del contrato, y, por lo tanto, encuentran acomodo en lo establecido por el artículo 9.2.b del RGPD.
2. La Sentencia del Juzgado de lo Social nº 3 Pamplona, de fecha 18 de febrero de 2019, por la que se inadmite por primera vez las grabaciones de la empresa para acreditar el despido de un trabajador. En el caso en cuestión, la empresa aportaba como prueba las grabaciones del sistema de videovigilancia. Si bien es cierto que la empresa colocó previamente un cartel avisando la existencia de cámaras de videovigilancia, y por lo tanto, cumpliendo el requisito de informar sobre la existencia de videocámaras en el centro de trabajo, tal como establece el artículo 89 de la LOPDGDD, el juez consideró que, teniendo en cuenta los dos pilares de transparencia e información en que se basa el RGPD, es necesario que el empleador concrete la finalidad de las grabaciones, es decir, que pueden usarse con una finalidad sancionadora. Dicha Sentencia es un ejemplo claro que ante conceptos indeterminados por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales, ha de acudirse a la normativa europea.
3. Asimismo, cabe indicar que, recientemente, la Agencia Española de Protección de Datos ha emitido una resolución por la que sanciona a la Liga de Futbol Profesional con 250.000€ por vulnerar el principio de transparencia a través de su aplicación oficial. En este sentido, la Liga de Futbol Profesional, a través de su aplicación oficial, usaba el micrófono y la geolocalización de los móviles ajenos para detectar emisiones piratas en los bares. Según la Agencia Española de Protección de Datos, la aplicación oficial de la Liga de Futbol Profesional vulnera el artículo 5.1 y 7.3 del RGPD, en el sentido de que no es transparente con el usuario de la posibilidad de retirar en cualquier momento su consentimiento para que sus datos personales se usen de esta forma. Aunque la Liga de Futbol Profesional ya ha indicado que retirará la función que accede al micrófono de los teléfonos móviles a partir del 30 de junio de este año, también ha comunicado que recurrirá la resolución de la Agencia.

Tras este período de un año aún persisten algunos problemas relacionados con la interpretación de la normativa y la implantación de las medidas que garanticen la seguridad y la privacidad de los afectados en el tratamiento de sus datos. Las sentencias indicadas, así como la resolución de la Agencia Española de Protección de Datos, clarifican la interpretación y aplicación del RGPD y la LOPDGDD en el ordenamiento jurídico español. En vista de lo anterior, habrá que estar atento de las futuras resoluciones en materia de protección de datos, para minimizar el riego de sanciones para las empresas españolas.