AEPD Agencia Española de Protección de Datos

Entradas

la AEPD hace balance

Según el portal digital “Confilegal” se ha celebrado una jornada sobre  Protección de Datos y su órgano regulador, donde se presentó el libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital”, que describe la evolución de la sociedad española en conexión con la historia, hitos y actividad de la Agencia desde sus comienzos en 1993, así como el desarrollo de este derecho fundamental. En el acto estuvieron cinco de los seis directores de la Agencia Española de Protección de Datos (AEPD) en su primer cuarto de siglo.

En el acto inaugural estuvieron Dolores Delgado, ministra de Justicia, y Pío García Escudero, presidente del Senado, que señalaron la importancia de la protección de datos en nuestra sociedad y la necesidad de una nueva regulación nacional para adaptarse al RGPD.

El libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital” repasa de forma cronológica los progresos tecnológicos más significativos de los últimos 25 años y retrata cómo el uso de las herramientas digitales ha transformado la actitud y los hábitos cotidianos de las personas. Asimismo, aborda la no siempre fácil relación entre tecnología y privacidad, y la necesidad de información acerca de los posibles riesgos que implica proporcionar datos de carácter personal.

Uno de los momentos más interesantes tuvo que ver con la intervención de los directores de la AEPD. El primero, Juan José Martin- Casallo, director entre 1993-98, no pudo acudir por encontrase enfermo. Juan Manuel Fernández, director entre 1998 y 2002, José Luis Piñar, al frente de 2002 a 2007, Artemi Rallo, durante los años 2007-2011 y José Luis Rodríguez, en el periodo de 2011-2015. Por último, Mar España, actual dirigente.

Todos ellos destacaron la calidad de su equipo de profesionales, escaso, para las obligaciones que tienen que asumir, así como la necesidad de trabajar con la sociedad para crear en nuestro país una cultura de privacidad aún sin consolidar.

Para Mar España el puesto de director de la AEPD ha sido uno de los más dinámicos que ha ejercido a lo largo de su carrera profesional. Reconoce que parte de su labor en los dos últimos años ha sido el de tender puentes con el sector privado, especialmente para que los empresarios pierdan el miedo a la Agencia.

La actual responsable del regulador español en materia de privacidad mostró su satisfacción por el Plan Estratégico 2015-19 que ha puesto en marcha, “prácticamente a coste cero con la ayuda del equipo de profesionales de la Agencia”. Un plan donde el apoyo y el trabajo de difusión del RGPD que entró en vigor el pasado 25 de mayo ha sido importante. Desde la AEPD se han editado todo tipo de guías didácticas para que el empresario entienda el nuevo concepto de privacidad que llega.

Al mismo tiempo, España es consciente de los retos que se plantean a corto y medio plazo. La adaptación al RGPD por parte de las aprobada en el Senado, ayudará a conocer diferentes conceptos que el propio Reglamento dejaba algo difusos. El propio Grupo del Artículo 29, formado por los reguladores europeos, ahora se transforma en el Comité Técnico Europeo con informes vinculantes.

Precisamente otro reto que plantea esta experta en privacidad es que los diferentes reguladores existentes en la UE trabajen de la misma forma y tengan el mismo régimen sancionador en cuestiones parecidas. También habrá que ver cómo colaboran a nivel transfronterizo cuando el asunto implique a entidades o ciudadanos de varios países.

La nueva LOPD le otorgará categoría de Secretaria de Estado frente a la actual Subdirección General de la que depende. Pese a la asunción de nuevas competencias, para este año el presupuesto de la Agencia se ha incrementado en un 0,85 % respecto al año pasado y su plantilla un 14% desde el 2015, “datos insuficientes para afrontar tanta carga de trabajo”.

En estos meses, tras la entrada en vigor del RGPD, las consultas a la AEPD se han multiplicado, al igual que denuncias e incidencias. Sobre brechas de seguridad, se han recibido alrededor de 300, de las cuales 11 están estudiándose por la inspección. “Las tres sanciones a Facebook que la AEPD interpuso en los últimos años han sido las más cuantiosas de la historia de la entidad” aclaró.

Sesión anual abierta de la Agencia Española de Protección de Datos sobre aplicación del Reglamento General de Protección de Datos

Décima Sesión anual abierta de la Agencia Española de Protección de Datos sobre aplicación del Reglamento General de Protección de Datos (RGPD)

Según informa el diario económico “Cinco Días”, el pasado mes de junio se celebró la Décima Sesión anual abierta de la Agencia Española de Protección de Datos (AEPD), y como contenido principal, como no podía ser de otra manera, tenía la aplicación del Reglamento General de Protección de Datos (RGPD).

Dentro de los eventos, doña Mar España, directora de la AEPD ha insistido en que es imposible legal y técnicamente plantear un periodo transitorio para adoptar la nueva privacidad, ya que el propio RGPD dio un plazo de dos años para su aplicación.

La presidenta de la Agencia ha aclarado que el RGPD no es solo una norma sancionadora, sino que promueve la resolución amistosa y extrajudicial de los conflictos. Incidiendo que la misma flexibilidad que da el Reglamento para adaptarse a la nueva protección de datos también se aplica a las autoridades de control en su potestad sancionadora. Y es que el abanico de sanciones ante infracciones del RGPD va desde advertencias y apercibimientos hasta multas de 20 millones de euros o el 4% de la facturación global.

También, participó don Pedro Colmenares Soto, subdirector general de Inspección de Datos que ha destacado el componente pedagógico respecto a los ciudadanos, respecto al valor de nuestros datos. Asimismo, remarcó que los ciudadanos debemos hacernos fuertes en la defensa de nuestros derechos.

EL RGPD impone un cambio de mentalidad para las administraciones públicas y las empresas basado en el principio de responsabilidad activa. Una de las manifestaciones de este fundamento de la nueva privacidad es el registro de actividades de tratamiento, que como indica Manuel Villaseca López, jefe de área y DPD de la AEPD, no tiene un criterio único para elaborarlo, los responsables pueden elaborarlo como crean que es correcto.

Otras consecuencias de la responsabilidad proactiva son el análisis de riesgos, las evaluaciones de impacto y las brechas de seguridad.

También la figura del delegado de protección de datos (DPD) tiene que ver con la responsabilidad proactiva de las entidades, se trata de un elemento clave en el cumplimiento del RGPD, aunque no es nuevo, ya existía antes pero no era obligatorio.

Hasta ahora la AEPD haya recibido 8.000 notificaciones de delegados de protección de datos, lo que parece insuficiente. Es más, desde la Agencia a pesar de que no todas las entidades tienen obligación de contar con un DPD, se está impulsando que los responsables de datos pueden contratar con carácter voluntario e incluso a tiempo parcial y de forma externa un delegado de protección de datos solo para adaptarse al Reglamento. Para ello, la AEPD está trabajando con la CEOE para que proporcione estos profesionales a las empresas adheridas y que los consejos y colegios profesionales también lo hagan con quien no esté obligado a tenerlo.

En este sentido, la directora de la Agencia también ha anunciado que las universidades podrán solicitar a la AEPD la certificación de sus posgrados y másteres en protección de datos cuando cumplan con los requisitos del Esquema de Certificación de DPD.

Por último, Mar España ha reiterado su crítica a algunas consultoras que están ofreciendo servicios de asesoramiento en protección de datos a las empresas y autónomos cuando en realidad sólo crean una apariencia de cumplimiento de protección de datos que no es real. En este aspecto se ha mostrado firme y ha dicho que desde la AEPD se perseguirán estas prácticas ilícitas cuando se tenga conocimiento de ellas.

La AEPD inspeccionará los sectores de la salud, financiero y telecomunicaciones

Cuando ya es obligatoria la aplicación del Reglamento General de Protección de Datos (RGPD), todo el mundo se pregunta por cómo será la actitud de la Agencia Española de protección de datos (AEPD).

La directora de la Agencia, Mar España, dijo que habría moratoria a este respecto, por lo que todas las organizaciones deberán cumplir con el Reglamento y estar en condiciones de demostrarlo.

Mar España añadió un dato: los planes de inspección de la Agencia van a focalizarse en tres sectores concretos que la AEPD inspeccionará: la salud, las instituciones financieras y las empresas de telecomunicaciones.

La intención es clara, concentrar sus recursos en aquellos sectores cuya actividad tiene un mayor impacto en la privacidad de los ciudadanos, entre los que claramente parecen incluirse los tres indicados.

El RGPD introduce una importante ampliación de las competencias de las autoridades de control de protección de datos nacionales, como es la Agencia Española, y esto implica que las organizaciones deberán estar en condiciones de suministrar un amplio conjunto de información en supuestos de inspección.

A diferencia de la legislación anterior, que exigía tener implantada una serie tasada de medidas en función de riesgo leve, medio o alto para los derechos de los interesados que se hubiera identificado, el RGPD permite que cada empresa implante aquellas medidas necesarias para garantizar un nivel de garantía adecuado en función de los tratamientos que realice, del nivel de riesgo identificado y en proporción a su los mismos.

Las organizaciones deben considerar este momento más como una buena oportunidad de poner al día sus sistemas de tratamientos de los datos de sus usuarios, para asegurar su adaptación a las exigencias de la nueva norma.

La principal dificultad viene de la necesidad de combinar el principio de responsabilidad proactiva de los responsables y encargados del tratamiento con el ejercicio de la libertad organizativa que la norma concede en un entorno tan variable, como el empresarial o el institucional.

El régimen sancionador es muy estricto para el caso de infringirse su normativa, y aunque la Agencia está desarrollando una actividad divulgativa y de concienciación muy intensa, ello no va a evitar la atribución de responsabilidades a las entidades incumplidoras.

La figura del delegado de protección de datos (DPO), incluso en aquellos casos en los que no sea legalmente preceptivo y aunque no sea a jornada completa, puede aportar valiosas orientaciones sobre las obligaciones a cumplir y el modo de hacerlo.

El desarrollo de la tecnología está asociado al respeto a los derechos de las personas, que son los titulares de los datos.

Y en este sentido ejemplos recientes han puesto de manifiesto que un uso malicioso y sin consentimiento de esos datos pueden utilizarse incluso para intentar socavar los principios mismos de una sociedad democrática, al tratar de influir en la opinión pública.

La directora de la AEPD remarcó la necesidad de la concienciación de los ciudadanos de no dejar accesibles sus datos personales, al igual que cuando salen de casa cierran la puerta de la calle.

No se puede agregar a alguien a grupo de whatsapp sin consentimiento

No se puede agregar a alguien a grupo de whatsapp sin consentimiento

Según informa la página de noticias de “Cuatro”, un Ayuntamiento de un pueblo de Valladolid  ha sido sancionado por incluir a uno de los vecinos del pueblo en un multitudinario grupo de Whatsapp sin su consentimiento. Finalmente, y gracias a la rápida rectificación del concejal, la Agencia de Protección de Datos (AEPD) ha anulado la multa económica por el hecho.

La Agencia Española de Protección de Datos (AEPD) ha explicado mediante un comunicado que introducir números en un grupo de Whatsapp sin el consentimiento expreso de los propietarios no es legal ya que vulnera el derecho a la privacidad.

El caso comienza cuando un concejal de Boecillo, en Valladolid, incluyó a 255 de sus vecinos en un grupo deWhatsapp, y uno de ellos, denunció que le habían metido en dicho grupo sin su consentimiento.

La AEPD pidió información detalle al Ayuntamiento sobre el consentimiento de los miembros del grupo y sólo pudo justificar la aprobación de 37 personas. El concejal recogió números de teléfono personales, incluyendo el del denunciante, que apareció en la agenda municipal por una llamada previa.

La AEPD ha decidido aclarar mediante un comunicado la situación y dictaminar que  la acción del concejal no se podía realizar, ya que la comunicación de datos y circulares electrónicas debe hacerse siempre de forma individual, y solo en común cuando sea expresamente solicitado por cada uno de los integrantes.

Finalmente, no se impondrá multa al investigado ya que el organismo ha considerado que el concejal eliminó el grupo de forma inmediata cuando los integrantes comenzaron a reclamar su privacidad.

Se ha añadido una nueva funcionalidad en la inscripción de ficheros según nota de prensa de la Agencia Española de Protección de Datos..

Nueva funcionalidad en la inscripción de ficheros

Según nota de prensa de la Agencia Española de Protección de Datos, se ha añadido una nueva funcionalidad al servicio de solicitud de copia en la inscripción de ficheros.nueva opción permite a los responsables descargar en formato digital un contenido que puede ser utilizado como base para elaborar el REGISTRO DE ACTIVIDADES de tratamiento que será obligatorio cuando sea aplicable el RGPD.

La nota, de fecha del 21 de noviembre, informa que la AEPD ha habilitado una nueva funcionalidad en su Sede electrónica que permite a los responsables descargar en formato Excel o XML el contenido completo de la inscripción de sus ficheros realizada ante el Registro General de Protección de Datos.

La Agencia facilita de este modo, un contenido que puede ser utilizado como base para elaborar el registro de actividades de tratamiento que será obligatorio a partir de la aplicación del Reglamento General de Protección de Datos (RGPD).nueva

El Proyecto de Ley Orgánica de Protección de Datos, aprobado por el Consejo de Ministros el pasado 10 de noviembre, recoge que en el caso de las Administraciones Públicas, además de indicar la base legal que legitima el tratamiento y el delegado de protección de datos, deberán hacer público el inventario de sus actividades de tratamiento, siendo accesible por medios electrónicos, tal y como establece el artículo 31 del citado proyecto que es la adaptación a la legislación europea.

La nueva ley de Protección de Datos, que como ya hemos informado, será aplicable a partir del 25 de mayo de 2018, elimina la obligación del responsable que trata datos de carácter personal de notificar los ficheros ante la AEPD para su inscripción en el Registro General de Protección de Datos.

Pero establece que cada responsable llevará un registro de las actividades de tratamiento efectuadas.

En ese registro de actividades el responsable, además de incluir, en su caso, los datos de contacto del delegado de protección de datos, debe describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplica para preservar su seguridad, y cuándo podrá suprimirlos.

En el caso de entidades que no realicen sólo tratamientos de escaso riesgo, obtener la copia de la inscripción de ficheros realizada ante la Agencia puede ser de utilidad como base para la realización del registro de actividades.

 

La AEPD presenta los resultados de la inspección a los hospitales públicos

La AEPD presenta los resultados de la inspección a los hospitales públicos

La Agencia Española de Protección de Datos (AEPD) ha publicado el pasado mes de septiembre un Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos.

Los planes de oficio de la AEPD, se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal.

El informe ofrece un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los requerimientos que impone el nuevo Reglamento General.

Los datos de salud se encuentran en el Reglamento catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.

Tendencias favorables en la normativa de protección de datos.

Entre las principales conclusiones del informe hay que mencionar una tendencia favorable a la asunción progresiva de la normativa y de los principios y la cultura de protección de datos
La evaluación publicada consiste en unas recomendaciones que son aplicables a todo tipo de centros sanitarios. En este sentido, hay que destacar que los datos de salud se encuentran incluidos en el Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, entre los catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.

El informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010, en concreto, en las medidas de seguridad implementadas.
Se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico, hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación.

Entre las principales conclusiones del análisis se ha constatado, en líneas generales, una tendencia favorable a la progresiva asunción no sólo de la normativa sino de los principios y la cultura de protección de datos.

Mejoría en el tratamiento de datos.

El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales, lo que supone una mejoría en comparación con las situaciones anteriores.

Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes o el refuerzo de las medidas de seguridad. Como ejemplo, respecto al consentimiento, la Agencia recoge en el informe que es necesario recabarlo para saber si el paciente desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si este no se opone, el hospital puede informar de si se encuentra en urgencias o ingresado y el número de habitación, sin indicar datos de salud o la atención médica prestada.

La publicación de este Plan de inspección está acompañada de un decálogo básico que recoge los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros, con el objetivo final de elevar el nivel de cumplimiento y generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial como en el de la investigación.

La AEPD presenta nuevos recursos de ayuda

La AEPD presenta nuevos recursos de ayuda

La AEPD presenta nuevos recursos de ayuda orientados a centros docentes y familias para fomentar la privacidad y la protección de datos, consiste en una guía de Protección de datos en centros educativos, una serie de vídeos titulados: “Tú controlas en internet” y un taller para familias: “Los menores y su cibermundo”.

 

Los nuevos contenidos se enmarcan en las actuaciones previstas en el Plan Estratégico 2015-2019 de la Agencia y se han presentado en colaboración con el Ministerio de Educación, Cultura y Deporte en virtud del convenio suscrito por ambas entidades para impulsar la formación de los menores en materia de privacidad y protección de datos, en especial en internet.

 

La guía: “Protección de datos para centros educativos”, ofrece respuesta directa a las dudas más frecuentes planteadas por la comunidad educativa. Surgida de la necesidad de dar respuesta a las dudas más habituales que se plantean ante el Canal Joven de la Agencia tanto de los centros docentes como de profesores, AMPAs o las propias familias, y sumando además las aportaciones de la comunidad educativa.

 

Guía practica de protección de datos

 

El resultado es una guía práctica que, además de los conceptos y principios básicos sobre protección de datos, incluye la respuesta directa a más de 80 preguntas, muchas de ellas relacionadas con la expansión de las nuevas tecnologías, como por ejemplo: ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos de los alumnos?, ¿pueden los profesores crear grupos con alumnos utilizando aplicaciones de mensajería instantánea?, o ¿pueden publicarse en la web del centro fotografías o vídeos de los alumnos?

 

La guía incluye además un Decálogo simplificado con los aspectos más relevantes para realizar un uso adecuado de los datos personales en los centros educativos así como una sección específica de los cambios que producirá la aplicación del nuevo Reglamento General de Protección de Datos el 25 de mayo de 2018.

 

Los vídeos “Tú controlas internet” están orientados a concienciar a los menores sobre algunas situaciones de riesgo. Son cuatro vídeos que pueden ser visionados tanto en el aula como en familia y que abordan situaciones como el ciber-acoso (llamado “En este partido nos la jugamos”), el grooming (“Planazo de fin de semana”), el sexting (“Un vídeo muy especial”) o la dependencia tecnológica (“Un crack del BMX”).

 

La Agencia considera que la distribución de estos materiales a través de las aulas es imprescindible para llegar a los más de 8 millones de alumnos escolarizados, por lo que solicita la colaboración de todos los actores implicados en la educación de los menores para que contribuyan a prevenir y concienciar de estos peligros.

 

Vídeos como herramienta de la educación digital

 

La finalidad de estos vídeos es que sean utilizados como herramienta para fomentar la educación digital de los menores, contribuyendo a evitar que puedan verse involucrados en situaciones de riesgo que, en ocasiones, producen un daño difícil de reparar debido al efecto multiplicador de redes sociales o mensajería instantánea. La AEPD se ha decantado por utilizar en estos vídeos la técnica visual thinking considerando el dibujo como una herramienta útil para captar la atención y facilitar la comprensión de estos conceptos en grupos de diferentes edades.

 

El taller para familias: “Los menores y su cibermundo” son consejos sobre cómo acompañar a los hijos en su utilización de las nuevas tecnologías.

 

El tercer proyecto que ha presentado la Agencia es el taller para familias “Los menores y su cibermundo”, conducido por el experto Ángel-Pablo Avilés, autor de El blog de Angelucho. El taller, que incluye orientaciones y pautas, está compuesto por nueve vídeos de entre dos y diez minutos de duración en los que se abordan temas de interés para los padres a la hora acompañar a sus hijos en su relación con las nuevas tecnologías. El funcionamiento de las aplicaciones más utilizadas por los jóvenes y los riesgos más comunes asociadas a las mismas son algunos de los contenidos tratados.

 

Según datos del CIS, un 36,6% considera que el riesgo más habitual al que se exponen los menores es la difusión de fotos o vídeos comprometidos, seguido de dar a conocer demasiada información sobre ellos mismos a gente que no conoce (24,3%).

La AEPD investiga la creación el censo electoral catalán

La AEPD investiga la creación del censo electoral catalán

Según informa el Diario Expansión, la Agencia Española de Protección de Datos, ha abierto una investigación de la creación del censo electoral catalán tras recibir la denuncia de un ciudadano y solicita información a diversos organismos sobre los accesos a sus bases de datos por parte de la Generalitat o los ayuntamientos en Cataluña.

La Agencia Española de Protección de Datos (AEPD) comprueba si existe o no acceso ilícito a bases de datos estatales para la creación del denominado censo electoral catalán tras la recepción de la denuncia.

Los hechos denunciados podrían implicar la existencia de conductas contrarias a la Ley Orgánica de Protección de Datos (LOPD) en relación con ficheros y tratamientos sometidos a la competencia de la AEPD.

Ciudadano solicita información  sobre los accesos a sus bases de datos por parte de la Generalitat o los ayuntamientos en Cataluña.

Por ello, la AEPD ha solicitado información al Instituto Nacional de Estadística, la Agencia Tributaria, la Tesorería General de la Seguridad Social y el Ministerio de Sanidad, Servicios Sociales e Igualdad sobre los accesos a sus bases de datos por parte de la Generalitat o los ayuntamientos en Cataluña.

Según explica la AEPD, se ha remitido la denuncia recibida a la Autoridad Catalana de Protección de Datos (Apdcat), Organismo con competencia para investigar y, en su caso, declarar infracciones respecto de ficheros creados o gestionados por los organismos públicos de Cataluña, para que ejerza las funciones previstas en el artículo 5 de la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.

Autoridad Catalana de Protección de Datos

Junto a la denuncia, la AEPD remite un informe en el que se analiza la ausencia de base legal para la utilización de determinados datos para crear un censo electoral catalán por parte de la Generalitat de Cataluña.

Asimismo, en cumplimiento del principio de cooperación interadministrativa consagrado por el artículo 2.1 k) de la Ley 40/2015, de régimen jurídico del Sector Público, y de lo dispuesto en el último inciso del artículo 41.3 de la LOPD, la Agencia Española de Protección de Datos solicita a la Autoridad Catalana que le comunique la información que pudiera recabar como consecuencia de la tramitación de la denuncia remitida, y en particular la que obtuviese en relación con el origen de los datos, a fin de incorporarla a las actuaciones previas de investigación anteriormente mencionadas.

La AEPD investiga la creación el censo electoral catalán

Delegado de protección de datos - Equal Protección de Datos

Delegado de protección de datos – Equal Protección de Datos

El delegado de protección de datos,  va a ser un elemento crucial para el desarrollo de nuevas ideas de negocio, y un soporte estructural básico para una economía basada en el “dato”.

En el mes de Mayo del año 2.018 entrará en vigor el nuevo Reglamento europeo de Protección de Datos (RGPD), aprobado con el fin de decir adiós a la antigua Directiva que regulaba la materia y para unificar los criterios de protección en todos los países de la Unión Europea.

En la Guía del Reglamento General de Protección de Datos publicada por la AEPD para Responsables de tratamiento se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el Delegado de Protección de Datos, que se crea con los artículos 37, 38 y 39 del mentado Reglamento.

Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y se constituye como un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, y que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado.

El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

Como se viene señalando desde hace más de un lustro la protección de datos no es un coste, es una inversión. Y como tal tiene retorno. Vamos a mejorar procesos, a incrementar la calidad de los datos, a ganar confianza en nuestros sistemas de información y en la toma de decisiones. Y vamos a trasladar, tranquilidad a nuestros clientes.

Con la finalidad de generar confianza en los ciudadanos, que no olvidemos son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) está impulsando junto con la Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo..

La seguridad de nuestros datos, su correcto uso, la protección de los menores en internet, la confianza de los clientes en el comercio electrónico, el uso de Big Data, la investigación en salud, el uso policial de los datos, la videovigilancia, la solvencia patrimonial y el crédito, las nuevas estrategias de marketing y publicidad, la innovación basada en información personal, la educación… pasan desde ahora por el delegado de protección de datos.

Las compañías de telecomunicaciones son las menos cumple con la Protección de Datos

Las compañías de telecomunicaciones son las que menos cumple con la Protección de Datos

La Agencia Española de Protección de Datos (AEPD), publica cada año, su Memoria anual, donde se evidencia que las consultas dirigidas a este organismo aumentan de año en año, ya son más de 220.000 peticiones. Los ciudadanos estamos cada vez más preocupados por nuestros datos personales.

Los procedimientos de cancelación de los datos personales fueron los más frecuentes en el ámbito de las peticiones presentadas por los ciudadanos para tutelar sus derechos a la privacidad.

El sector de las telecomunicaciones, el más castigado, ha acaparado en estos últimos años sanciones de varios millones de euros, lo que equivale al 51% del total.

Le siguieron las entidades financieras, el volumen de sanciones fue el que más creció, hasta un 18%y se situó por encima de los tres millones de euros y las empresas de suministro y comercialización de agua y energía, que van en aumento.

La AEPD es una entidad independiente encargada de tutelar la privacidad de los ciudadanos y garantizar el ejercicio de los derechos ARCO, acrónimo que indica los derechos de acceso, rectificación, cancelación y oposición.

La AEPD es competente no solo para cambiar comportamientos, sino que puede sancionar a empresas, administraciones o particulares que violen la información de carácter personal de los individuos. Las multas pueden variar desde los 900 hasta los 600.000 euros, según el tipo de infracción y factores como la reincidencia o la intencionalidad.

Adaptación LOPD para empresas y autónomos - Información GRATIS

El organismo presentó el año pasado, su plan estratégico para el periodo 2015-2019, en el que hizo particular hincapié en la necesidad de sensibilizar a la población a través del fomento de la prevención en materia de privacidad en el ámbito educativo. Por otro lado, se propuso trabajar con las empresas para que mejoren sus políticas y ofrezcan información al ciudadano para que puedan ejercer sus derechos, según informa El País.

Según la última memoria de actividad de la Agencia Española de Protección de Datos (AEPD), la videovigilancia ha supuesto aproximadamente el 60% del total de las resoluciones registradas de procedimientos de apercibimiento en el sector privado. Unos resultados que dejan entrever el desconocimiento por parte de las empresas españolas sobre el uso de estos sistemas.

En el Informe Anual sobre cumplimiento del Plan Estratégico de la AEPD (Noviembre 2015-Noviembre 2016), se informó que se están llevando a cabo actuaciones en relación con Google, Facebook, Whatsapp y Microsoft. Además se están elaborando herramientas y materiales prácticos sobre cumplimiento de la LOPD por las PYMES, en especial para las de menos de 50 empleados.

Según el diario económico Cinco Días, las pymes y los autónomos tendrán que adaptarse al nuevo Reglamento de Protección de Datos antes de mayo de 2018, que es cuando comenzará a aplicarse el nuevo Reglamento General de Protección de Datos impuesto por la Unión Europea. Su incumplimiento podría conllevar multas de hasta 20 millones de euros.

Pero no solo hay sanciones, la Agencia Española de Protección de Datos (AEPD) ha concedido los «Premios de Protección de Datos 2016», en febrero de 2017, que este año alcanzan su XX Edición, a la Corporación RTVE, «One Magazine» y ABC, según ha informado el organismo que otorga estos galardones para reconocer los trabajos que promueven en mayor medida el conocimiento y la investigación del derecho fundamental a la protección de datos.

9ª sesión AEPD

9ª Sesión Agencia Española Protección de Datos (AEPD)

9ª Sesión Agencia Española Protección de Protección De Datos (AEPD)

El nuevo Reglamento Europeo de Protección de Datos es sin duda una de las normas que más va a dar que hablar en los próximos meses. La entrada en vigor ha sido el reciente 25 de mayo de 2018.

Se ha realizado un repaso por las diferentes iniciativas en relación con el Reglamento y que forman parte del Plan Estratégico de la Asociación Española de Protección de Datos (AEPD), refiriéndose también a la colaboración prestada por la Agencia en la elaboración de la ley que sustituirá a la actual LOPD, y que regulará el derecho a la protección de datos en el marco de lo dispuesto por el Reglamento.

También se está preparando una herramienta de ayuda orientada a empresas y profesionales que realicen tratamientos de datos personales de escaso riesgo. Esta herramienta, se encuentra en fase de pruebas y se ha ofrecido a diversas asociaciones empresariales y colegios profesionales para que lo evalúen y puedan aportar sus comentarios y sugerencias.

Con esta herramienta, las pymes podrán constatar, que los tratamientos de datos que manejen pueden considerarse de bajo o muy bajo riesgo y que, al terminar el cuestionario, obtengan los documentos mínimos indispensables para demostrar que cumplen con el Reglamento.

Las pymes suponen el 99,8% del tejido empresarial español y la persona física es la forma predominante en la constitución de una empresa. Por ello, la AEPD considera relevante ofrecerles las herramientas necesarias para que puedan conocer las implicaciones y los cambios que supone la nueva normativa, de forma que puedan tomar las medidas necesarias para cumplir con ella.

Igualmente, se ha destacado que se han finalizado los trabajos y que el texto de la nueva Ley Orgánica de Protección de Datos, ha sido enviada al Ministerio de Justicia para que pueda comenzar el proceso de tramitación.


“Esta dimensión normativa es, sin duda, fundamental, pero para la Agencia es igualmente importante contribuir a que ciudadanos y organizaciones conozcan los cambios que implica el Reglamento, ya que se trata de una norma europea directamente aplicable”


Protección de Datos: Guía para el Ciudadano

Durante la Sesión Anual la AEPD ha presentado un documento que incorpora numerosas referencias al nuevo Reglamento. La Guía repasa los tradicionales derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), la forma de ejercerlos y los plazos legales en los que debe obtenerse respuesta. A su vez, recoge de forma sencilla cómo y en qué casos puede un ciudadano ejercitar el derecho al olvido, cómo puede solicitar la eliminación de fotos y vídeos de internet, o en qué consiste el nuevo derecho a la portabilidad.

El Delegado de Protección de Datos (DPD).

La Agencia está trabajando con la Entidad Nacional de Acreditación (ENAC) en la implantación de un esquema de certificación de profesionales que vayan a acceder a estos puestos. La puesta en marcha de esta certificación está prevista a lo largo de este año y, si bien no será un requisito indispensable para acceder a la posición de Delegado de Protección de Datos, la AEPD pretende que sirva como mecanismo riguroso para dar a las entidades garantías suficientes sobre la cualificación y capacidad profesional de los candidatos.

big data

Código de buenas prácticas para el Big Data

Código de buenas prácticas para el Big Data

Recordemos que el Big Data es “La gestión y análisis de enormes volúmenes de datos que no pueden ser tratados de manera convencional, ya que superan los límites y capacidades de las herramientas de software habitualmente utilizadas para la captura, gestión y procesamiento de datos”.

Partiendo de esto, la Agencia Española de Protección de Datos (AEPD) y ISMS Forum Spain(Red abierta de conocimiento que conecta empresas, organismos públicos y privados, investigadores y profesionales comprometidos con el desarrollo de la Seguridad de la Información en España) han publicado un código de buenas prácticas orientado a asesorar en materia de protección de datos a todas aquellas entidades que se estén planteando poner en marcha proyectos de Big Data, constituyendo un punto de partida de referencia práctica para empresas.


Las iniciativas basadas en Big Data reportan beneficios en sectores clave y nuevas posibilidades de negocio a partir del análisis de grandes cantidades de datos a los que se aplican algoritmos para elaborar patrones. Sin embargo, también surgen dudas y preocupaciones sobre usos que pueden no ser lícitos por hacerse sin respaldo legal o por generar abusos, como la modificación de precios de un producto en función de lo que esté dispuesto a pagar un usuario al que previamente se ha analizado.


Profiling y sus riesgos

La generación de perfiles de consumidores o profiling es uno de los usos principales del Big Data, y puede entrañar riesgos por posibles tratamientos basados en predicciones si se utilizan de forma discriminatoria excluyendo a sectores minoritarios apoyándose en los datos analizados.

Teniendo en cuenta estos aspectos, el desarrollo y la puesta en marcha de proyectos de Big Data implica una importante responsabilidad para aquellas entidades que los implementan, que deben preservar la privacidad de las personas adoptando acciones y soluciones de tipo jurídico, organizativo y técnico.

En dicho código, se analizan las principales implicaciones derivadas de los tratamientos basados estas técnicas:
  • – El origen, calidad y conservación de los datos.
  • – La procedencia de los mismos.
  • – La trasparencia que se debe ofrecer en la información previa facilitada a los afectados.
  • – La obtención del consentimiento de éstos o, en su caso, el interés legítimo para tratar esos datos.
  • – Los usos no previstos en el momento inicial, y el ejercicio de derechos por parte de los ciudadanos cuya información se está tratando.
El segundo bloque

Examina los aspectos que deben tener en cuenta las entidades que van a utilizar Big Data para garantizar la protección de datos y la privacidad de los ciudadanos, destacando principios como la privacidad desde el diseño o la responsabilidad de las entidades a la hora de establecer mecanismos de garantía y cumplimiento de las obligaciones de protección de datos (accountability).

El documento detalla, la necesidad de hacer evaluaciones de impacto en proyectos de este tipo para minimizar los riesgos o la posibilidad de optar por la anonimización irreversible de los datos. El Código finaliza con una revisión de las medidas tecnológicas imprescindibles en materia de privacidad y seguridad para crear un entorno adecuado de confianza para el desarrollo de tecnologías Big Data.