AEPD Agencia Española de Protección de Datos

Entradas

Google y Facebook sancionadas por no facilitar la gestión del permiso de instalación de Cookies

La agencia reguladora francesa en materia de protección de datos, la CNIL, ha sancionado a Google y Facebook con multas por un total de 210 millones de euros en relación a la manera en la que facilitan la gestión del consentimiento de instalación de cookies a los usuarios de sus servicios.

El consentimiento para el uso de cookies es clave para la normativa de la UE sobre privacidad de datos y una de las principales prioridades de la CNIL.

El organismo de control ha considerado que tanto Google como Facebook dificultan el rechazo de los usuarios a la instalación de ciertas Cookies, dando un plazo de tres meses a dichas empresas para cumplir la normativa o enfrentarse a sanciones de 100.000 euros por cada día de retraso.

La responsable de protección de datos y sanciones de la CNIL, Karin Kiefer, manifiesta que a la hora de aceptar las cookies el usuario simplemente tiene que hacer click en el botón aceptar, siendo un procedimiento realmente sencillo, sin embargo, rechazar las cookies, cuando debiera ser igual de fácil que aceptarlas, no lo es, ya que es preciso ir revisando categoría por categoría de cookies.

En su comunicado, la Comisión Nacional de Informática y Libertades indicó haber comprobado que, si bien los gigantes tecnológicos ofrecían un botón virtual para permitir la aceptación inmediata de las cookies, no había un equivalente para rechazarlas con la misma facilidad.

Google, que ha sido multado con 150 millones de euros, se ha comprometido a trabajar activamente con la CNIL de cara a realizar los cambios pertinentes para simplificar el proceso de denegación de instalación de cookies, poniendo de manifiesto que «la gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos seguros. Entendemos nuestra responsabilidad de proteger esa confianza»

Por su parte Facebook, ahora propiedad de Meta, y sancionada con 60 millones de Euros, dijo estar «revisando» la decisión de multarle con 60 millones de euros. Indicando que :»Nuestros controles de consentimiento de cookies proporcionan a las personas un mayor control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram, donde las personas pueden revisar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles»

Multas anteriores

Las cookies son muy valiosas para Google y Facebook como forma de personalizar la publicidad, siendo su principal fuente de ingresos.

Desde que la UE aprobó el RGPD en 2018, las empresas de internet se enfrentan a normas más estrictas que les obligan a buscar el consentimiento directo de los usuarios antes de instalar cookies en sus ordenadores.

No es la primera vez que Google, propiedad de Alphabet, recibe fuertes multas por incumplir la ley europea, ya fue objeto de la anterior multa récord de la CNIL, de 100 millones de euros, en 2020.

El gigante estadounidense de la venta al por menor, Amazon, también fue multado con 35 millones de euros por infringir las normas.

En 2020, la CNIL reforzó los derechos de consentimiento sobre los rastreadores de publicidad, indicando que los sitios web que operan en Francia deben mantener un registro de la negativa de los usuarios de Internet a aceptar cookies durante al menos seis meses. También señaló que los usuarios de Internet deberían poder reconsiderar fácilmente cualquier acuerdo inicial sobre las cookies a través de un enlace web o un icono que debería ser visible en todas las páginas del sitio web.

La situación en España

La AEPD, organismo controlador en materia de protección de datos en España, en Julio del 2020, actualizó y puso a disposición de empresas, ciudadanos y profesionales, la guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos. Dando un plazo de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento de instalación de cookies.

Un año y medio después, las empresas cuyas webs están adaptadas al RGPD en materia de gestión del consentimiento informado de instalación de cookies, son una minoría.En el caso de páginas propiedad de PYMES y autónomos la práctica totalidad no están adaptadas al RGPD y la LOPD, apreciándose irregularidades tales como, el uso del consentimiento tácito, la redacción de una política de cookies incompleta o la configuración errónea del modelo de capas.

Desde Equal, de cara a evitar sanciones y cumplir con el RGPD, siempre recomendamos asegurarnos de que nuestra web está adaptada a la norma, ofreciendo dentro de nuestros servicios de adaptación a la LOPD, la revisión gratuita del estado de gestión del consentimiento de instalación de cookies.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

La AEPD apercibe a entidad por no tener adecuadas la política de privacidad y de cookies de su web

En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

“Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

«Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
trasfiere de forma segura (encriptada) (…)”.

Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

«Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

La Agencia Comprueba e inicia Procedimiento Sancionador

Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

  • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

  • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

  • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

La Consejería es Apercibida

Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

  • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
    web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
  • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

El fraude de los servicios de adaptación de protección de datos a «coste cero».

Por más que se haya insistido y puesto el foco desde diferentes Órganos de la Administración, además de por las propias empresas y despachos que, como Equal Protección de Datos, han denunciado siempre las malas prácticas en el sector, lo cierto es que son aún muchas las empresas que continúan cayendo en la trampa de contratar supuestos servicios de adaptación o ‘consultoría’ gratis de protección de datos en un paquete con cursos con cargo a los créditos de formación de los trabajadores (Fundae, antes llamada Fundación Tripartita).

La última en denunciarlo ha sido APEP (Asociación Española de la Privacidad) a través de una campaña en la que una página web simula ofrecer esos servicios gratuitos pero luego, al acceder, lo que el usuario encuentra es precisamente información sobre los riesgos de estas malas prácticas.

Riesgos que normalmente desconocen las empresas que, muchas de buena fe y por desconocimiento, aún caen en esta trampa. No olvidemos que estas prácticas constituyen un triple fraude:

– Por un lado, Inspección de Trabajo sanciona con hasta 187.515 euros el mal uso de los fondos de Fundae

-Por otro lado, hacer pasar un servicio como “formación” es una infracción tributaria, pues no se añade el IVA que debería ser preceptivo sumar a la factura de servicios, que se enmascara en esa supuesta formación, que para colmo suele ser un conjunto de documentación recabada de Internet que para nada sirve a los trabajadores de las empresas que la reciben.

– Pero es que, en tercer lugar, también es un fraude para los trabajadores, a quienes la empresa impone una formación sobre protección de datos que no han elegido).

A pesar, como decimos, de las continuas denuncias y avisos de todo tipo que desde hace años se vienen dando- Fundae, antes llamada Fundación Tripartita, la Agencia Tributaria o la propia Agencia Española de Protección de Datos han emitido diferentes Notas informativas (en 2019 la Agencia emitía una nota sobre el ‘coste cero’ y sus peligros (PDF) ), son todavía muchas las empresas que se siguen valiendo de estas prácticas,  y muchas las que se dejan convencer, creyendo que con ello cumplen con la normativa de protección de datos al tiempo que se ahorran el coste de un servicio externo. 

Con la entrada en vigor del RGPD y la posterior LOPDGDD se produjo de nuevo un incremento de este tipo de empresas. Afortunadamente han descendido a la par que iban siendo denunciadas, pero sigue siendo necesario poner de manifiesto la importancia de contratar auténticos profesionales expertos en la materia que ayuden a las empresas a cumplir, poniendo, como hacemos siempre, el foco en la importancia de:

– Aplicar y cumplir los principios del RGPD a cada empresa específica. Ninguna adaptación es igual que otra. 

– La responsabilidad práctica y la implementación de una cultura de protección de datos en el seno de todas las organizaciones.

Ley de trabajo a distancia y protección de datos

Tras la regulación “de urgencia” de octubre del pasado año 2020 ante la proliferación del teletrabajo, provocado en gran medida por la pandemia que aún sufrimos, se hacía necesaria una normativa más precisa que reforzara la regulación de derechos y obligaciones en este ámbito.

Con ese objetivo ha entrado en vigor la nueva Ley 10/2021, de 9 de julio, de trabajo a distancia que regula esta modalidad de prestación laboral que, más que el hecho de trabajar desde el domicilio, como se podía entender hasta no hace mucho, viene a ampliar el concepto para considerar “teletrabajo” a aquella prestación laboral en remoto, pudiendo estar el trabajador en cualquier lugar, siendo el criterio común no dónde está, sino donde no está a la hora de desarrollar su trabajo: esto es, el trabajador que no está en el centro de trabajo de la empresa.

Recordemos, no obstante, que el teletrabajo ya venía regulado, si bien no desarrollado suficientemente, desde luego, en el Estatuto de los Trabajadores o en el Acuerdo Marco Europeo sobre Teletrabajo de 16 de julio de 2002, que lo definió ya en ese año como “forma de organización y/o de realización del trabajo, con el uso de las tecnologías de la información, en el marco de un contrato o de una relación de trabajo, en la que un trabajo, que hubiera podido ser realizado igualmente en los locales del empleador, se efectúa fuera de estos locales de manera regular”.

No es, por tanto, un concepto nuevo, pero sí se ha incrementado, como decimos, de manera exponencial a consecuencia de la pandemia.

Pero al margen de las cuestiones de índole puramente laboral o del favorecimiento que supone para la conciliación de la vida personal y familiar, es innegable que al amparo de esta situación ya normalizada a día de hoy existen una serie de derechos asociados que entroncan de manera clara con la protección de datos. Así, el derecho a la intimidad, el uso de las herramientas y dispositivos digitales puestos a disposición del trabajador por la empresa, la proliferación de brechas de seguridad y la adecuada respuesta ante las mismas (por parte del trabajador y de la empresa) o el derecho a la desconexión digital están vinculadas directamente con esta normativa del teletrabajo, y las empresas deben ser muy cuidadosas en su cumplimiento.

La normativa que en materia de protección de datos aparece vinculada es extensa, pero fundamentalmente se resume en:

  • Artículo 18 Constitución Española: garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen, además de la inviolabilidad del domicilio y el secreto de las comunicaciones.
  • Artículo 8.4 del Estatuto de los Trabajadores: regula la aplicación de la normativa de protección de datos en el tratamiento del contenido de los contratos.
  • Artículo 20 bis del Estatuto de los Trabajadores: regula el derecho de los trabajadores a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, el ya archiconocido RGPD.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, de gran importancia en este ámbito, pues es pionera al ser la primera norma que recogió expresamente los derechos relacionados con el uso de dispositivos digitales en el ámbito laboral y, muy en particular, el derecho a la desconexión digital.

En cuanto a RECOMENDACIONES a tener en cuenta en materia de protección de datos, hay que indicar que la empresa, como Responsable del Tratamiento, adquiere una gran responsabilidad en el respeto a la normativa, pero también los trabajadores adquieren ciertas obligaciones, que vendrán contempladas en los acuerdos de trabajo a distancia en función de sus tareas en la empresa.

Entre las recomendaciones a tener en cuenta vamos a destacar las que la propia Agencia Española de Protección de Datos ha difundido:

A) Para las empresas (Responsables del tratamiento)

– Definir una política de protección de la información para situaciones de movilidad, que se recogerá en el acuerdo de trabajo a distancia con el trabajador.

– Optar por proveedores de servicio con garantías suficientes. Para evitar soluciones de teletrabajo que no ofrezcan garantías y puedan dar lugar a la exposición de datos de su personal.

– Restringir el acceso a la información. Se configurarán los perfiles o niveles de acceso a los recursos y a la información según los roles de cada empleado.

– Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad. 

– Monitorizar los accesos realizados a la red corporativa desde el exterior. Se establecerán sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en acceso remoto y movilidad, y se comunicarán a la autoridad de control y/o a los interesados las brechas de seguridad que afecten a datos personales.

 Gestionar racionalmente la protección de datos y la seguridad. Se establecerán las medidas y garantías en las políticas a partir de un análisis de riesgos que evalúe la proporcionalidad entre los beneficios a obtener del trabajo a distancia y el impacto potencial de ver comprometido el acceso a información de carácter personal.

B) Para los trabajadores que prestan sus servicios laborales a distancia

 Respetar la política de protección de la información en movilidad definida por la empresa

– Proteger el dispositivo utilizado en movilidad y el acceso al mismo. Se evitará la conexión en lugares públicos y redes Wifi abiertas no seguras; se protegerán los mecanismos de autentificación mediante certificados, contraseñas, tokens, sistemas de doble factor, etc.

– Garantizar la protección de la información que se está manejando. Se minimizará la entrada y salida de documentación en soporte papel; se destruirá la documentación desechada; no se dejará a la vista ningún soporte de información en el lugar donde desarrolle el teletrabajo; etc.

 Guardar la información en los espacios de red habilitados. Se evitará almacenar la información generada durante la situación de movilidad en el propio dispositivo utilizado, siendo preferible el uso de recursos de almacenamiento compartido o en la nube proporcionados por la empresa.

– Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato la brecha de seguridad. Se notificarán estas anomalías al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto. Recordemos que, según recoge el RGPD, tan sólo hay un plazo de 72 horas para notificar a la Agencia este tipo de brechas de seguridad que comprometan información con datos de carácter personal.

En todo caso, por su especial relevancia prestamos especial atención a dos cuestiones fundamentales, reguladas en particular en la Protección de datos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD):

  • El derecho a la intimidad y a la protección de datos (artículo 17 Ley 10/2021, de 9 de julio, de trabajo a distancia y 87 LOPDGDD): La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad del trabajador, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
  • La mencionada “desconexión digital” (artículo 18 Ley 10/2021, de 9 de julio, de trabajo a distancia y 88 LOPDGDD) : Se recoge expresamente que el personal en teletrabajo tienen derecho a la desconexión digital fuera de su horario de trabajo. La Ley del Teletrabajo lleva a cabo un desarrollo mayor que la LOPDGDD, ampliando su regulación, estableciendo que es obligación de la empresa, para garantizar esa desconexión digital, la limitación del uso de los medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada y a cualesquiera límites y precauciones en materia de jornada que dispongan la normativa legal o convencional aplicables.

Asimismo, es necesario elaborar, previa audiencia de la representación de las personas trabajadoras, una política interna dirigida a los trabajadores, incluidas los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

Por último, es importante destacar que toda esta nueva regulación que incrementa las obligaciones a tener en cuenta por la empresa no implica que no conserve sus “facultades de organización, dirección y control empresarial en el trabajo a distancia”, lo cual se regula expresamente en los arts. 20 a 22 de la nueva Ley del teletrabajo.

El artículo 20 establece que el personal laboral en modalidad de teletrabajo deberá cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos, previa participación de la representación legal de los trabajadores.

Igualmente, estos trabajadores deberán cumplir las instrucciones sobre seguridad de la información específicamente fijadas por la empresa, previa información a su representación legal, en el ámbito del trabajo a distancia.

El art. 21, sobre condiciones e instrucciones de uso y conservación de equipos o útiles informáticos, remite a la negociación colectiva; y el art. 22 cierra este capítulo, ordenando las facultades de control empresarial:

  • La empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

En definitiva, es necesario analizar e implementar en cada empresa la política en materia de protección de datos, haciéndola compatible y complementando la nueva legislación sobre teletrabajo con pleno respeto al RGPD, LOPDGDD y resto de normativa aplicable.

La AEPD publica una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía presentada hoy es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

EVALÚA_RIESGO RGPD

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.

Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.

Análisis, gestión de riesgos y EIPD

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.

Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.

La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.

la AEPD hace balance

Según el portal digital “Confilegal” se ha celebrado una jornada sobre  Protección de Datos y su órgano regulador, donde se presentó el libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital”, que describe la evolución de la sociedad española en conexión con la historia, hitos y actividad de la Agencia desde sus comienzos en 1993, así como el desarrollo de este derecho fundamental. En el acto estuvieron cinco de los seis directores de la Agencia Española de Protección de Datos (AEPD) en su primer cuarto de siglo.

En el acto inaugural estuvieron Dolores Delgado, ministra de Justicia, y Pío García Escudero, presidente del Senado, que señalaron la importancia de la protección de datos en nuestra sociedad y la necesidad de una nueva regulación nacional para adaptarse al RGPD.

El libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital” repasa de forma cronológica los progresos tecnológicos más significativos de los últimos 25 años y retrata cómo el uso de las herramientas digitales ha transformado la actitud y los hábitos cotidianos de las personas. Asimismo, aborda la no siempre fácil relación entre tecnología y privacidad, y la necesidad de información acerca de los posibles riesgos que implica proporcionar datos de carácter personal.

Uno de los momentos más interesantes tuvo que ver con la intervención de los directores de la AEPD. El primero, Juan José Martin- Casallo, director entre 1993-98, no pudo acudir por encontrase enfermo. Juan Manuel Fernández, director entre 1998 y 2002, José Luis Piñar, al frente de 2002 a 2007, Artemi Rallo, durante los años 2007-2011 y José Luis Rodríguez, en el periodo de 2011-2015. Por último, Mar España, actual dirigente.

Todos ellos destacaron la calidad de su equipo de profesionales, escaso, para las obligaciones que tienen que asumir, así como la necesidad de trabajar con la sociedad para crear en nuestro país una cultura de privacidad aún sin consolidar.

Para Mar España el puesto de director de la AEPD ha sido uno de los más dinámicos que ha ejercido a lo largo de su carrera profesional. Reconoce que parte de su labor en los dos últimos años ha sido el de tender puentes con el sector privado, especialmente para que los empresarios pierdan el miedo a la Agencia.

La actual responsable del regulador español en materia de privacidad mostró su satisfacción por el Plan Estratégico 2015-19 que ha puesto en marcha, “prácticamente a coste cero con la ayuda del equipo de profesionales de la Agencia”. Un plan donde el apoyo y el trabajo de difusión del RGPD que entró en vigor el pasado 25 de mayo ha sido importante. Desde la AEPD se han editado todo tipo de guías didácticas para que el empresario entienda el nuevo concepto de privacidad que llega.

Al mismo tiempo, España es consciente de los retos que se plantean a corto y medio plazo. La adaptación al RGPD por parte de las aprobada en el Senado, ayudará a conocer diferentes conceptos que el propio Reglamento dejaba algo difusos. El propio Grupo del Artículo 29, formado por los reguladores europeos, ahora se transforma en el Comité Técnico Europeo con informes vinculantes.

Precisamente otro reto que plantea esta experta en privacidad es que los diferentes reguladores existentes en la UE trabajen de la misma forma y tengan el mismo régimen sancionador en cuestiones parecidas. También habrá que ver cómo colaboran a nivel transfronterizo cuando el asunto implique a entidades o ciudadanos de varios países.

La nueva LOPD le otorgará categoría de Secretaria de Estado frente a la actual Subdirección General de la que depende. Pese a la asunción de nuevas competencias, para este año el presupuesto de la Agencia se ha incrementado en un 0,85 % respecto al año pasado y su plantilla un 14% desde el 2015, “datos insuficientes para afrontar tanta carga de trabajo”.

En estos meses, tras la entrada en vigor del RGPD, las consultas a la AEPD se han multiplicado, al igual que denuncias e incidencias. Sobre brechas de seguridad, se han recibido alrededor de 300, de las cuales 11 están estudiándose por la inspección. “Las tres sanciones a Facebook que la AEPD interpuso en los últimos años han sido las más cuantiosas de la historia de la entidad” aclaró.

Sesión anual abierta de la Agencia Española de Protección de Datos sobre aplicación del Reglamento General de Protección de Datos

Décima Sesión anual abierta de la Agencia Española de Protección de Datos sobre aplicación del Reglamento General de Protección de Datos (RGPD)

Según informa el diario económico “Cinco Días”, el pasado mes de junio se celebró la Décima Sesión anual abierta de la Agencia Española de Protección de Datos (AEPD), y como contenido principal, como no podía ser de otra manera, tenía la aplicación del Reglamento General de Protección de Datos (RGPD).

Dentro de los eventos, doña Mar España, directora de la AEPD ha insistido en que es imposible legal y técnicamente plantear un periodo transitorio para adoptar la nueva privacidad, ya que el propio RGPD dio un plazo de dos años para su aplicación.

La presidenta de la Agencia ha aclarado que el RGPD no es solo una norma sancionadora, sino que promueve la resolución amistosa y extrajudicial de los conflictos. Incidiendo que la misma flexibilidad que da el Reglamento para adaptarse a la nueva protección de datos también se aplica a las autoridades de control en su potestad sancionadora. Y es que el abanico de sanciones ante infracciones del RGPD va desde advertencias y apercibimientos hasta multas de 20 millones de euros o el 4% de la facturación global.

También, participó don Pedro Colmenares Soto, subdirector general de Inspección de Datos que ha destacado el componente pedagógico respecto a los ciudadanos, respecto al valor de nuestros datos. Asimismo, remarcó que los ciudadanos debemos hacernos fuertes en la defensa de nuestros derechos.

EL RGPD impone un cambio de mentalidad para las administraciones públicas y las empresas basado en el principio de responsabilidad activa. Una de las manifestaciones de este fundamento de la nueva privacidad es el registro de actividades de tratamiento, que como indica Manuel Villaseca López, jefe de área y DPD de la AEPD, no tiene un criterio único para elaborarlo, los responsables pueden elaborarlo como crean que es correcto.

Otras consecuencias de la responsabilidad proactiva son el análisis de riesgos, las evaluaciones de impacto y las brechas de seguridad.

También la figura del delegado de protección de datos (DPD) tiene que ver con la responsabilidad proactiva de las entidades, se trata de un elemento clave en el cumplimiento del RGPD, aunque no es nuevo, ya existía antes pero no era obligatorio.

Hasta ahora la AEPD haya recibido 8.000 notificaciones de delegados de protección de datos, lo que parece insuficiente. Es más, desde la Agencia a pesar de que no todas las entidades tienen obligación de contar con un DPD, se está impulsando que los responsables de datos pueden contratar con carácter voluntario e incluso a tiempo parcial y de forma externa un delegado de protección de datos solo para adaptarse al Reglamento. Para ello, la AEPD está trabajando con la CEOE para que proporcione estos profesionales a las empresas adheridas y que los consejos y colegios profesionales también lo hagan con quien no esté obligado a tenerlo.

En este sentido, la directora de la Agencia también ha anunciado que las universidades podrán solicitar a la AEPD la certificación de sus posgrados y másteres en protección de datos cuando cumplan con los requisitos del Esquema de Certificación de DPD.

Por último, Mar España ha reiterado su crítica a algunas consultoras que están ofreciendo servicios de asesoramiento en protección de datos a las empresas y autónomos cuando en realidad sólo crean una apariencia de cumplimiento de protección de datos que no es real. En este aspecto se ha mostrado firme y ha dicho que desde la AEPD se perseguirán estas prácticas ilícitas cuando se tenga conocimiento de ellas.

La AEPD inspeccionará los sectores de la salud, financiero y telecomunicaciones

Cuando ya es obligatoria la aplicación del Reglamento General de Protección de Datos (RGPD), todo el mundo se pregunta por cómo será la actitud de la Agencia Española de protección de datos (AEPD).

La directora de la Agencia, Mar España, dijo que habría moratoria a este respecto, por lo que todas las organizaciones deberán cumplir con el Reglamento y estar en condiciones de demostrarlo.

Mar España añadió un dato: los planes de inspección de la Agencia van a focalizarse en tres sectores concretos que la AEPD inspeccionará: la salud, las instituciones financieras y las empresas de telecomunicaciones.

La intención es clara, concentrar sus recursos en aquellos sectores cuya actividad tiene un mayor impacto en la privacidad de los ciudadanos, entre los que claramente parecen incluirse los tres indicados.

El RGPD introduce una importante ampliación de las competencias de las autoridades de control de protección de datos nacionales, como es la Agencia Española, y esto implica que las organizaciones deberán estar en condiciones de suministrar un amplio conjunto de información en supuestos de inspección.

A diferencia de la legislación anterior, que exigía tener implantada una serie tasada de medidas en función de riesgo leve, medio o alto para los derechos de los interesados que se hubiera identificado, el RGPD permite que cada empresa implante aquellas medidas necesarias para garantizar un nivel de garantía adecuado en función de los tratamientos que realice, del nivel de riesgo identificado y en proporción a su los mismos.

Las organizaciones deben considerar este momento más como una buena oportunidad de poner al día sus sistemas de tratamientos de los datos de sus usuarios, para asegurar su adaptación a las exigencias de la nueva norma.

La principal dificultad viene de la necesidad de combinar el principio de responsabilidad proactiva de los responsables y encargados del tratamiento con el ejercicio de la libertad organizativa que la norma concede en un entorno tan variable, como el empresarial o el institucional.

El régimen sancionador es muy estricto para el caso de infringirse su normativa, y aunque la Agencia está desarrollando una actividad divulgativa y de concienciación muy intensa, ello no va a evitar la atribución de responsabilidades a las entidades incumplidoras.

La figura del delegado de protección de datos (DPO), incluso en aquellos casos en los que no sea legalmente preceptivo y aunque no sea a jornada completa, puede aportar valiosas orientaciones sobre las obligaciones a cumplir y el modo de hacerlo.

El desarrollo de la tecnología está asociado al respeto a los derechos de las personas, que son los titulares de los datos.

Y en este sentido ejemplos recientes han puesto de manifiesto que un uso malicioso y sin consentimiento de esos datos pueden utilizarse incluso para intentar socavar los principios mismos de una sociedad democrática, al tratar de influir en la opinión pública.

La directora de la AEPD remarcó la necesidad de la concienciación de los ciudadanos de no dejar accesibles sus datos personales, al igual que cuando salen de casa cierran la puerta de la calle.

No se puede agregar a alguien a grupo de whatsapp sin consentimiento

No se puede agregar a alguien a grupo de whatsapp sin consentimiento

Según informa la página de noticias de “Cuatro”, un Ayuntamiento de un pueblo de Valladolid  ha sido sancionado por incluir a uno de los vecinos del pueblo en un multitudinario grupo de Whatsapp sin su consentimiento. Finalmente, y gracias a la rápida rectificación del concejal, la Agencia de Protección de Datos (AEPD) ha anulado la multa económica por el hecho.

La Agencia Española de Protección de Datos (AEPD) ha explicado mediante un comunicado que introducir números en un grupo de Whatsapp sin el consentimiento expreso de los propietarios no es legal ya que vulnera el derecho a la privacidad.

El caso comienza cuando un concejal de Boecillo, en Valladolid, incluyó a 255 de sus vecinos en un grupo deWhatsapp, y uno de ellos, denunció que le habían metido en dicho grupo sin su consentimiento.

La AEPD pidió información detalle al Ayuntamiento sobre el consentimiento de los miembros del grupo y sólo pudo justificar la aprobación de 37 personas. El concejal recogió números de teléfono personales, incluyendo el del denunciante, que apareció en la agenda municipal por una llamada previa.

La AEPD ha decidido aclarar mediante un comunicado la situación y dictaminar que  la acción del concejal no se podía realizar, ya que la comunicación de datos y circulares electrónicas debe hacerse siempre de forma individual, y solo en común cuando sea expresamente solicitado por cada uno de los integrantes.

Finalmente, no se impondrá multa al investigado ya que el organismo ha considerado que el concejal eliminó el grupo de forma inmediata cuando los integrantes comenzaron a reclamar su privacidad.

Se ha añadido una nueva funcionalidad en la inscripción de ficheros según nota de prensa de la Agencia Española de Protección de Datos..

Nueva funcionalidad en la inscripción de ficheros

Según nota de prensa de la Agencia Española de Protección de Datos, se ha añadido una nueva funcionalidad al servicio de solicitud de copia en la inscripción de ficheros.nueva opción permite a los responsables descargar en formato digital un contenido que puede ser utilizado como base para elaborar el REGISTRO DE ACTIVIDADES de tratamiento que será obligatorio cuando sea aplicable el RGPD.

La nota, de fecha del 21 de noviembre, informa que la AEPD ha habilitado una nueva funcionalidad en su Sede electrónica que permite a los responsables descargar en formato Excel o XML el contenido completo de la inscripción de sus ficheros realizada ante el Registro General de Protección de Datos.

La Agencia facilita de este modo, un contenido que puede ser utilizado como base para elaborar el registro de actividades de tratamiento que será obligatorio a partir de la aplicación del Reglamento General de Protección de Datos (RGPD).nueva

El Proyecto de Ley Orgánica de Protección de Datos, aprobado por el Consejo de Ministros el pasado 10 de noviembre, recoge que en el caso de las Administraciones Públicas, además de indicar la base legal que legitima el tratamiento y el delegado de protección de datos, deberán hacer público el inventario de sus actividades de tratamiento, siendo accesible por medios electrónicos, tal y como establece el artículo 31 del citado proyecto que es la adaptación a la legislación europea.

La nueva ley de Protección de Datos, que como ya hemos informado, será aplicable a partir del 25 de mayo de 2018, elimina la obligación del responsable que trata datos de carácter personal de notificar los ficheros ante la AEPD para su inscripción en el Registro General de Protección de Datos.

Pero establece que cada responsable llevará un registro de las actividades de tratamiento efectuadas.

En ese registro de actividades el responsable, además de incluir, en su caso, los datos de contacto del delegado de protección de datos, debe describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplica para preservar su seguridad, y cuándo podrá suprimirlos.

En el caso de entidades que no realicen sólo tratamientos de escaso riesgo, obtener la copia de la inscripción de ficheros realizada ante la Agencia puede ser de utilidad como base para la realización del registro de actividades.

 

La AEPD presenta los resultados de la inspección a los hospitales públicos

La AEPD presenta los resultados de la inspección a los hospitales públicos

La Agencia Española de Protección de Datos (AEPD) ha publicado el pasado mes de septiembre un Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos.

Los planes de oficio de la AEPD, se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal.

El informe ofrece un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los requerimientos que impone el nuevo Reglamento General.

Los datos de salud se encuentran en el Reglamento catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.

Tendencias favorables en la normativa de protección de datos.

Entre las principales conclusiones del informe hay que mencionar una tendencia favorable a la asunción progresiva de la normativa y de los principios y la cultura de protección de datos
La evaluación publicada consiste en unas recomendaciones que son aplicables a todo tipo de centros sanitarios. En este sentido, hay que destacar que los datos de salud se encuentran incluidos en el Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, entre los catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.

El informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010, en concreto, en las medidas de seguridad implementadas.
Se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico, hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación.

Entre las principales conclusiones del análisis se ha constatado, en líneas generales, una tendencia favorable a la progresiva asunción no sólo de la normativa sino de los principios y la cultura de protección de datos.

Mejoría en el tratamiento de datos.

El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales, lo que supone una mejoría en comparación con las situaciones anteriores.

Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes o el refuerzo de las medidas de seguridad. Como ejemplo, respecto al consentimiento, la Agencia recoge en el informe que es necesario recabarlo para saber si el paciente desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si este no se opone, el hospital puede informar de si se encuentra en urgencias o ingresado y el número de habitación, sin indicar datos de salud o la atención médica prestada.

La publicación de este Plan de inspección está acompañada de un decálogo básico que recoge los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros, con el objetivo final de elevar el nivel de cumplimiento y generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial como en el de la investigación.

La AEPD presenta nuevos recursos de ayuda

La AEPD presenta nuevos recursos de ayuda

La AEPD presenta nuevos recursos de ayuda orientados a centros docentes y familias para fomentar la privacidad y la protección de datos, consiste en una guía de Protección de datos en centros educativos, una serie de vídeos titulados: “Tú controlas en internet” y un taller para familias: “Los menores y su cibermundo”.

 

Los nuevos contenidos se enmarcan en las actuaciones previstas en el Plan Estratégico 2015-2019 de la Agencia y se han presentado en colaboración con el Ministerio de Educación, Cultura y Deporte en virtud del convenio suscrito por ambas entidades para impulsar la formación de los menores en materia de privacidad y protección de datos, en especial en internet.

 

La guía: “Protección de datos para centros educativos”, ofrece respuesta directa a las dudas más frecuentes planteadas por la comunidad educativa. Surgida de la necesidad de dar respuesta a las dudas más habituales que se plantean ante el Canal Joven de la Agencia tanto de los centros docentes como de profesores, AMPAs o las propias familias, y sumando además las aportaciones de la comunidad educativa.

 

Guía practica de protección de datos

 

El resultado es una guía práctica que, además de los conceptos y principios básicos sobre protección de datos, incluye la respuesta directa a más de 80 preguntas, muchas de ellas relacionadas con la expansión de las nuevas tecnologías, como por ejemplo: ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos de los alumnos?, ¿pueden los profesores crear grupos con alumnos utilizando aplicaciones de mensajería instantánea?, o ¿pueden publicarse en la web del centro fotografías o vídeos de los alumnos?

 

La guía incluye además un Decálogo simplificado con los aspectos más relevantes para realizar un uso adecuado de los datos personales en los centros educativos así como una sección específica de los cambios que producirá la aplicación del nuevo Reglamento General de Protección de Datos el 25 de mayo de 2018.

 

Los vídeos “Tú controlas internet” están orientados a concienciar a los menores sobre algunas situaciones de riesgo. Son cuatro vídeos que pueden ser visionados tanto en el aula como en familia y que abordan situaciones como el ciber-acoso (llamado “En este partido nos la jugamos”), el grooming (“Planazo de fin de semana”), el sexting (“Un vídeo muy especial”) o la dependencia tecnológica (“Un crack del BMX”).

 

La Agencia considera que la distribución de estos materiales a través de las aulas es imprescindible para llegar a los más de 8 millones de alumnos escolarizados, por lo que solicita la colaboración de todos los actores implicados en la educación de los menores para que contribuyan a prevenir y concienciar de estos peligros.

 

Vídeos como herramienta de la educación digital

 

La finalidad de estos vídeos es que sean utilizados como herramienta para fomentar la educación digital de los menores, contribuyendo a evitar que puedan verse involucrados en situaciones de riesgo que, en ocasiones, producen un daño difícil de reparar debido al efecto multiplicador de redes sociales o mensajería instantánea. La AEPD se ha decantado por utilizar en estos vídeos la técnica visual thinking considerando el dibujo como una herramienta útil para captar la atención y facilitar la comprensión de estos conceptos en grupos de diferentes edades.

 

El taller para familias: “Los menores y su cibermundo” son consejos sobre cómo acompañar a los hijos en su utilización de las nuevas tecnologías.

 

El tercer proyecto que ha presentado la Agencia es el taller para familias “Los menores y su cibermundo”, conducido por el experto Ángel-Pablo Avilés, autor de El blog de Angelucho. El taller, que incluye orientaciones y pautas, está compuesto por nueve vídeos de entre dos y diez minutos de duración en los que se abordan temas de interés para los padres a la hora acompañar a sus hijos en su relación con las nuevas tecnologías. El funcionamiento de las aplicaciones más utilizadas por los jóvenes y los riesgos más comunes asociadas a las mismas son algunos de los contenidos tratados.

 

Según datos del CIS, un 36,6% considera que el riesgo más habitual al que se exponen los menores es la difusión de fotos o vídeos comprometidos, seguido de dar a conocer demasiada información sobre ellos mismos a gente que no conoce (24,3%).