La AEPD ha sancionado con 30.000 Euros de multa a un establecimiento hotelero, por infracción, calificada como muy grave, del Artículo 6 del RGPD, en relación a la licitud del tratamiento de datos personales a la hora de hacer el registro de entrada.

El reclamante, un ciudadano de Paises Bajos, inició el proceso de reclamación ante la autoridad de control de su país, dando esta traslado de la reclamación a la autoridad competente, la AEPD, al encontrarse el establecimiento hotelero en España.

En su reclamación el reclamante indica que en el proceso de entrada y registro en el hotel le fue solicitado el pasaporte, siendo este escaneado digitalmente y en su totalidad pese a su oposición, alegando que no todos los datos incluidos en el mismo son necesarios. El personal del hotel le respondió señalando que ellos simplemente seguían las instrucciones de la policía en relación al registro de clientes.

En relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntó si realmente la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro.

¿Cuál ha sido el motivo de sanción?

El hotel, en el proceso de registro de entrada del cliente, escaneaba mediante un programa de reconocimiento óptico de caracteres el documento identificativo del cliente, incorporándose los datos que constan en el mismo de manera automatizada a un fichero interno de registro, datos como número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, la fecha y país de nacimiento, así como la fotografía.

Dichos datos, en cumplimiento de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos fueron remitidos a las Fuerzas y Cuerpos de Seguridad del Estado, así como utilizados para la “gestión hotelera».

Dentro de ese proceso de gestión hotelera dichos datos eran transferidos a los departamentos de administración y servicios de comida y bebida, de tal forma que al cliente se le dotaba de una tarjeta para que pudiese cargar de manera automatizada sus consumos en el hotel, contando el personal de servicios del hotel con dispositivos electrónicos, tablets, donde podían comprobar, al constar en los mismos fotografía del cliente, que no se daba uso fraudulento a dicha tarjeta de consumo interno.

Pues bien, la información en materia de protección de datos personales que la entidad reclamada facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que erandesconocidas por los interesados. De hecho, ni siquiera el tratamiento de datos a que es sometida la fotografía figura en el Registro de Actividades de Tratamiento.

Por otro lado, en la fase de pruebas del procedimiento, el instructor requirió expresamente a la entidad reclamada copia de su política de privacidad, en todas sus versiones vigentes a partir del 25/05/2018 y de cualquier aviso de privacidad o informaciones adicionales, además de un detalle sobre los canales habilitados para dar a conocer esta información, y dicha entidad no aportó el documento informativo que ahora aporta con sus alegaciones a la propuesta de resolución.

Para finalizar, siendo este el motivo principal de la cuantiosa sanción, la AEPD considera que no existe un tratamiento de datos lícito, al no existir un interés legitimo, no existiendo base jurídica que lo sustente.

Si bien el hotel alega que, para evitar el uso fraudulento de la tarjeta, sus empleados contaban con la fotografía del cliente de cara a comprobar su identidad, la agencia indica la necesidad de llevar a cabo una meticulosa ponderación de derechos de cara a valorar si los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.

Según la autoridad de control, el reclamado no ha justificado este interés legítimo de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos del interesado, necesaria para determinar la licitud de los tratamientos llevados a cabo. En este caso, además, no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora.

Al faltar la información relativa a la prueba de ponderación, el interesado se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento sin tener en cuenta su consentimiento.

En el supuesto denunciado no existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes que ampare los tratamientos de datos personales que el reclamado lleva a cabo con la fotografía de dichos clientes. Esta entidad ni siquiera informa sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento.

Como se puede ver, la protección de datos es un complejo proceso que requiere de personal altamente especializado para poder cumplir con todas las obligaciones que supone, déjate asesorar por expertos!!

PROTECCIÓN DE DATOS HOTELES | EQUAL |

    Su nombre (requerido)

    Su e-mail (requerido)

    Teléfono de contacto. y disponibilidad

    Su mensaje

    He leido y acepto la Política de Privacidad

    Por favor, prueba que eres un humano seleccionando el camión.

    La Agencia Española de Protección de datos ha sancionado con 3000 Euros a una empresa debido al envío de publicidad por correo electrónico sin contar con el consentimiento del destinatario de la publicidad.

    En el procedimiento sancionador PS/00434/2021, el reclamante inicia el proceso contactando con la autoridad de control, indicando estar recibiendo comunicaciones comerciales no solicitadas procedentes de la empresa reclamada a través de su dirección de e-mail, a pesar de haber hecho uso del enlace contenido en los mismos para cancelar la suscripción y respondido a uno de los mensajes solicitando la detención de los envíos.

    La agencia traslado la reclamación a la parte reclamada sin recibir respuesta, por lo que se admitió a trámite dicha reclamación, iniciándose finalmente procedimiento sancionador por presunto incumplimiento del artículo 21.1 de la LSSI.

    ¿Qué nos dice el artículo 21.1 de la LSSI?


    1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que
    previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas

    2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

    Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de
    correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha
    dirección.

    Por otra parte, el artículo 22.1 de la LSSI establece que:

    1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de
    su voluntad al remitente.

    A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que
    hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una
    dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no
    incluyan dicha dirección.

    La AEPD multa debido al envío de comunicaciones comerciales no deseadas

    La Agencia, tras valorar la documentación aportada por el reclamante, considera que ha sido vulnerada la Ley en materia de protección de datos, calificándose la infracción como leve, pudiendo ser sancionada con multa de hasta 30.000 Euros.

    Teniendo en cuenta los artículos 39bis y 40 de la LSSI en relación a la moderación de las sanciones y la graduación de la cuantía de las sanciones respectivamente, la autoridad de control decide sancionar con 3000 Euros a la empresa reclamada, poniendo de manifiesto las siguientes circunstancias agravantes :

    a) La existencia de intencionalidad, debido a la falta de diligencia como integrante del elemento subjetivo de la culpabilidad, al ser enviados tres e-mails
    comerciales sin consentimiento del reclamante y a pesar de que este se dirigió a la empresa solicitando que no se detuvieran dichos envíos y recordándole que el
    tratamiento de sus datos debía contar con su consentimiento.

    b) Plazo de tiempo durante el que se haya venido cometiendo la infracción, puesto que la entidad se ha reiterado en la conducta, continuando en el envío de las
    citadas comunicaciones entre el 07/01/2021 y 16/04/2021 a pesar de la solicitud manifestada anteriormente.

    Como vemos es realmente sencillo poder ser sancionado por no cumplir con la Ley en materia de protección de datos, haciéndose fundamental contar con un servicio que permita que nuestra empresa este totalmente adaptada al RGPD, la LOPD y a la ya mencionada LSSI.

    Equal, Abogados protección de datos en Madrid.

    La Agencia Española de Protección de datos ha multado Amazon Road Transport Spain, S.L. (“Amazon Road”) con dos millones de Euros al no cumplir el principio de licitud del tratamiento al tratar datos personales relacionados con antecedentes penales.

    Amazon Road es parte del grupo Amazon, encargándose de proporcionar distintos servicios de distribución a dicho grupo.

    La Unión General de Trabajadores fue la encargada de presentar reclamación ante la AEPD, indicando que Amazon Road estaba solicitando certificado de ausencia de antecedentes penales a candidatos a distintos puestos de trabajo.

    ¿Supone el solicitar certificado de carencia de antecedentes penales un tratamiento de datos de naturaleza penal regulado por el Reglamento General de Protección de Datos?

    La empresa reclamada alegó ante la AEPD lo siguiente : “un certificado de antecedentes penales que ponga de manifiesto que una persona concreta carece de condenas penales no recoge de manera estricta ningún dato relacionado con condenas e infracciones penales”.

    Sin embargo la AEPD no está de acuerdo con este argumento al considerar que la información contenida en un certificado de existencia de antecedentes penales o de no existencia de los mismos, así como su solicitud, supone un tratamiento de datos. La información que se está tratando es un dato relativo a condenas penales, estando vinculado con una persona física concreta.

    La AEPD multa a Amazon

    La AEPD multa a Amazon Road con una sanción de dos millones de Euros por no cumplir con el RGPD, estando en el mismo regulado el tratamiento de los datos personales de naturaleza penal.

    Dicho tratamiento de datos de naturaleza penal sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas” (art. 10 del RGPD) o “solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” (art. 10 de la LOPDGDD). Por ello la AEPD, indicando la no existencia dentro de del derecho de una norma que permita llevar a cabo el tratamiento de datos de antecedentes penales pretendido, concluye que «no cabe, en este caso, acudir a otras bases jurídicas para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales”.

    Adapta tu empresa o entidad a la LOPD, abogados expertos.

    El segundo martes de cada Febrero se celebra el Día de la Internet segura, siendo el lema de está edición «juntos por una internet mejor». Se trata de un evento internacional   promovido por la red INSAFE/INHOPE, contando con el apoyo de la Comisión Europea, celebrado con el fin de concienciar acerca de la necesidad de dar un uso responsable, respetuoso y seguro de la tecnología, siendo fundamental la toma de conciencia de los riesgos que supone navegar por la red para niños y adolescentes.

    En España, el Instituto Nacional de Ciberseguridad (INCIBE), celebra el #DíaDeInternetSegura con distintos eventos y talleres, centrados en la identificación de amenazas y riesgos a la hora de navegar, haciendo especial hincapié en el enorme riesgo que suponen las redes sociales para los menores. Puedes ver la agenda aquí.

    Desde Equal, al estar íntimamente relacionada la navegación segura con la protección de datos, nos gustaría compartir un decálogo de buenas prácticas a la hora de usar Internet tanto en nuestra vida personal como profesional :

    1. No responda ni haga clic a correos electrónicos de remitentes que no conoce.

    2. Las contraseñas de sus dispositivos han de ser cambiadas de forma regular, evitando usar la misma en diversas cuentas o dispositivos.

    3. Use contraseñas complejas, con un mínimo de 8 caracteres, conteniendo mayúsculas, minúsculas, números y caracteres especiales.

    4. No deje sus redes sociales abiertas en equipos a los que pueda acceder otra persona en su ausencia.

    5. A la hora de publicar contenido en redes sociales es fundamental configurar las opciones de privacidad de nuestras cuentas.

    6. No compartamos todo lo que recibamos, es preciso analizar y verificar la veracidad de la información antes de difundirla.

    7. No acepte en redes sociales a personas que no conoce.

    8. Publicar todo lo que hacemos, lugares a los que vamos, es algo a evitar, dicha información puede ser usada por delincuentes.

    9. Evite intercambiar material audiovisual íntimo a través de Internet. suponen un riesgo, dichos contenidos posibilitan poder recibir ciberacoso o grooming.

    10. Máxima precaución a la hora de tener encuentros con personas que haya conocido en entornos digitales, siempre existe la posibilidad de que sea un perfil falso.

    Hablando de riesgos, ¿acaso no es arriesgado no tener adaptada tu empresa o entidad a la LOPD?, las sanciones que impone la AEPD son cuantiosas, por no hablar de la mala imagen que percibirán sus clientes.

    Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

    En 2006, el Comité de Ministros del Consejo de Europa decidió poner en marcha el Día de la Protección de Datos, que se celebra cada año el 28 de enero.

    El Día de la Protección de Datos se celebra a nivel mundial y se llama el «Día de la Privacidad» fuera de Europa. El 28 de enero de 2022 se celebró la 16ª edición del Día de la Protección de Datos, su objetivo es concienciar sobre el derecho a la protección de datos. El Consejo de Europa, iniciador de esta importante celebración, sigue desempeñando un papel de liderazgo fomentando y dando a conocer las iniciativas que se llevan a cabo en esta ocasión.

    Este día marca el aniversario de la firma del Convenio 108, el Convenio mundial de protección de datos. Durante más de 40 años, el Convenio 108 ha influido y dado forma a la protección de la privacidad y la protección de datos en Europa y más allá. Su versión modernizada (conocida como Convención 108+) seguirá haciéndolo.

    El objetivo principal de este día es educar al público sobre los desafíos de la protección de datos e informar a las personas sobre sus derechos y cómo ejercerlos. En esta perspectiva, el Premio Stefano Rodotà, instituido por el Comité del Convenio 108, premia proyectos de investigación académicos innovadores y originales en el campo de la protección de datos.

    Desde Equal Protección de Datos queremos difundir e informar de la importancia que tiene en materia de protección de datos el conocimiento por parte de toda la ciudadanía de los derechos en relación a la protección de datos personales :

    Derechos de Acceso, rectificación y supresión

    El derecho de acceso está regulado en el artículo 15 de la LOPD y en los artículos 27 al 30 del Real Decreto 1720/2007. Este derecho permite al interesado obtener información sobre sus datos de carácter personal que trata un responsable del fichero, sobre su origen y sobre las comunicaciones de los mismos. El plazo de contestación es de 1 mes, y este puede ser denegado en caso de que se haya ejercido en los 12 meses anteriores, cuando lo prevea la ley o cuando sea solicitado por una persona distinta del afectado.

    El derecho de rectificación está regulado en el artículo 16 de la LOPD y en los artículos 31 al 33 del Real Decreto 1720/2007. Este es el derecho del afectado a que se modifiquen los datos que resulten inexactos o incompletos. El plazo de contestación es de 10 días y cabe destacar que si los datos hubieran sido cedidos previamente, el responsable ha de comunicar la rectificación al cesionario en el plazo de 10 días.

    El derecho de supresión es muy parecido al de rectificación, tal es así que se encuentra regulado en los mismos artículos que el anterior. Este es el derecho que tiene el afectado a solicitar la supresión de los datos que resulten inadecuados o excesivos.

    Podrás ejercitar este derecho ante la persona responsable solicitando la supresión de tus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:

    • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
    • Si se retira el consentimiento prestado a la persona responsable.
    • Si te has opuesto al tratamiento de tus datos personales siempre que se den las siguientes situaciones
      • El tratamiento se basaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos
      • A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles.
    • Si tus datos personales han sido tratados ilícitamente
    • Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique a la persona responsable del tratamiento
    • Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información).

    Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que la persona responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

    No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

    Derechos de oposición, de limitación al tratamiento y de portabilidad

    El derecho de oposición se encuentra regulado en los artículos 35 y 36 del Real Decreto 1720/2007 y consiste en la facultad que posee el titular de los datos para dirigirse al responsable del fichero y requerirle para que deje de tratar sus datos de carácter personal en los siguientes supuestos: cuando se están tratando sus datos personales sin su consentimiento; cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad o prospección comercial, y cuando el tratamiento tenga por finalidad la adopción de una decisión basada únicamente en un tratamiento automatizado de sus datos. El plazo de contestación es de 10 días y decir que el responsable del fichero deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho a oposición.

    El derecho de limitación al tratamiento, consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:

    Puedes solicitar la suspensión del tratamiento de tus datos:

    • Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación
    • Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos

    Solicitar al responsable la conservación tus datos:

    • Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso
    • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones

    El derecho a la portabilidad se crea de cara a reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

    No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

    Derecho a no ser objeto de decisiones individuales automatizadas

    El derecho a no ser objeto de decisiones individuales automatizadas pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.

    Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo,  situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.

    No obstante, este derecho no será aplicable cuando:

    • Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable
    • El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente

    No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.

    • Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.

    A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.

    Derecho de información

    Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.

    Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que:

    • Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales.
    • Y, por otra parte, se te remita el resto de las información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo.

    La información a facilitar por capas o niveles sería la siguiente:

    1.ª Capa: Información básica (resumida)

    • La identidad del responsable del tratamiento
    • Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese
    • La base jurídica del tratamiento
    • Previsión o no de cesiones. Previsión o no de transferencias a terceros países
    • Referencia al ejercicio de derechos

     2.ªCapa:  Información adicional (detallada)

    • Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
    • Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
    • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
    • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
    • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.

    Datos no obtenidos directamente de ti

    En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente:

    En la información básica (1ª capa, resumida):

    • la fuente (procedencia) de los datos

    Y en la información adicional (2ª capa, detallada):

    • la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
    • la categoría de datos que se traten

    Esta información se te facilitará dentro de un plazo razonable, a más tardar en un mes, salvo que:

    • Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado
    • Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez

    Desde Equal Protección de datos nos encargamos de que tu empresa o entidad cumpla con El RGPD y la LOPD, llevando a cabo una adaptación total de tu negocio en materia de protección de datos. Somos Abogados expertos, déjate asesorar y evita sanciones.

    Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

    La agencia reguladora francesa en materia de protección de datos, la CNIL, ha sancionado a Google y Facebook con multas por un total de 210 millones de euros en relación a la manera en la que facilitan la gestión del consentimiento de instalación de cookies a los usuarios de sus servicios.

    El consentimiento para el uso de cookies es clave para la normativa de la UE sobre privacidad de datos y una de las principales prioridades de la CNIL.

    El organismo de control ha considerado que tanto Google como Facebook dificultan el rechazo de los usuarios a la instalación de ciertas Cookies, dando un plazo de tres meses a dichas empresas para cumplir la normativa o enfrentarse a sanciones de 100.000 euros por cada día de retraso.

    La responsable de protección de datos y sanciones de la CNIL, Karin Kiefer, manifiesta que a la hora de aceptar las cookies el usuario simplemente tiene que hacer click en el botón aceptar, siendo un procedimiento realmente sencillo, sin embargo, rechazar las cookies, cuando debiera ser igual de fácil que aceptarlas, no lo es, ya que es preciso ir revisando categoría por categoría de cookies.

    En su comunicado, la Comisión Nacional de Informática y Libertades indicó haber comprobado que, si bien los gigantes tecnológicos ofrecían un botón virtual para permitir la aceptación inmediata de las cookies, no había un equivalente para rechazarlas con la misma facilidad.

    Google, que ha sido multado con 150 millones de euros, se ha comprometido a trabajar activamente con la CNIL de cara a realizar los cambios pertinentes para simplificar el proceso de denegación de instalación de cookies, poniendo de manifiesto que «la gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos seguros. Entendemos nuestra responsabilidad de proteger esa confianza»

    Por su parte Facebook, ahora propiedad de Meta, y sancionada con 60 millones de Euros, dijo estar «revisando» la decisión de multarle con 60 millones de euros. Indicando que :»Nuestros controles de consentimiento de cookies proporcionan a las personas un mayor control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram, donde las personas pueden revisar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles»

    Multas anteriores

    Las cookies son muy valiosas para Google y Facebook como forma de personalizar la publicidad, siendo su principal fuente de ingresos.

    Desde que la UE aprobó el RGPD en 2018, las empresas de internet se enfrentan a normas más estrictas que les obligan a buscar el consentimiento directo de los usuarios antes de instalar cookies en sus ordenadores.

    No es la primera vez que Google, propiedad de Alphabet, recibe fuertes multas por incumplir la ley europea, ya fue objeto de la anterior multa récord de la CNIL, de 100 millones de euros, en 2020.

    El gigante estadounidense de la venta al por menor, Amazon, también fue multado con 35 millones de euros por infringir las normas.

    En 2020, la CNIL reforzó los derechos de consentimiento sobre los rastreadores de publicidad, indicando que los sitios web que operan en Francia deben mantener un registro de la negativa de los usuarios de Internet a aceptar cookies durante al menos seis meses. También señaló que los usuarios de Internet deberían poder reconsiderar fácilmente cualquier acuerdo inicial sobre las cookies a través de un enlace web o un icono que debería ser visible en todas las páginas del sitio web.

    La situación en España

    La AEPD, organismo controlador en materia de protección de datos en España, en Julio del 2020, actualizó y puso a disposición de empresas, ciudadanos y profesionales, la guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos. Dando un plazo de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento de instalación de cookies.

    Un año y medio después, las empresas cuyas webs están adaptadas al RGPD en materia de gestión del consentimiento informado de instalación de cookies, son una minoría.En el caso de páginas propiedad de PYMES y autónomos la práctica totalidad no están adaptadas al RGPD y la LOPD, apreciándose irregularidades tales como, el uso del consentimiento tácito, la redacción de una política de cookies incompleta o la configuración errónea del modelo de capas.

    Desde Equal, de cara a evitar sanciones y cumplir con el RGPD, siempre recomendamos asegurarnos de que nuestra web está adaptada a la norma, ofreciendo dentro de nuestros servicios de adaptación a la LOPD, la revisión gratuita del estado de gestión del consentimiento de instalación de cookies.

    Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

    Desafortunadamente nos estamos acostumbrando a que los ataques de ransomware, secuestro de datos, sean noticia. En el caso que nos atañe, El Hospital Universitario Central de Asturias ha sufrido un ciberataque que ha comprometido su funcionamiento.

    Desde el comienzo de la pandemia de Covid-19, diversos hospitales, no solo en España, han sufrido ataques de ransomware. Los atacantes se hacen con el control de información sensible y necesaria para el funcionamiento normal de la empresa o institución atacada, encriptando dicha información, lo que la hace inaccesible, pudiendo paralizar completamente el funcionamiento de cualquier empresa, incluso, en los casos más graves, suponiendo una severa amenaza para la seguridad nacional.

    Todo secuestro suele ir acompañado de su correspondiente petición de rescate, si la victima quiere acceder nuevamente a los datos secuestrados ha de pagar una elevada suma de dinero.

    El Sistema de Gestión de PCR se ha visto comprometido

    Los hackers han atacado al sistema informático Millennium del Hospital Universitario Central de Asturias, quedando comprometido el sistema de seguimiento de la pandemia de coronavirus, donde se almacenan tanto resultados como peticiones de pruebas PCR. Afortunadamente el ataque ha sido neutralizado y se ha conseguido solucionar a tiempo, sin embargo, como medida de protección, algunos sistemas siguen parados.

    Los cibercriminales han intentado hacer el máximo daño posible, sin embargo no se ha pedido rescate, ni ha habido robo de datos según ha indicado el responsable de seguridad.

    El ataque ha supuesto que las sesiones de radioterapia de no menos de 200 pacientes hayan tenido que ser suspendidas temporalmente.

    ¿Por qué hospitales?

    Los ataques a hospitales y otros centros de salud que custodian datos sensibles, como son los sanitarios, están dirigidos a conseguir dichos datos, ya sea para que los propios secuestradores cometan todo tipo de ciberdelitos, o de cara a vender dichos datos a otros criminales.

    Recordamos que, tal y como marca el artículo 33 de Reglamento General de Protección de Datos, cualquier ataque de este tipo supone una brecha de seguridad que ha de ser comunicada a la Agencia Española de Protección de datos en las siguientes 72 horas, adicionalmente, el responsable del tratamiento de datos deberá llevar a cabo una valoración del nivel de riesgo que supone la brecha de datos personales, estando obligado según el artículo 34 del RGPD, cuando dicho riesgo sea considerado alto, a comunicar la brecha a las personas afectadas.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
    de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

    El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

    “Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
    de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

    «Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
    otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
    trasfiere de forma segura (encriptada) (…)”.

    Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

    Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

    «Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

    La Agencia Comprueba e inicia Procedimiento Sancionador

    Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

    • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

    • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

    • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

    Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

    La Consejería es Apercibida

    Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

    • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
      web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
    • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    El supremo ha ratificado la sanción de 40.000 Euros impuesta por la AEPD a Mutua Madrileña por enviar anuncios a un cliente que había rechazado el uso de sus datos para fines comerciales, cliente que se encontraba incluido en la lista Robinson.

    La sala tercera de lo contencioso administrativo estima que una empresa es siempre responsable última de su publicidad, incluso en el supuesto de tener subcontratado el servicio de publicación de campañas publicitarias.

    El caso en cuestión tiene su origen en la reclamación de un cliente de la aseguradora que tenía contratadas diversas pólizas, habiéndose inscrito en la lista Robinson de cara a no seguir recibiendo publicidad de la empresa. La inclusión en este servicio le blindaba frente comunicaciones publicitarias, así como frente a la participación en estudios de mercado.

    Dicho cliente había ejercido el derecho de oposición al tratamiento de sus datos personales ante la aseguradora, habiendo enviado diversas comunicaciones en las que indicaba que únicamente autorizaba el tratamiento de sus datos personales para aquellos fines imprescindibles para el desarrollo de la relación contractual.

    Pese a ello, el reclamante siguió recibiendo comunicaciones publicitarias por parte de la aseguradora, al no haber esta comunicado a la empresa encargada de la gestión publicitaria la oposición por parte del cliente al tratamiento de sus datos personales con fines publicitarios.

    Por todo ello, sentando jurisprudencia, el Supremo ratifica la sanción impuesta por la AEPD, ya que el responsable último, pese a existir una subcontratación del servicio publicitario, es la empresa aseguradora, estando obligada a adoptar toda medida que garantice la efectividad del ejercicio del derecho de oposición por parte del cliente.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    Seudonimización y anonimización son dos conceptos que de manera habitual generan confusión.

    La gran diferencia radica en las garantías que protegen los derechos de los interesados, el Reglamento General de Protección de Datos (RGPD) no se aplica para los datos anonimizados, siendo de aplicación tanto en el caso de datos seudonimizados, como en relación a la información adicional vinculada con dichos datos.

    El RGPD entiende como información anónima al conjunto de datos que no guarda relación con una persona identificada o identificable ( Considerando 26 del RGPD), sin embargo, la información seudonimizada permite, mediante el uso de información adicional, que dichos datos se puedan atribuir a un interesado. Dicha información adicional ha de figurar por separado, estando sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable

    Siempre que se transformen datos personales en información anónima o seudonimizada se estará llevando a cabo un tratamiento sobre dichos datos personales. El tratamiento de seudonimización dará lugar a dos nuevos conjuntos de datos : la propia información seudonimizada y la información adicional que permite que dichos datos puedan ser atribuidos a un interesado en concreto. Con respecto al proceso de anonimización únicamente se genera un nuevo conjunto de datos.

    Como indicamos anteriormente, los datos anonimizados no están bajo el ámbito de aplicación del RGPD ( Considerando 26), pudiendo estar bajo el ámbito de aplicación de normas como seguridad nacional, salud pública,etc. En este caso hay que tener en cuenta que :

    • Los datos anonimizados quedan fuera del ámbito de aplicación del RGPD siempre que se puede demostrar la no existencia de capacidad material para asociar dichos datos a una persona física en concreto,  directa o indirectamente, ya sea mediante el uso de otros conjuntos de datos, informaciones o medidas técnicas y materiales que pudieran existir a disposición de terceros.
    • El tratamiento que generan los datos anonimizados sí es un tratamiento de datos personales, que puede considerarse compatible con el fin original del tratamiento de datos personales del que proceden los datos 

    ANONIMIZACIÓN, SEUDONIMIZACIÓN Y SUS GARANTÍAS

    Serán considerados como anónimos aquellos datos que no permitan la identificación de una persona física, teniendo en cuenta el tiempo requerido para llevar a cabo la reidentificación, los costes, así como los medios tecnológicos actuales o futuros usados para revertir el proceso. Siendo la garantía fundamental la robustez del proceso de anonimización contra una posible reidentificación. La reversión de la anonimización supone la plena aplicación del RGPD a los sujetos obligados que traten los datos personales.

    Los datos seudonimizados, el tratamiento inicial que los genera, así como la información adicional vinculada a los propios datos seudonimizados se encuentran bajo el ámbito de aplicación del Reglamento General de Protección de Datos, estando protegidos por cuatro tipos de garantías :

    1. El tratamiento de seudonimización que ha de evitar que se pueda reidentificar sin disponer de información adicional.
    2. Los principios y garantías del RGPD y las limitaciones que establece en relación a las finalidades, periodo de conservación,etc.
    3. Las garantías adicionales que lleve el tratamiento de los datos en función del riesgo para los derechos y libertades de las personas físicas.
    4. Las garantías técnicas y organizativas dispuestas de cara a impedir que se produzcan brechas de datos personales, ya sea sobre los datos seudonimizados o sobre la información adicional asociada.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD) y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos, con anterioridad a la fecha de su plena aplicación.

    El objeto de esta Guía, de forma específica, es orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten. Esta guía cubre únicamente este objetivo específico, y debe ser complementada con otras guías que las Autoridades de Protección de Datos puedan emitir, en relación con la aplicación del RGPD.

    Desde Equal siempre recomendamos contar con un asesoramiento integral a la hora de adaptar nuestro negocio y empresa al RGPD, especialmente para aquellos sectores a los que la Ley obliga a contar con un Delegado de Protección de Datos : https://equalprotecciondedatos.com/elements/dpo-dpd-delegado-de-proteccion-de-datos-empresa/

    Guía : https://equalprotecciondedatos.com/wp-content/uploads/2021/09/guia-cumplimiento-deber-informar.pdf

    Por más que se haya insistido y puesto el foco desde diferentes Órganos de la Administración, además de por las propias empresas y despachos que, como Equal Protección de Datos, han denunciado siempre las malas prácticas en el sector, lo cierto es que son aún muchas las empresas que continúan cayendo en la trampa de contratar supuestos servicios de adaptación o ‘consultoría’ gratis de protección de datos en un paquete con cursos con cargo a los créditos de formación de los trabajadores (Fundae, antes llamada Fundación Tripartita).

    La última en denunciarlo ha sido APEP (Asociación Española de la Privacidad) a través de una campaña en la que una página web simula ofrecer esos servicios gratuitos pero luego, al acceder, lo que el usuario encuentra es precisamente información sobre los riesgos de estas malas prácticas.

    Riesgos que normalmente desconocen las empresas que, muchas de buena fe y por desconocimiento, aún caen en esta trampa. No olvidemos que estas prácticas constituyen un triple fraude:

    – Por un lado, Inspección de Trabajo sanciona con hasta 187.515 euros el mal uso de los fondos de Fundae

    -Por otro lado, hacer pasar un servicio como “formación” es una infracción tributaria, pues no se añade el IVA que debería ser preceptivo sumar a la factura de servicios, que se enmascara en esa supuesta formación, que para colmo suele ser un conjunto de documentación recabada de Internet que para nada sirve a los trabajadores de las empresas que la reciben.

    – Pero es que, en tercer lugar, también es un fraude para los trabajadores, a quienes la empresa impone una formación sobre protección de datos que no han elegido).

    A pesar, como decimos, de las continuas denuncias y avisos de todo tipo que desde hace años se vienen dando- Fundae, antes llamada Fundación Tripartita, la Agencia Tributaria o la propia Agencia Española de Protección de Datos han emitido diferentes Notas informativas (en 2019 la Agencia emitía una nota sobre el ‘coste cero’ y sus peligros (PDF) ), son todavía muchas las empresas que se siguen valiendo de estas prácticas,  y muchas las que se dejan convencer, creyendo que con ello cumplen con la normativa de protección de datos al tiempo que se ahorran el coste de un servicio externo. 

    Con la entrada en vigor del RGPD y la posterior LOPDGDD se produjo de nuevo un incremento de este tipo de empresas. Afortunadamente han descendido a la par que iban siendo denunciadas, pero sigue siendo necesario poner de manifiesto la importancia de contratar auténticos profesionales expertos en la materia que ayuden a las empresas a cumplir, poniendo, como hacemos siempre, el foco en la importancia de:

    – Aplicar y cumplir los principios del RGPD a cada empresa específica. Ninguna adaptación es igual que otra. 

    – La responsabilidad práctica y la implementación de una cultura de protección de datos en el seno de todas las organizaciones.