El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD) y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos, con anterioridad a la fecha de su plena aplicación.
El objeto de esta Guía, de forma específica, es orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten. Esta guía cubre únicamente este objetivo específico, y debe ser complementada con otras guías que las Autoridades de Protección de Datos puedan emitir, en relación con la aplicación del RGPD.
https://equalprotecciondedatos.com/wp-content/uploads/2021/05/aepd-2019.jpg250600Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-09-17 13:14:172021-09-17 13:14:22Guía para el Cumplimiento del Deber de Informar
Por más que se haya insistido y puesto el foco desde diferentes Órganos de la Administración, además de por las propias empresas y despachos que, como Equal Protección de Datos, han denunciado siempre las malas prácticas en el sector, lo cierto es que son aún muchas las empresas que continúan cayendo en la trampa de contratar supuestos servicios de adaptación o ‘consultoría’ gratis de protección de datos en un paquete con cursos con cargo a los créditos de formación de los trabajadores (Fundae, antes llamada Fundación Tripartita).
La última en denunciarlo ha sido APEP (Asociación Española de la Privacidad) a través de una campaña en la que una página web simula ofrecer esos servicios gratuitos pero luego, al acceder, lo que el usuario encuentra es precisamente información sobre los riesgos de estas malas prácticas.
Riesgos que normalmente desconocen las empresas que, muchas de buena fe y por desconocimiento, aún caen en esta trampa. No olvidemos que estas prácticas constituyen un triple fraude:
– Por un lado, Inspección de Trabajo sanciona con hasta 187.515 euros el mal uso de los fondos de Fundae
-Por otro lado, hacer pasar un servicio como “formación” es una infracción tributaria, pues no se añade el IVA que debería ser preceptivo sumar a la factura de servicios, que se enmascara en esa supuesta formación, que para colmo suele ser un conjunto de documentación recabada de Internet que para nada sirve a los trabajadores de las empresas que la reciben.
– Pero es que, en tercer lugar, también es un fraude para los trabajadores, a quienes la empresa impone una formación sobre protección de datos que no han elegido).
A pesar, como decimos, de las continuas denuncias y avisos de todo tipo que desde hace años se vienen dando- Fundae, antes llamada Fundación Tripartita, la Agencia Tributaria o la propia Agencia Española de Protección de Datos han emitido diferentes Notas informativas (en 2019 la Agencia emitía una nota sobre el ‘coste cero’ y sus peligros (PDF) ), son todavía muchas las empresas que se siguen valiendo de estas prácticas, y muchas las que se dejan convencer, creyendo que con ello cumplen con la normativa de protección de datos al tiempo que se ahorran el coste de un servicio externo.
Con la entrada en vigor del RGPD y la posterior LOPDGDD se produjo de nuevo un incremento de este tipo de empresas. Afortunadamente han descendido a la par que iban siendo denunciadas, pero sigue siendo necesario poner de manifiesto la importancia de contratar auténticos profesionales expertos en la materia que ayuden a las empresas a cumplir, poniendo, como hacemos siempre, el foco en la importancia de:
– Aplicar y cumplir los principios del RGPD a cada empresa específica. Ninguna adaptación es igual que otra.
– La responsabilidad práctica y la implementación de una cultura de protección de datos en el seno de todas las organizaciones.
https://equalprotecciondedatos.com/wp-content/uploads/2021/07/fraude-LOP-GRATIS-COSTE-CERO.png260480Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-07-28 12:32:282021-07-28 12:35:03El fraude de los servicios de adaptación de protección de datos a «coste cero».
Tras la regulación “de urgencia” de octubre del pasado año 2020 ante la proliferación del teletrabajo, provocado en gran medida por la pandemia que aún sufrimos, se hacía necesaria una normativa más precisa que reforzara la regulación de derechos y obligaciones en este ámbito.
Con ese objetivo ha entrado en vigor la nueva Ley 10/2021, de 9 de julio, de trabajo a distancia que regula esta modalidad de prestación laboral que, más que el hecho de trabajar desde el domicilio, como se podía entender hasta no hace mucho, viene a ampliar el concepto para considerar “teletrabajo” a aquella prestación laboral en remoto, pudiendo estar el trabajador en cualquier lugar, siendo el criterio común no dónde está, sino donde no está a la hora de desarrollar su trabajo: esto es, el trabajador que no está en el centro de trabajo de la empresa.
Recordemos, no obstante, que el teletrabajo ya venía regulado, si bien no desarrollado suficientemente, desde luego, en el Estatuto de los Trabajadores o en el Acuerdo Marco Europeo sobre Teletrabajo de 16 de julio de 2002, que lo definió ya en ese año como “forma de organización y/o de realización del trabajo, con el uso de las tecnologías de la información, en el marco de un contrato o de una relación de trabajo, en la que un trabajo, que hubiera podido ser realizado igualmente en los locales del empleador, se efectúa fuera de estos locales de manera regular”.
No es, por tanto, un concepto nuevo, pero sí se ha incrementado, como decimos, de manera exponencial a consecuencia de la pandemia.
Pero al margen de las cuestiones de índole puramente laboral o del favorecimiento que supone para la conciliación de la vida personal y familiar, es innegable que al amparo de esta situación ya normalizada a día de hoy existen una serie de derechos asociados que entroncan de manera clara con la protección de datos. Así, el derecho a la intimidad, el uso de las herramientas y dispositivos digitales puestos a disposición del trabajador por la empresa, la proliferación de brechas de seguridad y la adecuada respuesta ante las mismas (por parte del trabajador y de la empresa) o el derecho a la desconexión digital están vinculadas directamente con esta normativa del teletrabajo, y las empresas deben ser muy cuidadosas en su cumplimiento.
La normativa que en materia de protección de datos aparece vinculada es extensa, pero fundamentalmente se resume en:
Artículo 18 Constitución Española: garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen, además de la inviolabilidad del domicilio y el secreto de las comunicaciones.
Artículo 8.4 del Estatuto de los Trabajadores: regula la aplicación de la normativa de protección de datos en el tratamiento del contenido de los contratos.
Artículo 20 bis del Estatuto de los Trabajadores: regula el derecho de los trabajadores a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización
En cuanto a RECOMENDACIONES a tener en cuenta en materia de protección de datos, hay que indicar que la empresa, como Responsable del Tratamiento, adquiere una gran responsabilidad en el respeto a la normativa, pero también los trabajadores adquieren ciertas obligaciones, que vendrán contempladas en los acuerdos de trabajo a distancia en función de sus tareas en la empresa.
Entre las recomendaciones a tener en cuenta vamos a destacar las que la propia Agencia Española de Protección de Datos ha difundido:
A) Para las empresas (Responsables del tratamiento)
– Definir una política de protección de la información para situaciones de movilidad, que se recogerá en el acuerdo de trabajo a distancia con el trabajador.
– Optar por proveedores de servicio con garantías suficientes. Para evitar soluciones de teletrabajo que no ofrezcan garantías y puedan dar lugar a la exposición de datos de su personal.
– Restringir el acceso a la información. Se configurarán los perfiles o niveles de acceso a los recursos y a la información según los roles de cada empleado.
– Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad.
– Monitorizar los accesos realizados a la red corporativa desde el exterior. Se establecerán sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en acceso remoto y movilidad, y se comunicarán a la autoridad de control y/o a los interesados las brechas de seguridad que afecten a datos personales.
– Gestionar racionalmente la protección de datos y la seguridad. Se establecerán las medidas y garantías en las políticas a partir de un análisis de riesgos que evalúe la proporcionalidad entre los beneficios a obtener del trabajo a distancia y el impacto potencial de ver comprometido el acceso a información de carácter personal.
B) Para los trabajadores que prestan sus servicios laborales a distancia
– Respetar la política de protección de la información en movilidad definida por la empresa
– Proteger el dispositivo utilizado en movilidad y el acceso al mismo. Se evitará la conexión en lugares públicos y redes Wifi abiertas no seguras; se protegerán los mecanismos de autentificación mediante certificados, contraseñas, tokens, sistemas de doble factor, etc.
– Garantizar la protección de la información que se está manejando. Se minimizará la entrada y salida de documentación en soporte papel; se destruirá la documentación desechada; no se dejará a la vista ningún soporte de información en el lugar donde desarrolle el teletrabajo; etc.
– Guardar la información en los espacios de red habilitados. Se evitará almacenar la información generada durante la situación de movilidad en el propio dispositivo utilizado, siendo preferible el uso de recursos de almacenamiento compartido o en la nube proporcionados por la empresa.
– Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato la brecha de seguridad. Se notificarán estas anomalías al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto. Recordemos que, según recoge el RGPD, tan sólo hay un plazo de 72 horas para notificar a la Agencia este tipo de brechas de seguridad que comprometan información con datos de carácter personal.
En todo caso, por su especial relevancia prestamos especial atención a dos cuestiones fundamentales, reguladas en particular en la Protección de datos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD):
El derecho a la intimidad y a la protección de datos (artículo 17 Ley 10/2021, de 9 de julio, de trabajo a distancia y 87 LOPDGDD): La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad del trabajador, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
La mencionada “desconexión digital” (artículo 18 Ley 10/2021, de 9 de julio, de trabajo a distancia y 88 LOPDGDD) : Se recoge expresamente que el personal en teletrabajo tienen derecho a la desconexión digital fuera de su horario de trabajo. La Ley del Teletrabajo lleva a cabo un desarrollo mayor que la LOPDGDD, ampliando su regulación, estableciendo que es obligación de la empresa, para garantizar esa desconexión digital, la limitación del uso de los medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada y a cualesquiera límites y precauciones en materia de jornada que dispongan la normativa legal o convencional aplicables.
Asimismo, es necesario elaborar, previa audiencia de la representación de las personas trabajadoras, una política interna dirigida a los trabajadores, incluidas los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
Por último, es importante destacar que toda esta nueva regulación que incrementa las obligaciones a tener en cuenta por la empresa no implica que no conserve sus “facultades de organización, dirección y control empresarial en el trabajo a distancia”, lo cual se regula expresamente en los arts. 20 a 22 de la nueva Ley del teletrabajo.
El artículo 20 establece que el personal laboral en modalidad de teletrabajo deberá cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos, previa participación de la representación legal de los trabajadores.
Igualmente, estos trabajadores deberán cumplir las instrucciones sobre seguridad de la información específicamente fijadas por la empresa, previa información a su representación legal, en el ámbito del trabajo a distancia.
El art. 21, sobre condiciones e instrucciones de uso y conservación de equipos o útiles informáticos, remite a la negociación colectiva; y el art. 22 cierra este capítulo, ordenando las facultades de control empresarial:
La empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.
En definitiva, es necesario analizar e implementar en cada empresa la política en materia de protección de datos, haciéndola compatible y complementando la nueva legislación sobre teletrabajo con pleno respeto al RGPD, LOPDGDD y resto de normativa aplicable.
https://equalprotecciondedatos.com/wp-content/uploads/2021/07/ASESORIA-RGPD-TELETRABAJO.jpg7001050Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-07-19 18:13:542021-07-19 18:14:00Ley de trabajo a distancia y protección de datos
La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.
El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.
El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.
La guía presentada hoy es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.
La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.
EVALÚA_RIESGO RGPD
Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.
Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.
Análisis, gestión de riesgos y EIPD
El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.
Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.
La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.
https://equalprotecciondedatos.com/wp-content/uploads/2021/05/aepd-logo.png300500Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-06-29 13:42:242021-06-29 13:42:28La AEPD publica una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto
El Reglamento General de Protección de Datos (RGPD) ya preveía, desde el comienzo, la posibilidad de que las empresas, en el marco del principio de responsabilidad proactiva que la norma comunitaria exige, pudiesen acudir a sistemas de certificación que ayudasen a demostrar dicho cumplimiento en las operaciones de tratamiento llevadas a cabo por los responsables y encargados del tratamiento.
Así, el artículo 24.3 establece:
“La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.
Por otro lado, el artículo 42.1 indica que:
“1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.”
Pues bien, derivado de ello y como complemento a las ya conocidas Normas ISO 27001 y 27002 de Seguridad de la Información surgió la ISO 27701 de gestión de la privacidad. Esta norma es una Guía para las organizaciones que quieran cumplir con los requisitos del RGPD y otros sobre privacidad de datos. La ISO 27701, también conocida como Sistema de Gestión de la Información Confidencial (SGIC) proporciona un marco de trabajo para que los controladores y procesadores de la Información Personal Identificable gestionen la información confidencial. Dichos sistemas de gestión de la información confidencial también se denominan “sistemas de gestión de la información personal.”
En comunión necesaria con las mencionadas ISO 27000 y 27001, pues previamente debe contarse con estas, la ISO 27701 da como resultado un SISTEMA DE GESTIÓN DE LA PRIVACIDAD DE LA INFORMACION (SGPI), estableciendo los requisitos para implementar, mantener ymejorar continuamente los procesos de privacidad en las empresas.
Se hace referencia en la norma al respeto a los principios del RGPD, el cumplimiento de las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, la evaluación de impacto, la notificación a la autoridad de control de posibles brechas de seguridad o la designación del Delegado de Protección de Datos (DPD) entre otros.
El propósito es ayudar a reducir el riesgo con respecto a los derechos de privacidad de los individuos y las organizaciones al mejorar un sistema de gestión de la seguridad de la información existente.
El hecho de disponer de este sistema de certificación será sin duda, una manera inmejorable de acreditar tanto a clientes como otras partes interesadas que la empresa ha implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad, actuando como garantía de dicho cumplimiento.
Desde el punto de vista del régimen sancionador en materia de privacidad, recogido en el RGPD y en las legislaciones nacionales, la obtención de este “sello de protección de datos” puede suponer una prueba al menos indiciaria de ese mencionado cumplimiento de la responsabilidad proactiva exigida, lo que sin duda ayudará en la defensa de los intereses de la empresa en caso de alguna actuación inspectora o denuncia.
Pero no solo debemos tenerlo en cuenta desde el punto de vista meramente de la acreditación del cumplimiento normativo de cara a las Autoridades de Control, sino que, quizá lo más importante, supone un valor añadido y un argumento de valor competitivo en un contexto como el actual de mercado digital, en el que si no existe una confianza mínima en el interesado sin duda no llevará a cabo operaciones que ahora mismo resultan imprescindibles para la supervivencia de las empresas. Se trata, por tanto, de un auténtico salto cualitativo para las empresas, que generará confianza y aumentará el “valor de marca” de la empresa que disponga de estos mecanismos de certificación.
https://equalprotecciondedatos.com/wp-content/uploads/2021/06/normas-iso-1-1024x848-1.png8481024Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-06-18 22:27:112021-06-18 22:40:28El Sello de calidad de Protección de Datos. La ISO 27701
El pasado mes tuvimos conocimiento de un nuevo ciberataque, en esta ocasión a la empresa de reparto a domicilio Glovo, después de los sonadísimos al SEPE, Mapfre, Adeslas, y un largo etcétera de empresas, grandes y pequeñas, que han sufrido los efectos devastadores, por diferentes motivos, de este tipo de incidentes de seguridad.
En concreto ya sabíamos que un grupo de hackers habían logrado acceder a las bases de datos completas de Glovo, lo que supone una brecha de seguridad grave, pero que ahora se ha acrecentado al poner a la venta en internet dichas bases de datos.
En concreto, según los hackers, los datos disponibles de los usuarios de la aplicación eran:
Nombre completo
Cumpleaños
Correo electrónico
Contraseña cifrada con SHA256
Número de teléfono
Dirección física
Código postal
Tarjeta de crédito, fecha de caducidad y CVC
DNI
IBAN de la cuenta bancaria
Pero el problema no termina ahí, pues también quedaron expuestos los siguientes datos de los repartidores:
Nombre completo
Email
Contraseña cifrada con SHA256
Método de transporte
Código postal
Dirección física
IBAN de la cuenta bancaria
DNI
Fecha de nacimiento
Foto del documento de identidad
Se trata, como decimos, de una brecha de seguridad grave de confidencialidad, con un claro riesgo, dado el tipo de datos que contenía, para los propios interesados afectados. De hecho, desde distintos medios se ha recomendado a los usuarios de la empresa de reparto a domicilio que cambien la contraseña e incluso cancelen la tarjeta de crédito, para evitar problemas mayores.
Como ya sabemos, cuando ocurre un incidente de este tipo el artículo 33 del RGPD establece que: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.”
Asimismo, el artículo 34 del propio RGPD obliga también a notificar la brecha de seguridad a los interesados cuando “entrañe un alto riesgo para los derechos y libertades de las personas físicas”.
Parece que Glovo notificó a la Agencia la brecha de seguridad, pero omitiendo que entre la información comprometida se encontraban, por ejemplo, los datos de las tarjetas de crédito. Por tanto, la comunicación a la Autoridad de Control adolecía de al menos un error grave, al margen de que también, precisamente por esta circunstancia, habría que haber notificado a todos los interesados lo que había sucedido a los efectos de que cada usuario hubiera podido adoptar las medidas que entendiera necesarias a fin de evitar problemas.
El apartado 3 del mencionado artículo 33 del RGPD indica que solo no será necesaria esta comunicación si
a)El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados
Ninguna de estas circunstancias parece que se hayan producido en el presente caso, por lo que no existe excepción en la comunicación a los interesados, debiendo ahora permanecer atentos para ver las posibles consecuencias que en forma de sanción o de posibles reclamaciones de interesados pueda tener que afrontar la empresa de reparto a domicilio.
El Reglamento General de Protección de Datos es la principal norma europea en materia de privacidad. Es de aplicación directa para todos los países miembros de la Unión y su objetivo es regular el tratamiento que se da a los datos de carácter personal, tanto desde el punto de vista de los derechos de las personas físicas, como de las obligaciones de las personas y entidades.
A partir del 25 de mayo de 2018, comenzó la aplicación obligatoria del Reglamento, y se instauró así un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente en nuestro país está complementado con la entrada en vigor el 7 de diciembre de 2018 de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Todos podemos recordar el ajetreo inicial, te dedicases a esto o no, nuestra bandeja de entrada del correo electrónico estaba atestada de emails pidiendo la aceptación de las políticas de privacidad o nuestro consentimiento para el tratamiento de datos personales. Comenzaba así un trabajo de adaptación que aún no ha terminado, de aplicación de la nueva normativa en materia de protección de datos que cambiaba por completo el enfoque de lo que es la privacidad. Un proceso que no termina nunca, que trata de reevaluar y de incorporar procesos de mejora continua.
El cambio más radical que trajo consigo el Reglamento es la instauración del principio de responsabilidad proactiva, que supone que siempre va a haber que anticiparse a que los datos estén bien tratados sin esperar a que nadie nos lo exija.
Así empezamos a escuchar un término que los profesionales de la materia tenemos ya muy interiorizado: “Accountability”, que nos decía que no se trata solo de hacer lo justo para cumplir. Anteriormente bastaba con aplicar un protocolo de protección de datos, sin embargo hoy en día las obligaciones son más fuertes porque este principio implica que hay que llevar a cabo acciones constantemente y de forma periódica para mantener la protección de los datos en orden y al día.
A raíz de este cambio, las leyes ya no te indican las medidas de seguridad que deben tomar las empresas, sino que los responsables se encuentran obligados a aplicar medidas organizativas y técnicas que sean apropiadas para, no solo garantizar, si no también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.
La llegada del Reglamento nos anunciaba una nueva forma de organizar y tratar la protección de datos, un cambio en el enfoque de la privacidad basado en los riesgos particulares de cada empresa y un enfoque que apunta la total transparencia en el uso de datos, lo que hace que las empresas comiencen a ver una oportunidad de mejorar su imagen y reputación frente a terceros, gracias a la percepción de seguridad y privacidad. En este sentido, la aún novedosa certificación ISO 27701, que se configura como el nuevo estándar en materia de seguridad y privacidad, a modo de “sello” de protección de datos, es un paso más y una excelente forma de demostrar a los clientes, proveedores y, en general, todas las partes interesadas internas y externas que se han implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad.
La novedosa figura del Delegado de Proteccion de Datos (DPO), que trataremos a fondo en otros artículos, obligatoria para determinadas empresas y voluntaria para todas, ahonda aún más en ese factor diferenciador para ir un paso más allá en el cumplimiento, garantizando un sistema interno de protocolos y supervisión que permite mejorar el cumplimiento, al margen de ser el canal a través del cual poder atender denuncias o reclamaciones.
La aplicación por parte de las empresas ha sido progresiva, aunque sí se ha advertido un aumento importante de la preocupación durante el último año con la llegada de las primeras sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Tras unos meses de adaptación, la Agencia ha endurecido su metodología y ya lleva abiertos más de 700 procesos sancionadores, de los cuales un porcentaje bastante alto concluye con la imposición de una multa (cuya cuantía puede llegar a los 20.000.000 €). Muy sonadas han sido las últimas multas millonarias, basadas en el incumplimiento de preceptos del Reglamento, como los 8 millones de euros a Vodafone, o los 6 millones a CaixaBank, que han aumentado considerablemente en el último año. La Agencia indicaba en su memoria del 2020 que los sectores más sancionados son las entidades financieras/acreedoras y las telecomunicaciones, que aglutinan el 76% del importe global de sanciones.
Pero también importantes sanciones de menor cuantía a otras empresas, pymes y autónomos, han tenido repercusión. Así, por ejemplo, la multa a un despacho de abogados por enviar un email sin copia oculta (10.000€), la sanción de 25.000 a Glovo por no tener designado Delegado de Protección de Datos (DPO) o a una empresa de seguridad privada por el mismo motivo han llamado mucho la atención entre el sector empresarial y han puesto sobre aviso sobre el posible impacto que una inadecuada adaptación de la normativa puede tener. En la actualidad ya podemos decir que la protección de datos es tendencia y que poco a poco se le está dando la prioridad que debería tener, también debido a la situación actual con la crisis del Covid 19, que ha dado lugar a mucho debate sobre la privacidad debido al teletrabajo, apps que tratan datos de salud, posibilidad o no de dar datos de las personas contagiadas y muchos otros ejemplos que, como estos, han hecho que la población esté mucho más concienciada que hace un año.
https://equalprotecciondedatos.com/wp-content/uploads/2021/01/rgpd-para-empresas.jpg342643Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-05-25 09:25:282021-05-25 09:25:32Tercer Aniversario de la Entrada en Vigor del Nuevo RGPD
La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.
La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.
El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.
En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.
En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.
En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.
Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.
La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.
La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.
https://equalprotecciondedatos.com/wp-content/uploads/2018/11/aepd.jpg8001200Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2021-05-19 18:13:112021-05-19 18:13:15La AEPD publica una guía sobre protección de datos y relaciones laborales
LA AGENCIA ha actualizado su Guía sobre Cookies para adaptarla a las directrices marcadas el pasado mes de mayo por el Comité Europeo de Protección de Datos
El mes de mayo pasado el Comité Europeo de Protección de Datos revisó, en relación a las Cookies, dos cuestiones principales en relación al consentimiento:
1.-Por un lado, el uso de la opción de “seguir navegando” como forma válida de entender que el usuario ha prestado el consentimiento.
2.-Por otro lado, la posibilidad de usar los conocidos “muros de cookies”, es decir, “limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de las cookies”. Leer más
https://equalprotecciondedatos.com/wp-content/uploads/2020/08/cookies-AEPD-LOPD-RGPD-PROTECCION-DE-DATOS-EQUAL.jpg400850Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2020-08-06 11:10:292020-08-06 11:10:29La AEPD da tres meses a las empresas para adaptar las nuevas directrices sobre cookies.
La Agencia Española de Protección de Datos ha emitido un comunicado con fecha 31 de julio que viene a puntualizar algunas cuestiones relacionadas con la recogida de datos personales de clientes por parte de algunos establecimientos para la identificación rápida en caso de brotes de COVID-19.
El debate sobre esta cuestión ha tomado mayor protagonismo después de la puesta en marcha, el pasado jueves día 30 de julio, de algunas medidas por parte de la Comunidad de Madrid.
https://equalprotecciondedatos.com/wp-content/uploads/2020/08/AEPD-PROTECCION-DE-DATOS-MADRID.jpg343561Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2020-08-03 21:22:542020-08-03 21:38:26Registro de clientes en establecimientos para la prevención del Covid-19. Comunicado de la AEPD
La Agencia Española de Protección de Datos ha sancionado a varias empresas que carecían de Delegado de Protección de Datos (DPO).
Como sabemos, tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales exigen obligatoriamente a ciertas empresas que cumplan con la obligación de designar un DPO.El artículo 34 de la LOPDGDD, en concreto, exige dicha obligación para empresas como Clínicas, Centros docentes (Colegios, Centros de educación infantil, etc…) Leer más
https://equalprotecciondedatos.com/wp-content/uploads/2020/07/sancion-aepdl.jpg587787Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2020-07-09 00:06:142020-07-09 00:09:54MULTADAS VARIAS EMPRESAS SIN DELEGADO DE PROTECCIÓN DE DATOS (DPO)
Que la pandemia del COVID-19 ha modificado nuestros hábitos, forma de trabajo y, diríamos, que nuestro modo de vida en general es un hecho.
Incluso ha llegado a los procesos de selección en las empresas. Está aumentando una práctica consistente en que los candidatos a un determinado puesto de trabajo incluyan entre su curriculum que tienen anticuerpos y que, por tanto, han pasado el coronavirus y presentan cierto grado de inmunidad.
Pero no solo se trata de una inclusión voluntaria por parte de los candidatos, existen también empresas que están exigiendo este dato.Leer más
https://equalprotecciondedatos.com/wp-content/uploads/2020/06/curriculum-covid-19-coronavirus.jpg483724Equal Consultinghttps://equalprotecciondedatos.com/wp-content/uploads/2021/03/test-2-80x80.pngEqual Consulting2020-06-26 11:37:032020-06-26 11:44:38La AEPD advierte: no es lícito incluir información sobre anticuerpos frente al COVID-19 en los curriculums en un proceso de selección
EQUAL CONSULTING S.L.P utiliza cookies propias y de terceros para fines analíticos, técnicos, de personalización y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación . Consulta nuestra Política de Cookies para mayor información Click Aquí. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso pulsando el botón “Configurar”.
Las cookies se utilizan para poder ofrecer al usuario servicios y/o publicidad personalizados, las categorizadas como necesarias son guardadas en su navegador al ser esenciales para el funcionamiento básico de la web. Utilizamos cookies de terceros que nos ayudan en el análisis del comportamiento del visitante de nuestra web, en la personalización de la misma así como para mostrar publicidad personalizada, estas cookies solo se guardaran en tu navegador con tu consentimiento. Desde aquí puedes configurar tus preferencias.
Estas cookies son absolutamente necesarias para el funcionamiento de la web, están relacionadas con el propio plugin de consentimiento RGPD, guardando su selección en relación al consentimiento de Cookies.
Cookie
Duración
Descripción
cli_user_preference
11 meses
Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-advertisement
1 año
Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-analiticas
1 año
Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-necessary
11 meses
Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-performance
11 meses
Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
oc2rhwjb3khl
Sesión
Cookie técnica necesaria para el uso del acceso de clientes
oc_sessionPassphrase
Sesión
Cookie técnica necesaria para el uso del acceso de clientes
vchideactivationmsg_vc11
1 mes
Permite enviar mensajes desde el formulario de contacto
viewed_cookie_policy
11 meses
Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
__Host-nc_sameSiteCookielax
Hasta el 31/12/2100
Cookie técnica necesaria para el uso del acceso de clientes
__Host-nc_sameSiteCookiestrict
Hasta el 31/12/2100
Cookie técnica necesaria para el uso del acceso de clientes
Son aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su
experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc
Cookie
Duración
Descripción
CSPWSERVERID
sesion
Usada para recordar quién es el usuario durante la sesión en nuestro servidor. No guarda información personal
NID
6 meses
Esta cookie contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido, el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro Búsqueda Segura de Google esté activado o desactivado
SERVERID
sesion
Cookie de balanceo de carga. Se utiliza para rastrear qué servidor web está utilizando el usuario.
Son aquellas que, tratadas por nosotros o por terceros, nos permiten
cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
Cookie
Duración
Descripción
vuid
2 años
Propiedad de Vimeo. Es usada para almacenar información de seguimiento, crea una única ID para los videos insertados en la web.
WMF-Last-Access
1 mes 19 horas 15 minutos
Asociada a Wikipedia, es usada para calcular los dispositivos únicos que acceden a la web.
WMF-Last-Access-Global
1 mes 19 horas 15 minutos
Asociada a Wikipedia, es usada para contabilizar cuentas veces la web ha sido visitada por un visitante diferente, esto se hace mediante un asignación de ID al visitante.
YSC
sesion
Pertenece a Youtube, se usa para hacer seguimiento de las vistas de los videos insertados en nuestra web.
_ga
2 años
Instalada por Google Analytics. Usada para calcular datos de visitas, sesiones y datos de campañas para mantener seguimiento del uso de la web de cara a los informes facilitados por Google Analytics. Las Cookies guardan información anonimizada.
_gali
Sesión
Utilizada por Google Analytics para registrar los elementos de la página anterior con los que el usuario ha interactuado para llegar a la página actual.
_gat
1 minuto
Esta cookie es instalada por Google Universal Analytics para controlar la tasa de peticiones de cara a limitar la colección de datos en al web.
_gid
1 día
Esta cookie es instalada por Google Analytics. Es usada para guardar información sobre como los visitantes usan la web, ayudando a crear un informe sobre el funcionamiento de la misma. Los datos recolectados hacen referencia al numeros de visitas, la fuente de la que proceden y las páginas visitadas, todo ello anonimizado.
Son aquellas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Cookie
Duración
Descripción
IDE
1 año 24 días
Usada por Google DoubleClick, almacena información sobre como el usuario usa la web y otros anuncios antes de que se produzca la visita a la web. Es usada para presentar a los usuarios publicidad relevante de acuerdo a su perfil.
test_cookie
15 minutos
Añadida por doubleclick.net. El propósito de esta cookie es determinar si el navegador del visitante soporta cookies.
VISITOR_INFO1_LIVE
5 meses 27 dias
Pertenece a Youtube, se usa para hacer seguimiento de la información de los videos insertados en la web
