Norma legal relacionada con Protección de datos. RGPD / LOPD

Club deportivo sancionado por añadir a un cliente a grupo de Whatsapp sin su consentimiento

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 4000 Euros a un Club deportivo, al haber este incluido en un grupo de Whatsapp a un antiguo cliente, sin contar con consentimiento previo u autorización por parte de dicho cliente.

El afectado reclama ante la AEPD indicando que su número de teléfono, siendo este un dato personal, ha sido incluido en un grupo de Whatsapp sin habérsele solicitado consentimiento previo. Para mayor gravedad, el cliente no es usuario o mantiene relación alguna con el centro deportivo desde hace más de 10 años.

Una vez iniciado el procedimiento la Agencia dio traslado de dicha reclamación al reclamado, de cara a que se procediese al análisis de la misma y se informase a la AEPD de las acciones llevadas a cabo para adecuarse a la normativa de Protección de datos, no recibiendo respuesta  por parte del reclamado.

LA AEPD ACTUA ANTE LA VULNERACIÓN DEL RGPD

Por todo ello, la AEPD inició procedimiento sancionador, por la presunta infracción de los arts. 32, 5.1.e) y 6 del RGPD.

El reclamado vulnera el art, 6 del Reglamento General de Protección de Datos al haber tratado datos personales del reclamante sin su previo consentimiento

Por otro lado, y como indicábamos previamente, contraviniendo el art. 5.1 e) del RGPD, el centro deportivo conserva los datos personales del cliente pese a que el reclamante no es su cliente desde hace más de diez años. El RGPD establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados.

Para finalizar, al haber puesto a disposición de terceros el número de teléfono móvil del reclamante, habiéndole incluido en un grupo de Whatsapp, se vulnera su confidencialidad. Considerando la agencia que las medidas de seguridad del reclamado no se adecuan a la Ley, al contravenir los apartados b y d del art. 32 del Reglamento.

4000 EUROS DE SANCIÓN

Si bien la AEPD considera que no hay intencionalidad en la vulneración del RGPD, si valora dicha vulneración como significativa, al conservar el reclamado los datos personales del reclamante pese a no ser cliente desde hace más de diez años.

Por todo ello la AEPD impone al club deportivo las siguientes cuatro sanciones:

  • Por la infracción del art. 6 del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 5.1 e) del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 32.1 e) del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 32.1 d) del RGPD, una multa de 1.000 euros.


Fin de la Moratoria de la Ley de trabajo a distancia, «Ley del teletrabajo»


Numerosos medios de comunicación se están haciendo eco del fin de la moratoria contemplada en la Ley 10/2021, de 9 de julio, de trabajo a distancia, la llamada “Ley del teletrabajo” para que las empresas se adapten y evitar sanciones desde este momento.

En efecto, la ley, que entró en vigor el día siguiente al de su publicación en el BOE (esto es, el 10 de julio), y a la que ya hicimos referencia en nuestro artículo del mes de julio (https://equalprotecciondedatos.com/ley-de-trabajo-a-distancia-y-proteccion-de-datos/) daba un plazo de tres meses para llevar a cabo dicha adaptación, que finaliza en octubre. Además, en lo que respecta al régimen sancionador entraba en vigor el día 1 de octubre, tal y como establece la Disposición final decimocuarta.

¿ES LO MISMO TELETRABAJO Y TRABAJO A DISTANCIA?

Antes de hacer referencia a lo que la norma obliga a las empresas, y en especial a las referencias a la normativa de protección de datos, conviene detenerse un momento en las definiciones de “trabajo a distancia”, “teletrabajo” y “trabajo presencial”, ya que a menudo los conceptos se confunden

El artículo 2 de la Ley establece al respecto:

a) «Trabajo a distancia»: forma de organización del trabajo o de realización de la actividad laboral conforme a la cual esta se presta en el domicilio de la persona trabajadora o en el lugar elegido por esta, durante toda su jornada o parte de ella, con carácter regular.

b) «Teletrabajo»: aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.

c) «Trabajo presencial»: aquel trabajo que se presta en el centro de trabajo o en el lugar determinado por la empresa.

Es decir, el llamado “teletrabajo” no es, de acuerdo a la ley, si no una forma de trabajo a distancia en la que se emplean, de forma exclusiva o al menos mayoritaria, medios y herramientas informáticas.

Ahora bien, ¿es “trabajo a distancia” el desempeño puntual de las funciones laborales? La ley nos aclara en su artículo 1º que se entenderá por trabajo a distancia aquel  que se preste, en un periodo de referencia de tres meses, un mínimo del treinta por ciento de la jornada, o el porcentaje proporcional equivalente en función de la duración del contrato de trabajo.

Si no se llega a este porcentaje no se podrá considerar trabajo a distancia, como tampoco se aplica por el momento a empresas cuyas plantillas comenzaron a trabajar a distancia como consecuencia de las medidas de contención sanitaria derivadas de la pandemia, a las que les seguirá siendo de aplicación la normativa laboral ordinaria, teniendo en cuenta que si una vez levantadas las restricciones por la misma pretenden continuar en esta modalidad, sí deberán acogerse y adaptarse a la Ley del teletrabajo.

LEY DEL TELETRABAJO Y PROTECCION DE DATOS

Pues bien, dicho lo anterior a efectos de aclarar dudas que aún hoy son motivo de consulta, interesa poner de relieve que, dentro de las obligaciones que la Ley del teletrabajo impone a las empresas, la más importante, y que más quebraderos de cabeza parece estar dando, es la obligación de que la situación laboral de trabajo a distancia o teletrabajo quede plasmada en un acuerdo por escrito que puede ser anexado al contrato laboral de la persona trabajadora. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

Este acuerdo por escrito, que toda empresa debe tener a disposición en un plazo de tres meses desde que nace la obligación (bien aquellas empresas que ya tenían personal en teletrabajo, siempre que este no fuera a causa de la pandemia), o bien quienes comiencen una nueva relación laboral en esas condiciones (algo cada vez más habitual),tiene un contenido mínimo que recoge el artículo 7 de la Ley. 

Cuestiones como la duración, el lugar de trabajo elegido por el empleado o medios de control empresarial son fundamentales y deben aparecer en dicho acuerdo de manera preceptiva. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

En lo que respecta a la NORMATIVA DE PROTECCIÓN DE DATOS hay que destacar dos importantes cuestiones:

1.- Facilitar un procedimiento en materia de protección de datos a las personas que vayan a trabajar a distancia y que sea específicamente aplicable a esta modalidad de trabajo. Cuestión importante es que la ley contempla que, si existe representación legal de los trabajadores, debe contarse con su participación en la elaboración de estas instrucciones. Este procedimiento debe constar en el citado acuerdo escrito entre trabajador y empresa.

2.- Establecer y distribuir una política de desconexión digital, que ya la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establecía, pero que en la ley del Teletrabajo cobra más fuerza e importancia.

A los dos puntos anteriores hay que sumarle que también es preceptivo, y debe incluirse en ese acuerdo escrito entre las partes, unas instrucciones dictadas por la empresa sobre seguridad de la información, específicamente aplicables en el trabajo a distancia. En este caso no se exige contar y negociar con la representación legal de los trabajadores, si existe, pero sí se les debe informar previamente a su aprobación.  

¿QUÉ OCURRE CON EL CONTROL HORARIO?

Por último, la Ley del Teletrabajo habla de la necesidad y obligatoriedad de la flexibilidad horaria. Siendo cierto que se indica como obligatoria esta flexibilidad para el trabajador, también lo es que, como todo derecho, este no es absoluto, ya que la empresa puede fijar tiempos de disponibilidad.

Para ello se recomienda el uso de una aplicación que pueda ser utilizada con este fin, no siendo operativo en estas situaciones de trabajo a distancia la firma en una hoja de control, como en numerosas ocasiones se hace en trabajo presencial.


No es necesario que la empresa informe al trabajador sobre el uso que le da a la videovigilancia

Si el trabajador tiene conocimiento de la existencia de cámaras de videovigilancia, con las que pueda estar siendo grabado en el desempeño de sus funciones en el puesto de trabajo, la empresa no está obligada a informar sobre el uso que se da a dicho sistema de videovigilancia, pudiendo ser las imágenes utilizadas en un procedimiento judicial.

El Tribunal Supremo, en sentencia de 21 de Julio de 2021, indica que el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de 2018, establece que en el supuesto de que se haya captado mediante sistema de videovigilancia la comisión flagrante de un acto ilícito por parte de los trabajadores, se entenderá cumplido el deber de informar siempre que el trabajador sea consciente de la existencia de dicho sistema.

El ponente, el magistrado García-Perrote Escartín, indica que la sentencia del Tribunal Constitucional 39/2016, 3 de marzo de 2016, así lo reconoce.

De cara a que al trabajador le conste la existencia de un sistema de videovigilancia, y en cumplimiento de la Ley en materia de protección de datos, la empresa deberá colocar un dispositivo informativo indicando la existencia de un sistema de videovigilancia, en lugar suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos.

Adicionalmente, el magistrado, considera que en determinadas circunstancias, tal y como establece la sentencia del Tribunal Europeo de Derechos Humanos (TEDH ), en la sentencia de su Gran Sala de 17 octubre 2019 (López Ribalda II), no es preciso que la empresa indique al trabajador la existencia y localización de determinadas cámaras, sin que ello conlleve la nulidad como prueba de la grabación.

Cuestión distinta es que, para cumplir con la normativa de protección de datos y en concreto con el deber de informar, sí se deberá facilitar a los trabajadores la finalidad o finalidades concretas de las grabaciones de cara a evitar posibles consecuencias en este ámbito.

Whatsapp sancionada por falta de transparencia

La Comisión de Protección de Datos (CPD) de Irlanda, ha sancionado a Whatsapp con una multa de 225 millones de Euros por falta de transparencia.

Una opacidad mostrada tanto a la hora de informar sobre el tratamiento que da a los datos personales de usuarios y no usuarios, como a la hora de especificar que datos se transfieren entre Whatsapp y otras redes sociales del grupo como Facebook e Instagram.

Esta multa es la segunda de mayor cuantía impuesta por el organismo regulador en aplicación del Reglamento General de Protección de Datos (RGPD) , solo habiendo sido superada por la multa impuesta a Amazon por el CNPD, autoridad de protección de datos de Luxemburgo, por valor de 746 millones de Euros.

Whatsapp no solo ha sido multado, si no que se le ha impuesto una orden de cara a que corrija su normativa y procesos adaptándolos al RGPD.

UN LARGO PROCESO

La sanción es resultado de una investigación iniciada por la autoridad irlandesa en 2018, de cara a averiguar si Whatsapp cumplía con el RGPD, habiendo propuesto en un primer momento una sanción de 30-50 millones de Euros.

Dicha propuesta, al afectar la vulneración del Reglamento a toda Europa, fue compartida con las distintas autoridades de control de diversos países europeos, mostrando estos su desacuerdo con la autoridad irlandesa.

La principal disputa versaba sobre la gravedad y alcance del no ajuste al Reglamento por parte de Whatsapp, así como sobre la cuantía de la sanción.

Al no existir acuerdo entre los distintos organismos reguladores se hubo de acudir al Comité Europeo de Protección de Datos, tomando este la decisión de elevar la sanción a 225 millones de Euros.

WHATSAPP SE DEFIENDE

Whatsapp, en un comunicado, ha indicado que la sanción se basa en el nivel de detalle de políticas vigentes hace tres años, habiendo sido su política de privacidad actualizada recientemente.

La compañía asegura que trabaja para garantizar la máxima transparencia en la información que facilita a sus usuarios, manifestando no estar de acuerdo con la sanción, al considerarla desproporcionada.

A lo largo de este año, tanto Facebook como Whatsapp han sido objeto de diversas polémicas en relación a la protección de datos, todo ello a causa del anuncio por parte de la aplicación de mensajería de cambios en su política de privacidad y condiciones de uso.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD Sanciona a una Pyme por no facilitar la información necesaria al recibir curriculums

Sabemos que el deber de información nunca está excluido cuando recabamos datos de carácter personal de cualquier cliente, empleado, proveedor, etc…

Tampoco existe exclusión cuando recibimos curriculums vitae, bien en un proceso de selección determinado, bien de manera espontánea.

Esto, que con la normativa de protección de datos en la mano conocemos, con frecuencia pasa desapercibido y nos olvidamos de la importancia de facilitar la información contemplada en el artículo 13 del RGPD, también en este tipo de situaciones.

Ahora, la Agencia Española de Protección de Datos nos lo viene a recordar a través de una resolución en la que acuerda sancionar a una empresa con 2.000€ precisamente por no “dar acuse de recibo” de los curriculums que recibía, y por tanto, no facilitando dicha información obligatoria.

Y es que, si bien es el interesado quién facilita su curriculum, llevando a cabo por tanto un acto afirmativo, que es libre y voluntario, lo cual posibilita que la empresa destinataria tenga una base de legitimación para el tratamiento, al menos de inicio, lo que, insistimos, no admite excepción es el deber de informar al candidato sobre el tratamiento que haría de sus datos. En concreto, la información contemplada en el citado artículo 13 del RGPD es, entre otra, la identidad y los datos de contacto del responsable del tratamiento, los fines y la base jurídica del tratamiento, el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado.

En este caso concreto, el interesado accedió a una oferta de empleo y, siguiendo las instrucciones facilitadas por la empresa, envió su curriculum a través de Whatsapp.

La empresa nunca respondió a dicho mensaje, y por tanto faltó a su deber de informar, lo que dio lugar a una reclamación por parte de este que finalizó en la mencionada sanción.

En concreto en su resolución la AEPD entiende que la empresa había infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».

Cierto es que la sanción bien podía haber sido mayor, pero en este caso se tuvo en cuenta que la empresa sancionada no tenía reclamaciones anteriores, que es una pequeña empresa y que no buscó con su conducta buscar un beneficio propio, por lo que se “gradúa” la multa hasta esos 2.000€.

Es importante resaltar que, al igual que ocurre en un número muy elevado de procedimientos que acaban en sanción, la empresa en cuestión tampoco respondió al requerimiento de información sobre el caso que le remitió la Agencia, lo que pone de relieve la vital importancia de, siempre y en todo caso, dar respuesta en tiempo y forma a cualquier requerimiento que podamos recibir.

AEPD Sanciona a la COPE por no gestionar la instalación de cookies correctamente

La Agencia Española de Protección de Datos ha sancionado a la cadena Cope por no gestionar de manera correcta, tal y como marca la LOPD y el RGPD, la instalación de cookies en los dispositivos utilizados por los visitantes de la web www.cope.es. La sanción asciende a 2000 Euros.

Las sanciones impuestas por una incorrecta gestión del consentimiento de instalación de cookies están aumentando, por experiencia propia podemos afirmar que actualmente las webs que cumplen la normativa son una excepción.

El uso de fórmulas de consentimiento tácito, el no permitir decidir al usuario que cookies pueden ser instaladas en su equipo, la redacción de una política de cookies incompleta e incluso la no existencia de banner de aviso de instalación de cookies es algo con lo que nos encontramos día a día.

Por todo ello de manera gratuita realizamos un análisis del estado del consentimiento de instalación de cookies en tu web https://equalprotecciondedatos.com/cookies-gratis/

Nueva multa millonaria por parte de la AEPD

La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.

Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).

En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.

Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:

En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente

Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.

Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados ​​al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.

Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.

María Galera Meléndez, Redacción Equal.

La AEPD sanciona con 3.000€ a una asesoría que envía por email documentación de un cliente por error

Las denuncias de clientes son la causa de la mayor parte de las sanciones que reciben los autónomos por parte de la Agencia Española de Protección de Datos (AEPD).

En este caso, nos encontramos con un procedimiento sancionador de la AEPD (PS 483/2020), que comienza con la reclamación de uno de los clientes de una asesoría fiscal, laboral y contable de Barcelona, el cual solicitó documentación necesaria para unos trámites ante Hacienda a dicha entidad, y ésta, vía correo electrónico le remitió un documento en el que aparecen datos personales de un tercero, también cliente de la misma asesoría.

Una vez recibida la reclamación, la Subdirección General de Inspección de Datos, requirió una serie de documentos a la asesoría para remitírselos a la Agencia, tales como informes sobre las causas motivadoras de la incidencia y las medidas de seguridad tomadas. Tras no recibir respuesta por parte de la asesoría, la directora de la AEPD admitió a trámite la reclamación e inició el procedimiento sancionador.

El objeto del procedimiento es la divulgación de los datos personales del tercero, vulnerando de esa manera el deber de confidencialidad recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), cuyo objeto es evitar que se difundan datos sin consentimiento de su titular, deber también recogido en el artículo 5.1.f) del Reglamento General De Protección de Datos (RGPD), donde podemos encontrar entre los principios básicos relativos al tratamiento de los datos, el de integridad y confidencialidad, que recoge que los datos personales serán “ tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.”

Ese deber de confidencialidad, declara la Agencia, es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La infracción de los principios básicos para el tratamiento de los datos, recogidos en el artículo 5 del RGPD que ha llevado a cabo esta gestoría con su equivocación, está tipificada en la LOPDGDD como infracción muy grave (art. 72) y el RGPD en su artículo 83.5 a) la considera sancionable con multas administrativas de 20.000.000€ como máximo o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Como consecuencia, la Agencia impone a esta asesoría catalana una multa de 2.000€.

Por otra parte, la asesoría incurre en otra infracción al vulnerar el artículo 32 del Reglamento, que expone que los responsables del tratamiento deben aplicar “las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, y pone algunos ejemplos como la seudonimización y el cifrado de datos personales. En este caso la AEPD entiende que ha fallado la seguridad del tratamiento al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de un tercero, al ser remitido correo permitiendo el acceso al documento que los contenía con quebrantamiento de las medidas de seguridad.

El incumplimiento de las obligaciones del responsable y del encargado recogidas en el artículo 32 del Reglamento es considerada infracción grave por la LOPDGDD en su artículo 73 y sancionable con multas administrativas de 10.000.000 € como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, según el artículo 83.4. a) del citado RGPD. Por ello, la Agencia le impone a esta entidad una multa de 1.000€.

En total una multa de 3.000€ que podría haber sido evitada con la debida diligencia. A diario nos encontramos con resoluciones similares por parte de la AEPD que nos indican que no hay que relajarse en el cumplimiento de la normativa de protección de datos (y menos como empresa responsable del tratamiento de los datos personales de los clientes), ya que es una materia que está adquiriendo más importancia cada día y sobre la que la población está cada vez más concienciada.

María Galera Meléndez, Redacción Equal.

Multa de 15.000€ a una comunidad de propietarios por parte de la AEPD

Empresa no respeta el derecho de supresión ejercido por un excliente y es sancionada por la AEPD

En este procedimiento la AEPD decide sancionar a una empresa por seguir mandando mails comerciales a un excliente que había solicitado que todos sus datos fuesen eliminados de la base de datos de la empresa sancionada :

Procedimiento Nº: PS/00304/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES

Leer más

Licitud del tratamiento de datos personales

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, Reglamento General de Protección de Datos establece en su CAPÍTULO II, artículo 6 lo siguiente :

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a
petición de este de medidas precontractuales; Leer más

La AEPD apercibe a una empresa al no tener las cookies de su web adecuadas al RGPD

 

Resolución por parte de la AEPD en la que apercibe, sin llegar a sancionar, a una empresa debido a no informar adecuadamente sobre el uso y cookies instaladas en su Web.

RESOLUCIÓN: R/00465/2019 En el procedimiento A/00014/2019, instruido por la Agencia Española de Protección de Datos a la entidad I.S.G.F. INFORMES COMERCIALES, S.L.y en virtud de los siguientes, ANTECEDENTES

PRIMERO: Con fecha 17 de diciembre de 2019 se registra de entrada en la Agencia Española de Protección de Datos reclamación formulada por Don A.A.A., (en lo sucesivo, el reclamante), dando cuenta que al visitar la página web https://isgf.es, Leer más