AEPD Sanciona a la COPE por no gestionar la instalación de cookies correctamente

La Agencia Española de Protección de Datos ha sancionado a la cadena Cope por no gestionar de manera correcta, tal y como marca la LOPD y el RGPD, la instalación de cookies en los dispositivos utilizados por los visitantes de la web www.cope.es. La sanción asciende a 2000 Euros.

Las sanciones impuestas por una incorrecta gestión del consentimiento de instalación de cookies están aumentando, por experiencia propia podemos afirmar que actualmente las webs que cumplen la normativa son una excepción.

El uso de fórmulas de consentimiento tácito, el no permitir decidir al usuario que cookies pueden ser instaladas en su equipo, la redacción de una política de cookies incompleta e incluso la no existencia de banner de aviso de instalación de cookies es algo con lo que nos encontramos día a día.

Por todo ello de manera gratuita realizamos un análisis del estado del consentimiento de instalación de cookies en tu web https://equalprotecciondedatos.com/cookies-gratis/

Nueva multa millonaria por parte de la AEPD

La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.

Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).

En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.

Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:

En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente

Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.

Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados ​​al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.

Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.

María Galera Meléndez, Redacción Equal.

La AEPD sanciona con 3.000€ a una asesoría que envía por email documentación de un cliente por error

Las denuncias de clientes son la causa de la mayor parte de las sanciones que reciben los autónomos por parte de la Agencia Española de Protección de Datos (AEPD).

En este caso, nos encontramos con un procedimiento sancionador de la AEPD (PS 483/2020), que comienza con la reclamación de uno de los clientes de una asesoría fiscal, laboral y contable de Barcelona, el cual solicitó documentación necesaria para unos trámites ante Hacienda a dicha entidad, y ésta, vía correo electrónico le remitió un documento en el que aparecen datos personales de un tercero, también cliente de la misma asesoría.

Una vez recibida la reclamación, la Subdirección General de Inspección de Datos, requirió una serie de documentos a la asesoría para remitírselos a la Agencia, tales como informes sobre las causas motivadoras de la incidencia y las medidas de seguridad tomadas. Tras no recibir respuesta por parte de la asesoría, la directora de la AEPD admitió a trámite la reclamación e inició el procedimiento sancionador.

El objeto del procedimiento es la divulgación de los datos personales del tercero, vulnerando de esa manera el deber de confidencialidad recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), cuyo objeto es evitar que se difundan datos sin consentimiento de su titular, deber también recogido en el artículo 5.1.f) del Reglamento General De Protección de Datos (RGPD), donde podemos encontrar entre los principios básicos relativos al tratamiento de los datos, el de integridad y confidencialidad, que recoge que los datos personales serán “ tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.”

Ese deber de confidencialidad, declara la Agencia, es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La infracción de los principios básicos para el tratamiento de los datos, recogidos en el artículo 5 del RGPD que ha llevado a cabo esta gestoría con su equivocación, está tipificada en la LOPDGDD como infracción muy grave (art. 72) y el RGPD en su artículo 83.5 a) la considera sancionable con multas administrativas de 20.000.000€ como máximo o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Como consecuencia, la Agencia impone a esta asesoría catalana una multa de 2.000€.

Por otra parte, la asesoría incurre en otra infracción al vulnerar el artículo 32 del Reglamento, que expone que los responsables del tratamiento deben aplicar “las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, y pone algunos ejemplos como la seudonimización y el cifrado de datos personales. En este caso la AEPD entiende que ha fallado la seguridad del tratamiento al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de un tercero, al ser remitido correo permitiendo el acceso al documento que los contenía con quebrantamiento de las medidas de seguridad.

El incumplimiento de las obligaciones del responsable y del encargado recogidas en el artículo 32 del Reglamento es considerada infracción grave por la LOPDGDD en su artículo 73 y sancionable con multas administrativas de 10.000.000 € como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, según el artículo 83.4. a) del citado RGPD. Por ello, la Agencia le impone a esta entidad una multa de 1.000€.

En total una multa de 3.000€ que podría haber sido evitada con la debida diligencia. A diario nos encontramos con resoluciones similares por parte de la AEPD que nos indican que no hay que relajarse en el cumplimiento de la normativa de protección de datos (y menos como empresa responsable del tratamiento de los datos personales de los clientes), ya que es una materia que está adquiriendo más importancia cada día y sobre la que la población está cada vez más concienciada.

María Galera Meléndez, Redacción Equal.

EL “PASAPORTE VERDE EUROPEO” YA ES UNA REALIDAD

Desde el inicio de la pandemia hemos escuchado hablar de la posible creación de un “pasaporte de vacunación” que daría la posibilidad de viajar a las personas ya vacunadas contra la COVID-19, y finalmente, el Parlamento ha aprobado la propuesta que la Comisión Europea presentó en Marzo:

El Certificado Verde Digital (“Digital Green Pass”).

A raíz de las restricciones a la libre circulación transfronteriza, y ante su persistencia en el tiempo por razones de salud pública, la Unión Europea (UE) se encuentra con la necesidad de expedir certificados interoperables, seguros y verificables que permitan la movilidad de los ciudadanos entre los Estados miembro. Así, la Comisión Europea ha puesto en marcha la elaboración de este certificado digital, con el fin de que pueda comenzar a utilizarse este verano de 2021. Un sistema unificado válido para todos los países de la Unión.

La base jurídica de este proyecto se encuentra en el artículo 21 del Tratado de Funcionamiento de la Unión Europea (TFUE): El derecho de todo ciudadano de la Unión a la libre circulación en territorio de los Estados miembro. Esto conlleva gran importancia ya que implica que el único uso que se puede hacer de estos certificados sea la libre circulación transfronteriza y nunca otras finalidades (se admite que los Estados regulen otros usos si se procuran una base jurídica legitimadora diferente para los posibles usos posteriores)

La principal característica de este “pase verde” y la que da solución a una de las grandes preocupaciones de los ciudadanos, consiste en que no es un pasaporte de vacunación. Esta iniciativa consiste en una propuesta de expedición decertificados sobre vacunación, pruebas y recuperación, es decir, hay tres posibilidades: has sido vacunado, tienes una prueba PCR negativa reciente o has pasado la enfermedad y una prueba te ha acreditado que tienes anticuerpos. Esta propuesta minimiza el riesgo de discriminación ya que, como actualmente el número de vacunados en los estados miembro de la Unión Europea es muy limitado, si sólo hubiese sido un certificado de vacunación se generaría una situación de desigualdad para ejercer el derecho de libre circulación entre vacunados y no vacunados.

Podremos solicitar esta certificación en formato digital o papel con un código QR interoperable que permitan verificar su autenticidad. Será gratuito y accesible para todos los ciudadanos de la UE y a sus familiares, nacionales de terceros países que residan en la UE y visitantes que tengan derecho a viajar a otros Estados miembro. Se emitirá en inglés, e incluirá:

  • Certificado de vacunación:

Datos identificativos del titular

Datos del medicamento vacunal administrado

Metadatos del certificado (emisor del mismo o identificador único)

Identificación de si se ha completado o no la vacunación

  • Certificado de pruebas:

Datos identificativos del titular

Identificador de la prueba realizada

Metadatos del certificado (emisor del mismo o identificador único)

  • Certificado de recuperación:

Datos identificativos del titular

Información sobre la infección anterior por COVID-19

Metadatos del certificado (emisor del mismo o identificador único)

Expedición previa solicitud a partir d 11 días después de prueba positiva de infección por COVID-19

Desde el punto de vista de la protección de datos, los datos referentes a la salud son reconocidos como datos sensibles por la normativa de protección de datos vigente en la Unión Europea. Para salvaguardar la privacidad, la Comisión:

  • Ofrece un sistema de certificados digitales descentralizados
  • Plantea como finalidad del tratamiento verificar la información para facilitar el derecho a la libre circulación
  • Propone que el certificado contenga el mínimo esencial de información
  • Delimita como únicas entidades que pueden tratar los datos personales a las Autoridades competentes del Estado miembro de destino y los Operadores transfronterizos de servicios de transporte de viajeros (aerolíneas y navieras)
  • Respecto a la conservación de los datos expone que se limitará al tiempo necesario para cumplir con su finalidad, en todo caso, deberá suspenderse cuando la OMS declare el final de la pandemia

Con la aprobación del Parlamento, el Certificado Verde Digital ya es una realidad, y sólo queda confiar en que esté listo para su puesta en marcha de cara a las próximas vacaciones de verano.

María Galera Meléndez, Redacción Equal.

Multa de 3.000€ a una asociación cultural por difundir sin consentimiento imágenes de un menor

En el marco del procedimiento nº PS-00405-2020, la Agencia Española de Protección de Datos (AEPD) ha sancionado a una asociación cultural con 3.000€ de multa, por difundir imágenes de un menor de 4 años, sin el consentimiento de sus padres, en chats con más de 400 usuarios.

La discordia comienza en 2019 cuando uno de los progenitores del menor interpone reclamación  ante la AEPD contra la asociación cultural donde su hijo recibe clases de chino, con motivo de la difusión, desde el número de una de las profesoras del centro,  de imágenes del menor en tres grupos de Wechat (aplicación de mensajería instantánea similar a Whatsapp),  grupos con alcance a más de 400 personas de media. Las imágenes del menor estaban parcialmente tapadas con una pegatina digital, pero aún así el menor seguía siendo perfectamente identificable. Además, la reclamante se había dirigido a la Asociación solicitando la retirada de las imágenes, habiendo sido desatendida su petición.

Esta primera reclamación fue archivada por la AEPD al no apreciarse elementos que permitieran investigar una vulneración de los derechos.

La reclamante interpone recurso de reposición reiterando los argumentos expuestos y añadiendo pruebas de que se habían vuelto a publicar imágenes de su hijo en los grupos de Wechat, esta vez acompañados de comentarios sobre el mal comportamiento del menor. Este recurso es estimado por la Agencia y se abre un nuevo expediente. En virtud de los poderes de investigación otorgados a las autoridades de control por el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos.

La Agencia Española de Protección de Datos resuelve imponiendo una sanción a la Asociación Cultural de una multa de 3.000€, por el uso no autorizado de la imagen del hijo menor de edad del reclamante, sin la legitimación legal exigida al efecto.

La sanción se basa en el incumplimiento de los siguientes preceptos del RGPD, referidos al consentimiento como base legitimadora del tratamiento de datos personales de un menor:

  • El artículo 6.1.a) que impone que el tratamiento de los datos personales será lícito si el interesado dio su consentimiento para uno o varios fines específicos
  • El artículo 8.1 que expone que, cuando se aplique el mencionado artículo 6.1.a) y el niño sea menor de 15 años, el tratamiento únicamente será licito si han prestado consentimiento los titulares de su patria potestad o tutela

Además del incumplimiento de ambos preceptos, la Agencia atribuye a la Asociación reclamada dos agravantes que encontramos en el referido RGDP:

  • La acción negligente no intencional, pero significativa del artículo 83.2.b)
  • La afectación a identificadores personales básicos, en este caso la imagen del menor, según el artículo 83.2 g).

Con todo esto, incurren en una infracción tipificada como “muy grave” en el RGDP, que justifica la decisión por parte de la AEPD.

María Galera, Redacción Equal.

Protección de datos y Brexit ¿En qué situación está Reino Unido?

Reino Unido había traspuesto el Reglamento Europeo de Protección de Datos (RGPD) a su regulación doméstica (Data Protection Act 2018), contando también con una norma nacional complementaria de protección de datos adaptada al RGPD, muy similar a lo llevado a cabo por el resto de los países comunitarios, siendo de aplicación ambas normas.

El 31 de enero de 2020 entra en aplicación el acuerdo del Brexit por el que Reino Unido abandona la Unión Europea (UE),  en ese acuerdo se establece un periodo transitorio de un año de aplicación de toda la legislación de la UE en Reino Unido, por lo tanto, durante todo el pasado año 2020, la normativa en materia de protección de datos se reconocía tal y como se venía aplicando anteriormente.

Tras este año de transición, el 1 de enero de este año, el Reino Unido abandonó el mercado único y la unión aduanera de la UE, así como todas sus políticas. Como consecuencia de ello, perdió todos los derechos y beneficios que tenía como Estado miembro de la UE y no podrá acogerse a los acuerdos internacionales de la Unión.

Con el fin de limitar las perturbaciones en la medida de lo posible, se ha firmado un «Acuerdo de Comercio y Cooperación» (TCA – Trade and Cooperation Agreement) entre la Unión Europea y el Reino Unido

Con este panorama, Reino Unido se encuentra en la situación de que el RGPD ya no es de su obligado cumplimiento como si lo es para el resto de países de la Unión, por lo que sería necesario que apruebe una norma de protección de datos que englobe tanto el ámbito del Reglamento como de su norma adicional.

El mencionado TCA tiene un régimen profesional o más bien una “cláusula puente” que garantiza la plena continuidad de los flujos de datos entre el Espacio Económico Europeo y el Reino Unido sin necesidad de que las empresas y autoridades públicas necesiten poner en marcha ninguna otra  herramienta de transferencia, pero esta solución es aplicable exclusivamente por un periodo máximo de 6 meses, que finalizará el 30 de junio de 2021

De  cara al futuro, el pasado 19 de febrero, la Comisión inicio el procedimiento para la adopción de dos decisiones de adecuación de transferencias de datos personales al Reino Unido: La primera para poder realizar transferencias internacionales de datos, de conformidad y con las garantías que nos ofrece el RGPD, y la segunda para los datos en el ámbito penal y judicial (en aplicación de la Directiva 680/2016, que en España aún no ha sido traspuesta)

En este momento por lo tanto y hasta el 30 de junio, se pueden hacer transferencias internacionales de datos a Reino Unido como si se tratase de movimientos transfronterizos dentro del Espacio Económico Europeo, a la espera de que se aprueben las decisiones de adecuación por parte de las autoridades europeas para dar viabilidad a las futuras transferencias internacionales con el país.

María Galera, Redacción Equal.

Apple obliga a las aplicaciones a pedir permiso al usuario para rastrearle

 

 

El gran cambio en materia de privacidad llega esta primavera de la mano de Apple: las aplicaciones tendrán que pedir permiso expreso a los usuarios a través de iOS cada vez que deseen rastrear sus datos.

Esta novedad se llama App Tracking y consiste básicamente en dejar que el usuario decida. Este poder de decisión puede suponer un punto y aparte en la relación entre uso de aplicaciones y privacidad, ya que todos los dueños de dispositivos Apple van a poder conocer qué información personal están ofreciendo a las empresas y decidir mediante un simple “clic” si quieren seguir haciéndolo o no. Leer más

Pacto Digital Agencia Española de Protección de Datos

 

 

El pasado 28 de enero, la Agencia Española de Protección de Datos, en el marco del I Foro de Privacidad, Innovación y Sostenibilidad, lanzó el Pacto Digital Para la Protección de las Personas. Esta iniciativa tiene como finalidad fomentar  el compromiso con la privacidad de las empresas en sus políticas de sostenibilidad y modelos de negocio Leer más

Empresa no respeta el derecho de supresión ejercido por un excliente y es sancionada por la AEPD

En este procedimiento la AEPD decide sancionar a una empresa por seguir mandando mails comerciales a un excliente que había solicitado que todos sus datos fuesen eliminados de la base de datos de la empresa sancionada :

Procedimiento Nº: PS/00304/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES

Leer más

La AEPD lanza la campaña «El control es tuyo, que no te controlen»

La Agencia Española de Protección de Datos ha anunciado, en un comunicado de fecha 30 de septiembre, el lanzamiento de la campaña “El control es tuyo, que no te controlen”.

Esta campaña, que la Agencia pone en marcha junto con el Ministerio de Educación, el Ministerio de Igualdad y la Asociación para el fomento del uso saludable de las Tecnologías de la Información y la Comunicación EscuelaTIC (PantallasAmigas), se dirige a los jóvenes, menores y adolescentes fundamentalmente, y tiene como objetivo ayudar a detectar y combatir el acoso y la violencia de género digital. Leer más

Procedimiento sancionador por envío de correo electrónico sin copia oculta.

En este procedimiento la AEPD decide apercibir por infracción del artículo 5.1.f) del RGPD al enviarse a los distintos socios de un club deportivo correos electrónicos sin copia oculta,  haciendo accesibles las direcciones de correo personales de todos los socios :

 

Procedimiento Nº: PS/00478/2019
938-051119
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
En el procedimiento sancionador PS/00478/2019, instruido por la Agencia Española de
Protección de Datos, a la entidad CLUB ATLANTIDA SUB DE SANTA CRUZ DE TENERIFE con CIF: G38097754, (en adelante, “la entidad reclamada), por presunta infracción al Reglamento (UE) 2016/679, Leer más

LA PRIVACIDAD EN LA TECNOLOGÍA 5G

La tecnología 5G ya está aquí. Y es indudable que ofrece mejoras a los usuarios, como son la alta velocidad de transferencia, mayor capacidad de conexión y bajo tiempo de respuesta. Asimismo permitirá la puesta en marcha de aplicaciones multimedia o de realidad aumentada, el despegue definitivo del internet de las cosas o la cirugía remota asistida, entre otras.

El avance más significativo sin duda tendrá que ver con la velocidad. El 5G permitirá navegar hasta a 10 GBps, que es hasta 10 veces más rápido que las principales ofertas de fibra óptica actualmente en el mercado. Leer más