No suprimir los datos de clientes, sale caro. La AEPD sanciona a Bankia con 50.000 euros.

Publicado en Blog
by
Martes, 22 Septiembre 2020
Visto 226 veces

Conservar datos de clientes cuando estos dejan de ser necesarios para la finalidad para la que fueron recabados, tiene su repercusión. Esta lógica afirmación, se encuentra fundamentada tanto en el Reglamento General de Protección de datos 2016/679 (en adelante, RGPD) cómo en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española 3/2018 (en adelante, LOPDGDD). Así, en el presente blog, centramos nuestra atención en el análisis de un reciente procedimiento sancionador (PS/00076/2020) emitido por nuestra autoridad de control, la Agencia Española de Protección de Datos (en adelante, la AEPD) contra la entidad financiera Bankia, S.A.

Este pronunciamiento tiene su punto de partida en la reclamación interpuesta por un interesado ante la AEPD, contra la conocida entidad financiera. El afectado, basa su denuncia en que, su relación con la entidad financiera finaliza hace 16 años y que cuando, por motivos personales, vuelve a retomarla, la propia entidad le comunica que, su número interno de cliente sigue activo y que, por tanto, los datos vinculados al mismo se mantenienen en sus ficheros, no sabiendo, la entidad explicarle el motivo de tal situación. 

Ante el hecho de que la entidad haya mantenido sus datos durante 16 años sin una finalidad aparente, el ahora afectado, presenta denuncia ante la AEPD, en fecha 20 de septiembre de 2019, que fue trasladada, por parte de la Subdirección General de Inspección de Datos, a la reclamada para que esta esgrimiese una justificación al respecto y pudiese aclarar el motivo de la conservación de los datos del reclamante durante un proceso en el que este había dejado ya de ser cliente de la entidad.

Indica la entidad financiera, que si bien es cierto que mantenían información relativa al reclamante, esta se encontraba debidamente bloqueada conforme a lo establecido en el artículo 32 de la LOPDGDD que impone, al responsable del tratamiento, la obligación de bloquear los datos cuando proceda a su rectificación o supresión.

A la vista de la fundamentación esgrimida por la entidad, la AEPD acuerda el inicio de procedimiento sancionador por una supuesta infracción del principio de limitación de la finalidad desarrollado en el artículo 5.1 b) del RGPD.

La entidad financiera presenta escrito de alegaciones mediante el que manifiesta, entre otras cuestiones, que cuenta con una política de conservación de la información cuyos objetivos radican en conservar la información durante los plazos exigidos en cada caso, y siempre aplicando las medidas esenciales para garantizar la seguridad de la información. Alega, además que, el mencionado documento recoge la obligación de bloquear los datos personales de sus clientes una vez se cancelan los distintos productos o servicios contratados por estos, y siempre adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas, lo que, a sus ojos, resulta plenamente coincidente con lo establecido en el artículo 32 de la LOPDGDD.

Centrándonos en la fundamentación emitida por la AEPD en su resolución, considera esta que la entidad reclamada incurre en los siguientes incumplimientos:

La búsqueda de una legitimación para las transferencias internacionales. El caso Facebook.

Publicado en Blog
by
Jueves, 17 Septiembre 2020
Visto 109 veces

Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.

Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.

Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.

Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.

Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.

¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.

Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):

Página 1 de 174

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal