¡Cuidado con las Cookies! La AEPD multa con la máxima sanción prevista por no cumplir con la norma y sus recomendaciones.

Publicado en Blog
by
Lunes, 23 Noviembre 2020
Visto 146 veces

La Agencia Española de Protección de Datos (AEPD), además de tener potestad sancionadora en caso de que se infrinja lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD); también le corresponde la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI).

La LSSI entra en vigor hace ya casi dos décadas, concretamente en el año 2002, y ha ido sufriendo en el tiempo una serie de modificaciones de muy diversa índole en su articulado y, especialmente si nos centramos en uno de sus artículos más importantes en la materia que nos ataña, esto es el artículo 22, referido a los derechos de los destinatarios de los servicios.

En 2012, a raíz de la publicación del Real Decreto Ley 13/2012, “se exige el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información en el equipo de usuario y permiten que se acceda a ésta (las cookies)”; pues con su uso pueden desvelarse aspectos de la esfera privada de los usuarios y adquiere importancia que estos estén informados y dispongan de mecanismos que les permitan preservar su privacidad.

Por otra parte, con la entrada en vigor de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, se configura la redacción del apartado segundo del artículo 22:

  • Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, siempre que se cuente con su consentimiento y tras haberles facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.
  • Cuando sea técnicamente posible y eficaz, el consentimiento para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Hasta la aprobación del RGPD era válido obtener el consentimiento tácito del interesado a través de la inacción del mismo, siempre y cuando se hubiera informado con carácter previo. Sin embargo, tal y como analizamos en una de nuestras publicaciones de este blog (ver aquí), ante el nuevo escenario en el que nos encontrábamos con el cambio normativo en materia de protección de datos personales, la AEPD publicaba con fecha 8 de noviembre de 2019 una Guía sobre el uso de las cookies (la Guía), con el fin de ofrecer ciertas orientaciones, partiendo de la base de que el consentimiento ahora debe ser recabado mediante una clara acción afirmativa, manifestación de voluntad libre, específica, informada e inequívoca del interesado.

También, en línea de lo expuesto en la Guía, la forma más sencilla para el suministro de la información y la obtención del consentimiento por parte del usuario para la instalación de las cookies es la llamada “información en dos capas”.

Atendiendo a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD), esta Guía ha sido actualizada y adaptada por la AEPD en julio de 2020, estableciéndose nuevos criterios al respecto.

NUEVOS CRITERIOS

  1. En cuanto a la validez de la fórmula “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios, el Comité considera que no constituye, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario.
  1. Respecto a la opción de utilizar los conocidos como “muros de cookies”, esto es, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

No podrán entonces utilizarse “muros de cookies" que no ofrezcan una alternativa al consentimiento. Este criterio es aún más relevante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario.

  1. No obstante, puede haber determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

Conviene aclarar que, en ningún caso es o será lícito que el servicio lo ofrezca una entidad ajena.

La AEPD emitía su primera resolución sancionadora por una infracción del artículo 22.2 LSSI en el año 2014 (ver aquí), y desde entonces, no hemos parado de ver y analizar resoluciones relacionadas y que sin duda han ido sentando jurisprudencia en la materia.

De hecho, una de las resoluciones más impactantes y trascendentes, y que hoy analizamos en el presente blog, ha sido dictada por la AEPD el pasado mes de octubre a la conocida aerolínea española, IBERIA, por infringirse el artículo 22.2 LSSI. En este caso, además, la entidad se enfrenta por ello a la máxima sanción económica prevista en el artículo 39.1c de la LSSI: 30.000 euros. (ver resolución)

El control laboral como derecho del empleador, no es absoluto. La AEPD lo ratifica.

Publicado en Blog
by
Miércoles, 11 Noviembre 2020
Visto 155 veces

En un mundo como el actual, en constante cambio, es innegable el impacto que la tecnología tiene en el ámbito laboral. El papel que juegan las tecnologías no sólo afecta a la manera en que desarrollamos nuestro trabajo, sino también en el modo en que este es supervisado y, consecuentemente, controlado por el empleador. Así, no es la primera vez que analizamos, en el presente blog, el control laboral, su marco jurídico y la repercusión del mismo en el ámbito de protección de datos de los trabajadores (aquí, aquí y aquí).

En cuanto a métodos de control laboral se refiere, existe una amplia variedad a elección de la empresa o responsable del tratamiento atendiendo a qué es lo que se pretende controlar. Entre ellos: sistemas de videovigilancia, microchips de geolocalización en vehículos y dispositivos de empresa….etc. No obstante, si algo es claro es que no todos los métodos tienen el mismo impacto en nuestra privacidad; porque, admitámoslo, contar con un sistema de videovigilancia en determinados espacios de nuestro trabajo puede aportarnos hasta un cierto grado de seguridad y protección frente a la comisión de hechos ilícitos frente a nuestra persona pero ¿y si lo que controlasen fuesen nuestras palabras? ¿qué ocurriría entonces?.

Bien, esta es la casuística ante la que nos encontramos en el pronunciamiento que analizamos en nuestra publicación de hoy y que fue objeto de denuncia ante la Agencia Española de Protección de Datos (en adelante, AEPD) por parte de la Confederación sindical de la unión general de trabajadores.

El sindicato reclamante denunciaba:

- Por un lado, que se producían grabaciones de conversaciones personales de los trabajadores en su entorno laboral sin que éstos hubiesen prestado su consentimiento ni autorización.
- Por otro, la desinformación, por parte de la empresa, al comité de empresa, sobre el objeto y tratamiento de estas grabaciones.

A la vista de los hechos denunciados, y los documentos aportados por el reclamante, se admite a trámite la denuncia y se inician las investigaciones oportunas, por parte de la autoridad de control, de los argumentos alegados por el reclamante; dando, consecuentemente, traslado de la denuncia a la entidad reclamada.

La entidad reclamada alega que la decisión de incorporar este mecanismo de control responde a los siguientes hechos:

- Una serie de denuncias de las encargadas de turno en relación con agravios recibidos por parte de sus trabajadoras.
- Intento de agresión física que sufre una de las encargadas por parte de una trabajadora.
- Quejas del Comité de Empresa acerca de la forma de dirigirse las Encargadas de turno a las trabajadoras.

Alega, asimismo que todas las conversaciones son en el ámbito de trabajo y que, en ningún caso, se captan conversaciones personales así como que las mismas son conservadas siempre que se detecte alguna conducta vejatoria objeto de denuncia pero que, en ningún caso, se conservan conversaciones que no supongan conductas ilícitas por parte de las trabajadoras.

Analizados los fundamentos de la entidad reclamada, la AEPD acuerda iniciar procedimiento sancionador (PS-00067-2020) a la misma, por un posible incumplimiento del principio de información recogido en el artículo 13 del Reglamento General de Protección de Datos (en adelante, RGPD).

Fundamentos esgrimidos por la AEPD en su procedimiento sancionador.

Página 1 de 177

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal