¿Aún no tienes designado un Delegado de Protección de Datos? La AEPD está sancionando por ello.

Publicado en Blog
by
Viernes, 27 Noviembre 2020
Visto 202 veces

Como ya sabemos, la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) supuso un cambio de paradigma en las normativas nacionales de protección de datos de los países miembros de la Unión Europea.

Una de las novedades más destacadas fue la creación imposición obligatoria, para determinados sujetos, de la figura del Delegado de Protección de Datos (DPD), una figura encargada de informar, asesorar, supervisar el cumplimiento normativo, así como cooperar y actuar como punto de contacto con la autoridad de control (Agencia Española de Protección de Datos [AEPD]).

Si bien es cierto que el RGPD establece (arts. 37-39) las circunstancias en las cuales se debe designar dicha figura en algunas entidades, así como la posición que ostenta en la misma y las funciones que le son asignadas, no es sino en nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) donde se establece de manera pormenorizada un listado de aquellas entidades que deben tener designado un DPD, todo ello bajo el amparo de lo dispuesto en el propio RGPD, donde se permite a los Estados Miembros un margen de actuación a la hora de ampliar los supuestos en los que se debe designar dicha figura.

Como indicábamos, tanto el RGPD cómo la LOPDGDD, recogen supuestos de designación obligatoria de esta figura.

  • Artículo 37 RGPD – El responsable y encargado del tratamiento designarán un DPD en las siguientes casuísticas:
  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicialLas actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
  • Artículo 34 LOPDGDD - Establece un listado de aquellas entidades que, debido al tratamiento de datos que realizan, están obligadas por ley a tener designado un DPD:
  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes (públicos y privados) que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.
  • En el presente artículo nos centraremos en dos casos recientes en los cuales la AEPD sanciona a dos entidades obligadas en virtud de los citados artículos, concretamente en lo relativo a entidades que tratan habitual y sistemáticamente datos a gran escala (artículo 37.1.b RGPD), así como empresas de seguridad privada (artículo 34.1 letra ñ LOPDGDD) y que no habían cumplido con su obligación de designar un Delegado de Protección de Datos:

  • 1. Sanción de 25.000€ por incumplimiento del artículo 37.1.b del RGPD a la empresa GLOVO.

¡Cuidado con las Cookies! La AEPD multa con la máxima sanción prevista por no cumplir con la norma y sus recomendaciones.

Publicado en Blog
by
Lunes, 23 Noviembre 2020
Visto 529 veces

La Agencia Española de Protección de Datos (AEPD), además de tener potestad sancionadora en caso de que se infrinja lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD); también le corresponde la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI).

La LSSI entra en vigor hace ya casi dos décadas, concretamente en el año 2002, y ha ido sufriendo en el tiempo una serie de modificaciones de muy diversa índole en su articulado y, especialmente si nos centramos en uno de sus artículos más importantes en la materia que nos ataña, esto es el artículo 22, referido a los derechos de los destinatarios de los servicios.

En 2012, a raíz de la publicación del Real Decreto Ley 13/2012, “se exige el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información en el equipo de usuario y permiten que se acceda a ésta (las cookies)”; pues con su uso pueden desvelarse aspectos de la esfera privada de los usuarios y adquiere importancia que estos estén informados y dispongan de mecanismos que les permitan preservar su privacidad.

Por otra parte, con la entrada en vigor de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, se configura la redacción del apartado segundo del artículo 22:

  • Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, siempre que se cuente con su consentimiento y tras haberles facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.
  • Cuando sea técnicamente posible y eficaz, el consentimiento para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Hasta la aprobación del RGPD era válido obtener el consentimiento tácito del interesado a través de la inacción del mismo, siempre y cuando se hubiera informado con carácter previo. Sin embargo, tal y como analizamos en una de nuestras publicaciones de este blog (ver aquí), ante el nuevo escenario en el que nos encontrábamos con el cambio normativo en materia de protección de datos personales, la AEPD publicaba con fecha 8 de noviembre de 2019 una Guía sobre el uso de las cookies (la Guía), con el fin de ofrecer ciertas orientaciones, partiendo de la base de que el consentimiento ahora debe ser recabado mediante una clara acción afirmativa, manifestación de voluntad libre, específica, informada e inequívoca del interesado.

También, en línea de lo expuesto en la Guía, la forma más sencilla para el suministro de la información y la obtención del consentimiento por parte del usuario para la instalación de las cookies es la llamada “información en dos capas”.

Atendiendo a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD), esta Guía ha sido actualizada y adaptada por la AEPD en julio de 2020, estableciéndose nuevos criterios al respecto.

NUEVOS CRITERIOS

  1. En cuanto a la validez de la fórmula “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios, el Comité considera que no constituye, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario.
  1. Respecto a la opción de utilizar los conocidos como “muros de cookies”, esto es, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

No podrán entonces utilizarse “muros de cookies" que no ofrezcan una alternativa al consentimiento. Este criterio es aún más relevante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario.

  1. No obstante, puede haber determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

Conviene aclarar que, en ningún caso es o será lícito que el servicio lo ofrezca una entidad ajena.

La AEPD emitía su primera resolución sancionadora por una infracción del artículo 22.2 LSSI en el año 2014 (ver aquí), y desde entonces, no hemos parado de ver y analizar resoluciones relacionadas y que sin duda han ido sentando jurisprudencia en la materia.

De hecho, una de las resoluciones más impactantes y trascendentes, y que hoy analizamos en el presente blog, ha sido dictada por la AEPD el pasado mes de octubre a la conocida aerolínea española, IBERIA, por infringirse el artículo 22.2 LSSI. En este caso, además, la entidad se enfrenta por ello a la máxima sanción económica prevista en el artículo 39.1c de la LSSI: 30.000 euros. (ver resolución)

Página 4 de 181

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal