Fue en los años 80 cuando salió al mercado el primer teléfono móvil analógico de la mano de Motorola, suponiendo toda una revolución, ya que por aquel entonces poder comunicarse desde cualquier lugar y sin cables era algo inédito. Desde entonces, la telefonía móvil ha sufrido un proceso de desarrollo en forma de generaciones, que ha ido coincidiendo en el tiempo con cada una de las décadas.

En cada generación, se han ido descubriendo nuevas funcionalidades, y a su vez, han ido apareciendo nuevas amenazas y riesgos para la privacidad de las personas:

  • La generación 1G (principios de la década de 1980) primaba la funcionalidad, sin tener en cuenta la privacidad.
  • La generación 2G (1991), permitió enviar mensajes de texto a través de los terminales de los usuarios. En esta generación ya se introducen técnicas de cifrado en las comunicaciones que mejoran la confidencialidad, aunque por contra, se sufren los primeros ataques de SPAM y de interceptación de comunicaciones.
  • La generación 3G (2000): aparecen los primeros dispositivos con funcionalidades multimedia. Estos teléfonos también trajeron las primeras vulnerabilidades por código malicioso o de localización por GPS.
  • La generación 4G: (2010) permitía acceso de alta velocidad a Internet, y se implementaron técnicas de cifrado más robustas. Sin embargo, su utilización masiva supuso un aumento de amenazas.
  • La generación 5G se espera que sea el gran canal de comunicaciones de esta década. Desde 2016 se están haciendo pruebas con tecnología 5G en varios países de América, mientras que en Europa llegó para quedarse a principios de 2019.

Las mejoras que 5G ofrece a los usuarios son principalmente tres:

  • Mayor velocidad de transferencia: el 5G permite navegar hasta diez veces más rápido que las actuales ofertas de fibra óptica del mercado. A esta velocidad se podrá, por ejemplo, descargar una película completa en cuestión de segundos.
  • Baja latencia en las comunicaciones: es el tiempo que transcurre desde que se inicia el envío de un mensaje y llega el primer bit a destino. Ese tiempo podría reducirse a 5 milisegundos, un período casi imperceptible, pero que nos permitirá conectarnos prácticamente en tiempo real.
  • Mayor capacidad de conexión: permite aumentar exponencialmente el número de dispositivos conectados en tiempo real.

Estas características propician el despliegue de aplicaciones multimedia o de realidad aumentada que requieren respuestas en tiempo real, así como el despunte definitivo del llamado Internet de las cosas (IoT).

Para poner en marcha las redes 5G, se está planificando una renovación sin precedentes en la historia más reciente de la tecnología móvil. En este sentido, cabe destacar tres características que hacen que hablemos de la tecnología 5G como un cambio de paradigma en la concepción de las redes de comunicaciones móviles: virtualización, edge computing, y localización.

VIRTUALIZACIÓN

La virtualización supone que la conexión de los dispositivos se gestione directamente por sus fabricantes o proveedores de servicio a través de una SIM integrada (eSIM) y conectada a una slice de red o red virtual.

La red core, estará dividida en lo que se conocen como network slices, que permiten establecer redes lógicas, con funciones de red propias, sobre una única infraestructura física de telecomunicaciones, con parámetros configurados específicamente para dar respuesta a distintos requisitos de cada aplicación.

Esto sirve para gestionar el registro, acceso y movilidad de los dispositivos de usuario, su geolocalización y la posible interceptación legal de las comunicaciones por los Cuerpos y Fuerzas de Seguridad del Estado.

En la práctica, supondría por ejemplo que los usuarios no tuviesen que gestionar la conexión con el operador, ni introducir una SIM en el dispositivo porque esa función de control es llevada a cabo por los fabricantes o proveedores.

Es inevitable pensar en el fuerte impacto que tiene la virtualización en la privacidad de las personas, sobre todo en relación con el filtrado de datos entre funciones compartidas entre distintos slices.

El ser humano es un ser social por naturaleza y, por tanto, tiene la necesidad de comunicarse, de ser escuchado y de interactuar con los demás.

La crisis sanitaria a la que nos enfrentamos en estos momentos nos ha obligado a vivir una situación excepcional sin precedentes en nuestros hábitos y, entre otras cosas, nos obliga a permanecer confinados en nuestros hogares.

Para podernos relacionar con las personas que se encuentran fuera de nuestro entorno, somos muchos los que recurrimos a las nuevas tecnologías y, concretamente, ha habido un notable despunte en el uso de aquellas que permiten que nos veamos y nos escuchemos en tiempo real: las videollamadas y, si se trata de reuniones con grupos de personas, las videoconferencias.

Además de la utilidad que se le está dando en el ámbito doméstico, se extiende el uso de las videollamadas o videoconferencias en el ámbito laboral, puesto que, como ya mencionamos en nuestra anterior publicación (ver aquí), dentro de las medidas excepcionales a adoptar por las empresas, que  se  establecen  en  el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 , se  encuentra promover la modalidad del  trabajo  a  distancia o teletrabajo en aquellos sectores,  empresas  o  puestos  de  trabajo  en  las  que  no  estuviera aún  prevista.

Las videoconferencias en el marco laboral, sólo precisan de una perfecta coordinación en el tiempo de todos los asistentes, y permiten compartir de forma sencilla conocimientos y diferentes puntos de vista, sin importar la logística ni el lugar en el que se encuentren los trabajadores; permiten discutir los proyectos corporativos en curso, tomar decisiones en grupo, obtener un feedback instantáneo, compartir documentos de trabajo, disponer de herramientas tales como un chat o una pizarra virtual mediante la cual se pueden realizar presentaciones de la misma forma que si estuviésemos en una sala de exposiciones

Igualmente, no sólo sirven para establecer comunicaciones internas, sino que dependiendo del sector en el que nos encontremos, muchas veces se hace necesario contactar por esta vía con clientes, proveedores, socios, alumnos, etc.

En todas ellas, además de seguir las pautas y recomendaciones genéricas para teletrabajar que hemos ido aportando a lo largo de los anteriores capítulos, conviene extremar la seguridad para prevenir la intrusión y garantizar la confidencialidad de las conversaciones y de la información que tratamos en ellas, puesto que en estos días, debido al incremento de usuarios de estos servicios, la red de los hogares se ha convertido en un objetivo más atractivo que antes para los ciberdelincuentes, y, tanto el contenido de las conferencias como las grabaciones de las mismas o las herramientas de apoyo que se utilizan, podrían estar expuestas a las siguientes amenazas:

  • Aquellas que son inherentes a las redes inalámbricas e internet.
  • Aquellas que tienen como causa una configuración descuidada o errónea de las sesiones de videoconferencia.
  • Aquellas que están asociadas a las carencias de seguridad de las propias herramientas o servicios de videoconferencia.

Y es en este último punto donde vamos a detenernos. ¿Son seguras las aplicaciones de videoconferencia? El mercado actual ofrece multitud de herramientas y plataformas que ofrecen servicios de videoconferencias: gratuitas o de pago; videoconferencias tradicionales, que utilizan equipos físicos o un software instalado en ordenadores personales; videoconferencias en la nube, etc.

Las nuevas tecnologías, han hecho posible que manejemos y rentabilicemos mejor la información para el desarrollo de nuestras empresas, pero también ha aumentado la exposición a nuevas amenazas, que facilitan la fuga de información.

Por este motivo, las empresas deben proteger la información de la que disponen y mantener su confidencialidad, disponibilidad e integridad, mediante medidas preventivas que sirvan para proteger tanto la propia información como los soportes donde se almacena, durante todo su ciclo de vida, desde su creación hasta su destrucción. De esta forma, se evita el robo, la manipulación y las posibles fugas de información.

Puede parecer sencillo mantener a salvo esa información cuando permanece en el disco duro de un ordenador de mesa al que solo una persona tiene acceso. Sin embargo, la cosa se complica si se trata de ordenadores portátiles o unidades USB que, por su tamaño o sus características de movilidad, pueden extraviarse o ser robadas; o si por determinadas circunstancias, la información se envía a un tercero mediante correo electrónico, se almacena en carpetas compartidas o en la nube, etc.

Siendo el cifrado de datos aún una asignatura pendiente para muchas empresas, vamos a dedicar ésta y las siguientes publicaciones de este blog a indicar qué pautas se deben seguir para proteger con seguridad los archivos, siempre desde una perspectiva de practicidad y utilidad para las empresas.

Como ya nos hemos referido en otras ocasiones, el artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD) hace referencia a la seguridad del tratamiento de los datos: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya”.

Además, “se tendrán particularmente en cuenta los riesgos del tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

De todas formas, si bien es cierto que las medidas de seguridad deben adaptarse a las características concretas de cada empresa, el propio Instituto Nacional de Ciberseguridad (INCIBE) considera que existen una serie de medidas que deben aplicarse independientemente de su tamaño o actividad:

  1. Control de acceso a la información: Se debe permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
  2. Actualizaciones de seguridad: Las aplicaciones y sistemas deben estar correctamente actualizados a sus últimas versiones, y con todos los parches de seguridad que distribuyen los fabricantes.
  3. Copias de seguridad:  En otra publicación de este blog (ver aquí), ya analizamos el por qué es tan importante realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa.
  4. Cifrado de información y utilización de contraseñas robustas: Es necesario proteger accesos no deseado a la información mediante el cifrado de esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto cobra mayor importancia cuando se hace uso de soportes de almacenamiento externos, dispositivos móviles y conexiones a redes inseguras como wifis públicas.

No hace mucho, analizamos en una de nuestras publicaciones (ver aquí) una reciente resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona por infracción del mencionado artículo 32, a una entidad que había sufrido una brecha de seguridad consistente, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas.

No es la primera vez que nos referimos en este blog al tratamiento de datos personales relativo a la inclusión de tales datos en ficheros de solvencia patrimonial o sistemas de información crediticia por incumplimiento de obligaciones dinerarias, financieras o de crédito. De hecho, en una de nuestras publicaciones (ver aquí) analizábamos cuáles son los requisitos para que la inclusión de una deuda sea lícita; que recordemos, en virtud del artículo 20 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) son entre otros:

  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, que haya resultado impagadas, y respecto de las cuales no se haya entablado reclamación judicial, arbitral o administrativa.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, y que una vez se haya procedido a la inclusión se le notifique y se le informe de la posibilidad de ejercitar sus derechos.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde el vencimiento de la deuda.
  • Que los datos únicamente puedan ser consultados si se mantiene una relación contractual con el afectado que implica el abono de una cuantía pecuniaria o se solicite la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Si se denegase la celebración del contrato, quien haya consultado el sistema debe informar al afectado del resultado de dicha consulta.

Además, corresponde a la entidad acreedora garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda y que, por ende, se ha respetado el principio de licitud respecto al tratamiento de los datos de carácter personal que exige que el responsable del tratamiento acredite que ha actuado con la diligencia correspondiente para demostrar que la deuda es cierta, vencida y exigible; respondiendo de su inexistencia o inexactitud.

Y es este supuesto de hecho, el objeto de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una conocida entidad distribuidora de cosméticos en su reciente Resolución del Procedimiento sancionador N.º: PS/00159/2019 iniciado el 24 de abril de 2019, por infringir lo dispuesto en el artículo 6.1 del Reglamento Europeo de Protección de Datos (RGPD), al incluir los datos personales de una de sus distribuidoras que, supuestamente había realizado un pedido online cuyo abono estaba pendiente, en el fichero de solvencia patrimonial Asnef, sin haber previamente comprobado su identidad y cuando en realidad se estaba falseando el proceso de contratación, empleando un tercero de forma fraudulenta la identidad de la denunciante.

Llegados a este punto, cabe analizar dos puntos clave:

  1. ¿Contaba la entidad con base legitimadora suficiente para tratar los datos personales de su distribuidora?

Dentro de las distintas bases que legitiman la licitud de un tratamiento que reconoce el RGPD en su artículo 6.1, podría en este caso encajar si se cumpliera alguna de estas tres condiciones:

El derecho de acceso se puede definir como aquel que tienen las personas a obtener información sobre el tratamiento de sus datos personales. Se trata por tanto de un derecho personalísimo, que solo puede ser ejercitado el propio interesado y cuyo ejercicio queda previsto tanto en el artículo 15 del Reglamento General Europeo de Protección de Datos (RGPD) como en el artículo 13 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ahora bien, ¿se puede tener acceso a los datos de los fallecidos?

Sobre esta cuestión, se ha pronunciado recientemente la Agencia Vasca de Protección de Datos (AVPD), en su Dictamen N.º D19-008.

En primer lugar, tal y como ya hemos comentado en alguna ocasión en este blog (ver aquí), los tratamientos de datos de las personas fallecidas están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal.  Esto es así en virtud del artículo 32 del Código Civil por el cual el fallecimiento de una persona determina la extinción de su personalidad civil, y dicha exclusión se recoge en el Considerando 27 del RGPD y en el artículo 2 de la LOPDGDD.

En esta misma línea cabe citar la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre, en la que afirma que, “si el derecho fundamental a la protección de datos ha de ser considerado como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la información que le es propia, es evidente que dicho derecho desaparece por la muerte de las personas, porque los tratamientos de datos personas fallecidas no podrían considerarse comprendidos dentro del ámbito de aplicación de la Ley”.

La exclusión expresa del mencionado artículo 2 LOPDGDD, se realiza sin perjuicio de lo establecido en el artículo 3, el cual dispone por su parte, que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Por otra parte, en virtud del artículo 12.5 RGPD “cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos, se estará a lo dispuesto en aquellas”.

Y es sobre este punto sobre el cual versa el Dictamen emitido por la AVPD en su Dictamen al resolver una consulta sobre el acceso a la Historia Clínica de las personas fallecidas por parte de sus familiares al ponerse en tela de juicio la posible controversia entre dos normas aplicables:

Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Su artículo 18.4 dispone que:

  • Sólo se facilitará el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite.
  • En todo caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes y no se facilitará información que afecte a la intimidad del fallecido, que perjudique a terceros, ni tampoco las anotaciones subjetivas de los profesionales.

Como siempre hemos recalcado en este blog, cuando se vaya a realizar un tratamiento de datos de carácter personal debemos plantearnos si dicho tratamiento se realiza de forma lícita, y para ello, actualmente debemos examinar las bases que lo legitiman contempladas en el artículo 6 del Reglamento General de Protección de Datos (RGPD). En caso de que no se cumpla al menos con una de las condiciones que recoge este artículo, el tratamiento de datos se considerará ilícito.

Precisamente, sobre la licitud del tratamiento de los datos de los empleados de una empresa de Contact-Center, se ha pronunciado recientemente la Sala Cuarta de lo Social del Tribunal Supremo (TS) mediante una sentencia (ver aquí) con relación a la validez de la obtención del consentimiento de los empleados a través de una cláusula genérica recogida en el propio contrato laboral, para poder usar su imagen en las video llamadas realizadas para prestar los servicios de telemarketing.

En concreto, la cláusula tipo que incorpora la empresa a los contratos establece que “El trabajador consiente expresamente , conforme a la LO 1/1982, de 5 de mayo, RD 1720/2007 de Protección de Datos de carácter personal y Ley Orgánica 3/1985 de 29 de mayo, a la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing y cumplir, con el objeto del contrato y los requerimientos del contrato mercantil del cliente” .

El único fin que la empresa pretende conseguir con esta cláusula, es poder prestar correctamente sus servicios de atención al cliente, y para ello instala una cámara Webcam en los terminales de los trabajadores que intervienen en la videollamada.

Cabe señalar que, si, además, por cualquier motivo, la empresa desea utilizar la imagen de los trabajadores para la realización de actividades promocionales y publicitarias, en este caso la empresa sí estaba solicitando el consentimiento mediante una autorización específica y diferente.

Entonces, cabe plantearse dos preguntas:

¿Es necesario solicitar el consentimiento de los empleados para poder usar su imagen en el marco de las labores propias de su actividad? Y de ser necesario, ¿es válido obtenerlo mediante una cláusula contractual genérica?

Realizar una copia de seguridad consiste en duplicar la información existente de un soporte a otro para poder recuperarla en caso de que falle el primer alojamiento de los datos. En el ámbito empresarial, se trata de una medida indispensable para garantizar la continuidad del negocio y conservar la imagen positiva y la confianza que los clientes depositan en las entidades.

En este post vamos a destacar los aspectos más relevantes que hay que saber sobre la realización de las copias de seguridad, tomando como base una de las guías publicadas por el Instituto Nacional de Ciberseguridad (INCIBE) para comprender la importancia de su implantación en las empresas. (ver Copias de seguridad: una guía de aproximación para el empresario”)

¿Qué información se debe copiar?

Para establecer cuál es la información de la que se realizará la copia de seguridad, se debe realizar un inventario de activos de información y una clasificación de los mismos en base a su criticidad para el negocio.

Los criterios para realizar esta clasificación deben estar relacionados con las medidas de seguridad aplicables sobre la información, como por ejemplo por el nivel de accesibilidad o confidencialidad, por su utilidad o funcionalidad y/o por el impacto en caso de robo, borrado o pérdida.

Frecuencia y tipo de copias

Para saber cada cuanto tiempo se deben realizar las copias de seguridad, será necesario atender a los siguientes factores:

- el número de datos o archivos generados y/o modificados

- el coste de almacenamiento;

- las obligaciones legales que apliquen. En este sentido cabe señalar que el propio Reglamento Europeo de Protección de Datos (RGPD) prevé que responsables y encargados del tratamiento apliquen las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. 

Teniendo en cuenta estos elementos hay que elegir el tipo de copia de seguridad, siendo las siguientes las más comunes:

Copia de seguridad en espejo o RAID 1

Mientras se trabaja con la información se crea una copia espejo en una ubicación alternativa, creándose una copia exacta de los datos en tiempo real.

Su mayor desventaja es que, si borramos un archivo accidentalmente también se borra de la copia de seguridad.

Copia de seguridad completa

Consiste en hacer una copia de todos los datos de nuestro sistema en otro soporte, proporcionando una fácil restauración de los datos.

Sin embargo, se necesita mucho espacio de almacenamiento, puesto que se copian todos los ficheros del sistema, e implica tener información redundante.

Copia de seguridad diferencial

Cada vez que se vuelve a lanzar, se copian los datos que se han modificado desde la última copia completa realizada. Por tanto, con el tiempo, estos tipos de copia se van haciendo más grandes hasta que se vuelve a realizar la copia completa. No es tampoco la solución más óptima en cuanto a espacio.

En la actualidad, muchas empresas valoran considerablemente proteger su “Know How, término anglosajón acuñado para referirnos a cierta información relativa, tanto a la adquisición de determinados conocimientos, como a ciertos datos empresariales relacionados con clientes, proveedores, planes comerciales, estrategias de mercado, etc.

El valor que dan las empresas a dicha protección es equiparable a los derechos de propiedad industrial e intelectual, ya que utilizan la confidencialidad como una herramienta de gestión de la competitividad empresarial, así como de transferencia de conocimientos e innovación.

Sin embargo, la globalización, una creciente externalización, la longitud de las nuevas cadenas de suministro y un mayor uso de las tecnologías de la información, han contribuido a que las entidades innovadoras estén cada vez más expuestas a prácticas desleales que persiguen la apropiación indebida de tal información, y que a su vez provocan que la innovación y la creatividad se vean desincentivadas, con la consiguiente repercusión que puede ocasionar en la buena marcha del negocio.

¿Se encuentra este deber de secreto o confidencialidad regulado en nuestro ordenamiento?

- PROTECCIÓN DE DATOS PERSONALES

• El artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD), señala como uno de los principios básicos, la exigencia de que todo tratamiento de datos debe garantizar una seguridad apropiada de dichos datos, “incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

• Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), recoge en su artículo 5 el deber de confidencialidad al que están sujetos los responsables y encargados del tratamiento de datos, así como las personas que intervengan en cualquier fase de dicho tratamiento. Asimismo, este artículo señala que esta obligación general es complementaria de los deberes de secreto profesional, y que se mantendrá, aun habiendo finalizado la relación del obligado con el responsable o encargado del tratamiento.

- CÓDIGO PENAL

El Código Penal (CP) tipifica la violación de los secretos empresariales en sus artículos 278 y 279 donde se castiga con una pena de prisión de 2 a 4 años y multa de doce a 24 meses a quienes, teniendo legal o contractualmente deber de guardar secreto, difundan o revelen un secreto de empresa, apoderándose por cualquier medio de datos que se refieran al mismo.

- LEY DE SECRETOS EMPRESARIALES

El pasado 13 de marzo entró en vigor la nueva Ley 1/2019, de 20 de febrero, de Secretos Empresariales (en adelante, la Ley), la cual supone la trasposición de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.

El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l'informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.

Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.

En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única

El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.

En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:

- Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
- Tratará el asunto la autoridad de control que le haya informado.

En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.

¿Tu centro escolar dispone de página web, un blog o redes sociales donde se comparten imágenes de los alumnos? ¿Pueden los familiares captar imágenes en el interior del centro?

Como ya comentamos en anteriores publicaciones, ver aquí, la utilización de la imagen de un menor está sujeta a la normativa sobre protección de datos, ya que la imagen se considera un dato de carácter personal, así como a lo previsto en la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, y en la Ley Orgánica 1/1996, de 15 de enero, de protección jurídica del menor.

En este post vamos a intentar resolver aquellas posibles cuestiones que plantea el tratamiento de las imágenes en los centros escolares, así como la forma correcta de gestionarlas para prevenir problemas y evitar conflictos legales. Para ello, vamos a referirnos fundamentalmente a las disposiciones recogidas en la normativa, así como de las recomendaciones que hace la Agencia Española de Protección de Datos (AEPD) en su Guía para centros educativos (La Guía).

• Cuando las imágenes son captadas por los padres y familiares de los alumnos.

Es habitual que los propios padres y familiares de los alumnos hagan fotografías y graben vídeos en eventos o festivales, abiertos al público, en los que éstos participan.

En estos casos, en virtud del artículo 2.2c) del Reglamento General de Protección de Datos (RGPD) y del 2.2a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), estamos hablando de que la captación de esas imágenes se corresponde, en principio, a una actividad exclusivamente personal y doméstica, y, por tanto, quedan excluidas de la aplicación de la normativa de protección de datos.

Es altamente recomendable, y así también lo recoge La Guía, que el centro advierta a los asistentes a los eventos de que se pueden grabar imágenes de los alumnos para su utilización exclusivamente personal, familiar y de amistad.

Además, los padres y familiares han de tener en cuenta que, para publicar este tipo de grabaciones en internet en abierto, deberán contar con el consentimiento de todos aquellos que aparecen en las imágenes, de sus padres o tutores si son menores de 14 años.

Ahora bien, ¿puede un centro prohibir que los padres y familiares hagan fotografías o graben vídeos de los alumnos en el interior del mismo?

No existe disposición legal, ni en lo dispuesto en la normativa en materia de protección de datos, ni en la Ley Orgánica 2/2006, de 3 de mayo, de Educación (Ley de Educación), que obligue a aplicar este tipo de medidas en los centros; ahora bien, ello no quita para que sean los propios centros los que decidan dentro de su política interna llevar a cabo tal prohibición, valorando previamente cuales serían los pros y los contras que la misma traería consigo.

Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal