La Agencia Española de Protección de Datos (AEPD), además de tener potestad sancionadora en caso de que se infrinja lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD); también le corresponde la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI).

La LSSI entra en vigor hace ya casi dos décadas, concretamente en el año 2002, y ha ido sufriendo en el tiempo una serie de modificaciones de muy diversa índole en su articulado y, especialmente si nos centramos en uno de sus artículos más importantes en la materia que nos ataña, esto es el artículo 22, referido a los derechos de los destinatarios de los servicios.

En 2012, a raíz de la publicación del Real Decreto Ley 13/2012, “se exige el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información en el equipo de usuario y permiten que se acceda a ésta (las cookies)”; pues con su uso pueden desvelarse aspectos de la esfera privada de los usuarios y adquiere importancia que estos estén informados y dispongan de mecanismos que les permitan preservar su privacidad.

Por otra parte, con la entrada en vigor de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, se configura la redacción del apartado segundo del artículo 22:

  • Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, siempre que se cuente con su consentimiento y tras haberles facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.
  • Cuando sea técnicamente posible y eficaz, el consentimiento para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Hasta la aprobación del RGPD era válido obtener el consentimiento tácito del interesado a través de la inacción del mismo, siempre y cuando se hubiera informado con carácter previo. Sin embargo, tal y como analizamos en una de nuestras publicaciones de este blog (ver aquí), ante el nuevo escenario en el que nos encontrábamos con el cambio normativo en materia de protección de datos personales, la AEPD publicaba con fecha 8 de noviembre de 2019 una Guía sobre el uso de las cookies (la Guía), con el fin de ofrecer ciertas orientaciones, partiendo de la base de que el consentimiento ahora debe ser recabado mediante una clara acción afirmativa, manifestación de voluntad libre, específica, informada e inequívoca del interesado.

También, en línea de lo expuesto en la Guía, la forma más sencilla para el suministro de la información y la obtención del consentimiento por parte del usuario para la instalación de las cookies es la llamada “información en dos capas”.

Atendiendo a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD), esta Guía ha sido actualizada y adaptada por la AEPD en julio de 2020, estableciéndose nuevos criterios al respecto.

NUEVOS CRITERIOS

  1. En cuanto a la validez de la fórmula “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios, el Comité considera que no constituye, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario.
  1. Respecto a la opción de utilizar los conocidos como “muros de cookies”, esto es, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

No podrán entonces utilizarse “muros de cookies" que no ofrezcan una alternativa al consentimiento. Este criterio es aún más relevante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario.

  1. No obstante, puede haber determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

Conviene aclarar que, en ningún caso es o será lícito que el servicio lo ofrezca una entidad ajena.

La AEPD emitía su primera resolución sancionadora por una infracción del artículo 22.2 LSSI en el año 2014 (ver aquí), y desde entonces, no hemos parado de ver y analizar resoluciones relacionadas y que sin duda han ido sentando jurisprudencia en la materia.

De hecho, una de las resoluciones más impactantes y trascendentes, y que hoy analizamos en el presente blog, ha sido dictada por la AEPD el pasado mes de octubre a la conocida aerolínea española, IBERIA, por infringirse el artículo 22.2 LSSI. En este caso, además, la entidad se enfrenta por ello a la máxima sanción económica prevista en el artículo 39.1c de la LSSI: 30.000 euros. (ver resolución)

Publicado en Blog

En un mundo como el actual, en constante cambio, es innegable el impacto que la tecnología tiene en el ámbito laboral. El papel que juegan las tecnologías no sólo afecta a la manera en que desarrollamos nuestro trabajo, sino también en el modo en que este es supervisado y, consecuentemente, controlado por el empleador. Así, no es la primera vez que analizamos, en el presente blog, el control laboral, su marco jurídico y la repercusión del mismo en el ámbito de protección de datos de los trabajadores (aquí, aquí y aquí).

En cuanto a métodos de control laboral se refiere, existe una amplia variedad a elección de la empresa o responsable del tratamiento atendiendo a qué es lo que se pretende controlar. Entre ellos: sistemas de videovigilancia, microchips de geolocalización en vehículos y dispositivos de empresa….etc. No obstante, si algo es claro es que no todos los métodos tienen el mismo impacto en nuestra privacidad; porque, admitámoslo, contar con un sistema de videovigilancia en determinados espacios de nuestro trabajo puede aportarnos hasta un cierto grado de seguridad y protección frente a la comisión de hechos ilícitos frente a nuestra persona pero ¿y si lo que controlasen fuesen nuestras palabras? ¿qué ocurriría entonces?.

Bien, esta es la casuística ante la que nos encontramos en el pronunciamiento que analizamos en nuestra publicación de hoy y que fue objeto de denuncia ante la Agencia Española de Protección de Datos (en adelante, AEPD) por parte de la Confederación sindical de la unión general de trabajadores.

El sindicato reclamante denunciaba:

- Por un lado, que se producían grabaciones de conversaciones personales de los trabajadores en su entorno laboral sin que éstos hubiesen prestado su consentimiento ni autorización.
- Por otro, la desinformación, por parte de la empresa, al comité de empresa, sobre el objeto y tratamiento de estas grabaciones.

A la vista de los hechos denunciados, y los documentos aportados por el reclamante, se admite a trámite la denuncia y se inician las investigaciones oportunas, por parte de la autoridad de control, de los argumentos alegados por el reclamante; dando, consecuentemente, traslado de la denuncia a la entidad reclamada.

La entidad reclamada alega que la decisión de incorporar este mecanismo de control responde a los siguientes hechos:

- Una serie de denuncias de las encargadas de turno en relación con agravios recibidos por parte de sus trabajadoras.
- Intento de agresión física que sufre una de las encargadas por parte de una trabajadora.
- Quejas del Comité de Empresa acerca de la forma de dirigirse las Encargadas de turno a las trabajadoras.

Alega, asimismo que todas las conversaciones son en el ámbito de trabajo y que, en ningún caso, se captan conversaciones personales así como que las mismas son conservadas siempre que se detecte alguna conducta vejatoria objeto de denuncia pero que, en ningún caso, se conservan conversaciones que no supongan conductas ilícitas por parte de las trabajadoras.

Analizados los fundamentos de la entidad reclamada, la AEPD acuerda iniciar procedimiento sancionador (PS-00067-2020) a la misma, por un posible incumplimiento del principio de información recogido en el artículo 13 del Reglamento General de Protección de Datos (en adelante, RGPD).

Fundamentos esgrimidos por la AEPD en su procedimiento sancionador.

Publicado en Blog

Con el inicio del curso escolar, una de las cuestiones que se plantea con mayor frecuencia en los centros escolares es si pueden o no hacer públicos listados con datos de carácter personal relativos a los miembros de la comunidad educativa, como, por ejemplo:

  • Listado de admitidos
  • Listado de concesión de becas
  • Censos electorales

Para proceder a resolver esta frecuente cuestión, hemos considerado oportuno acudir a una resolución de la Agencia Española de Protección de Datos (AEPD). En concreto al PS/00024/2019.

En el procedimiento sancionador indicado nos encontramos con un centro escolar dependiente de la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, que expuso un listado definitivo de alumnos admitidos, tanto en la fachada principal y acristalada del centro, como en su página web.

¿Creéis que el centro ha cumplido con la normativa en materia de protección de datos a la hora de realizar esa publicación?

Pues bien, la AEPD considera, en el mencionado procedimiento sancionador, que no se ha respetado la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos 2016/679 (RGPD) y la ), en base a lo que se le ha interpuesto una sanción de apercibimiento por los siguientes motivos:

  1. En primer lugar, partimos de la base de que el centro escolar se encuentra legitimado para proceder a la publicación de los listados en base al artículo 45 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), que indica que: Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente. La AEPD no cuestiona la legitimación del centro en la publicación de los listados, si no que considera que a pesar de contar con una legitimación para la publicación, debería de haberlo realizado respetando en todo momento los derechos inherentes a los afectados en materia de protección de datos, cuestión que no aconteció.
  1. Además, se considera infringido por parte del centro el , que regula el principio de integridad y confidencialidad y que indica que: los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Considera, así, la AEPD que no se ha garantizado la seguridad adecuada de los datos personales al proceder a su publicación tanto en el tablón como en la página web, lo que supone, a ojos de la AEPD una exposición indiscriminada de la información de carácter personal publicada (datos identificativos) a terceros no interesados.
  1. Finalmente, la AEPD considera que también se ha infringido el artículo 5 LOPDGDD por parte del centro, es decir el deber de confidencialidad, legalmente exigible a su persona. Entiende, la AEPD que consta probado que el centro incumplió este deber al no haber tomado medidas técnicas u organizativas previas tendentes a garantizar un nivel adecuado de seguridad que impidiera la comunicación y/o acceso indiscriminado de esa información de carácter personal por parte de terceros no interesados en el procedimiento de concurrencia competitiva de admisión de alumnos o en el proceso de elección de representantes de los padres en el Consejo Escolar.

Este incumplimiento se encuentra, íntimamente ligado con una infracción del artículo 24.2 del RGPD que recoge la obligación del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Recordemos que esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad y que las medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En consecuencia, y en función de los fundamentos esgrimidos por la AEPD, se impone a la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, entidad de la que depende el centro, una sanción de apercibimiento

Como podemos ver en los fundamentos anteriormente analizados, , el hecho de publicar listados, en espacios y canales de comunicación en abierto, con datos de carácter personal de los miembros de la comunidad educativa puede acarrear graves consecuencias para el centro si no se hace cumpliendo con los principios en materia de protección de datos.

 

Entonces, ¿Hay alguna forma de realizar estas publicaciones y no ser sancionado?

Publicado en Blog

Conservar datos de clientes cuando estos dejan de ser necesarios para la finalidad para la que fueron recabados, tiene su repercusión. Esta lógica afirmación, se encuentra fundamentada tanto en el Reglamento General de Protección de datos 2016/679 (en adelante, RGPD) cómo en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española 3/2018 (en adelante, LOPDGDD). Así, en el presente blog, centramos nuestra atención en el análisis de un reciente procedimiento sancionador (PS/00076/2020) emitido por nuestra autoridad de control, la Agencia Española de Protección de Datos (en adelante, la AEPD) contra la entidad financiera Bankia, S.A.

Este pronunciamiento tiene su punto de partida en la reclamación interpuesta por un interesado ante la AEPD, contra la conocida entidad financiera. El afectado, basa su denuncia en que, su relación con la entidad financiera finaliza hace 16 años y que cuando, por motivos personales, vuelve a retomarla, la propia entidad le comunica que, su número interno de cliente sigue activo y que, por tanto, los datos vinculados al mismo se mantenienen en sus ficheros, no sabiendo, la entidad explicarle el motivo de tal situación. 

Ante el hecho de que la entidad haya mantenido sus datos durante 16 años sin una finalidad aparente, el ahora afectado, presenta denuncia ante la AEPD, en fecha 20 de septiembre de 2019, que fue trasladada, por parte de la Subdirección General de Inspección de Datos, a la reclamada para que esta esgrimiese una justificación al respecto y pudiese aclarar el motivo de la conservación de los datos del reclamante durante un proceso en el que este había dejado ya de ser cliente de la entidad.

Indica la entidad financiera, que si bien es cierto que mantenían información relativa al reclamante, esta se encontraba debidamente bloqueada conforme a lo establecido en el artículo 32 de la LOPDGDD que impone, al responsable del tratamiento, la obligación de bloquear los datos cuando proceda a su rectificación o supresión.

A la vista de la fundamentación esgrimida por la entidad, la AEPD acuerda el inicio de procedimiento sancionador por una supuesta infracción del principio de limitación de la finalidad desarrollado en el artículo 5.1 b) del RGPD.

La entidad financiera presenta escrito de alegaciones mediante el que manifiesta, entre otras cuestiones, que cuenta con una política de conservación de la información cuyos objetivos radican en conservar la información durante los plazos exigidos en cada caso, y siempre aplicando las medidas esenciales para garantizar la seguridad de la información. Alega, además que, el mencionado documento recoge la obligación de bloquear los datos personales de sus clientes una vez se cancelan los distintos productos o servicios contratados por estos, y siempre adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas, lo que, a sus ojos, resulta plenamente coincidente con lo establecido en el artículo 32 de la LOPDGDD.

Centrándonos en la fundamentación emitida por la AEPD en su resolución, considera esta que la entidad reclamada incurre en los siguientes incumplimientos:

Publicado en Blog

Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.

Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.

Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.

Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.

Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.

¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.

Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):

Publicado en Blog

Como ya hemos indicado en otros artículos de nuestro blog (pincha aquí), tanto el Reglamento General de Protección de Datos (RGPD) en sus artículos 15 a 22, como la ley orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD) en sus artículos 13 a 18, reconocen a los titulares de datos de carácter personal el ejercicio de una serie de derechos (conocidos como ARSOPOL) ante el responsable del tratamiento de sus datos:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de oposición.
  • Derecho de supresión (conocido como derecho “al olvido”).
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad.
  • Derecho de oposición al tratamiento de decisiones automatizadas.

Si bien es cierto que la mayoría de las entidades a las que les aplica la normativa en materia de protección de datos conocen en mayor o menor medida los derechos ARSOPOL, existen determinados aspectos relacionados con el ejercicio de estos por parte del interesado, que a día de hoy siguen generando dudas.

¿Qué cuestiones es imprescindible tener en cuenta en este sentido? (Art.12 LOPDGDD):

  • Su ejercicio ha de ser gratuito.
  • Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:
  • Cobrar un canon proporcional a los costes administrativos soportados.
  • Negarse a actuar. 
  • Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
  • El responsable del tratamiento está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. (Correo electrónico, carta certificada, etc.)
  • Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
  • Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
  • El interesado puede ejercer los derechos directamente o por medio de su representante legal o voluntario.

Por otro lado, también estimamos necesario hacer referencia a los requisitos que ha de cumplir el interesado a la hora de solicitar el ejercicio de sus derechos, que la propia AEPD incluye en los formularios de ejercicio de derechos (acceso, rectificación, oposición, supresión,  limitación del tratamiento, portabilidad, oposición al tratamiento de decisiones automatizadas), disponibles en su página web:

a) Nombre, apellidos del interesado. En los casos que existan dudas acerca de la identidad del interesado, se solicitará fotocopia de su documento nacional de identidad o pasaporte (art. 12.6 RGPD) y, en los casos que se admita, de la persona que le represente, así como del documento acreditativo de tal representación. La fotocopia del documento nacional de identidad o del pasaporte podrá ser sustituida por copia de documento equivalente que acredite su identidad conforme a derecho.

b) Petición en que se concreta la solicitud.

c) Domicilio a efectos de notificaciones, fecha y firma del solicitante.

d) Documentos acreditativos de la petición que formula, en su caso.

Como regla general y tal y como nos indica la Agencia Española de Protección de Datos (AEPD), esta sería la forma y los datos que deben de acompañar la solicitud. Sin embargo, hace unos meses se publicaba una resolución de la propia AEPD (R/00540/2019) que puede suponer un cambio a la hora de gestionar y tramitar determinadas solicitudes de ejercicio de derechos:

Se trata de una reclamación formulada por un particular contra el partido político Ciudadanos por no haber atendido su derecho de supresión.

El interesado se había dado de alta en una plataforma propiedad del partido, pero unos meses después decide darse de baja y solicitar la supresión de sus datos de la indicada plataforma web. Al proceder al ejercicio de su derecho, el responsable del tratamiento le solicita una fotocopia de su DNI para poder acreditar su identidad y hacer efectivo su derecho, negándose a aportar tal documentación el interesado. A su vez, este es el motivo que la entidad reclamada alega como justificante para no dar respuesta a la solicitud.

Publicado en Blog

Hay bromas que pueden salir caras, y, sino que se lo digan a la empresa titular de la conocida app de realización de bromas telefónicas JUASAPP.

Esta aplicación, que aún se puede descargar, se hizo muy popular en 2014, y permite a cualquier tercero escoger de entre un listado una broma, en formato de archivo de audio pregrabado vía telefónica, para que sea enviada al número de destino seleccionado por dicho usuario, pudiendo mantener el anonimato de la persona que gasta la broma.

Una vez realizada la broma, la aplicación ofrece la posibilidad de generar el fichero de grabación de la misma, de manera que el usuario pueda posteriormente reproducir, descargar y compartir el fichero de audio que contiene la grabación.

Algunas de estas bromas consistían, por citar algunos ejemplos, en alertar a una madre de un incidente en el comedor del colegio de su hijo, acusar a una persona de robar la luz, hacerse pasar por una asesoría jurídica en relación con una multa de tráfico, etc.

No todos los receptores de dichas bromas encontraron “la gracia” en estos hechos, sino que los denunciaron ante la Agencia Española de Protección de Datos (AEPD), manifestando que habían visto vulnerada su intimidad.

La AEPD, vistas las denuncias presentadas acordó iniciar varios procedimientos sancionadores, dictando finalmente resolución sobre los mismos  (ver aquí), e imponía a la entidad una sanción de 7.500 euros por considerar infringidos ciertos preceptos de la ya derogada Ley Orgánica 15/1999 de Protección de datos de carácter personal (LOPD).

Dicha resolución fue recurrida por los denunciantes llegando tanto a la Audiencia Nacional, (AN) que confirmaba la sanción impuesta en su Sentencia de 29 de noviembre de 2018, como al Tribunal Supremo (TS), que igualmente ratificaba el pasado mes de junio la resolución dictada en su día por la AEPD en su Sentencia STS 1771/2020.

El TS se centra ahora en dar respuesta a las tres alegaciones planteadas por la entidad titular de la app en sus recursos:

  1. Que la actividad desarrollada mediante JUASAPP se limita a proporcionar un medio de ocio a los particulares en el ámbito personal o doméstico.

Según la entidad, el hecho de gastar una broma es una actividad personal, y ellos actúan como simples mediadores entre el "abromado" y la persona que quiere gastar la broma contratada a través de esa app, poniendo a su disposición los medios, pero no usando la información para ningún otro fin que prestar el servicio contratado por el cliente y si la grabación se difunde, es por decisión del usuario que ha gastado la broma.

Publicado en Blog

Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

                                                   

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

Publicado en Blog

¿Quién no utiliza una App en su día a día? Hasta la persona que menos utilice su teléfono móvil inteligente hace uso al menos de una aplicación móvil para conectarse con los demás, mirar el tiempo que va a hacer en su localidad, o simplemente revisar su bandeja de correo electrónico.

Pero ¿Desde cuándo llevamos haciendo uso de las famosas Apps? Aunque parezca mentira las aplicaciones móviles llevan conviviendo con nosotros mucho más tiempo del que pensamos.
¿Recordáis el Nokia 3310? ¿Y el juego de la Snake que tanto tiempo enganchaba a sus usuarios? Pues sí, era el inicio de las aplicaciones móviles.

El término App proviene de la palabra inglesa “Application” que significa aplicación. Comenzó a utilizarse en 2007 y 2008 para hacer referencia a las aplicaciones de los móviles.
Las Apps empiezan a cobrar importancia tras el lanzamiento, por parte de Apple, del primer Iphone y de la App Store, y por parte del eterno enemigo Android, el Android Market, que hoy en día conocemos como Google Play.

Una aplicación móvil o App es un programa informático diseñado para ser ejecutado desde una interfaz móvil, es decir, en smartphones (teléfonos inteligentes), tabletas, u otros dispositivos móviles similares. Todas ellas tienen unas características especiales:

Publicado en Blog

Esa es la pregunta que se nos plantea tras el nuevo pronunciamiento de la Agencia Española de Protección de Datos, (en adelante, AEPD). El Informe E/03925/2020, emitido por la Autoridad de Control hace escasos días, archiva actuaciones contra la empresa ATOS IT SOLUTIONS AND SERVICES IBERIA, S.L, tras la interposición de la correspondiente reclamación por una trabajadora de la entidad, y miembro, a su vez, del Comité de Empresa, como consecuencia de la recogida y tratamiento de la huella dactilar de los trabajadores cómo método de fichaje horario.

¿Cuáles son los hechos en los que la reclamante basa su denuncia? Atendiendo a las exigencias que el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), imponen a responsables y encargados del tratamiento, respecto del tratamiento de un dato de carácter biométrico, cómo es la huella dactilar, la denunciante alega que:

- La entidad, recoge datos biométricos sin recabar el consentimiento explícito de los trabajadores ni cumplir con el principio de información recogido en los artículos 13 del RGPD y 11 de la LOPDGDD.
- No se ha efectuado una evaluación de impacto, siendo esta obligatoria en base al artículo 35 del RGPD.
- No tiene constancia de que se haya elaborado el correspondiente Registro de Actividades del Tratamiento conforme establece el artículo 30 del RGPD y 31 de la LOPDGDD.

Saliendo al paso de las alegaciones de la reclamante, la entidad reclamada aporta toda aquella documentación que demuestra el cumplimiento normativo y en las que, cómo veremos, la AEPD basa su decisión: cláusulas informativas publicadas en diferentes canales corporativos, registro de actividades del tratamiento y, en relación con la evaluación de impacto, dos análisis de necesidad de realización y dos evaluaciones de impacto relativas a control de acceso y al sistema de registro de jornada.

Nos parece necesario recordar, en este punto, que la huella dactilar es un dato de carácter biométrico entendiendo por tales a aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (artículo 4.14 RGPD). No hay duda, la huella dactilar es un dato biométrico. Pero ¿y dato especialmente protegido? Considera, la AEPD, que para aclarar las dudas interpretativas que surgen a este respecto, se debe traer a colación la distinción entre identificación y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Publicado en Blog
Página 1 de 18

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal