A lo largo de estas últimas semanas estamos viendo cómo muchas empresas van volviendo poco a poco a su rutina, y adaptando sus espacios a esta “nueva normalidad”, que está provocando importantes cambios en nuestra manera de comunicarnos y relacionarnos en nuestro día a día. Es en esta nueva realidad donde estamos asistiendo a una importante aceleración en la implantación de nuevas tecnologías en la lucha contra la Covid-19: cámaras termográficas, uso de drones, tecnologías que permiten el conteo de personas para controlar el distanciamiento social y de aforo, sistemas de certificación de salud mediante códigos QR, controles de acceso para detección de equipos de protección y mascarillas entre otras constituyen el nuevo escenario en la transición a esta “nueva normalidad”.

Pues bien, entre todas estas soluciones tecnológicas están irrumpiendo con mucha fuerza las técnicas de reconocimiento facial que multitud de empresas de seguridad privada están ofertando en sus catálogos de productos y servicios. Estos sistemas cuentan con la ventaja de que se pueden integrar en los terminales de control horario y de accesos de las empresas e incluso en los propios sistemas de videovigilancia, y es precisamente en estos últimos donde se han suscitado muchas dudas en cuanto su uso y licitud en lo que a protección de datos se refiere.

Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha venido a publicar un informe en el que resuelve algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, empleados en la seguridad privada al amparo del art. 42 de la Ley de Seguridad Privada (en adelante LSP), que a juicio de la consultante estaría permitido por el artículo 9.2.g) del Reglamento Europeo de Protección de Datos, (en adelante RGPD) siendo suficiente a estos efectos que el usuario del servicio de seguridad sea titular del espacio a protegerse por la empresa de seguridad y que se trate de un dispositivo homologado por el Ministerio del interior.

Pues bien, para poder entender las conclusiones a las que llega la AEPD y que difieren radicalmente de las alegadas por la consultante debemos hacernos una serie de preguntas:

Publicado en Blog

El pasado 1 de junio, la Agencia Española de Protección de Datos (AEPD) público el Plan de inspección de oficio en la atención sociosanitaria. Dicho documento se centra por primera vez en analizar los tratamientos de datos de carácter personal que se realizan en el ámbito sociosanitario, además de llevar a cabo una investigación en cuanto al cumplimiento normativo en materia de protección de datos de dicho ámbito.

Iniciamos el análisis de dicho plan clarificando el concepto de atención sociosanitaria, aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Sentadas las bases conceptuales, estimamos conveniente referirnos a la estructura del “Plan de inspección de oficio en la atención sociosanitaria”:

  • Resumen ejecutivo
  • Introducción
  • Objetivos
  • Concepto de atención sociosanitaria
  • Situación del espacio sociosanitario en España
  • Metodología y actuaciones realizadas en el plan
  • Conclusiones y recomendaciones
  • Preguntas frecuentes
  • Retos futuros
  • Anexos

En concreto, en nuestro articulo veremos de una forma concisa los puntos relativos a la metodología y actuaciones realizadas, así como las conclusiones y recomendaciones que la AEPD realiza al respecto.

¿Qué actuaciones ha realizado la AEPD a lo largo del plan de inspección?

  1. Planificación de la auditoría: fase en la que se determinan los objetivos, las fases y el calendario de actuaciones. Asimismo, se lleva a cabo un estudio sobre el ámbito sociosanitario en España. Como parte final de esta planificación se realiza una reunión con el IMSERSO, en aras de conocer inquietudes y dudas respecto del tratamiento de datos de carácter personal efectuados en residencias y centros sociosanitarios.
  2. Solicitudes de información y documentación: en esta actuación se procedió a solicitar la información pertinente a las Consejerías de Asuntos Sociales de todas las Comunidades Autónomas, a excepción de Cataluña y País Vasco, así como al Ministerio de Sanidad. Esta solicitud se realiza en vistas a poder conocer el abanico de tratamientos de datos de carácter personal que aplica a la atención sociosanitaria en España.
  3. Realización de Inspecciones: durante los meses de septiembre a diciembre de 2018 se realizaron inspecciones presenciales en distintos centros sociosanitarios preseleccionados. En estas inspecciones se ha procedido a auditar los procedimientos en materia de protección de datos establecidos en cada centro, para lo cual se han mantenido reuniones tanto con responsables como con encargados del tratamiento.
  4. Fase Final: una vez que la AEPD disponía de toda la información necesaria procedió a la elaboración del documento de plan de inspección sobre el que versa el presente artículo.

De las solicitudes de información y documentación realizadas en el plan de inspección, la AEPD ha determinado que la tipología de datos de carácter personal que se suelen tratar en los centros sociosanitario es la siguiente:

  • Datos básicos personales y bancarios (Nombre y apellidos, teléfono, etc.)
  • Datos sanitarios (Historia clínica, tratamientos, etc.)
  • Historia social (Informes sociales, sociofamiliares, etc.)
  • Informes psicopedagógicos
  • Datos de evaluación de autonomía (pruebas de evaluación, diagnostico, etc.)
  • Registro de incidencias ocurridas durante la estancia en el centro.
  • Contrato de convivencia firmado con el centro.
  • Plan de atención personalizada del usuario.
  • Datos de contacto de familiares o responsables del usuario.

Siendo la mayoría de estos datos considerados como categorías especiales, la AEPD recuerda la necesidad de seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Así, la observancia del principio de minimización es esencial, y con ella el tratamiento de datos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.

¿Cuáles son las conclusiones más relevantes del plan?

Publicado en Blog

El pasado mes de agosto ya analizamos, en nuestro Blog, la sanción impuesta, por la Agencia Española de Protección de Datos (en adelante AEPD), a un gimnasio por el uso de la huella dáctilar como medida de control de acceso. Recurrida la sanción ante la Audiencia Nacional (en adelante AN), ésta se desmarca del criterio seguido por la AEPD, en su resolución sancionadora, a la hora de evaluar el cumplimiento del principio de proporcionalidad estimando el recurso interpuesto y dejando sin efecto la sanción impuesta.

¿Por qué estima la AN el recurso interpuesto por el gimnasio?

Para arrojar algo más de luz en este tema, de forma sencilla y clarificadora y tomando como base los argumentos esgrimidos tanto por la AEPD en su día como ahora por la Audiencia Nacional a la hora de constatar superado o no el juicio de proporcionalidad, analizaremos comparativamente ambas resoluciones siguiendo, a su vez, la doctrina del Tribunal Constitucional, (STC 207/1996 de 16 de diciembre) en orden a determinar el grado de cumplimiento de los tres requisitos o parámetros siguientes: 

 
 Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión.
                             AEPD                         AUDIENCIA NACIONAL

 El registro mediante huella dactilar consigue dicha finalidad de identificación/seguridad de que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector. 

 

 En cuanto a que este sistema sea eficaz atendiendo a las características de la tecnología biométrica, se aprecia que los datos quedan almacenados en la base de datos del servidor, en lugar de una tarjeta que portase el propio interesado por lo que su tratamiento resulta excesivo no superando el juicio de idoneidad.

 La recogida y uso de la huella tiene como fin la prestación de un servicio, el cual es de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad  se cumple.
                   ×     NO SUPERADO                         √        SUPERADO
Publicado en Blog

Como consecuencia del nuevo paradigma normativo, la Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado este pasado 8 de noviembre una nueva Guía sobre el uso de las cookies, con el fin de ofrecer las orientaciones oportunas para poder cumplir correctamente con la legislación en materia de protección de datos, a raíz de la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, así como con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

El apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

Esta primera información se facilitará antes del uso de las cookies, incluida, en su caso, su instalación, a través de un formato que sea visible para el usuario y que deberá mantenerse hasta que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo.

Uno de los mecanismos de información es acudir a la información por niveles o capas de forma que se muestre la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información más detallada y específica sobre las cookies.

Es importante señalar las MODALIDADES PARA LA OBTENCIÓN DEL CONSENTIMIENTO PARA EL USO DE LAS COOKIES que recoge la Guía, a fin de determinar aquellos métodos más apropiados para cumplir con la normativa, y que serían los siguientes:

  • Cuando se solicite el alta en un servicio, siempre y cuando el consentimiento se encuentre de manera separada y no se encuentre junto con el resto de las cláusulas legales de la web.
  • Durante el proceso de configuración del funcionamiento de la web o aplicación.
  • A través de plataformas de gestión del consentimiento, siempre y cuando éstas cumplan los requisitos y garantías necesarias, tales como:
    1. Informar previamente al usuario de una manera clara, cumpliendo así con los requisitos de transparencia.
    2. Obtener el consentimiento válido de los usuarios, mediante una clara acción afirmativa por parte de éstos.
    3. Respetar la solicitud del usuario en cuanto al consentimiento, así como proporcionarles los mecanismos necesarios y atender a su derecho de revocación del consentimiento.
  • Antes de proceder a la descarga de un servicio o aplicación en la web, salvo en el supuesto de que una web ofrezca contenidos audiovisuales, al entenderse que, en tal supuesto, el propio usuario ha sido quien ha solicitado expresamente el servicio, supuesto en el cual no sería necesario requerirle su consentimiento.
  • A través de la información en dos capas, debiendo incluirse en la primera capa la petición del consentimiento para el uso de las cookies.

Este mecanismo de información por capas es uno de los métodos más habituales empleados parte de los prestadores de servicios de la sociedad de la información a la hora de solicitar el consentimiento a los usuarios para la aceptación de las cookies, así como para informar acerca de la información básica (recogida en la primera capa) y la información adicional requerida (recogida en la segunda capa).

¿Qué deberá contener la primera capa?

Publicado en Blog

Seguramente te hayas hecho eco de una noticia relacionada con la publicación, en diferentes medios de comunicación, de ciertas imágenes recogidas por el sistema de videovigilancia, instalado en un establecimiento comercial de una conocida cadena de supermercados, donde se mostraba a una persona que ostentaba un importante cargo político en nuestro país junto a un vigilante de seguridad tras, presuntamente, sustraer varios artículos del establecimiento.

Los hechos a los que nos referimos se produjeron el 4 de mayo de 2011, y las imágenes se publicaron en los medios de comunicación el 25 de abril de 2018,  a partir de ese momento la Agencia Española de Protección de Datos (AEPD) decide iniciar de oficio actuaciones de investigación e inspección.

Un año y medio después, la AEPD ha resuelto (ver Resolución R/00423/2019) eso sí, conforme a la ya derogada Ley 15/1999 de Protección de Datos (LOPD 15/1999) por estar ésta aún en vigor en el momento de apertura de las investigaciones, y en base a los siguientes puntos que vamos a analizar. No obstante, el criterio doctrinal adoptado es plenamente aplicable con la normativa actual y vigente, esto es, el Reglamento General Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD 3/2018).

  1. ACCESO A LAS IMÁGENES POR PARTE DE LA EMPRESA DE SEGURIDAD

Tanto el artículo 12.2 de la LOPD 15/1999 como el actual artículo 33.2 de la actual LOPDGDD 3/2018 y el artículo 28.3 del RGPD exigen que la realización de un tratamiento de datos por parte de un tercero se debe regular en un contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable. Asimismo, el contrato debe establecer el objeto, la duración, la naturaleza, la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Publicado en Blog

No es la primera vez que nos referimos en este blog al tratamiento de datos personales relativo a la inclusión de tales datos en ficheros de solvencia patrimonial o sistemas de información crediticia por incumplimiento de obligaciones dinerarias, financieras o de crédito. De hecho, en una de nuestras publicaciones (ver aquí) analizábamos cuáles son los requisitos para que la inclusión de una deuda sea lícita; que recordemos, en virtud del artículo 20 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) son entre otros:

  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, que haya resultado impagadas, y respecto de las cuales no se haya entablado reclamación judicial, arbitral o administrativa.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, y que una vez se haya procedido a la inclusión se le notifique y se le informe de la posibilidad de ejercitar sus derechos.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde el vencimiento de la deuda.
  • Que los datos únicamente puedan ser consultados si se mantiene una relación contractual con el afectado que implica el abono de una cuantía pecuniaria o se solicite la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Si se denegase la celebración del contrato, quien haya consultado el sistema debe informar al afectado del resultado de dicha consulta.

Además, corresponde a la entidad acreedora garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda y que, por ende, se ha respetado el principio de licitud respecto al tratamiento de los datos de carácter personal que exige que el responsable del tratamiento acredite que ha actuado con la diligencia correspondiente para demostrar que la deuda es cierta, vencida y exigible; respondiendo de su inexistencia o inexactitud.

Y es este supuesto de hecho, el objeto de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una conocida entidad distribuidora de cosméticos en su reciente Resolución del Procedimiento sancionador N.º: PS/00159/2019 iniciado el 24 de abril de 2019, por infringir lo dispuesto en el artículo 6.1 del Reglamento Europeo de Protección de Datos (RGPD), al incluir los datos personales de una de sus distribuidoras que, supuestamente había realizado un pedido online cuyo abono estaba pendiente, en el fichero de solvencia patrimonial Asnef, sin haber previamente comprobado su identidad y cuando en realidad se estaba falseando el proceso de contratación, empleando un tercero de forma fraudulenta la identidad de la denunciante.

Llegados a este punto, cabe analizar dos puntos clave:

  1. ¿Contaba la entidad con base legitimadora suficiente para tratar los datos personales de su distribuidora?

Dentro de las distintas bases que legitiman la licitud de un tratamiento que reconoce el RGPD en su artículo 6.1, podría en este caso encajar si se cumpliera alguna de estas tres condiciones:

Publicado en Blog

Muchos son los interrogantes que se nos plantean a la hora de determinar si podemos o no considerar las matrículas de los vehículos como datos de carácter personal conforme a la legislación vigente.

Si bien es cierto que el criterio mayoritario que nuestra autoridad de control en materia de protección de datos (Agencia Española de Protección de Datos, en adelante “AEPD”) está adoptando, es el considerar que las matrículas de los vehículos sí constituyen un dato de carácter personal, y, por tanto, sometidas a las previsiones recogidas en la normativa en materia de protección de datos (Reglamento General de Protección de Datos, en adelante “RGPD” y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales), a continuación podemos comprobar que estos pronunciamientos no son de carácter unánime, tanto por parte de la propia AEPD, como por otros Tribunales, al considerar que tales datos no son datos de carácter personal.

En primer lugar, y para poder dar una respuesta a esta cuestión, debemos preguntarnos, ¿qué es un dato de carácter personal?

El artículo 4.1 RGPD define dato de carácter personal como “toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Atendiendo a la definición que el propio RGPD nos proporciona del concepto de dato de carácter personal, podemos inferir que, mediante la matrícula de un vehículo, indirectamente se podría llegar a identificar al titular del vehículo, y, por tanto, tratarse de un dato de carácter personal.

Ahora bien, ¿en qué supuestos ha entendido la AEPD que las matrículas de vehículos son datos de carácter personal?

Publicado en Blog

Sanción histórica a LaLiga: 250.000€ por 'espiar' con tu móvil en busca de piratería”; “La AEPD multa con 250.000 euros a LaLiga por la app que usa el micrófono de los móviles” estos son algunos de los titulares que hace unas semanas inundaban los medios de comunicación con motivo de la sanción que la Agencia Española de Protección de Datos (AEPD) impuso a La Liga Española de Futbol (en adelante LALIGA).

Sin embargo, durante este tiempo los profesionales de la privacidad nos hemos mantenido expectantes a la espera de la publicación de la resolución sancionadora por parte de la AEPD, para poder analizar cuáles son los fundamentos de la autoridad española de protección de datos.

Pues bien, la ansiada resolución finalmente se ha hecho pública esta semana, y sin lugar a duda supondrá un punto importante en lo que a interpretación de la norma se refiere.

De la extensa resolución sancionadora, debemos extraer como punto fundamental, que la autoridad española de protección de datos considera que LALIGA ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos (en adelante RGPD), en lo que respecta al principio de transparencia:

“Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”

Para comprender por qué la AEPD ha llegado a esta determinación, debemos analizar los siguientes puntos de controversia entre la entidad sancionada y la autoridad de protección de datos:

¿Trata la AppLiga datos personales?

Uno de los asuntos que se sitúa en el lugar principal de controversia es la determinación de si el aplicativo del que La Liga es titular, trata datos de carácter personal. Es imprescindible que sea este uno de los puntos centrales en los fundamentos de derecho, toda vez que, de no existir un tratamiento de datos personales, no tendrían cabida el resto de fundamentos que ahora componen la resolución. Para defender su postura, se argumentan las siguientes cuestiones:

Publicado en Blog

El derecho de acceso se puede definir como aquel que tienen las personas a obtener información sobre el tratamiento de sus datos personales. Se trata por tanto de un derecho personalísimo, que solo puede ser ejercitado el propio interesado y cuyo ejercicio queda previsto tanto en el artículo 15 del Reglamento General Europeo de Protección de Datos (RGPD) como en el artículo 13 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ahora bien, ¿se puede tener acceso a los datos de los fallecidos?

Sobre esta cuestión, se ha pronunciado recientemente la Agencia Vasca de Protección de Datos (AVPD), en su Dictamen N.º D19-008.

En primer lugar, tal y como ya hemos comentado en alguna ocasión en este blog (ver aquí), los tratamientos de datos de las personas fallecidas están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal.  Esto es así en virtud del artículo 32 del Código Civil por el cual el fallecimiento de una persona determina la extinción de su personalidad civil, y dicha exclusión se recoge en el Considerando 27 del RGPD y en el artículo 2 de la LOPDGDD.

En esta misma línea cabe citar la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre, en la que afirma que, “si el derecho fundamental a la protección de datos ha de ser considerado como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la información que le es propia, es evidente que dicho derecho desaparece por la muerte de las personas, porque los tratamientos de datos personas fallecidas no podrían considerarse comprendidos dentro del ámbito de aplicación de la Ley”.

La exclusión expresa del mencionado artículo 2 LOPDGDD, se realiza sin perjuicio de lo establecido en el artículo 3, el cual dispone por su parte, que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Por otra parte, en virtud del artículo 12.5 RGPD “cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos, se estará a lo dispuesto en aquellas”.

Y es sobre este punto sobre el cual versa el Dictamen emitido por la AVPD en su Dictamen al resolver una consulta sobre el acceso a la Historia Clínica de las personas fallecidas por parte de sus familiares al ponerse en tela de juicio la posible controversia entre dos normas aplicables:

Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Su artículo 18.4 dispone que:

  • Sólo se facilitará el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite.
  • En todo caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes y no se facilitará información que afecte a la intimidad del fallecido, que perjudique a terceros, ni tampoco las anotaciones subjetivas de los profesionales.
Publicado en Blog

Hace unas semanas publicábamos en este Blog un artículo sobre los conceptos y claves de la anonimización de datos de carácter personal, partiendo para ello del análisis de la guía de la Agencia Española de Protección de Datos (AEPD) que recoge una serie de orientaciones y garantías en los procesos de anonimización de datos de carácter personal.

Si bien es cierto que la guía no tenía un carácter novedoso, ya que fue publicada por la AEPD hace varios años, los procesos de anonimización sobre conjuntos de datos personales son actualmente un pilar base para responsables y encargados del tratamiento, en lo que a medidas de seguridad se refiere.

Sin embargo, una de las problemáticas que estos mecanismos plantean, y así lo hacíamos constar en el artículo mencionado, es la dificultad de aplicar un proceso de anonimización que garantice de manera absoluta, la no reidentificación posterior de los titulares de los datos.

Precisamente para abordar cuáles son los límites en la efectividad de esos procesos de anonimización, la AEPD ha publicado hace unos días una nota técnica, en la que también analiza hasta qué punto la información está realmente anonimizada, y cómo se puede gestionar el riesgo de reidentificación.

En este documento, elaborado por la Unidad de Evaluación y Estudios Tecnológicos de la autoridad española de protección de datos, se parte de la base de que, en aplicación del principio de responsabilidad proactiva o accountability establecido en el Reglamento General de Protección de Datos (RGPD), el responsable debe analizar los riesgos en los tratamientos de datos, en este caso concreto, los de reidentificación derivado de sus procesos de anonimización, así como los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. El fin último de este análisis, no es otro que alcanzar un balance correcto entre la necesidad de obtener unos resultados con una determinada fidelidad, y el coste que el tratamiento puede tener para los derechos y libertades de los ciudadanos.

Para dar solución a este problema y evitar la desanonimización de un conjunto de datos, se ha desarrollado una disciplina conocida como Control de Revelación Estadística o técnicas SDC (Statistical Disclosure Control, más información a este respecto aquí), que tiene como objeto estudiar la forma más óptima de realizar un tratamiento adicional sobre la información de los sujetos de datos, consiguiendo al mismo tiempo maximizar la privacidad y mantener los objetivos establecidos en la aplicación o servicio que explota tales datos.

Si bien es cierto que existen diferentes técnicas orientadas a preservar la privacidad de los datos personales de individuos, todas ellas encaminadas a limitar las amenazas a la privacidad que pueden materializarse al desanonimizar la información, la AEPD centra su análisis en la K-anonimización, técnica ya mencionada por el antiguo Grupo de Trabajo del Artículo 29 en su Opinión 05/2014.

¿En qué consiste realmente la K-anonimidad?

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal