Hace unos días, todos nos hacíamos eco por distintos medios, de que el presidente de la conocida cadena de supermercados MERCADONA, comunicaba la decisión de la compañía de implementar en cuarenta de sus tiendas de España, un sistema de detección anticipada en las cámaras de acceso de las tiendas basado en el uso de tecnologías de reconocimiento facial, con el fin de reforzar la seguridad tanto de los clientes como de los propios trabajadores, evitando que se produzcan robos en los locales e impidiendo el acceso de ciertas personas.

En concreto, este sistema es capaz de captar durante 0,3 segundos los rostros, cotejarlos con ficheros de imágenes y detectar la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la cadena de supermercados o contra alguno de sus empleados; y una vez detectada la infracción y tras haberse contrastado que se trata de esa persona, se lo notifica a las Fuerzas y Cuerpos de Seguridad del Estado.

No cabe duda de la polémica que ha suscitado esta decisión, ya no solo por el impacto que tiene sobre la privacidad de las personas y que analizaremos en este artículo, sino porque, además, el proveedor del sistema utilizado y por tanto encargado del tratamiento, es AnyVision, una entidad israelí líder mundial de plataformas de reconocimiento facial, que se ha visto involucrada en varios escándalos recientes, tales como que su tecnología ha sido utilizada para identificar y vigilar a ciudadanos palestinos en Cisjordania.

Ya hemos analizado recientemente en este blog ciertas técnicas de reconocimiento facial. En concreto, las técnicas proctoring para la realización de los exámenes online o los sistemas de videovigilancia con reconocimiento facial, donde la Agencia Española de Protección de Datos (AEPD) ha emitido informes sobre aquellas cuestiones que generaban ciertas dudas.

Sin embargo, y si bien es cierto que la AEPD ya ha iniciado una investigación de oficio, la única información que tenemos por ahora, es la que proporciona la propia entidad a través de sus redes sociales, la información básica que aparece reflejada en los carteles informativos que han sido colocados en la entrada de cada uno de los establecimientos, y su propia Política de Privacidad ubicada en la web de la compañía, donde se proporciona la información adicional. De estas vías, podemos extraer la siguiente información:

- Existe un tratamiento de datos biométricos en aquellas tiendas de España donde esté implantado el sistema de detección anticipada.

- La finalidad del tratamiento consiste en poder llevar a cabo las actuaciones precisas para proteger los intereses vitales de los clientes cuando así sea necesario, o el cumplimiento de las resoluciones judiciales y las medidas en ellas acordadas.

- Estos datos serán tratados por razones de interés público con las consiguientes consideraciones previstas por la normativa de protección de datos.

- Los datos que recoge el sistema se tratan y se custodian durante el tiempo imprescindible para dar cumplimiento a las medidas judicialmente de aquellas personas condenadas a dicha orden de alejamiento.

De todas formas, los datos recogidos accesoriamente para cumplir con esta finalidad permanecerán en el servidor únicamente en el proceso de comprobación, que como decíamos al inicio, es de unas décimas de segundo. Una vez realizada esta comprobación procede a destruirse definitivamente.

- Estas imágenes o perfiles faciales biométricos únicamente se tratan a nivel interno por la entidad, siendo exclusivamente comunicadas a las Fuerzas y Cuerpos de Seguridad del Estado para proteger la seguridad de los clientes y trabajadores y el cumplimiento de las medidas decretadas judicialmente.

Ahora bien, ¿es esto suficiente para considerar que es lícita la implementación de estos sistemas de detección anticipada?

En primer lugar, debemos de partir de que se entiende por técnica de reconocimiento facial, toda tecnología que permite la identificación de una persona mediante el análisis de las características biométricas de su rostro.

De la detección del rostro de las personas en las cámaras, se extraen una serie de características que conforman un patrón biométrico facial que se coteja con información ya existente en ciertas bases de datos y se obtiene un porcentaje de similitud con la persona que se identifica para después tomar una decisión.

Aunque, por ejemplo, ya se está trabajando también esta técnica con un proyecto piloto en algún aeropuerto de España que consiste en que través del reconocimiento facial, se cruza el filtro de seguridad y se permite embarcar de forma más ágil; sin embargo, este caso que estamos analizando se trata de la primera experiencia masiva de implementación de esta técnica llevada a cabo en nuestro país.

En segundo lugar, ahondando en el tratamiento en cuestión, debemos aclarar que el rostro de una persona, en virtud del artículo 4 del Reglamento General de Protección de Datos (RGPD), se considera un dato de carácter personal, pues nos permite identificar a una persona física.

Publicado en Blog

A lo largo de estas últimas semanas estamos viendo cómo muchas empresas van volviendo poco a poco a su rutina, y adaptando sus espacios a esta “nueva normalidad”, que está provocando importantes cambios en nuestra manera de comunicarnos y relacionarnos en nuestro día a día. Es en esta nueva realidad donde estamos asistiendo a una importante aceleración en la implantación de nuevas tecnologías en la lucha contra la Covid-19: cámaras termográficas, uso de drones, tecnologías que permiten el conteo de personas para controlar el distanciamiento social y de aforo, sistemas de certificación de salud mediante códigos QR, controles de acceso para detección de equipos de protección y mascarillas entre otras constituyen el nuevo escenario en la transición a esta “nueva normalidad”.

Pues bien, entre todas estas soluciones tecnológicas están irrumpiendo con mucha fuerza las técnicas de reconocimiento facial que multitud de empresas de seguridad privada están ofertando en sus catálogos de productos y servicios. Estos sistemas cuentan con la ventaja de que se pueden integrar en los terminales de control horario y de accesos de las empresas e incluso en los propios sistemas de videovigilancia, y es precisamente en estos últimos donde se han suscitado muchas dudas en cuanto su uso y licitud en lo que a protección de datos se refiere.

Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha venido a publicar un informe en el que resuelve algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, empleados en la seguridad privada al amparo del art. 42 de la Ley de Seguridad Privada (en adelante LSP), que a juicio de la consultante estaría permitido por el artículo 9.2.g) del Reglamento Europeo de Protección de Datos, (en adelante RGPD) siendo suficiente a estos efectos que el usuario del servicio de seguridad sea titular del espacio a protegerse por la empresa de seguridad y que se trate de un dispositivo homologado por el Ministerio del interior.

Pues bien, para poder entender las conclusiones a las que llega la AEPD y que difieren radicalmente de las alegadas por la consultante debemos hacernos una serie de preguntas:

Publicado en Blog

El viernes dedicamos nuestra publicación al análisis de las técnicas de proctoring y el conflicto que se puede llegar a crear entre los métodos de control en los exámenes online y la protección de datos de carácter personal.

Justamente ese mismo día, la Agencia Española de Protección de Datos (AEPD) hizo público el Informe N/REF: 0036/2020 en el que analiza la utilización del reconocimiento facial para realizar exámenes online.

Siendo el criterio plasmado en nuestra publicación se encuentra en la línea de lo expuesto por la AEPD, debemos de tener presente que este es un tema que genera cierta duda y alerta, y es por ello por lo que consideramos oportuno recoger algunos de los principales criterios establecidos por la AEPD en el mencionado Informe, en aras de completar lo ya indicado en nuestra publicación acerca de las técnicas proctoring.

La AEPD, como ya ha hecho en otros informes relacionados con la COVID-19, vuelve a partir de la base fundamental de que el derecho fundamental a la protección de datos personales no ha visto suspendido como consecuencia de la pandemia y de la declaración del estado de alarma,  y por lo tanto, todo tratamiento de datos personales deberá respetar este derecho fundamental ajustándose para ello a la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, aunque el informe se centra en el análisis jurídico del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online, antes desarrollar tal análisis, trata otro tipo de cuestiones respecto de las que la AEPD ya se pronunció en su Informe 36/2019 sobre tratamiento de datos en universidades, como por ejemplo la publicación de las calificaciones de los alumnos. 

Pero ¿cuál es la respuesta que da la AEPD a la consulta planteada?

Publicado en Blog

Cada día son más las normas sectoriales afectadas por la protección de datos de carácter personal, llegando a alcanzar desde el sector sanitario, protección de menores, publicidad, videovigilancia hasta la prevención del fraude, entre otros. En ocasiones han sido tratadas en nuestro Blog algunas de estas materias (como aquí, aquí o aquí), pero queremos centrar esta publicación en el análisis de la relación que guardan la normativa en materia de Prevención de Blanqueo de Capitales y las normas de Protección de Datos Personales.

Para ello, enfocaremos nuestra atención exclusivamente en la normativa que se encontraba vigente a fecha de 25 de mayo de 2018, resultando ya exigible el Reglamento Europeo de Protección de Datos (RGPD) y aquella que resulta aplicable a día de hoy:

Por lo tanto, analizamos a continuación los principios y derechos en materia de protección de datos que se encuentran regulados en esta normativa específica, así como los cambios que ha introducido la quinta Directiva en materia de prevención de blanqueo de capitales a este respecto.  

 Principios y Derechos  Ley 10/2010  Directiva 2018/843
 Principio de información El artículo 32.3 contempla la exención al deber de informar al interesado, haciendo referencia en este caso a la ya derogada Ley Orgánica 15/1999.

No realiza ningún pronunciamiento respecto a la exención a informar al interesado.

Habrá que atender a la transposición de la Directiva al ordenamiento jurídico español, para conocer si el legislador mantiene la exención prevista en la Ley 10/2010, haciendo en este caso remisión al RGPD, en lugar de la LOPD 15/1999. 

 Legitimación El artículo 32 determina que no es preciso el consentimiento del afectado para el tratamiento de los datos de carácter personal contenidos en los mencionados ficheros.  La modificación del artículo 43 introduce que el tratamiento de datos personales en virtud de la presente Directiva a fines de prevención del blanqueo de capitales y la financiación del terrorismo se considerará de interés público. Entendemos por tanto que este tratamiento estará legitimado conforme al artículo 6.1 e) RGPD.
 Plazo de conservación El artículo 25 indica que los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la presente ley.  No introduce cambios al respecto, al mantener en el artículo 40 que la prórroga máxima del período de conservación de cinco años no excederá de un período de cinco años adicionales. Así, el plazo actual de diez años establecido en la normativa española, se mantiene dentro de los límites mínimo y máximo ahora fijados por la Directiva.
 Derechos de los interesados El artículo 32.3. contempla que no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

No realiza modificaciones al respecto, por lo que podemos interpretar que el contenido del Considerando 46 de la cuarta Directiva a este respecto, continuará siendo aplicable, entendiendo la remisión realizada a la Directiva 95/46/CE al RGPD.

Sin perjuicio de todo lo anterior, consideramos merecedor de un estudio más específico, el ámbito de aplicación subjetivo de la Ley 10/2010 y los cambios introducidos por la Directiva 2018/843 a este respecto. ¿Por qué nos interesa esta cuestión en especial?

Publicado en Blog

Hace unos meses analizábamos en este Blog las repercusiones de la declaración de inconstitucionalidad del artículo 58 bis de la Ley Orgánica, 5/1985, de 19 de junio, de Régimen Electoral General (en adelante LOREG), incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos.

Ahora, y de nuevo tras la celebración de elecciones en noviembre, se ha hecho noticia el derecho fundamental a la protección de datos y su impacto en los envíos de propaganda electoral por parte de los partidos políticos, en esta ocasión por la práctica llevada a cabo por uno de los partidos políticos en pleno fin de campaña electoral, al recurrir como técnica de marketing al envío masivo de sms, dirigidos a dos millones de destinatarios, solicitando el voto de cara a las, ahora ya pasadas, elecciones generales.

Ante esta noticia, no se hizo esperar la correspondiente denuncia ante la Agencia Española de Protección de Datos (AEPD), y tampoco las declaraciones del partido político cuya técnica de marketing se ha visto cuestionada.

Sin perjuicio del futuro pronunciamiento de la AEPD a este respecto, consideramos conveniente analizar y tratar de dar respuesta a la siguiente pregunta

¿Con qué exigencias han de cumplir esta clase de envíos?

Publicado en Blog

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

Publicado en Blog
Martes, 27 Noviembre 2018 17:49

La nueva LOPD llega con polémica incluida

 

Tras el rechazo en el Pleno del Congreso de los Diputados a las 32 enmiendas planteadas en el Senado al Proyecto de Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (PLOPD), el pasado 20 de noviembre el Pleno del Senado aprobó por mayoría absoluta la que pasará a ser nuestra nueva Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPD), que sustituirá a la ya desfasada LOPD 15/1999.

La nueva LOPD se prevé que entre en vigor en los próximos días y muchas han sido las modificaciones que ha sufrido el Proyecto desde su publicación en el BOE en noviembre del pasado año hasta su actual redacción, siendo la más sugerente el propio encabezado de la Ley, reconociendo y vinculando la Garantía de los Derechos Digitales a la Protección de Datos de Carácter Personal.

La configuración final del articulado de la nueva LOPD es el mismo que se preveía en el informe de la ponencia del PLOPD y Garantía de los Derechos Digitales publicado en el BOE el 9 de octubre del presente año, al no haber sido aceptada ninguna de las enmiendas planteadas en el Senado. La estructura de nuestra nueva LOPD, por tanto, va a ser la siguiente:

- Un total de 96 artículos, divididos en 10 títulos, 22 disposiciones adicionales, 6 disposiciones transitorias y 16 disposiciones finales.

Ya hemos comentado en otras publicaciones de nuestro Blog las principales diferencias entre la primera versión del PLOPD publicado en noviembre del año pasado respecto a la última versión definitiva publicada el 9 de octubre, que será la que finalmente entre en vigor en los próximos días.

Una de las principales novedades que introduce la nueva LOPD es su Título X, donde se reconocen una serie de derechos digitales, que tampoco se han visto exentos de enmiendas por el Senado, así como de críticas por parte de expertos en la materia, quienes no consideran del todo acertado el incorporar los derechos digitales relativos al ámbito laboral en una ley de protección de datos, y no así en legislaciones que regulen de manera específica las relaciones laborales de los trabajadores, como en la negociación colectiva, o en los propios procedimientos internos de las empresas. Entre dichos artículos se reconocen el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, el derecho a la desconexión digital, derecho a la intimidad frente al uso de dispositivos de videovigilancia, grabación en el lugar de trabajo y el uso de sistemas de geolocalización. Aún es pronto para que podamos prever los efectos jurídicos derivados de la incorporación de estos derechos en una normativa de protección de datos, pero lo que sí debemos tener claro es que todos ellos deberán tenerse en consideración en el resto de los ámbitos de nuestro Ordenamiento Jurídico.

Para finalizar, debemos hacer referencia a la disposición final tercera de la nueva LOPD que no ha dejado indiferente a nadie. El pasado 18 de abril el Grupo Parlamentario Socialista realizó una enmienda de adición a la nueva LOPD del artículo 58 bis a la L.O 15/1985, de 19 de junio, del Régimen Electoral General (LOREG), que contempla el uso de medios tecnológicos y datos personales en las actividades electorales.

La enmienda, que ha sido adherida el texto definitivo de la nueva LOPD y contaba en un principio con la aprobación de todos los grupos parlamentarios al no haberse realizado ninguna enmienda al respecto, parece contar ahora con más detractores que defensores.

Publicado en Blog

Una semana más seguimos con nuestro análisis del RGPD. Hoy hablamos del principio de limitación de la finalidad

El artículo 5.1.b indica “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (...)”. Asimismo, estos fines explícitos y legítimos deberán determinarse en el momento de su recogida.

Además, tal y como se específica en el considerando 39, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Tanto es así, que el RGPD requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación, para ello deberán tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.

También la nueva norma europea nos indica las excepciones y aclaraciones para llevar a cabo una correcta aplicación de este principio, destacamos las siguientes:

Publicado en Blog

En su primera sentencia (nº 545/2015, de 15 de octubre) sobre el derecho al olvido el Tribunal Supremo determinó que "los periódicos digitales no podrán permitir que los motores de búsqueda indexen noticias pasadas, cuando los afectados se lo soliciten, estableciendo así una prevalencia del derecho al honor, a la intimidad y a la protección de datos sobre la libertad de información".

En los años 80 el diario El País publicó una noticia, con nombres y apellidos, de dos personas implicadas en un delito de tráfico y consumo de drogas. Años más tarde, y con la condena cumplida, los afectados pudieron comprobar que si introducían sus datos de carácter personal en los buscadores, aquella noticia aparecía en los primeros puestos de consulta. Esto era debido a que El País había llevado a cabo una proceso de digitalización de su hemeroteca.

Los afectados elevaron la cuestión a los Tribunales, donde la Audiencia Provincial de Barcelona les dio la razón, ordenando además al diario demandado a que también eliminase los nombres e incluso las iniciales de los afectados.

En la Sentencia el TS realiza una ponderación entre los derechos a la libertad de información frente al derecho al honor, intimidad y protección de datos, llegando a las siguientes conclusiones:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal