Hoy en este post nos hacemos eco de la fuerte campaña de difusión que en estas últimas semanas ha puesto en marcha la Agencia Española de Protección de Datos (AEPD) de su nueva herramienta canal prioritario, para aquellos casos de violencia digital en Internet.

La proliferación de dispositivos móviles y el acceso generalizado a Internet, están propiciando la difusión, en muchas ocasiones de manera ilegítima e incontrolada, de nuestros datos personales a través de perfiles en redes sociales y otros sitios web.

En este contexto, toda persona, hombre o mujer, de cualquier edad, puede llegar a verse afectada por este tipo de situaciones.

Para evitar la difusión masiva de esta clase de contenidos, la AEPD pone a disposición de los ciudadanos un canal específico para la atención prioritaria de estos casos.

¿Pero en qué supuestos se puede acudir a este canal?

Este canal se ha habilitado para la atención de situaciones excepcionalmente delicadas, cuando los contenidos de las fotografías o vídeos tengan carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o de víctimas de violencia por razón de género.

En este sentido, debemos tener en cuenta que, con carácter general, la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos, siempre que se trate de actividades exclusivamente personales o domésticas.

Por ello, podrás acudir a este canal sólo en casos excepcionales en los que, por tratarse de datos especialmente sensibles, la privacidad de la persona afectada se esté poniendo en grave peligro.

¿Entonces, podremos acudir a este canal cuando la difusión se lleve a cabo a través de Whatsapp o Telegram, o por medio de correo electrónico?

Publicado en Blog

En nuestra última publicación del blog (ver aquí), hemos analizado los informes mensuales emitidos por la Agencia Española de Protección de Datos (AEPD), respecto a las notificaciones de brechas de seguridad que ha recibido hasta el mes de noviembre del ya pasado año 2019. De tal análisis, hemos concluido que, de las 1296 notificaciones de brechas de seguridad recibidas, sólo 79 se llegaron a trasladar a la Subdirección General de Inspección de Datos para el esclarecimiento de los hechos y que, no obstante, se llegaron a archivar la mayor parte de las actuaciones, al haberse analizado tanto la diligencia de responsables y encargados, como las medidas que han sido aplicadas para evitar los posibles incidentes de seguridad (principio de responsabilidad proactiva).

La AEPD vuelve a reafirmarse en esta postura en una reciente resolución (PS/00305/2019), en la que, por el contrario, impone una sanción a una entidad la cual ha sufrido una brecha de seguridad, por considerar en este caso, que se ha producido una infracción del artículo 32 del Reglamento  General Europeo de Protección de Datos (RGPD), al no haberse aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

En concreto, la brecha de seguridad a la que nos referimos consistió, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas. Este incidente tuvo lugar en la sede uno de los sindicatos más representativos, que se situaba dentro del edificio de la empresa, y le ocurrió precisamente a un Delegado de sección sindical, que por tal condición, tenía acceso a la oficina, y cuya propiedad de los pendrives ostentaba. Por ello, pese a que se trate de un trabajador de la empresa, la información no se ha visto afectada dentro de sus funciones como trabajador, sino como Delegado Sindical.

En primer lugar, debemos hacer referencia a que la empresa ha alegado que, la pérdida de los dispositivos de almacenamiento no ha sido en ningún caso consecuencia de una actitud negligente por su parte puesto que, la comunicación de los datos a los sindicatos está legitimada en el artículo 6.1 c) del RGPD, siendo el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical). Además, hace hincapié en que, en dicha remisión, se han guardado todas las medidas de seguridad necesarias y que, de todas formas, ella no tiene ninguna potestad para decidir acerca de cómo tratar los datos, ni les da instrucciones a los sindicatos acerca de cómo tratar los mismos, puesto que precisamente se trata de una comunicación y no de un acceso a datos por cuenta de un tercero, propio de una relación responsable – encargado del tratamiento.

No obstante, pese a las alegaciones formuladas por la entidad y, tratarse de dos responsables del tratamiento totalmente independientes la AEPD ha sancionado únicamente a la empresa, considerando a ésta la única responsable de la infracción, resultando curiosa esta decisión de la AEPD a la hora de sancionar únicamente a la entidad, principalmente por no justificar o entrar a valorar sus alegaciones, y determinar realmente quien es el responsable del tratamiento en este caso, máxime cuando la brecha ha sido notificada tanto por la empresa como por el sindicato.

En segundo lugar, respecto a la imposición de la multa administrativa en sí misma, la AEPD en virtud del artículo 83.2 del RGPD y atendiendo al caso concreto, ha tenido en cuenta dos factores agravantes y uno atenuante a la hora de determinar la cuantía de la misma:

Publicado en Blog

Recién estrenado el 2020 y como en años anteriores la Unidad de Evaluación y Estudios Tecnológicos de la Agencia Española de Protección de Datos emite un informe anual en el que se resumen las características principales de las notificaciones de brechas de seguridad recibidas por la Agencia Española de Protección de Datos (AEPD) en virtud del artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( en adelante RGPD).

Pues bien, a la espera de que la AEPD publique el correspondiente informe anual y en base a los datos extraídos de los informes mensuales emitidos hasta el mes de noviembre de este último año tan sólo 79 de las 1296 notificaciones de brecha de seguridad han sido trasladadas a la Subdirección General de Inspección de Datos (en adelante SGID) para el esclarecimiento de los hechos al apreciar la existencia de riesgo alto para los derechos y libertades de los ciudadanos o que se requiere una investigación adicional para determinar la existencia de dicho riesgo.

 
 BRECHAS NOTIFICADAS ANTE LA AEPD    TRASLADADAS A SGID
 Enero 78  8
 Febrero 101  13
 Marzo 113  3
 Abril 95  7
 Mayo 84  0
 Junio 92  15
 Julio 83  14
 Agosto 42  0
 Septiembre 133  8
 Octubre 266  7
Noviembre 209  4
TOTAL 1296  79

¿Pero cómo determinar si existe un riesgo alto para los derechos y libertades de los ciudadanos?

Publicado en Blog

El pasado mes de agosto ya analizamos, en nuestro Blog, la sanción impuesta, por la Agencia Española de Protección de Datos (en adelante AEPD), a un gimnasio por el uso de la huella dáctilar como medida de control de acceso. Recurrida la sanción ante la Audiencia Nacional (en adelante AN), ésta se desmarca del criterio seguido por la AEPD, en su resolución sancionadora, a la hora de evaluar el cumplimiento del principio de proporcionalidad estimando el recurso interpuesto y dejando sin efecto la sanción impuesta.

¿Por qué estima la AN el recurso interpuesto por el gimnasio?

Para arrojar algo más de luz en este tema, de forma sencilla y clarificadora y tomando como base los argumentos esgrimidos tanto por la AEPD en su día como ahora por la Audiencia Nacional a la hora de constatar superado o no el juicio de proporcionalidad, analizaremos comparativamente ambas resoluciones siguiendo, a su vez, la doctrina del Tribunal Constitucional, (STC 207/1996 de 16 de diciembre) en orden a determinar el grado de cumplimiento de los tres requisitos o parámetros siguientes: 

 
 Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión.
                             AEPD                         AUDIENCIA NACIONAL

 El registro mediante huella dactilar consigue dicha finalidad de identificación/seguridad de que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector. 

 

 En cuanto a que este sistema sea eficaz atendiendo a las características de la tecnología biométrica, se aprecia que los datos quedan almacenados en la base de datos del servidor, en lugar de una tarjeta que portase el propio interesado por lo que su tratamiento resulta excesivo no superando el juicio de idoneidad.

 La recogida y uso de la huella tiene como fin la prestación de un servicio, el cual es de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad  se cumple.
                   ×     NO SUPERADO                         √        SUPERADO
Publicado en Blog

Es muy probable que hayas oído hablar del derecho al olvido y te preguntarás, ¿Qué es exactamente? Pues bien, en este artículo nos vamos a centrar en explicar este derecho que todos los ciudadanos tenemos reconocido, como ya hemos hecho en otros artículos de nuestro blog pinchando aquí.

Para comenzar, nos gustaría recordar que el derecho al olvido es un concepto relacionado con el Habeas Data (derecho de control del individuo sobre sus datos o información personal, además de la exclusión de toda injerencia en su vida privada) y la protección de datos personales, el derecho al honor, intimidad e imagen, todos ellos Derechos Fundamentales reconocidos en nuestra Constitución (C.E).

Según la Agencia Española de Protección de Datos (AEPD):

El “derecho al olvido hace referencia al derecho que tiene un ciudadano a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa”.

Además, indica la AEPD que este derecho incluye la posibilidad de limitar la difusión de datos personales, incluso cuando la publicación original sea legítima, cuando refiere que:

“La difusión universal e ilimitada de información que ya no tiene relevancia ni interés público a través de los buscadores causa una lesión a los derechos de las personas”.

Determinado el concepto del derecho al olvido, y si bien esta cuestión ya ha sido analizada en profundidad en nuestro blog (si te interesa este análisis pincha aquí), consideramos necesario mencionar que este derecho, se encuentra regulado por una parte en el artículo 17 del Reglamento General de Protección de datos (RGPD), y por otra parte, exclusivamente en el ámbito de Internet, en el artículo 93 de la Ley Orgánica de Proteccion de Datos y de Garantías de los Derechos Digitales.

Una vez hemos recordado los conceptos y aspectos que rigen en el derecho al olvido, cabe destacar que la importancia de la reivindicación de este derecho viene ligado a grandes buscadores como puede ser Google, ya que basta con teclear el nombre de una persona, algo tan simple como un “click” para que podamos acceder a información relativa a la misma. Información que, aunque a simple vista parezca inofensiva, en muchos casos puede estar atentando contra los Derechos Fundamentales inherentes a esa persona y a su vez vulnerando los principios que rigen en el Derecho a la Protección de Datos.

A este respecto, consideramos necesario hacer referencia a la reciente Sentencia 12/2019 de 11 Enero, Rec. 5579/2017, del Tribunal Supremo, en la cual se viene a tratar lo siguiente:

La persona afectada por una supuesta lesión del derecho al honor, a la intimidad personal y familiar y a la propia imagen, está legitimada para fundamentar válidamente una acción de reclamación ante la entidad proveedora de los servicios del motor de búsqueda en internet, o ante la AEPD, cuando los resultados del motor de búsqueda ofrezcan datos sustancialmente erróneos o inexactos que supongan una desvalorización de la imagen reputacional que se revele injustificada por contradecir pronunciamientos formulados en una resolución firme.

En el caso que nos atañe, la persona afectada interpone su acción de reclamación ante Google, reconocida por la Audiencia Nacional mediante Sentencia, pero Google decide recurrir esta Sentencia ante el Tribunal Supremo. ¿Por qué? El gigante tecnológico considera que no está lesionando los derechos del interesado.

Sin embargo, en el fallo de la Sentencia, el Tribunal Supremo estima no haber lugar al recurso de casación interpuesto por Google, reconociéndole a la persona afectada su Derecho al Olvido.

Este derecho al olvido de la persona afectada se fundamenta del siguiente modo:

Publicado en Blog

El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l'informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.

Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.

En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única

El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.

En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:

- Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
- Tratará el asunto la autoridad de control que le haya informado.

En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.

Publicado en Blog

Hace unos días, algunos medios de comunicación publicaban una noticia sobre una resolución sancionadora de la Agencia Española de Protección de Datos (en adelante la AEPD) impuesta a una entidad propietaria, según los titulares de la prensa, de una de las webs más activas de piratería digital (R/00267/2017).

A pesar de que titulares así, pueden hacer que parezca que la AEPD ha sancionado por piratería, en realidad lo ha hecho por infracción del artículo 22.2, relativo a los derechos de los usuarios, de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI), como así aclaran, por otro lado, los diferentes medios de prensa en el cuerpo de sus artículos.

Este tipo de resoluciones sancionadoras hacen que no nos olvidemos de lo importante que es la obligación,de informar para obtener el consentimiento inequívoco de los interesados para el almacenamiento de sus datos de carácter personal a través, en este caso, de las famosas cookies.

Recordemos que las cookies son pequeños ficheros que se descargan en el equipo terminal de un usuario con la finalidad de almacenar, recuperar y/o actualizar datos.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal