La Agencia Española de Protección de Datos (en adelante AEPD) ha procedido a sancionar a un médico por importe de 5.000€,sanción que deriva de la pérdida de un video se grabó el 14 de octubre de 2014, cuando la paciente afectada se sometió a una intervención quirúrgica en un hospital privado de Madrid, video que fue grabado con el fin de captar la técnica para futuros usos científicos y docentes.

En el momento en el que la paciente solicitó las imágenes grabadas al doctor, con la intención de poder contrastar opiniones de distintos facultativos sobre la operación que se le había realizado, fue cuando se encontró con una respuesta vía e-mail que ni mucho menos se esperaba, en la cual el médico le decía textualmente lo siguiente;

“Como te he comentado lamento no haber podido encontrar las imágenes de tu cirugía, pero los niños me perdieron varios pendrives y es posible que en ellos se fuera tu intervención”

Fue a partir de este momento cuando la afectada decidió denunciar al facultativo, entendiendo que este había actuado con una grave falta de diligencia y dejando en manos de la AEPD la valoración de la tipología de falta cometida, cabe en este punto traer a colación los tipos de infracciones que encontramos reguladas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) , dedica en concreto en su artículo 44 la regulación de los Tipos de infracciones, refiriéndose en su punto 1º a que estas pueden ser de distintos tipos dependiendo de lo acaecido en cada caso concreto:

“Las infracciones se calificarán como leves, graves o muy graves”

Respecto a esto, la AEPD determinó en el Acuerdo de Inicio del expediente sancionador que los hechos enjuiciados fueron calificados como una infracción del artículo 9.1 LOPD:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

Se hace en relación con el artículo 102 del RLOPD 1720/2007, sobre las copias de respaldo y recuperación. Ampliándose con el artículo 106 del RLOPD sobre los criterios de archivo, que dice deberán, entre otras cosas, posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Esto supone una infracción grave, como ya hemos adelantado anteriormente en referencia a la LOPD, y que trae aparejadas consigo multas que van de los 40.001 a los 300.000 euros.

Para intentar evitar esta sanción el médico formuló una serie de alegaciones, entre las cuales nos gustaría destacar las siguientes:

Publicado en Blog

Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.

Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.

Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.

Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.

Publicado en Blog

Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)

Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:

a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.

Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:

Publicado en Blog
Jueves, 23 Junio 2016 14:03

La AEPD publica su Memoria 2015

La Agencia de Protección de Datos comenzaba la semana con la publicación de su Memoria anual 2015.

De su contenido destacamos:

En relación a denuncias y reclamaciones planteadas ante la AEPD por los ciudadanos, se han alcanzado en 2015 un total de 10.571, cifra que supone la consolidación de los datos registrados en 2013 tras el repunte de 2014. La Agencia destaca a este respecto el esfuerzo realizado por el personal del organismo, ya que se resolvieron un 15,70% más que en el 2014.

Además, menciona la utilidad de la Unidad de Admisión a trámite de las reclamaciones de los ciudadanos, creada a finales del año 2015, que realiza el análisis de las denuncias recibidas para, en un breve lapso temporal desde su presentación, detectar las evidencias en las que la colaboración del reclamante es necesaria para fundar la reclamación, ofreciendo la información necesaria sobre cómo pueden obtenerlas.

Un aspecto a resaltar es que las consultas planteadas por los ciudadanos superaron en 2015 la cifra de 218.000, lo que supone un crecimiento de más del 10% respecto al año anterior. Asimismo, la Agencia promete lanzar en 2016 varias iniciativas, con las que ampliarán la concienciación de la ciudadanía sobre la importancia de proteger adecuadamente su información personal.

Publicado en Blog

El pasado mes de mayo la AEPD emitía una interesante resolución sancionadora desde dos puntos de vista:

1. Aplicación de la LSSI a prestadores de servicios (PSS) establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo:

El art. 3.1 f) de la LSSI establece que se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias, entre otras, a la licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitada.

La AEPD para determinar que efectivamente el prestador de servicios se dirige a destinatarios que radiquen en España indica como prueba:

1. Que la App propiedad del PSS se encuentra implantada en varias ciudades españolas.

2. Que las comunicaciones comerciales denunciadas se dirigieron a un destinatario radicado en una ciudad española.

3. Que el PSS utiliza como domicilio a efectos de notificaciones para el desarrollo de su actividad en España una dirección en Madrid.

4. Que para el envío de las comunicaciones comerciales se nutre de las agendas de contacto de los terminales móviles de los usuarios españoles registrados en su aplicación.

2. Que utilizar la opción “invitar a amigos” no evitará que seas considerado como responsable del fichero:

Publicado en Blog
Viernes, 15 Enero 2016 13:17

El envío de spam vía WhatsApp

Primera sanción de la AEPD por el envío continuado de publicidad a través de WhatsApp.

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600 euros, a una empresa de ocio de Madrid, por el uso de la plataforma WhatsApp para enviar publicidad a terceros.

La LSSICE define comunicación comercial como: "toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."

Asimismo, define Servicios de la sociedad de la información como: "todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario."

Una vez más, la AEPD, expone los criterios mantenidos sobre el envío de "spam" así como las consecuencias de realizar esta práctica, en este mismo blog hemos hablado y analizado dichos criterios.

Además, el artículo 21.1 LSSICE prohíbe, expresamente, las comunicaciones comerciales por correo electrónico u otro medio que, previamente no hayan sido autorizadas por los destinatarios de las mismas.

Publicado en Blog

Es criterio uniforme de la Agencia Española de Protección de Datos, que la existencia de un grupo de empresas no afecta para que cada una de las sociedades, integradas en el mismo, no mantenga diferenciada y plena su personalidad jurídica. A todos los efectos jurídicos, la circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas.

Un criterio uniforme, ratificado por Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, cuando en su fundamento de derecho cuarto señala que, "(....) Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas".

Por lo tanto, y atendiendo a lo que acabamos de indicar, cada una de las empresas que integran un grupo serán responsables de sus propios ficheros de carácter personal.

Una vez sentadas las bases, vamos a analizar dos circunstancias, que se dan con bastante asiduidad en los grupos de empresas, y tienen un impacto directo en materia de protección de datos:

1. Comunicación de datos (empleados, clientes etc.) entre las empresas que conforman el grupo:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal