Sanción de 1500 euros por grabar sin consentimiento

sanción LOPD grabación cámaras
La Agencia Española de Protección de Datos ha sancionado por grabar sin consentimiento, a la empresa Leistung S.L.N.E., tras la denuncia presentada por una mujer cuya identidad queda salvaguardada, con las iniciales A.A.A.

Denuncia por el sistema de videovigilancia

El procedimiento sancionador se puso en marcha tras la denuncia, que aseguraba que la empresa Leistung había instalado un sistema de cámaras de vigilancia en su negocio de Pontevedra, las cuales emitían imágenes en directo en su página web, de acceso público (es decir, abierta a cualquier usuario de Internet). La denunciante aseguraba, además, que en dichas emisiones podían identificarse a los peatones y coches que pasaban junto al comercio, en sus calles adyacentes. Para demostrar el hecho denunciado, A.A.A. suministró pantallazos de los vídeos denunciados e incluso un vídeo demostrativo.

¿Qué clase de sanciones puede imponer la AEPD?

Hay que explicar que la AEPD no es un tribunal, es decir, no es una instancia judicial como tal, sino que es un organismo de control que se define como "independiente", y cuya misión es velar por la observancia de la normativa en materia de protección de datos. En especial, se encarga de que se cumpla el derecho fundamental a la protección de los datos personales. La AEPD, por tanto, puede, además de multas pecuniarias, imponer otras sanciones, pero no puede llevar a la cárcel a una empresa o persona por incumplir la LOPD, sino que informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos. En el caso que nos compete, la AEPD investiga y sanciona a aquellas entidades que puedan realizar alguna actividad contra la protección de datos personales.

Claves para la videovigilancia en mi negocio

Después de este análisis sobre una de las sanciones impuesta por la AEPD respecto a una infracción cometida en materia de videovigilancia, os dejo un artículo con las medidas que hay que tener en cuenta a la hora de poner cámaras en un negocio.

La AEPD informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos.

¿Necesitas cumplir la LOPD?

Read more


Herramienta de ayuda de la Agencia de Protección de Datos para el análisis de riesgos

software gratis proteccion de datos
La AEPD, en su 9ª sesión anual, ha informado que dispondrá de herramientas de ayuda, llamada Nanopymes, para que las pequeñas y medianas empresas cumplan el Reglamento General de Protección de Datos.

Registro de Actividades

herramienta ayuda pymes En función los datos que utilice su organización deberá señalar una de las siguientes opciones:
  • Hacer o analizar perfiles
  • Hacer publicidad y prospección comercial
  • Prestar servicios de comunicación electrónica
  • Gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical
  • Gestión, control sanitario o venta de medicamentos
  • Historial clínico o sanitario
  • Tratamiento de datos de niños
  • Ninguna de las anteriores
En la siguiente pantalla se le solicitará información sobre su empresa (denominación, dirección postal, CIF, teléfono y correo electrónico) para confeccionar los próximos documentos.

¿Su organización trata datos personales de clientes?

informacion protecion datos de clientes Contestar afirmativamente si en las relaciones comerciales su empresa trata con datos personales de personas físicas.

Qué datos personales trata de sus clientes

Marcar alguna/s de las siguientes opciones:
  • Identificación (nombre, apellidos, NIF, dirección postal, teléfono, email)
  • Características personales (estado civil, lugar y fecha de nacimiento, edad, sexo, nacionalidad)
  • Datos académicos
  • Datos bancarios

Para qué utiliza los datos personales que solicita a sus clientes

  • Prestarles un servicio
  • Facturar
  • Enviar publicidad postal o por correo electrónico
  • Servicio postventa y fidelización

Marque a quién entrega los datos personales de sus clientes

  • Administración tributaria
  • Seguridad social
  • Bancos y entidades financieras
  • Cuerpos y fuerzas de seguridad del estado
  • Gestoría. En caso de marcar esta opción, cumplimentar:
    • Nombre de la gestoría
    • Dirección postal
    • CIF
    • Descripción del servicio prestado por su asesor

Potenciales clientes

Se solicita confirmar si su organización trata con datos personales de personas con las que todavía no mantiene una relación comercial, por tanto, transcurrido un tiempo sin hacer uso de estos datos, debe proceder a eliminarlos. En caso afirmativo cumplimentar los siguientes apartados: datos personales de posibles clientes

Qué datos personales trata de sus potenciales clientes

  • Identificación
  • Características personales
  • Formación

De dónde obtiene los datos personales de sus potenciales clientes

  • Los facilitan ellos
  • Los compro a una tercera empresa

Entrega de datos personales a un tercero

Podrá seleccionar:
  • Agencia de marketing
  • Imprentas
  • No comparto los datos personales de mis potenciales clientes
En caso de cedérselos a un tercero, se le solicitarán los datos del mismo.

Empleados

Se refiere a datos personales de trabajadores: señalar si se tienen datos de trabajadores

Qué datos personales trata de sus empleados

  • Identificación
  • Características personales
  • Datos profesionales
  • Datos bancarios

Origen de los datos personales de sus empleados

  • Los facilitan ellos
  • Los facilita una agencia de colocación

Finalidad de los datos que solicita a sus empleados

  • Gestionar la nómina
  • Formación
  • Mantenimiento de la relación laboral

¿Cede los datos de los empleados a una gestoría?

En caso afirmativo deberá cumplimentar los datos de su gestoría o asesoría.

Candidatos

datos de curriculums Se refiere a datos personales de aquellas personas que dejan su curriculum o rellenan un formulario de solicitud de empleo.

Qué datos personales trata de un candidato a un empleo

  • Identificación
  • Características personales
  • Datos sobre el nivel de estudios
  • Historial laboral

Fuentes de los datos personales de los candidatos

  • Los facilitan ellos en curriculum papel
  • Los incorporan ellos a mi página web
  • Rellenan un formulario

Proveedores

datos personales de proveedores Se refiere a datos personales de aquellas personas físicas que proveen de productos o servicios a su empresa. Si sus proveedores son personas jurídicas no tiene que marcar esta casilla.

Qué datos personales trata de sus proveedores

  • Identificación
  • Datos financieros

Usos de los datos personales que solicita a sus proveedores

  • Facturación
  • Realizar pedidos

Encargado de tratamientos para servicios informáticos

Responder afirmativamente si los servicios informáticos, incluido el mantenimiento de la página web, los presta una tercera empresa.

Cláusula informativa

Dentro de las obligaciones, que ya existe actualmente, que afectan al empresario está la de informar a sus trabajadores sobre cómo deben efectuar el tratamiento de los datos personales a los que tienen acceso. Así, se les informará del deber de guardar secreto sobre esos datos personales, del carácter personal e intransferible de las contraseñas o de la obligación de notificar de manera inmediata sobre cualquier incidencia de seguridad de la información de la que tengan conocimiento.

Cláusulas contractuales a incluir en los contratos con los encargados del tratamiento

El Encargado del tratamiento debe observar las mismas medidas de seguridad respecto a los datos que el Responsable del fichero. Por ello, en el contrato de acceso a datos por cuenta de terceros deben incluirse las distintas obligaciones que asume ese encargado del tratamiento así como el compromiso de confidencialidad y secreto respecto de los datos personales a los que acceda en el desarrollo de sus funciones.

Anexo con medidas de seguridad mínimas a tener en cuenta por los responsables

Es necesario que el Responsable del fichero adopte las medidas de seguridad necesarias para proteger los datos personales que maneja. Disponer de un antivirus que minimice la posibilidad de recibir ataques informáticos y que se actualice periódicamente, tener un servidor de calidad y cambiar las contraseñas de forma regular. De nada sirve inscribir unos ficheros en AEPD si luego no se implantan las oportunas medidas técnicas y de seguridad en la empresa (muebles con llave, archivos con acceso restringido, etc.). El RGPD contempla medidas de seguridad que deben adaptarse a las características de los tratamientos, al tipo de datos que se tratan y a la tecnología de cada momento. Los tratamientos que impliquen un bajo riesgo no requerirán, en principio, medidas de seguridad más complejas que las que actualmente establece la LOPD para el nivel básico.    

Read more


9ª Sesión anual abierta de la Agencia Española de Protección de Datos 2017

evento AEPD 2017
La Directora de la AEPD, Mar España, nos hace un resumen de las principales actuaciones que está realizando la Agencia para adaptar nuestra normativa al nuevo Reglamento Europeo de Protección de Datos. conferencia agencia proteccion de datos

Novedades en Protección de Datos

Las empresas no están obligadas en general a contratar un Delegado de Protección de Datos, salvo en lo casos indicados en el RGPD, pero contratarlo les dará seguridad jurídica. Puesta en marcha por la AEPD de una unidad de atención a los responsables del tratamiento y a profesionales de la privacidad. El consentimiento tácito dejará de ser válido a partir de mayo del 2018 pero en casos de interés legítimo podrá justificarse. Se hace incapié en la transparencia de la información proporcionada a los interesados y la necesidad de una información por capas. Deber de diligencia del encargado del tratamiento, debe haber un vínculo jurídico entre el responsable del fichero y el encargado del tratamiento. La mayor parte de los tratamientos de datos son de pequeñas empresas y de datos de nivel básico.

Modificaciones introducidas por el RGPD

¿Cuál es la incidencia del RGPD sobre la exclusión de los datos de contacto prevista en el artículo 2.2 del RLOPD?

  • Los datos de contacto son Información referida a personas físicas Identificadas (datos de carácter personal) por lo que su tratamiento se encuentra sometido al RGPD.
  • En consecuencia no cabe considerar aplicable la exclusión hasta ahora vigente
  • El tratamiento deberá cumplir con el RGPD, en particular en lo referente a la legitimación
  • Es posible que ese tratamiento se encuentre amparado en la regla de ponderación del artículo 6.1 f) del RGPD si se cumplen los requisitos establecidos en el RLOPD
    • Mínimos datos imprescindibles de contacto
    • Tratamiento con fines de mantenimiento de relaciones 828

¿Cuáles son las implicaciones del RGPD en relación con el consentimiento?

  • El RGPD no implica necesariamente una obligación de recabar un nuevo consentimiento si el que se hubiera obtenido antes de su aplicación fuese conforme a los requisitos que establece (Cdo. 171)
    • Siguen siendo válidos los consentimientos expresos y los consistentes en una manifestación o clara acción afirmativa
    • El Cdo. 32 clarifica supuestos que pueden considerarse consentimiento (declaración, marcación de una casilla, selección de parámetros)
    • En ningún caso hay aplicación retroactiva, dado que las normas del RGPD no se aplican a tratamientos anteriores al momento en que produce plenos efectos
  • Cuando se preste el consentimiento para el tratamiento de datos con múltiples finalidades será preciso dar el consentimiento para todos ellos (Cdo. 32). En particular:
    • Consentimientos específicos en el marco de un contrato
    • Consentimientos específicos en el marco de declaraciones
  • En caso de que se recabe el consentimiento para varias finalidades
    • Sería posible agrupadas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros)
    • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros)
    • En ningún caso la falta de consentimiento podría implicar la denegación de un servicio si el tratamiento no es necesario para su prestación (art. 7.4)
  • La aceptación mediante un click de una política de privacidad en que se deja expresamente al interesado la posibilidad de decidir si acepta o no el tratamiento de los datos (a través de casillas no pre marcadas incluso de oposición y no de aceptación-) puede considerarse un consentimiento válido
  • En todo caso, el responsable deberá probar que cuenta con el consentimiento y que ha sido prestado por el afectado a través de los medios que resulten pertinentes

¿Cuáles son las implicaciones del RGPD en relación con los supuestos de “consentimiento tácito" que ahora autoriza el artículo 14 del RLOPD?

  • Estos consentimientos no resultan conformes al RGPD, por lo que no sería válido persistir en el tratamiento sobre su sola base a partir de 25 de mayo de 2018.
  • El período transitorio de adaptación de los consentimientos sería el actual, dado que el RGPD está en vigor pero no es plenamente aplicable.
  • Los tratamientos basados en el “consentimiento tácito" deberán encontrar fundamento en otra causa de legitimación
    • Mediante una nueva solicitud del consentimiento
    • Mediante, en su caso, la aplicación de alguna otra causa de legitimación y, en particular, la ponderación del derecho y el interés legitimo del responsable
      • El Cdo. 47 reconoce que el tratamiento con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, aunque deberá ponderarse ese interés con la posible intrusión en el derecho fundamental
    • Para determinar si es posible aplicar esta regla habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única. Por ejemplo
      • Envío de comunicaciones comerciales sobre los propios productos o servicios podría ser adecuada a la vista de la Directiva e-privacy y la LSSI
      • Tratamiento de dato que el afectado hubiese hecho manifiestamente públicos

¿Cómo afecta el RGPD a la información que ha de facilitarse a los afectados?

  • Como punto de partida, cuando los datos se recaben con anterioridad a la plena aplicación del RGPD será suficiente la información ya facilitada con arreglo a la LOPD, sin que sea preciso informar nuevamente
  • La información debe ser concisa, transparente, inteligible y de fácil acceso.Debe huirse de fórmulas excesivamente Iegalistas
  • Conforme a la “Guía para el cumplimiento del deber de informar" podrá optarse por un sistema de información por capas
    • La primera capa incorporará la información esencial (identiñcación del responsable, finalidad del tratamiento, ejercicio de derechos, origen de los datos, realización de perfiles)
    • La segunda capa puede encontrarse recogida, entre otros supuestos, en una política de privacidad, que contendrá la totalidad de las exigencias previstas en el RGPD
    • La guía ofrece ejemplos claros sobre el modo de facilitar la información
  • Información sobre algunos extremos:
    • Base legal del tratamiento: podría especiñcarse el fundamento con arreglo al 6.1 del RGPD en la primera capa y su detalle en la segunda (por ejemplo: tratamiento por obligación legal /art. 95 Ley General tributaria)
    • Plazo de conservación: si existieran varios debería indicarse el mayas, que subsume a los restantes

¿Cuál sería el régimen sancionador aplicable tras la plena aplicación del RGPD?

  • EL RGPD establece un régimen sancionador que, aun diferente al propio del ordenamiento español, especifica las conductas típicas y las sanciones aplicables.
    • La determinación de conductas típicas nunca podría darse a efectos de tipificación, sino de forma meramente enunciativa, dado que es el artículo 82 del RGPD el que fija en sus apartados 4,5 y 6 las conductas
    • Del mismo modo, el RGPD establece la posibilidad de imposición de sanciones económicas 0 (adicional o sustitutivamente) las medidas correctoras establecidas en su artículo 58.2
  • No obstante se deja margen a los Estados miembros en determinadas cuestiones
    • Determinación de los plazos de prescripción de infracciones y sanciones
    • Determinación del régimen sancionador aplicable a las Administraciones Públicas.

¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo?

  • El art. 24,1 del RGPD impone la obligación de adoptar medidas técnicas y organizativas adecuadas a “la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa índole y gravedad para los derechos de las personas físicas"
    • El Cdo. 75 enumera algunas de las posibles situaciones de riesgo
  • El Título VIII del RGPD dedica la práctica totalidad de su articulado a enumerar las medidas y no a especificar el enfoque basado en el riesgo al que se refiere el RGPD
  • Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa
    • Este “enfoque" únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD

¿Cómo afecta el RGPD a las obligaciones de transparencia?

  • La legislación de transparencia impone unas obligaciones legales de publicidad o de facilitar a los afectados información solicitada en virtud de su derecho de acceso a Información pública
  • En consecuencia, las comunicaciones de datos están amparadas en una obligación legal (artículo 6.1 c) del RGPD).
  • El artículo 86 del RGPD recoge expresamente esta previsión
  • En todo caso, la protección de datos actúa como uno de los límites de transparencia
    • El artículo 15 de la LTAIBG establece la interrelación entre el derecho a la protección de datos y la transparencia
    • Estas normas se completan con los principios contenidos en la legislación de protección de datos
  • En consecuencia, el RGPD no introduce ninguna novedad ni limitación nueva en esta materia

Presentación de nuevas herramientas del RGPD

Andrés Calvo Medina, Coordinador de Evaluación y Estudios Tecnológicos, nos presenta una herramienta dirigida a pymes para adaptarse al nuevo Reglamento europeo de Protección de Datos.

Herramienta Nanopymes

Debe rellenarse el formulario pero será necesario el asesoramiento por parte de la AEPD o de un tercero. Se pretende facilitar el cumplimiento a las pymes. Funcionamiento de la herramienta:
  • Se excluyen tratamientos de alto riesgo
  • Pide información sobre datos de la empresa responsable
  • Solicita información sobre el tipo de tratamientos realizados: datos de clientes, de empleados, de candidatos a un empleo, de proveedores, videovigilancia....
  • Se genera un documento descargable con los tratamientos seleccionados: cláusulas contractuales, medidas de seguridad mínimas, etc.

Medidas de seguridad

Se determinarán los riesgos para los responsables de la información (lo que se hacia antes) (si me roban, si no hago copia de seguridad) y para las personas (ahora en el nuevo RGPD con un marco de seguridad dinámico, son el resultado del estudio de riesgos e impactos). Las auditorias siguen siendo necesarias para comprobar las medidas de seguridad, si tengo que aplicar algún control más. No existe una obligación directa de tenerla, la AEPD no lo va a pedir, va a solicitar que se cumplen las medidas de seguridad. Las auditoras forman parte del enfoque del riesgo y la periodicidad depende del responsable. El RGPD tiene un enfoque de riesgos para determinar los riesgos para la información y para los derechos de las personas. Este enfoque permite tener un marco de medidas de seguridad dinámico, siempre en constante revisión. Hemos pasado a un sistema de seguridad gestionada. El Esquema Nacional de Seguridad es obligatorio para las Administraciones públicas pero también lo pueden utilizar las empresas privadas.

Documento de Seguridad

Se puede incorporar al sistema de gestión de la seguridad de la información por lo que va a seguir siendo útil.

Documentos del Grupo de trabajo europeo

Autoridad principal

La determinación de esa autoridad principal es clave para ejercer las labores de supervisión. Aquí se explican conceptos del RGPD. Tratamiento transfronterizo: debe ser un tratamiento desarrollado en varios Estados miembros (dos al menos) o debe haber afectados en varios Estados miembros. Para determinar si existe o no afectación se tienen en cuenta una serie de criterios. Autoridades afectadas son ante las que se haya presentado una reclamación o las que estén relacionadas con esos tratamientos de datos. La autoridad principal se identifica:
  • Si hay un solo establecimiento, será la de ese Estado miembro donde esté ese establecimiento.
  • Si hay varios establecimientos, será la de la Administración central que tome decisiones sobre los fines y medios del tratamiento.

Delegados de Protección de Datos

Conceptos clave

  • Autoridad u organismo público
  • Actividades principales como operaciones clave necesarias para conseguir los objetivos del responsable o encargado
  • “Gran escala”: podemos considerar que estamos ante datos a gran escala en atención a:
    • Número de afectados
    • Ámbito geográfico
    • Volumen de datos...
  • Seguimiento regular y sistemático
    • Continuado o que se produce a intervalos concretos
    • Recurrente o repetido en momentos prefijados
    • Que se produce de forma constante o periódica
    • Que se produce de acuerdo con un sistema
    • Preestablecido, organizado o metódico
    • Que tiene lugar como parte de un plan general de recogida de datos
    • Llevado a cabo como parte de una estrategia
Se analiza la obligatoriedad de su nombramiento:
  • Si el responsable es un organismo público
  • Si la actividad principal es el tratamiento de datos sensibles a gran escala (nº de afectados, ámbito geográfico, volumen de datos, etc.).
DPD externo
  • Cumplimiento de requisitos de DPD internos por todos miembros.Los Delegados de Protección de Datos pueden ser externos a la organización pero deben cumplir los mismos requisitos que si fueran internos.
  • Conflictos de intereses

Posición del DPD

  • Implicación en todas las cuestiones
  • Acceso a la gerencia
  • Recursos necesarios
  • Actuación independiente
  • Destitución o sanción
  • Conflictos de intereses

Conocimientos y destrezas del DPD

  • Cualificación profesional y, en especial, conocimiento experto de la legislación y las prácticas de protección de datos así como capacidad de desempeñar sus tareas
  • Nivel necesario de conocimiento experto de acuerdo con las operaciones de tratamiento de datos llevadas a cabo y la protección requerida para los datos personales que se están tratando

Empresas que deben tener DPD

  • El RGPD establece:
    • Administraciones Públicas
    • Tratamiento de datos sensibles a gran escala
    • Seguimiento regular y sistemático a gran escala
Decisión corresponde a responsables y encargados tras analizar su situación
  • Podrían considerarse incluidas en estos criterios, entre otras:
    • Entidades aseguradoras y reaseguradoras
    • Distribuidores y comercializadores de energía eléctrica o gas natural
    • Entidades responsables de sistemas de información crediticia
    • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles
    • Centros sanitarios
    • Centros docentes que ofrezcan enseñanzas regladas, universidades
    • Colegios profesionales
    • Entidades dedicadas al juego on line…
  • Procesos de certificación de profesionales
    • RGPD no establece ningún criterio de titulación para DPD
    • RGPD requiere:
      • Cualidades profesionales, en particular, conocimientos especializados del Derecho y la práctica en materia de protección de datos
      • Capacidad para desempeñarlas funciones
      • Certificación como instrumento de garantía y transparencia para responsables y encargados, pero no única vía de acceso
      • Certificación realizada por entidades certificadoras acreditadas por ENAC
      • Elaboración del Esquema de Certificación en curso. Esquema será público
      • Publicación del Esquema supone inicio de procesos de acreditación de entidades certificadoras AEPD, entidades certificadoras y ENAC monitorizan aplicación del Esquema

Perfil del DPD

  • Del RGPD se desprende que el DPD ha de ser una persona. No obstante:
    • Es posible, y en algunas organizaciones será necesario, que el DPD esté respaldado por una unidad de protección de datos
    • Puede haber organizaciones en que sea necesario que existan DPD para ámbitos funcionales o territoriales específicos
En estos casos, debería existir una única persona que sea quien asuma formalmente la posición de DPD En el caso de DPD con una relación de servicios es posible que el contrato se formalice con una persona jurídica. La recomendación de las autoridades es que haya una persona responsable última dentro de la entidad que presta el servicio

Portabilidad de los datos

Portabilidad como derecho que refuerza el control del interesado sobre sus datos personales. Este derecho está relacionado con el derecho de acceso.

Contenido

  • Obtener datos personales en un formato "estructurado, de uso común y lectura mecánica"
  • Posibilidad de transmitir los datos de un responsable a otro responsable, directamente cuando sea técnicamente viable

Tratamientos afectados

  • Datos tratados mecánicamente
  • Datos tratados sobre la base de
    • Consentimiento
    • Ejecución de un contrato
Este derecho no condiciona el ejercicio de otros derechos por los interesados.

Tipos de datos incluidos

  • Datos que conciernan al interesado y
  • Proporcionados por el interesado
  • Se incluyen los datos proporcionados de forma activa y consciente por el interesado y los que se generan y recogen a partir de su actividad en el uso de un servicio o dispositivo.
  • Excluye los derivados o inferidos de los datos proporcionados por el interesado
  • El ejercicio del derecho a la portabilidad no debe afectar los derechos y libertades de terceros 4 Uso de datos de terceros por interesado o por nuevo responsable
  • Ejercicio de derecho a portabilidad no afecta a otros derechos
  • Plazos aplicables para todos los derechos
  • Importancia de verificar identidad del interesado
  • Cómo proporcionar los datos
    • Descarga directa
    • Uso de espacio de almacenamiento proporcionado por terceros
    • Transmisión directa responsable a responsable
      • API
      • Sistemas interoperables --Distinto de compatibles

Evaluación de Impacto en la Protección de Datos

  • EIPD como medida de accountability
  • EIPD como procedimiento dirigido a
    • Describir el tratamiento
    • Evaluar su necesidad y proporcionalidad
    • Identificar los riesgos
    • Gestionar los riesgos
  • Posibilidad de EIPD para uno o varios tratamientos similares Se puede realizar hacer para uno o varios tratamientos. Ejemplo: policía municipal va a instalar cámaras en varias estaciones de tren, seria suficiente con una única EIPD.
  • Debe realizarse la EIPD antes de realizar el tratamiento

Criterios para realizar una EIPD

  • Evaluación o scoring
  • Decisiones automatizadas con efectos legales o significativos similares
  • Seguimiento sistemático
  • Datos sensibles
  • Datos a "gran escala"
  • Combinación de bases de datos
  • Datos de personas vulnerables
  • Usos innovadores de tecnologías o soluciones organizativas
  • Transferencias internacionales en determinados casos
  • Tratamientos que priven al interesado de determinados derechos o del acceso a productos o servicios

Valoración

  • Cuántos más elementos, más probable que esté presente el alto riesgo
  • Dos elementos indicio razonable de alto riesgo

Excepciones

  • Listas de tratamientos sin riesgo de APD
  • Tratamiento determinado por obligación legal o interés publico cuando la norma ya incluye evaluación.

Consultas a AEPD

  • Riesgo residual tras EIPD y aplicación de medidas correctoras
  • Posibilidad de que la AEPD
    • Ofrezca recomendaciones
    • Ejerza sus poderes

Nuevas funciones de las Autoridades de control

sesion anual aepdPedro Colmenares Soto, Subinspector General de Inspección de Datos, fue quien expuso el modelo de Autoridad de control y evaluaciones de impacto que todavía se encuentran en transición. Tendrán nuevas funciones y se rigen por el principio de proactividad. Entre las nuevas funciones están:
  • Participación en el procedimiento administrativo tanto en procedimientos transfronterizos como en los no transfronterizos.
  • Promoción de buenas prácticas
  • Control sobre la seguridad
  • Evaluación de impacto en Protección de Datos: cuando exista alto riesgo para los derechos y libertades. Estas Autoridades elaborarán una lista de los tratamientos que deben someterse a la EIPD y los que no requieren esa evaluación.

Informes y sentencias relevantes

Ámbito de aplicación

  • No aplicación de la LOPD al tratamiento de datos de personas del entorno familiar de los trabajadores que contrata una entidad cuando para la realización de sus actividades se requiere la denominada "habilitación OTAN" (materia clasificada).

Concepto de dato personal

  • Lo son las informaciones que figuran en el registro del fabricante de un vehículo (revisiones y kilometraje) si se asocian a la matrícula del mismo, que permite identificar al titular por consulta al Registro de Vehículos de la Dirección general de Tráfico.
  • Lo es la IP dinámica (doctrina de la STJUE Breyer).
  • No cabe excluir la existencia de datos en supuestos de publicación de datos del Padrón Municipal en que simplemente se suprime la referencia a los datos de identificación directa; es precisa su agregación para evitar la re-identificación.

Seudonimización

  • Validez de la cesión a un Organismo Estadístico de la información relacionada con la ubicación de la totalidad de los terminales móviles durante un período limitado de días si se adopta un protocolo que garantice que la información facilitada será seudonimizada y se establezcan barreras que impidan la reversibilidad.

Ausencia de proporcionalidad en el tratamiento

  • Solicitud por una empresa de informes comerciales, incluso con consentimiento, de los datos de la clave de acceso a banca on-Iine del interesado para comprobar su solvencia y ceder sus datos a otras entidades financieras para obtener condiciones de acceso a préstamos o contratar directamente uno (se generaría además una quiebra de seguridad).
  • Exigencia a cualesquiera empleados o candidatos a un puesto de trabajo en una entidad financiera de los datos relacionados con sus antecedentes penales, que la Ley sólo exige para verificar la honorabilidad de administradores y directivos.
  • Acceso por una Administración Pública a los datos de salud de las personas vinculadas a un funcionario público por parentesco o relación de hecho para determinar la procedencia de otorgar una determinada licencia. Basta que sea el centro sanitario el que indique la concurrencia de causa para la licencia.
  • Inclusión del dato del número del DNI o del Número de Identificación de Extranjero, en la tarjeta de identidad profesional del personal de seguridad privada, conforme a la doctrina del Tribunal Supremo.

Legitimación basada en el interés legitimo preponderante

  • Software ‘agregador" de información publicada en Internet sobre cualquier persona, para que aparezca en búsquedas relacionadas con su nombre, siempre que la Información se encuentre libremente disponible en Internet y se atiendan en todo caso los derechos de cancelación Y oposición conforme a lo señalado en la sentencia del TJUE de 13 de mayo de 2014.
  • Acceso por una entidad que realiza habitualmente transferencias bancarias a los datos de aquellos titulares a los que haya efectuado Indebidamente y por error un determinado o abono, para poder ejercitar reclamaciones relacionadas con el cobro de lo indebido conforme a los artículos 1089 y 1895 del Código Civil.

Supuestos de existencia de legitimación para tratamiento

  • Tratamiento por una entidad local de datos relativos a víctimas de violencia de genero y sus hijos menores incluidos en un registro autonómico al efecto en virtud de la cobertura legal de una norma autonómica que atribuye competencias a las entidades locales.
  • Cesión por una compañía de suministro eléctrico a la Administración Autonómica de clientes con recibos Impagados para la activación de medidas para afrontar la pobreza energética.
  • Cesión por un Ayuntamiento de datos relativos al consumo de usuarios del servicio de abastecimiento de agua potable a la Administración Autonómica para la gestión de un determinado tributo, en virtud de la normativa reguladora del mismo.
  • Publicación en el portal de transparencia de una Comunidad Autónoma de una relación de nombres y apellidos de liberados sindicales y el importe del coste total de las horas dedicadas a la actividad sindical al amparo en legislación autonómica de transparencia.
  • Cesión por una federación deportiva a clubes deportivos organizadores de competiciones de los datos referidos a sanciones que impliquen suspensión o inhabilitación para participar en una competición, amparada en artículo 11.2 c) LOPD.
  • Cesión al Consejo de Administración de una sociedad de la lista de directivos y sus retribuciones y del listado de contrataciones resto de personal, amparada en las facultades del Consejo previstas en la Ley sociedades de capital.
  • Cesión al responsable de los datos identificativos de los empleados del encargado para la comprobación de su identidad en la aplicación de las medidas de seguridad de identificación y autenticación, al amparo del artículo 11.2.c) LOPD.
sentencia AN aepd

Supuestos en que sólo será posible el tratamiento con el consentimiento

  • Cesión por Colegio Profesional de los datos de los colegiados incluidos en el registro de profesionales para su uso con fines comerciales por una entidad aseguradora.
  • Cesión de datos de clientes de un franquiciado a la empresa franquiciadora, salvo en caso de que ésta pasase a prestar los servicios por extinción de la franquicia, en que se aplicaría el artículo 19 RLOPD.
  • Uso de los datos de contacto de las personas que se han dirigido a un determinado cargo político para enviar a todas de forma indiscriminada una felicitación navideña.
  • Tratamiento por empresa de recobros del dato del teléfono móvil del deudor cuando éste sólo había facilitado al acreedor su teléfono fijo, dado que cabe considerar que se trataría de un medio distinto de comunicación con el deudor.

Supuestos de falta de legitimación

  • Publicación por una entidad local de sentencias dictadas en los litigios en que sea parte sin haberlas sometido a un previo proceso de disociación. No cabe considerarla amparada en la Ley de Transparencia.
  • Acceso por los miembros del Ministerio Fiscal a una aplicación que contiene las grabaciones de las actuaciones judiciales sin discriminar los accesos al mismo ni limitarlos a las actuaciones correspondientes a los procesos en que fuera parte el Ministerio Fiscal.

Datos de salud

  • Instalación de sistemas de vídeo que permitieran el seguimiento continuado de los enfermos con parálisis cerebral con el objeto de realizar el seguimiento de la salud y preservar su interés vital, amparado en los artículos 7.6 y 11.2 f) LOPD. No ampara, sin embargo, el acceso en tiempo real por los familiares de los pacientes.
  • Cesión de datos de la historia clínica a la inspección de servicios sociales de una Comunidad Autónoma.
  • Cesión a la Administración Sanitaria de datos de alumnos que han tenido contacto con un enfermo de tuberculosis en un centro escolar para descartar el contagio (salud pública).

Otros datos especialmente protegidos

  • Religión: publicación de imágenes de actos de culto en Internet. Se considera que los datos se han hecho manifiestamente públicos si los participantes han sido suficientemente informados.
  • Afiliación sindical: la publicación del desglose de horas de crédito horario de los miembros del Comité de Empresa, sin asociara su condición de afiliado a un sindicato, no serían datos especialmente protegidos.
  • Origen racial: Fichero con la finalidad de asegurar la integración de una determinada comunidad. Será posible el tratamiento de datos de origen racial, pero limitado al propio de esa comunidad, sin admitirse ningún otro.

Datos de infracciones penales. Registro de delincuentes sexuales

  • Conservación: procede durante todo el tiempo de duración de la relación laboral.
  • Vigencia de los certificados: tres meses.
  • Nivel de seguridad básico en los ficheros en que se conserven los datos referidos a certificaciones negativas de antecedentes penales.

Tratamiento de datos de menores de edad

  • Control de acceso al comedor escolar mediante tecnología RFID incorporada a pulseras que portarían los alumnos. Necesidad de que con carácter previo se lleve a cabo una EIPD, a fin de determinar su proporcionalidad.
  • Licitud del acceso a datos de alergias o intolerancias alimentarias de los alumnos por la empresa que presta el servicio de comedor escolar, dada su condición de encargada del tratamiento.

Encargado del tratamiento

  • Lo son los peritos de parte cuando acceden a la información obrante en los expedientes judiciales que contienen datos de carácter personal.
  • La contratación de un encargado único para un grupo empresarial por la matriz ubicada en otro Estado Miembro exige, respecto del responsable sometido a la LOPD, que se confiriera la matriz representación expresa.

Derecho de cancelación

  • No procede la cancelación de los datos obrantes en el informe de evaluación psicopedagógica y el dictamen de escolarización de un menor de edad.

Derechos a cancelación y oposición en motores de búsqueda

  • Procedencia en caso de publicación de los datos del afectado en un articulo de investigación jurídica. Solución preferible a la aplicación por la publicación de sistemas de exclusión.
  • Improcedencia en la solicitud referida a los datos de participación del afectado como candidato en un proceso electoral.

Solvencia

  • Obligación de que el acreedor notifique al fichero común los supuestos en que una deuda deviene provisionalmente inexigible en virtud del beneficio de pasivo insatisfecho concedido conforme al art. 178 bis de la ley concursal.

Videovigilancia

  • Sistemas de videovigilancia en la parte trasera de grúas, que recogen imágenes de las operaciones de recogida y subida del vehículo a las mismas. Amparo en interés legítimo prevalente si se limitan a las operaciones citadas.
  • Instalación de sistemas de videovigilancia en piscinas y spas con fines de garantía de calidad sanitaria y de seguridad de las personas, siempre que se muten a zonas de uso publico y no a espacios reservados como vestuarios o aseos.
  • Captación de imágenes a través de “drones”. Aplicación de criterios del WP29.
sentencias recurridas lopd

Dictámenes conjuntos con el CTBG: Criterio 2/2016, de 5 de julio

  • Acceso a información de las agendas de responsables públicos.
  • Acotaciones previas:
  • Reuniones celebradas en la condición de responsable público.
  • Disponibilidad de
  • la información.
  • Información de responsables públicos:
  • Identificación únicamente en caso de órganos directivos y asimilados.
  • En los restantes supuestos, referencia al órgano.
  • Entidades privadas:
  • Identificación en caso de administradores y directivos.
  • No identificación de asesores o consultores, ni siquiera por referencia a la empresa de asesoría o consultoría.
  • En los restantes supuestos, identificación de la empresa y, a lo sumo, el departamento.
  • Solución caso a caso en el supuesto de personas físicas.
  • Posible revelación si existe previo consentimiento con los requisitos de la LOPD
  • Aplicación posterior de los restantes límites al acceso a información publica.

Sentencia de 28 de julio de 2016 (C-191/ 15; Amazon)

  • Determinación de la legislación de protección de datos aplicable en relación con las empresas de comercio electrónico que dirigen sus actividades a Estados en que no tienen establecimiento.
  • Aplicación de la doctrina de las sentencias Google y Weltimo. Es preciso que el tratamiento se lleve a cabo en el contexto de las actividades de un establecimiento en el Estado Miembro.
  • Concepto amplio de establecimiento, aunque no es suficiente la mera posibilidad de acceso desde el estado en cuestión al sitio de Internet del responsable.
  • El órgano nacional deberá determinar, en caso de existir establecimiento, si el tratamiento se lleva a cabo en el contexto de sus actividades.

Sentencia de 19 de octubre de 2016 ((:-582114; Breyer)

  • Carácter de dato personal de la dirección IP dinámica:
  • Lo es para el proveedor de acceso (sentencia Scarlet Extended).
  • Para los prestadores de servicios:
    • Los medios de identificación no tienen que estar necesariamente en poder del sujeto en cuestión.
    • Posibilidad de acceso a la Información del proveedor de acceso para actuar en caso de ataque por denegación de servicio.
  • Legitimación para el tratamiento de la IP por prestadores de servicios:
  • Limitación por la Ley nacional a “posibilitar o facturar servicios", pero no a garantizar su funcionamiento por quien no es proveedor de acceso.
  • Esta limitación es contraria al derecho de la Unión, porque el tratamiento puede estar amparado en el artículo 7 f) de la Directiva.

Sentencia de 21 de diciembre de 2016 ((:-203] 15 y C-698/15;Tele2 Suecia)

  • Conformidad de las disposiciones de trasposición de la Directiva 2006/24/CE con el derecho de la Unión (Suecia y UK).
  • Remisión a la doctrina general establecida en la sentencia de 8 de abril de 2014 (anulación de la Directiva, Asunto Digital Rights Ireland).
  • Análisis de las normas nacionales a la luz del artículo 15.1 de la Directiva 2002/28/CE por ser ésta la actual cobertura legal.
  • Sería contraria al derecho de la Unión una norma que:
  • Estableciera la conservación generalizada de todos los datos de tráfico de todos los abonados o usuarios de todos los medios de comunicación electrónica.
  • No limite el acceso a los casos de delincuencia grave.
  • Que no supedite el acceso a la existencia de control judicial o administrativo previo.
  • No exija la conservación de los datos en el territorio de la Unión.
  • Requisitos de la Ley nacional:
  • Limitación de la medida a lo estrictamente necesario y conservación basada en criterios objetivos (delimitación de los datos y el colectivo afectado; posible aplicación del criterio geográfico).
  • Adopción de medidas reforzadas de seguridad.
  • Conclusión: se considera que las leyes analizadas son contrarias al derecho de la Unión dada su generalidad y la inexistencia de control judicial o administrativo previo.

Sentencia de 15 de marzo de 2017 (C-536/15; Tele2 Paises Bajos)

  • Acceso por una empresa dedicada a la elaboración de guías de abonados a los datos de abonados de operadores de otro Estado Miembro para la realización de un directorio sobre dicho Estado.
  • El Tribunal considera contrario al derecho de la Unión:
    • La limitación de la entrega de los datos a entidades de la misma nacionalidad que el operador, dado que supone una vulneración del principio de no discriminación.
    • La exigencia de un consentimiento para llevar a cabo esta entrega especufico y distinto del prestado con caracter general para la aparición en guías si la, entidad del tercer Estado va a publicar gunas similares a aquellas respecto de las que ya existe el consentimiento.Sí será exigible el consentimiento adicional en los supuestos previstos en la Directiva 2002/58/CE (por ejemplo, publicación de directorios inversos).

Doctrina de la Audiencia Nacional

Ámbito de aplicación

  • Exclusión de datos de personas de contacto:
    • Publicación de actas de inspección de trabajo con identificación de representantes de la empresa y su puesto en la misma.
    • No se excluye en caso de call center sobre contratos de leasing y renting en que se piden datos adicionales de identificación.
  • Exclusión de personas fallecidas:
    • Si no se atiende la solicitud de cancelación de sus datos no cabría tramitar procedimiento sancionador por vulneración de calidad de datos, pero sí tutela de derechos.
    • Otros supuestos: correo electrónico en que se incluye información del afectado

Principio de exactitud

  • Vulnerado en caso de cargo de facturas a cuenta distinta de la facilitada por el interesado para tal fin, aunque se cuente con dicha información.

Deber de información

  • Vulneración en caso de datos recogidos telefónicamente si no existe locución informativa.
Legitimación: regla del equilibrio de derechos e intereses
  • Confirmación de su aplicabilidad en videovigilancia.

Otros supuestos de legitimación

  • Habilitación legal en cesión de créditos: arts. 347 y 348 Ccom. Siempre que:
  • Se informe fehacientemente al interesado de la cesión (reglas similares al requerimiento de pago).
  • No exista litigio sobre la deuda objeto de cesión.
  • Inexistencia de legitimación específica para el acceso por la matriz a los datos de una filial comercializadora de energía sin consentimiento.
  • Falta de legitimación para el uso de los datos de cuenta corriente para cargar recibos de un familiar (fin ilícito).

Contratación

  • Competencia de la AEPD para resolver reclamaciones de abonados de comunicaciones electrónicas en lo que afecta a protección de datos.
  • Supuestos en que no existen indicios:
    • La grabación que se aporta no se corresponde con una verificación.
    • No se ha verificado la identidad con aportación del DNI.
    • Uso por distribuidor de datos obtenidos por otros medios para simular contratos.
    • Aunque se han abonado recibos:
      • El abonado tiene otras líneas contratadas.
      • Los pagos se han hecho en metálico en correos.
  • Inclusión como “abonado" del cónyuge de la abonada que había sido comunicado por ella como “contacto alternativo".
  • Contrato on-line en que no se requiere ninguna acreditación posterior dela identidad ni se realiza verificación posterior.
Contrato con quien expresamente había manifestado no querer.

Encargado del tratamiento

  • Responsabilidad del responsable por culpa in vigilando:
  • No cabe alegar confianza legítima en la existencia de verificación en caso de contratación irregular.
  • No utilización por el encargado de la lista Robinson facilitada por el responsable.

Ejercicio de derechos

  • La reclamación al responsable es requisito sine qua non para solicitarla tutela de la Agencia.
  • Aplicación de su régimen específico:
    • Solicitud de rectificación y cancelación de saldo de puntos: deberá efectuarse conforme a la Ley de Seguridad Vial.
    • Historias clínicas. Aplicación de la normativa reguladora de la autonomía del paciente.

Derechos en relación con las historias clínicas

  • Acceso:
  • No incluye documentos ajenos a la misma como las órdenes judiciales de internamiento en el centro.
  • Rectificación:
  • No es aplicable para modificar un informe médicos sobre la base de considerarse erróneo.
  • Cancelación:
  • No basta la mera alegación del transcurso del plazo mínimo de cinco años si el centro considera necesaria la información para la adecuada asistencia sanitaria.

Derecho de oposición

  • Motores de búsqueda: aplicación de la doctrina del TS en relación con Google: reclamación contra Google Inc.

Seguridad

  • Vulneración por publicación “en claro" sin necesidad de usuario ni contraseña de expedientes judiciales y administrativos de tasación de inmuebles por una asociación.

Solvencia

  • Requisitos de la deuda
  • Ilicitud de la inclusión anterior al cumplimiento del plazo dado en el requerimiento.
  • Improcedencia de incluir deuda sometida a arbitraje o reclamación durante toda su duración.
  • Requerimiento de pago
  • Licitud de su exigibilidad al amparo de los arts. 1100 Cc y 63 Ccom, que lo exigen para que el deudor se constituya en mora.
  • Prueba:
    • No basta la acreditación de la mera puesta en correos si no acredita la entrega.
    • Se apreciará que no existe si así se ha declarado por la jurisdicción civil.
    • Insuficiencia de los requerimientos efectuados por sms o por correo electrónico al no poder probarse su recepción:
      • Incluso cuando hay comportamientos del deudor que implican la recepción habitual de sms o correo del acreedor.
    • Insuficiencia del requerimiento telefónico si no consta la deuda y la consecuencia del incumplimiento.
    • Si existe prueba si el deudor se ha dirigido al acreedor para oponerse a la deuda a la que se refiere.

Tratamiento con fines de publicidad o prospección

  • Consentimiento insuficiente:
    • En caso de que se solicite por una cláusula general que se remita a las condiciones particulares disponibles en un sitio web.
    • Si el contrato se refiere sólo a productos o servicios propios y la empresa ofrece los de terceros.
  • Supuestos de oposición:
    • Ficheros de exclusión general.
    • Exclusión en guías telefónicas (“U").
    • Ejercicio del derecho en relación con el propio responsable.
  • Spam
    • Para la determinación de carácter masivo se puede tener en cuenta el envío a diversas cuentas del denunciante.
    • Ejercicio de la oposición:
      • Es posible a través de medios distintos de los indicados en los correos.
      • Puede incluso incorporarse a una queja de otra naturaleza dirigida al departamento de atención al cliente.
      • Es también aplicable cuando se trata de “productos o servicios similares”.

Actuaciones de investigación

  • La AEPD puede no llevarlas a cabo en caso de que el denunciante no aporte una mínima acreditación de la comisión de una infracción.
  • Resulta irrelevante para su tramitación la existencia de motivos distintos en el denunciante o el planteamiento por éste ante el responsable de la posibilidad de llegar a un “arreglo amistoso
  • No existe secreto de las comunicaciones por el acceso por los inspectores a los sistemas de información, incluyendo bandejas de correo, si se ha hecho en presencia del inspeccionado y consta en acta firmada por éste.

Caducidad:

  • El cómputo es de fecha a fecha y no de hora a hora.
  • Es posible la apertura de unas nuevas actuaciones tras la caducidad si la infracción no ha prescrito.
  • Notificación: deberá existir una hora de diferencia entre los dos intentos de notificación en fechas consecutivas.

Prescripción. Dios a quo

  • En caso de publicación indebida de una resolución en BC, será el día de la publicación.
  • En caso de cesión de datos, el día en que la misma se produjo. Prescripción instantánea y no continuada porque el cesionario trate los datos.
  • En caso de falta de requerimiento de pago en tanto no se produzca.

Criterios de atenuación

  • Cuestión general: los tenidos en cuenta para aplicarla reducción del 45.5 no deben ser nuevamente tenidos en cuenta para calcular la cuantía de la sanción.
  • Falta de beneficios:
    • No puede invocarse si los datos se tratan para ofrecer servicios de terceros.
    • No puede invocarse cuando se giran facturas al afectado.
  • Regularización diligente:
    • Corrección tan pronto se tuvo conocimiento de la actuación de inspección o la AEPD requirió información.
    • No existe cuando tiene lugar ocho meses después de la queja del interesado.
    • En solvencia no puede apreciarse si los datos permanecieron erróneamente en el fichero dieciocho meses.
  • Ausencia de perjuicios:
    • No puede alegarse si el afectado tuvo que presentar varias reclamaciones (SETSI, OMIC) o una demanda civil.
    • Irrelevancia de la motivación o supuesta “coacción" del denunciante.
  • Apercibimiento:
    • Nunca puede tener carácter sustitutorio de una sanción impuesta.
    • No cabe imponerlo si las medidas correctoras se han adoptado antes de la resolución.
    • No cabe apreciarlo en infracciones leves por considerarse aplicable el 45.5.
    • En caso de incumplimiento procede la apertura de procedimiento sancionador por no atender el requerimiento.
 

Read more


Notificación de brechas de seguridad de los datos en el RGPD

robo informacion personal empresas
¿Has sufrido un ataque informático en tu empresa? ¿perdido información de los clientes? Una de las novedades incluídas en el Reglamento Europeo de Protección de Datos es la obligatoriedad de notificar las brechas de seguridad. Voy a desarrollar un poco más esta nueva medida de seguridad detallando los pasos a seguir para notificar a la AEPD y a los afectados una brecha de seguridad.

¿Qué es una brecha de seguridad?

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “brechas de seguridad”, de una forma muy amplia, que abarca todo percance que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Incidentes como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros son consideradas violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento indica.

Regulación

regulacion-lopd

La notificación de brechas de seguridad de los datos personales además de tener su propia regulación, aparece en otros apartados de esta norma, como es el caso de las funciones del Delegado de Protección de Datos (documentar, notificar y comunicar las violaciones de seguridad), o en lo relativo al principio de “accountability” (responsable y encargado deben articular los procedimientos de cómo actuar ante las fugas de seguridad).

RGPD

El Reglamento europeo de Protección de Datos regula esta notificación de brechas de seguridad en los artículos 33 y 34, diferenciando entre la notificación realizada a las Autoridades de control y la realizada a los interesados.

Nueva LOPD

Antes de la entrada en vigor del RGPD solo se contemplaba la obligación de notificar las violaciones o brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público. Esto se encuentra regulado en la Ley 9/2014 General de Telecomunicaciones y en el  Reglamento (UE) nº 611/2013 de la Comisión. El Anteproyecto de nueva LOPD no regula específicamente las notificaciones de brechas de seguridad por lo que será de aplicación lo establecido en el RGPD.

Notificaciones de brechas de seguridad

notificacion-lopd Una de las principales obligaciones que el RGPD exige a los responsables de tratamiento de datos personales es notificar cualquier violación de seguridad que afecte a esos datos que manejan. 

¿Quién debe notificarlas?

Antes, con la LOPD, la obligación solo afectaba a las empresas de telecomunicaciones y a los proveedores de acceso a Internet o ISP. Ahora, con el Reglamento general europeo de protección de datos se amplia a cualquier responsable del tratamiento, no ya solo las empresas del sector de las comunicaciones electrónicas.

Obligaciones del responsable de tratamiento

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de Protección de Datos competente, a menos que sea difícil que la violación produzca un riesgo para los derechos y libertades de los afectados. Los responsables deben documentar todas las violaciones de seguridad. En los casos en que sea probable que la violación de seguridad suponga un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos. El objetivo de notificárselo a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD exige que se realice de manera inmediata. La finalidad es siempre que el afectado pueda reaccionar tan pronto como sea posible.

¿A quién debe notificarse?

Por tanto, la notificación debe realizarse a:
  • La Autoridad de control, en nuestro caso, la AEPD.
  • Los propios afectados.

¿Cuándo?

La notificación de la quiebra a la AEPD debe producirse cuanto antes y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

Criterios para valorar si un incidente de seguridad debe notificarse

A la hora de decidir si debemos notificar un determinado incidente de seguridad, debemos tener en cuenta:
  • El potencial daño para los datos de los interesados (agravios en los datos personales): este habrá de incluir el agravio emocional, así como físico y financiero. Algunas de las formas en las que este agravio puede manifestarse son: exposición al robo de identidad a través del lanzamiento de datos identificativos que no sean públicos, tales como números de pasaporte; o información sobre los aspectos privados de la vida de la persona como por ejemplo sus circunstancias financieras.
  • El volumen de datos personales afectados: habrá que evaluarlo en relación con el tipo de datos objeto de la brecha de seguridad.
  • El nivel de los datos personales, ¿son sensibles?: existen más probabilidades de que los derechos y libertades de la persona sean dañados cuando los datos envueltos en la brecha de seguridad son sensibles. Por tanto, incluso un solo registro podría ser el desencadenante de la brecha de seguridad si la información es particularmente sensible.

Procedimiento

La obligación de notificar las brechas de seguridad exige a las empresas la incorporación de procedimientos en los que se sigan unos pasos. procedimiento-brecha-seguridad

Valoración del riesgo

La valoración del riesgo de la quiebra es diferente del análisis de riesgos previo a todo tratamiento. Se pretende determinar hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere o el tipo de consecuencias que puede ocasionar a los afectados puede causar un daño en sus derechos o libertades.

Daños materiales o inmateriales

Los daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados debido al uso de sus datos personales por quien ha accedido a ellos de forma no autorizada hasta la suplantación de identidad, pasando por daños económicos o la exposición pública de datos confidenciales.

Alcance

Se entiende que se tiene conocimiento de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance. La mera sospecha de que se ha producido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, evaluar hasta qué punto puede originarse un riesgo para los derechos y libertades de los interesados.

Evidencia o incidente real

En supuestos de quiebras que por sus características pudieran tener gran impacto, sí sería aconsejable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de que se ha producido alguna situación irregular respecto a la seguridad de los datos. Sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto. También puede ocurrir que la notificación no pueda realizarse dentro de esas 72 horas, por ejemplo, por la dificultad en determinar completamente su alcance. En esos casos, es posible efectuar la notificación posteriormente, acompañándola de una explicación de los motivos que han ocasionado el retraso.

Para completar un registro de una incidencia, el Reglamento 611/2013 recoge un Anexo que puede servirnos como ejemplo del modelo que elaborará la AGPD.

La información puede proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación. El criterio de alto riesgo debe entenderse en el sentido de que sea posible que la brecha de seguridad produzca daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

Formulario

El Reglamento 611/2013 relativo a las medidas aplicables a la notificación de casos de violación de datos (ámbito proveedores servicios comunicaciones electrónicas), recoge un Anexo en el que se detallan varios extremos a tener en cuenta a la hora de realizar una notificación, que puede servirnos como modelo o anticipo de lo que deberá poner a disposición de las entidades nuestra AGPD. En ese Anexo se recoge lo contemplado en el RGPD y se amplía con algunos campos que pueden ser útiles para llevar un registro completo de la incidencia.
Contenido mínimo
La notificación ha de incluir un contenido mínimo:
  • La naturaleza de la violación, categorías de datos y de interesados afectados,
  • medidas impuestas por el responsable para resolver esa quiebra y,
  • si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.
El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden adoptar los interesados para hacer frente a las consecuencias de la quiebra.

Excepciones a la obligación de notificación

La notificación a los interesados no será necesaria cuando:
  • El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación pública.
La UE elaborará un formulario estandarizado a nivel europeo tanto para facilitar a los responsables la presentación de unas notificaciones completas según los criterios del RGPD como para que esas notificaciones se efectúen de forma coordinada a en toda la Unión Europea.

Sanciones

sancion-lopd El incumplimiento de la obligación de notificar las violaciones de seguridad por parte del responsable del tratamiento se considera como infracción grave y puede ser sancionada con multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Teniendo en cuenta que las multas administrativas se impondrán en función de las circunstancias de cada caso individual y se graduarán en función de una serie de criterios recogidos en el RGPD, entre ellos el tipo de los datos afectados, se puede concluir que las organizaciones deben contar con planes de contingencia para este tipo de sucesos y protocolos que aborden la gestión, notificación y solución de incidencias de este calibre.
ejemplos proteccion de datos

Una brecha de seguridad es por ejemplo cuando roban ordenadores de un Centro de Salud.

El robo incumbe a datos de carácter personal, incluyendo datos de salud que son considerados como especialmente protegidos. Al afectar a menores, la notificación debe realizarse a sus padres o representantes legales. En el ordenamiento jurídico español, el Reglamento de desarrollo de la LOPD, establece en su artículo 13 el consentimiento de los menores a partir de los 14 años, por lo que, al ser una cuestión vinculada a dicho consentimiento, como es que se haya producido una fuga que afecte a los datos que se están tratando en virtud del mencionado consentimiento, se debería notificar a los menores a partir de 14 años y no a sus padres.

Las consecuencias y perjuicios de este robo

  • Respecto a la confidencialidad: vulneración del secreto; publicación de estos datos personales; utilización de los datos para realizar chantaje
  • Respecto a la disponibilidad: imposibilidad de seguir con el tratamiento de los pacientes; puede originar un retraso en la financiación sanitaria de esos pacientes;
  • Respecto a la integridad: si no existe una copia de seguridad, o la existente es muy antigua, se perderían todas las modificaciones y progresos de los historiales médicos almacenados en los cuatro ordenadores.

Medidas de seguridad que se podrían haber adoptado

  • Sobre la confidencialidad: realizar el cifrado los datos, sobre todo, los de salud.
  • Sobre la disponibilidad e integridad: efectuar una copia de seguridad, y tenerla actualizada.
Si se hubieran adoptado estas medidas, no sería necesario comunicar la brecha a los afectados. Además, valdría como prueba ante la Autoridad de Control para justificar la oportuna diligencia exigida.

Preguntas frecuentes

¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?
Si la brecha se produce por parte del encargado del tratamiento, este deberá alertar e informar al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.
¿Qué consecuencias tiene la notificación de la brecha de seguridad a la AEPD?
Puede ocurrir que si se ha publicitado la brecha (por ejemplo, en las redes sociales o medios de comunicación social), el daño al prestigio de la empresa puede ser mayor que cualquier sanción económica que se le pueda imponer. Al realizar la “auto-denuncia” junto con la adopción de las medidas posteriores pertinentes para evitar daños mayores, la sanción económica será menor, además de hacerse un “lavado de imagen” de cara a la opinión pública.
¿Cuándo debe considerarse que supone un riesgo para los derechos de los interesados?
El RGPD proporciona una serie de criterios y ejemplos, sobre cuándo se considerarán vulnerados esos derechos y libertades. Entre ellos, cabe destacar:
  • usurpación de identidad o fraude
  • pérdidas financieras
  • daño para la reputación
  • pérdida de confidencialidad de datos sujetos al secreto profesional
  • reversión no autorizada de la seudonimización
  • casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
  • casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados

Modelos

Aquí tienes los modelos para notificar una brecha de seguridad tanto a la AEPD como al afectado: ¿Ya conoces qué pasos tienes que seguir en caso de sufrir una brecha de seguridad? Si te ha quedado alguna duda... ¡coméntame!

Read more


Día europeo de la Protección de Datos: cómo afectará el RGPD a las Pymes

reglamento europeo datos personales
El Día europeo de la Protección de Datos es una jornada promovida por la Comisión Europea, el Consejo de Europa y las Autoridades de Protección de Datos de los estados miembros de la Unión Europea para que los ciudadanos adquieran mayor conocimiento acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos. Este año, la jornada se celebrará el día 26 de enero y la AEPD conmemorará el Día Europeo de la Protección de Datos con la celebración de la jornada Incidencia del nuevo Reglamento europeo de protección de datos sobre las pymes, en la que se presentarán varios recursos y herramientas para facilitar y fomentar el cumplimiento del nuevo marco normativo entre las pequeñas y medianas empresas.

Entrada en vigor del Reglamento UE de Protección de Datos

El Reglamento General de Protección de Datos será aplicable a partir de mayo de 2018 a todas las organizaciones que tratan datos y supone un cambio en el modelo de cumplimiento de la normativa, exigiendo un compromiso más activo por parte de las entidades. La Agencia, en su faceta preventiva, se ha propuesto como objetivo facilitar a las pymes instrumentos gratuitos con los que puedan imponer las medidas necesarias para estar en condiciones de cumplir con las obligaciones recogidas en el mismo. El plazo que tenemos para adaptarnos a esta nueva normativa es cada vez menor. ¿Están, hoy por hoy, los protocolos de pymes y autónomos preparados para cumplir con el recién estrenado RGPD?

Tareas a realizar por las empresas

El fin del RGPD es establecer un marco europeo único en materia de Protección de Datos, mejorar los procesos y reducir los trámites burocráticos para lograr un mayor compromiso de las empresas con la gestión y privacidad de los datos. Las principales novedades a las que se enfrentan las pymes y, por tanto, las actuaciones que deben realizar para adaptarse al Reglamento UE son:

¿Qué papel juega la AEPD?

En este final de año la AEPD ha puesto en marcha un “blog” informativo desde el cual da consejos a expertos y ciudadanos sobre distintas cuestiones relacionadas con la privacidad. También pretende presentar a finales de enero una serie de herramientas online gratuitas puedan ser usadas por las pymes de cara al cumplimiento de la nueva normativa europea. Así mismo, está trabajando en modelos de cláusulas informativas; en un prototipo de contrato de responsable de datos, también habrá una primera herramienta básica de autoevaluación para que las pymes verifiquen si cumplen con la nueva normativa y si necesitan contar con el Delegado de Protección de Datos que, en este Reglamento, solo es obligatorio en determinadas empresas.

¿Necesitas cumplir la LOPD?

Read more


¿Qué derechos me proporciona la LOPD como usuario?

como ejercer derechos de proteccion de datos

En esta ocasión os presento una nueva colaboración en el blog, es Soledad RodríguezJoven lectora empedernida, blogger y obsesionada con el aprendizaje informal. Amante de las nuevas tecnologías y de la comunicación digital.

Soledad nos va a hablar de nuestros derechos como usuarios en materia de Protección de Datos. Os dejo con ella.

La movilización de los usuarios que pedían una seguridad en Internet para proteger sus datos personales, ha supuesto un cambio sustancial con la promulgación de la LOPD (Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal) llevada a cabo por la Unión Europea. Gracias a esta prerrogativa, las personas que navegan por la red e introducen sus datos tienen derecho a que con estos se establezca un uso que no les pueda perjudicar. Para ello, dicha ley comprende unos apartados que dan una seguridad y privacidad que se estaba viendo reducida.

Derechos de la LOPD

Estos apartados comprenden la capacidad de los usuarios para:

En este caso el procedimiento para solicitar la indemnización comprende con la interposición de una demanda en la que se establecerán los detalles que quieran las partes afectadas y cuando ésta se lleve a trámite se pasa a la celebración de un juicio oral.

Figuras del tratamiento de datos personales

Las empresas que aglutinan los datos personales de los usuarios deben estar ahora más atentas a la forma de tratarlos y utilizaros para según qué fines. Pero más que las entidades en general, dos figuras en concreto pueden cargar con la mayor parte de la responsabilidad de un trato inadecuado de la información personal de los usuarios:

  • El responsable del fichero: es la persona o compañía titular del fichero en el que quedan registrados los datos íntimos, y que después de un mal uso de estos puede ser sancionada, según establece la Ley. En términos legales es “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente” (artículo 3.d de la Ley Orgánica de Protección de Datos y artículo 5.1.q de su Reglamento).
  • Por otro lado se encontraría el encargado del tratamiento: que se refiere a la persona o compañía que utiliza los mencionados datos personales para prestar un tipo de servicio al responsable del fichero, como temas de contabilidad, marketing, hosting, nóminas, etc. Aquí dejamos una lista de Sistemas de Gestión de Bases de Datos que será de gran utilidad para tratar este tipo de información.

¿Cómo ejercer los Derechos ARCO?

Si los casos de mal uso de los datos personales de usuarios fueran probados, tanto el responsable del fichero como el encargado del tratamiento podrían verse afectados por sanciones que pueden llegar a establecerse en multas que rondarían los 600.000 euros, dependiendo siempre del grado de ilegitimidad que contengan las infracciones cometidas. Atendiendo a esto, la LOPD establece que:

“La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y a los perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora”.

Si cualquier usuario se ve afectado por el uso ilegal de sus datos personales puede acudir a diferentes instancias tanto públicas como privadas, que le informen sobre su caso en concreto y le aconsejen sobre las medidas que deben tomarse para reclamar un derecho que les pertenece.

Denuncia ante la AEPD

En España se ha creado, la antes citada Agencia Española de Protección de datos (AEPD), como organización especializada en estos casos. Este reciente organismo basa su actividad en hacer que se lleve a cabo el cumplimiento de la materia legislativa que atañe a la protección de datos y en especial, a que se cumpla cuando afecte a los derechos de los ciudadanos. A pesar de ser un organismo público, cuenta con la capacidad de poder operar frente a estamentos tanto públicos como privados y que está plenamente relacionada con el Gobierno de España a través del Ministerio de Justicia.

Esta actividad comprende aspectos tan importantes como atender las quejas formuladas por las personas afectadas y proporcionarles la información necesaria, ejercer la potestad sancionadora que dispone la Ley y transmitir dichas sentencias al Ministerio.

Para llevar a la práctica estas funciones, la AEPD puede solicitar toda la información que considere necesaria para que se cumpla el cometido que se proponga en cada caso. Sus inspectores son así, considerados autoridad pública y pueden exigir en cualquier momento el acceso a los lugares donde estén alojadas las bases de datos que quieran ser investigadas.

Otros medios para ejercer nuestros derechos

Sin embargo, los usuarios que hayan sufrido un mal uso de sus datos personales o se han arrepentido de la cesión que se realizó en el pasado, cuentan con otras alternativas para tener acceso a sus datos y ver que tratamiento se les está dando.

Podrán dirigirse al responsable del fichero para ver los datos disponibles y así mantener su integridad, administrando la accesibilidad que otros usuarios puedan ejercer sobre ellos. Además ofrecen la posibilidad de recibir informes periódicos en formatos diferentes, que facilitan el entendimiento a los afectados.

Aun así estos métodos de reclamación o estudio del tratamiento que se les da a nuestros datos personales como usuarios de Internet, siguen presentando ciertas trabas que convierten los procesos en largos y tediosos. Por esta dificultad que supone la modificación o desaparición de datos en la red, las personas que han victo afectada su privacidad pueden recurrir a servicios eficientes como borrardatosinternet.com, sobre todo si se ha dejado un rastro en internet que no es fácil de interpretar como una información protegida por ley.

Portales como este ayudarán a los usuarios afectados a recuperar su anonimato en Internet, borrando la información que pueda perjudicarle. Es una de las formas más eficientes de evitar que caiga la reputación de los usuarios. Además ofrecen un trato muy personalizado, que gracias a su grupo de profesionales en el sector, no dejan lugar a la desconfianza.

Ha llegado el momento en que los usuarios empecemos por fin a ser dueños de nuestra privacidad en la red. Gracias a estas herramientas podemos empezar poco a poco a conseguirlo, así que no esperes más y no dejes que tu reputación online se hunda.

954_profile

Soledad Rodríguez

 

Read more


Posibilidad de solicitar indemnización por Protección de Datos

Indemnizacion por incumplir la Ley de Protección de Datos

Cada vez son más los lectores del blog que preguntan por la posibilidad de solicitar una indemnización en caso de incumplimiento de la normativa de Protección de Datos y vulneración de su derecho al honor, a la intimidad y a la propia imagen y, sobre todo, ante quién pueden presentar esa petición.

Tenemos varias resoluciones tanto de la AEPD como de los Tribunales en las que se condena a empresas a indemnizar a los afectados por una vulneración de su derecho a la protección de sus datos personales. Esto se produce principalmente en casos de inclusión indebida en ficheros de morosos o por utilización de datos personales o imágenes sin el debido consentimiento de los titulares.

¿Puedo solicitar indemnización ante la Agencia Española de Protección de Datos (AEPD)?

Es indiscutible que un tratamiento de datos que vulnere la LOPD puede originar un perjuicio importante para las personas. El derecho a indemnización por incumplimiento de protección de datos es, por tanto, un mecanismo del que disponen los afectados en caso de que se les cause un daño y que requiere un estudio previo, examinando el caso concreto, para estimar el inicio o no de acciones judiciales dirigidas a la compensación del citado daño.

Evita sanciones y cumpla la LOPD

Tal perjuicio, de una forma más o menos objetiva, podría llegar a evaluarse económicamente y ocasionar, sin duda, el correspondiente derecho de indemnización para el afectado... pero no sería a través de la AEPD.

Artículo 19 del Reglamento LOPD
  1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
  2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las administraciones públicas.
  3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

Importancia del derecho a la Protección de Datos

En una sociedad totalmente digital nuestros datos personales han aumentado su valor un 100% ya que, para empresas dedicadas a la publicidad, el saber dónde estamos, cuáles son nuestros gustos y aficiones, en qué trabajamos, etc. se ha convertido en uno de sus más preciados valores y por ello se llegan a pagar enormes cantidades de dinero.

Para las empresas de publicidad resulta más efectivo dirigir sus anuncios directamente a las personas que pueden estar interesadas en sus productos que hacerlo de forma aleatoria. Y toda esa información que manejan forma parte de nuestra intimidad por lo que nos puede causar un perjuicio importante.

¿Cuándo puedo solicitar una indemnización?

La indemnización podemos instarla siempre que se den determinados requisitos:

  • Puede solicitarse indemnización por incumplimiento de la LOPD aunque la situación que la justifica no afecte al honor e intimidad del afectado.
  • El perjuicio debe ser efectivo y causado por un daño real y cierto. Normalmente esto es lo más difícil de justificar.
  • En cualquier caso el hecho que acredita la solicitud de la indemnización, debe suponer un incumplimiento de la LOPD. No podrá instar tal indemnización si la actuación de quien ocasionó el daño fue conforme a la LOPD.

Novedades del Reglamento europeo de Protección de Datos

Con el nuevo Reglamento de Protección de Datos se aumentan significativamente las sanciones en caso de incumplimientos en esta materia. En el tema que nos ocupa, las principales modificaciones que se producen con este Reglamento son:

  • El nuevo Reglamento europeo de Protección de Datos acepta la posibilidad de que se impongan multas administrativas a las Administraciones públicas, aunque se deja a las normas de cada país determinar si hacerlo y en qué medida.
  • El RGPD no anula la LOPD, que continúa en vigor en las materias que aquél no regula; por lo que, salvo que haya una modificación legal, en España se continuará sin poder sancionar a las autoridades públicas.
  • Pero los Tribunales nacionales competentes (contencioso-administrativos) sí tienen la posibilidad de aplicar multas “reales, proporcionadas y disuasivas”, con un efecto similar a las multas administrativas (establecidas en el RGPD).
  • Además, se establece la obligación de establecer otras sanciones aplicables, diferentes de las multas administrativas, y procedimientos ante los Tribunales para que los particulares puedan ejercer su derecho a una indemnización.
ejemplos proteccion de datos

Tras conocerse la noticia del gran ataque informático sufrido por la empresa Equifax, esta ha comenzado a recibir múltiples demandas de sus usuarios en reclamación de indemnizaciones por los daños sufridos. Estas reclamaciones se basan en que la compañía no tenía instalados los sistemas de seguridad necesarios para detectar e impedir el ataque ni contaba con un responsable de seguridad informática.

¿Necesitas cumplir la LOPD?

Read more


Sanción por grabar la vía pública en Asturias

Sanción de AEPD en Asturias por grabar la vía pública

En varias ocasiones os he hablado sobre la importancia de cumplir los requisitos previstos por la LOPD en la instalación de cámaras de videovigilancia y, de hecho, son muchas las denuncias interpuestas por este motivo y las sanciones impuestas.

sancion proteccion de datos

Recientemente la AEPD ha impuesto una sanción de 2.000 € a un particular en Asturias por colocar una cámara de videovigilancia en su vivienda particular orientada a la vía pública y a zonas privativas de terceros. El denunciado tenía instalada una cámara en la fachada de su vivienda que estaba grabando imágenes de la vía pública e incluso de espacios propiedad de un tercero sin causa justificada.

Cámaras de videovigilancia y LOPD

Las imágenes se consideran, según la LOPD, como un dato de carácter personal ya que se refieren a una persona identificada o identificable. Por tanto, la grabación de imágenes de una persona física está sujeta a la normativa de Protección de Datos que se aplicará siempre que se capte y/o registre imágenes, se produzca grabación de las mismas, se transmitan, se conserven o almacenen, incluso la reproducción y emisión en tiempo real, ya sea con fines de vídeovigilancia u otros.

Criterio de la AEPD

En el caso que nos ocupa, la Agencia Española de Protección de Datos considera que, según la ley, las videocámaras instaladas en espacios privados no pueden obtener imágenes de la vía pública salvo que resulte imprescindible para la finalidad que se pretende o sea imposible evitarlo debido a la ubicación de éstas.

La AEPD considera que las videocámaras instaladas en espacios privados no pueden obtener imágenes de la vía pública salvo que resulte imprescindible para la finalidad que se pretende o sea imposible evitarlo debido a la ubicación de éstas.

En este caso no está justificada la finalidad de esas grabaciones y el denunciado, a pesar de haber sido advertido, no cesó en el tratamiento de esas imágenes. Se considera una infracción leve ya que la instalación es de un particular y los tratamientos son limitados.

Consecuencias de incumplir la ley en materia de videovigilancia

Debes tener en cuenta los requisitos a cumplir si decides instalar una cámara de videovigilancia para evitar importantes sanciones. Si la instalación del sistema de videovigilancia no la realiza una empresa autorizada, no disponemos de autorización para instalar esa videovigilancia, no inscribimos los ficheros correspondientes a la Agencia Española de Protección de Datos, no disponemos de cartel informativo ni de hojas informativas o tenemos un cartel que no cumple la LOPD o no guardamos el secreto profesional es fácil que alguien, cómo puede ser la policía, la propia Agencia, cualquier administración pública, un cliente, etc., nos denuncié ante la AEPD.

Tramitar alta En Protección de Datos en Asturias

Para evitar una sanción como esta si tienes cámaras de videovigilancia, no dudes en contactar con empresas de Asturias especializadas en la Protección de Datos que te ayudarán a cumplir los requisitos exigidos por la LOPD.

Read more


Sanción de la AEPD a Entidad bancaria en Valencia

Sanción de la AEPD a entidad bancaria en Valencia

Otra vez la inclusión indebida en ficheros de morosos y una nueva sanción impuesta por la AEPD.

La Agencia Española de Protección de Datos ha sancionado con una multa de 50.000 € a una Entidad bancaria de Valencia por incluir a unos clientes en un fichero de morosidad por un importe cuyo pago no les correspondía.

Inclusión indebida en ficheros de morosos

Los afectados en este caso denuncian que la entidad bancaria incluyó y mantuvo indebidamente sus datos personales un un fichero de solvencia patrimonial y crédito por el impago de una deuda que, según una sentencia judicial, no les correspondía abonar.

Los ficheros de morosos son comúnmente utilizados por empresas para forzar al pago a los clientes. El problema surge cuando esa inscripción es improcedente, bien por la inexistencia de la causa que la sustenta, por la inexistencia de la deuda o bien por la ambigüedad de los términos con los que la inscripción se expresa. Esta práctica, por tanto, se considera un instrumento con un fin legítimo, lícito y a priori útil para la salvaguarda de un interés que puede considerarse general. Sin embargo, usada con otros fines de interés particular, es una herramienta desmedida, desvirtuándose su buen fin.

Regulación de los ficheros de solvencia patrimonial y crédito

El artículo 4 de la LOPD obliga a que los datos personales que se recojan en cualquier fichero sean exactos y respondan siempre a la situación presente de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

Por otro lado, el artículo 29 de la LOPD regula los ficheros de solvencia patrimonial y crédito y diferencia dentro de ellos dos supuestos, uno de los cuales son los ficheros en los que se tratan datos personales referentes al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.

El Reglamento que desarrolla la LOPD establece una serie de requisitos para incluir datos personales en estos ficheros como son la existencia previa de una deuda vencida y exigible y un requerimiento previo de pago a quien resulte obligado. También exige que se informe al deudor de la inscripción en ese fichero en caso de impago.

Criterio de la AEPD

En este caso, la AEPD considera que la entidad bancaria incumple los requisitos de exactitud y certeza recogidos en la LOPD al mantener los datos personales de los denunciantes en un fichero de solvencia patrimonial y crédito con posterioridad al momento en que conoció el fallo judicial que declaraba inexistente dicha deuda.

Se considera que la citada entidad ha incurrido en una infracción grave ya que, después de conocer la mencionada sentencia en lugar de tomar medidas para adecuar los datos personales de los denunciantes que constaban en sus ficheros a la situación declarada en el fallo judicial e instar la baja de una deuda inexistente informada a nombre de cada uno de los afectados, continuó manteniendo en sus ficheros dicha información errónea y actualizándola periódicamente en el citado fichero de morosidad, a pesar de no ser una deuda cierta, vencida ni exigible a los denunciantes.

Por todo ello, resuelve imponer a esa entidad bancaria la multa de 50.000 €.

Consecuencias de la inclusión indebida en ficheros de morosos

Esta inclusión va a determinar que, en muchos casos, los afectados se vean privados de la posibilidad de acceder a una financiación. Y cuando esa inscripción es indebida, el perjuicio que puede suponer para el afectado es mucho mayor ya que se considera una vulneración de su derecho al honor protegido por la propia Constitución.

Cuando se incluye información incorrecta, menoscabando así el buen nombre y reputación del consumidor, se incurrirá en responsabilidad objetiva y lógicamente en la obligación de resarcir el daño causado.

Tramitar alta en Protección de Datos en Valencia

Si necesitas ayuda para adaptar tu negocio a la LOPD o quieres asesorarte sobre la forma de incluir a clientes en ficheros de solvencia patrimonial y crédito cumpliendo la normativa, puedes ponerte en contacto con empresas de Valencia encargadas de la Protección de Datos.

Read more


Cómo ejercer derechos y denunciar ante la Agencia Española de Protección de Datos

logo-agpd

Nos pregunta una lectora cómo puede denunciar un tratamiento inadecuado de sus datos personales ante la Agencia Española de Protección de Datos (AEPD).

Pues bien, si sigues mis instrucciones te va a resultar muy fácil.

Denunciar en la Agencia de Protección de Datos

Hasta un 40% han aumentado las denuncias ante la agencia, ¡casi nada! Este crecimiento imparable se debe a que muchos de los usuarios se sienten engañados por diferentes empresas que parece que usan a su antojo nuestros datos pesonales. La empresas peor paradas en esta encuesta son las de telecomunicaciones, las entidades bancarias y las empresas de suministro eléctrico y de agua.

Ejerce tus derechos

Antes de proceder a la denuncia se puede optar por un paso previo: Solicitar al responsable del fichero el ejercicio de los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición), incluso bajo el amparo de la propia AEPD. En caso de no verse atendida de forma satisfactoria esta reclamación, la AEPD ofrece un sistema sencillo y gratuito para aportar declaraciones y documentación que lleven a la apertura de un procedimiento sancionador.

¿Crees que se ha incumplido la LOPD?

Una vez transcurrido en cada caso el plazo máximo de respuesta para el responsable del fichero, si el afectado no cree satisfechos sus derechos puede solicitar el amparo a la AEPD para que inicie un procedimiento de tutela en su favor.

Consulta con un experto en LOPD

Casos en los que la AEPD NO puede ayudarte

Pasos a seguir para tramitar una denuncia

¡Vale! Si sigues leyendo es que estás dispuesto a ir a por todas y denunciar. Tranquilo/a, yo te voy a ayudar.

Dudas más frecuentes

Estoy segura de que te habrá surgido alguna pregunta, como alguna de las que te voy a nombrar a continuación.

Sanciones más comunes

Desconozco el motivo por el que estás leyendo mi post, supongo que tienes pensado denunciar a alguna entidad al sentir que han utilizado de manera incorrecta tus datos personales Para animarte a denunciar, a continuación detallo los casos más frecuentes por los que sanciona la AEPD, ¿cuál es tu caso?

¿Necesitas cumplir la LOPD?

Read more