Advertencia de posible sanción por utilizar fotografías sin consentimiento

Lunes por la mañana, me toca publicar nuevo post y mi cabeza todavía sigue pensando en el fin de semana. Entro en la página de la Agencia para captar alguna idea y al ir leyendo resoluciones, hay una que me llama especialmente la atención, entonces se me ocurre una idea para ayudar lo máximo posible a los profesionales de la fotografía.

Denuncia ante la AEPD por uso de fotografías sin consentimiento

Os voy a poner en situación, el día 30 de diciembre de 2015 tiene entrada en la Agencia un escrito de D. C.C.C., el denunciante, comunicando que D. B.B.B., el denunciado, anunciaba sus servicios fotográficos en su perfil de Facebook, utilizando una foto en la que aparece la hija del denunciante y sus amigos, todos ellos menores de edad, y por supuesto, sin tener el consentimiento de los padres necesario para su publicación.
¿Para qué utilizó la fotografía?
El denunciado expuso sus alegaciones basándose en que estaba buscando imágenes de tablas gigantes de Paddle SUP mediante la búsqueda de Google con el fin de promocionarlas en el perfil de la red social. También alega el denunciado D. B.B.B. que en ningún momento su objetivo fue lesionar la imagen de ninguno de los menores que aparecen en la foto. Por lo tanto, el denunciado reconoce la utilización de esa fotografía para fines únicamente promocionales.
Comprobaciones de la AEPD
Hechas las pertinentes comprobaciones, la Agencia verificó que tal y como reconoció el denunciado, la citada fotografía se encontraba en su perfil de Facebook y al tener conocimiento de la iniciación de las actuaciones de la AEPD, D. B.B.B., procedió a eliminar la foto. Cuatro meses después de iniciado el procedimiento, la AEPD verificó la total eliminación de la foto.
¿Cuál es la infracción cometida?
Los hechos cometidos suponen por parte del denunciado una infracción del artículo 6.1 LOPD en base a que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
Disminución de la culpabilidad
La AEPD constató que hubo una considerable reducción de la culpabilidad del imputado, ya que no constaba vinculación relevante de la actividad del denunciado con la realización de tratamientos de datos de carácter personal. Tampoco constaban beneficios obtenidos como consecuencia de la comisión de la infracción. Asimismo, el denunciado adoptó las medidas correctoras pertinentes, porque dió de baja la imagen de la hija del denunciante de su perfil de Facebook. Además, cabe decir, que la fotografía no tiene una especial sensibilidad, ya que no muestra desnudez, patología u otra circunstancia agravante.

¿Cuáles son las cuantías de las sanciones?

sancion proteccion de datos

Las infracciones graves  son sancionadas con una multa que va desde los 40.001€ a los 300.000 , ¡un dineral!

Para establecer la cuantía exacta, la AEPD sigue unos criterios:
  • Carácter continuado de la infracción
  • Volumen de los tratamientos efectuados
  • Vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal
  • Volumen de negocio o actividad del infractor
  • Beneficios obtenidos como consecuencia de la comisión de la infracción
  • Grado de intencionalidad
  • Reincidencia por comisión de infracciones de la misma naturaleza
  • Naturaleza de los perjuicios causados a los interesados
  • Acreditación de que la entidad tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de datos

Resolución AEPD

La directora de la Agencia Española de Protección de Datos, resolvió:
  • Archivar el procedimiento a D. B.B.B.
  • Notificar la citada resolución a las partes interesadas, D. B.B.B. y a D. C.C.C.

Competencias de la AEPD

Se establece que dicha Agencia es la encargada de llevar a cabo el procedimiento sancionador en base al artículo 8.1 del Reglamento para otorgar la potestad sancionadora cuando iniciado un procedimiento, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda.

¿Necesitas cumplir la LOPD?

Consentimiento para los menores

En base al artículo 13 del Reglamento de la LOPD señala como debe ser el consentimiento para el tratamiento de datos de menores de edad.

Menores de 14 años

Necesitan obligatoriamente el consentimiento de los padres o tutores.

Mayores de 14 años

No necesitan el consentimiento paterno, podrá procederse al tratamiento de sus datos con su consentimiento expreso. ¡Nunca nunca se podrá obtener del menor, información sobre los demás miembros de su familia! Además esta información debe expresarse en un lenguaje que sea fácilmente comprensible para los menores.

Menores en el nuevo RGPD

El Reglamento General de Protección de Datos considera que el límite ha de situarse en los 16 años, edad que podrá ser modificada por la legislación interna, sin que se pueda permitir, en ningún caso, que los menores de 13 años consientan este tipo de servicios sin la autorización del tutor legal. Hasta ahora, la LOPD había permitido la recogida del consentimiento a mayores de 14, requiriendo el consentimiento de los padres o tutores cuando el menor no alcanzara dicha edad y siempre que la Ley no exigiera otra cosa.

Modelo de autorización para uso de fotografías en España

¿Necesito autorización para publicar fotos en Internet?

Esta pregunta me la ha realizado un amigo fotógrafo alegando que quería hacer publicidad de su trabajo para la campaña de navidad, utilizando fotos de bebés disfrazados de Papá Noel. Pues bien, mi respuesta fue tajante: ¡Claramente no puedes! Debido según la LOPD a que los menores de 14 años necesitan obligatoriamente el consentimiento de sus padres.

¿Cuáles son los derechos de autor sobre las fotos en redes sociales?

Para tratar este tema un tanto confuso, hay que aclarar en primer lugar quién tiene el derecho de autor: "toda persona creadora de una obra intelectual, sea pintura, escultura, danza, literaria". Por lo tanto, aunque seas un famosísimo fotográfo, siempre, debes haber obtenido previamente el consentimiento para la publicación de tus estupendas fotografías en cualquier red social o página de interntet, incluida la tuya propia.
ejemplos proteccion de datos

Te voy a poner un ejemplo, acude a tu estudio fotográfico una persona para realizarse un book para su uso personal, y tú para publicitar tus trabajos y ofertarte como profesional, decides subir a tu cuenta de Facebook la mayoría de fotos realizadas, hasta aquí todo parece normal. Pero tu cliente ha visto su sesión fotográfica en tu Facebook, y muy enfado te pregunta por qué has subido esas fotos personales.

Y aquí surge el problema, ya que como bien dice el cliente, esas fotografias eran personales, y necesitas su consentimiento obligatorio para tratar cualquier uso de ellas, a pesar de que tú eres un profesional de la fotografía y de que te ha dado su consentimiento para realizarlas. Tu alegación sería que posees los derechos de autor sobre la propiedad intelectual de las fotos, pero en base a la ley de protección de datos priman los derechos a la intimidad y a la propia imagen del cliente.

Consentimiento de los padres

Todas y cada una de las fotos tomadas a menores de 14 años deben tener firmado el modelo de consentimiento para su utilización por parte del propio dueño de la fotografía. La AEPD establece un modelo de consentimiento que para ser válido debe ser libre, inequívoco, específico e informado. Ya he cometado sobre este tema, en un post anterior, debido a la  extrema necesidad del consentimiento paternal.

Derechos del menor sobre el uso de su imagen

Con el mundo tecnológico tan sumamente avanzado que tenemos hoy en día, nuestros gustos han evolucioando también. Hoy en día, la gran mayoría de padres y madres suben constantemente (yo diría que algunos a diario) fotografías tomadas a tus retoños para publicar lo orgullosísimos que están de sus niños. Sin darse cuenta ni ser conscientes de las terribles consecuencias que esto puede conllevar. En primer lugar he de decir que los niños tienen sus derechos, a la intimidad, a la propia imagen y aunque las personas que tienen la obligación de garantizarlos, también pueden ser los culpables de que no se cumplan.

¿Qué pasa si papá o mamá no quiere?

Por desgracia últimamente me llegan consultas de padres divorciados que tienen este problema, y creen que quien tenga la guarda y custodia del menor pueda hacer lo que se le antoje con las fotos de su niño. He de decir que No, ya que en la mayoría de los casos la patria potestad siempre será compartida, por lo tanto, deben estar de acuerdo los dos progenitores.

¿Puedo denunciar al fotógrafo por utilizar las fotos de mi hijo?

¡Si no tiene un consentimiento expreso, claramente sí!
ejemplos proteccion de datos

Te voy a poner en situación: tu hijo de 5 añitos llega del colegio con un sobre lleno de fotografías suyas realizadas por un profesional que ha acudido al colegio y con la autorización de la profesora, les ha hecho una sesión fotográfica a cada niño para posteriormente venderlas.

La utilización de esas fotografías de menores sin consentimiento no es lícito, por un lado porque cualquier menos de 14 años necesita el consentimiento de sus progenitores para poder tratar sus datos personales.

¡Cumple esta reglas!

No pongas su nombre y apellidos
Sé que estás muy orgulloso de la función de teatro de navidad que hizo tu hijo en el cole, pero no publiques su nombre y apellidos en el pie de la foto.
Elimina la geolocalización
Comprueba que tienes la función de localización desactivada, así te asegurarás de que nadie pueda seguir tus pasos, y saber en todo momento donde se encuentras tus hijos.
¡Consejo! Recuerda que una vez subida una foto a internet, aunque solamente la hayas publicado en el perfil de tu Facebook o Instagram, hagas lo que hagas nunca se eliminará del todo. Y tú, ¿estás seguro de que cumples con la Ley Orgánica de Protección de Datos? Si te ha quedado alguna duda o tienes alguna curiosidad, ¡escríbeme un comentario!

¿Necesitas cumplir la LOPD?

Read more


Mega multa a Facebook por incumplir la LOPD

Analizamos los motivos de la sanción y, lo más importante, cómo evitar que tu empresa reciba una multa similar.
sancion proteccion de datos

La AEPD sanciona a Facebook con una multa de, nada más y nada menos, 1.2 mill. de € por incumplir la Ley de Protección de Datos al ceder información sin el consentimiento de los usuarios.

Todo empezó en la Universidad de Lovaina

Bélgica, abril del 2015. La entidad belga equivalente a la AEPD tenía sospechas de que Facebook estaba realizando un uso abusivo de los datos de los usuarios y, por ello, encargó un estudio a una de las universidades mejor valoradas de Europa, la Universidad de Lovaina. Tras diversos análisis, los investigadores concluyeron que Facebook, mediante supercookies, estaba recopilando sin consentimiento numerosos datos personales de incluso usuarios no registrados en la red social.

Infracciones que suman más de 1 millón de €

La AEPD comenzó una inspección de oficio, investigando a la red social para conocer si sus políticas de privacidad cumplían las exigencias que establece la normativa y también para verificar cómo se gestionan los datos personales que almacena la compañía estadounidense. La Agencia lo tenía muy claro, la empresa tecnológica incumplía gravemente la LOPD por varios motivos.

Los “me gusta” con fines publicitarios

Según la Agencia Española de Protección de Datos dicha red social almacena información personal catalogada como especialmente protegida sin informar al usuario de manera concreta el tipo de tratamiento que realizará de la información recabada, únicamente se limitaban a dar sencillos ejemplos. Esto me da ha entender que en Facebook no leyeron el artículo 7 de la LOPD:
Artículo 7 de la LOPD

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente“.

Por este motivo, le han impuesto una sanción de 300.000 € Y ahora, suma otros 300.000 € de multa por rastrear con supercookies a los usuarios que, sin estar registrados en Facebook, han hecho clic en un "Me gusta" o han interaccionado con alguna aplicación de la red social.

Supercookies

Hace tiempo expliqué qué son las cookies pero se me olvidó mencionar las supercookies. Las supercookies son archivos que guardan información del usuario durante años. Normalmente, una cookie tienen una duración de 1 mes.
Cookie DART
Si compruebas las cookies que se descargan al acceder a una web que tiene incrustada alguna opción de Facebook, como puede ser el botón "Me gusta", verás DART. La cookie DART podemos clasificarla en el la sección de supercookies porque almacena durante 2 años información de los usuarios sin incluso registrarse en Facebook y, precisamente por este motivo, la AEPD sanciona a Facebook con otros 300.000 eurazos.

¡Cuidado! No eliminan tu perfil después de borrar tu cuenta

Normalmente creemos que cuando nos damos de baja de cualquier servicio en un periodo breve nos eliminarán de sus archivos de clientes y ya no tendremos nada que ver con esa empresa. Pues bien, la empresa de Mark Zuckerberg no lo hacía así, ya que una vez has eliminado tu perfil, lo mantenía en sus servidores, llegando a retener nuestra información hasta 18 meses. Por este motivo, la AEDP, le ha impuesto una sanción muy grave con un importe de 600.000€ por imcumplir el derecho al olvido que se basa en poder modificar, cancelar o borrar tus datos personales que estén en posesión de terceros (entidades o personas).

No quiero asustarte pero a ti también pueden sancionarte

Este año ya he leído varias noticias informando de sanciones a empresas que no cumplían la normativa de protección de datos por lo mismo que Facebook:
  1. No solicitar el consentimiento
  2. No ejercer el derecho al olvido en tu empresa
Como no quiero un día leer en el Expansión o en El País que la AEPD ha sancionado a tu empresa, a continuación te resumo qué deberías verificar hoy mismo.
Solicitar el consentimiento de los usuarios de mi web
Cualquier sitio web con un formulario de contacto tiene que disponer de una política de privacidad que informe al usuario de las finalidades con las que tratará los datos personales obtenidos. Revisa hoy mismo si tu página web contiene, en un lugar visible y de manera clara, los siguientes contenidos:
  • Política de privacidad
  • Aviso legal
  • Aviso y política de cookies
  • Aceptación de las condiciones en los formularios
¿Cómo responder ante una solicitud del derecho al olvido?
Para asegurarte que un cliente, o un antiguo empleado pueda ejercer su derecho debes comprobar que toda la información personal de esa persona ha sido eliminada de manera permanente de tus archivos, y que se ha procedido a su destrucción definitva, tanto en papel como vía informática. Sólo así, evitarás que te sancionen por no poner en práctica este derecho que todos tenemos.

¿Cómo hacer tu cuenta más privada?

En primer lugar debemos decidir qué infomación de nuestra vida digital queremos compartir con nuestros amigos virtuales. Para ello, Facebook se ha cubierto las espaldas manteniendo una detallada configuración de privacidad, permitiendo al usuario mostrar sólo aquellos datos que le interesa mostrar. Así como limitando el acceso a las personas que el usuario considere inoportunas. De esta forma, tú mismo puedes reducir tu privacidad, con la opción de permitir ver las publicaciones de tu muro a tus amigos o incluso que sean privadas y solamente tú las puedes ver, dando clic en "sólo yo". Al igual pasaría con las fotogragrías que subes, también tienes las mismas alternativas para que únicamente las vea quien tú quieras. Si por desgracia te ha surgido este problema, no dudes en escribirme un comentario, ¡encontraremos una solución!

¿Necesitas cumplir la LOPD?

Read more


Las 5 claves del Reglamento Europeo de Protección de Datos

principales cambios protección de datos

Muchos de vosotros nos habéis preguntado cual es el motivo por el que surge este nuevo Reglamento.

En este post resumo la finalidad del RGPD y las principales novedades introducidas por esta normativa europea.

Novedades del Reglamento europeo de Protección de Datos

novedades-rgpd

La idea de fondo de esta nueva normativa es amparar al usuario frente al uso incorrecto y abusivo de sus datos personales en Internet, aunque a veces es difícil fijar el límite entre esto y el almacenamiento de estos datos para mejorar el servicio o la experiencia del usuario en la web.

Los aspectos más importantes a destacar del nuevo Reglamento son:

Garantía para los titulares de datos personales

Se refuerza el derecho a la protección de datos personales otorgando a los afectados un mayor control sobre sus datos. Esto se traduce en:

  • Facilitar el ejercicio del derecho de acceso a sus datos.
  • El derecho a la supresión de los datos personales y el «derecho al olvido», que permite a cualquiera exigir a un proveedor de servicios que borre inmediatamente los datos personales reunidos durante la infancia de la persona.
  • El derecho a la portabilidad, con esto se facilita la transmisión de datos personales de un proveedor de servicios, como por ejemplo una red social, a otro. Ello aumentará también la competencia entre proveedores de servicios.
  • Límites a la elaboración de perfiles (“profiling”), es decir, al tratamiento automatizado de datos personales para analizar aspectos personales como el rendimiento en el trabajo, la situación económica, la salud, las preferencias personales, geolocalización, etc.

Nuevos principios

Antes de esta normativa ya contábamos con principios básicos como los de calidad, información, deber de secreto y consentimiento para el tratamiento de datos personales, con esta norma europea se añaden nuevos principios como el de rendición de cuentas o “Accountability”, citando la responsabilidad de las compañías en la imposición de mecanismos que avalen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de certificación que garanticen su fiabilidad.

Esta responsabilidad, será asímismo aplicable para empresas tanto pequeñas como grandes, aunque es cierto que resulta más sencillo instaurar políticas y métodos de control en multinacionales que operan a escala mundial, a través del establecimiento de mecanismos internos y externos para analizar su fiabilidad y justificar su efectividad cuando se requiera por las autoridades de control. Además, los medios y recursos de los que disponen permiten realizar regularmente programas de concienciación en esta materia

Principio de Transparencia

Centrado en simplificar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.

Este principio se concreta en cuatro conceptos:

  1. Supresión de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (Agencia Española de Protección de Datos-AEPD).
  2. Conservación de la documentación de todas las actuaciones de tratamiento de datos realizadas bajo su responsabilidad. La responsabilidad de conservar la documentación, a partir de la entrada en vigor del nuevo Reglamento, corresponde tanto al Responsable como al Encargado del tratamiento.
  3. Instaurar mecanismos sencillos para el ejercicio de los derechos. Un ejemplo de ello, es la posibilidad de ejercitar los derechos vía electrónica, y la obligación de avisar a los solicitantes de la posibilidad de reclamar ante la autoridad de control y de recurrir a los tribunales. Asimismo, la Comisión podrá crear formularios y procedimientos normalizados para las comunicaciones a los interesados, incluido el formato electrónico, aprobando medidas particulares para las microempresas, las pequeñas y medianas empresas.
  4. Cooperación con autoridades de control. Con la nueva normativa los responsables y encargados del tratamiento no sólo deberán cooperar con su autoridad de control nacional (en nuestro caso AEPD), sino que ahora también entrará en juego la obligación de“rendir cuentas” ante la Comisión y el Consejo Europeo de Protección de Datos. Si bien esto otorga mayor transparencia a las actividades que supongan tratamiento de datos personales, también origina un riguroso deber de cumplimiento para dichos agentes.

El RGPD pretende obtener una regulación uniforme que supere las diferencias normativas existentes actualmente.

Obligaciones de los responsables y encargados del tratamiento

  • Deberán presentar información transparente y de fácil acceso a los interesados acerca  del tratamiento de sus datos. Habría que suministrar la identidad y datos de contacto del Delegado de Protección de Datos.
  • Imponer las medidas de seguridad necesarias según la evaluación de los riesgos.
  • Notificar las violaciones de datos personales no solo a la autoridad de control sino también a las personas expresamente afectadas por las mismas. Pero si al producirse la pérdida, los datos están protegidos de manera que éstos sean ininteligibles y la empresa lo prueba ante la autoridad de control, entonces no existirá obligación de informar sobre la filtración a las personas cuyos datos se han perdido o robado.
  • Nombrar un Delegado de Protección de Datos: para entidades del sector público, las grandes empresas y aquellas otras empresas cuya función principal consista en actividades de tratamiento de datos.
  • Evaluación de impacto: los responsables del tratamiento podrán precisar unos niveles de riesgo según una evaluación del impacto que suponga su tratamiento de datos personales, y tomar medidas con arreglo a dichos niveles. Se considera procesamiento peligroso al realizado con datos personales de 5000 o más individuos. Hay varios supuestos: los tratamientos que delimiten perfiles, los datos especialmente protegidos o los de menores tratados a gran escala.
  • Privacy by design: (protección de datos desde el diseño) aplicar medidas y procedimientos técnicos y organizativos preventivos en el diseño de aplicaciones en las que se vaya a tratar datos personales.
  • Sello Europeo de Protección de datos: las empresas podrán solicitarlo a las Autoridades de Control que lo concederán mediante un procedimiento previo de certificación efectuado por profesionales acreditados.

Autoridades de control

  • El Reglamento ratifica la obligación que tienen los Estados miembros de crear una autoridad de control independiente a nivel nacional.
  • Ventanilla única: pretende instaurar mecanismos para lograr una aplicación congruente de la legislación sobre protección de datos en toda la UE. En particular, la Comisión plantea que, cuando el tratamiento de datos personales se realice en más de un Estado miembro, sea una única autoridad de control la que tenga competencia para el seguimiento de todas estas actividades. La autoridad competente será la autoridad del Estado miembro en el que se encuentre el establecimiento principal del responsable o el encargado del tratamiento. Este reglamento también se aplicará a cualquier operador, independientemente de su establecimiento, cuando ofrezca sus bienes o servicios a ciudadanos de la UE.
  • Creación de un Consejo Europeo de Protección de Datos:  estará integrado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité.

Reclamaciones y sanciones

Los afectados, así como, las organizaciones de protección de datos podrán presentar (con ciertas condiciones) reclamaciones ante una autoridad de control o interponer recurso en los casos en que se infrinjan las normas de protección de datos.

Además, en el caso de que dichos casos se confirmen, los responsables del tratamiento se arriesgan a:

  • Apercibimiento/advertencia por escrito en el caso de ser el primer incumplimiento no intencionado. (Supuesto de una persona física que realiza el tratamiento de datos personales sin interés comercial o empresa que emplee a menos de 250 personas y que trata datos personales como actividad auxiliar a su actividad principal)
  • Auditorías de protección de datos, regulares y reiteradas.
  • Multas: las sanciones han sufrido un importante incremento, pudiendo alcanzar la cuantiosa cifra de 20.000.000 € o el importe correspondiente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, por lo que las empresas deberán tener especial cuidado en el cumplimiento de la ley.

Las autoridades de protección de datos de cada Estado serán las que impongan estas sanciones administrativas. En el caso de España, la Agencia Española de Protección de Datos (AEPD).

Objetivos del RPGD

El Reglamento Europeo de Protección de Datos nace, por tanto, con un doble objetivo:

Fortalececimiento de derechos

En materia de protección de datos de las personas físicas, estandarizando las distintas legislaciones nacionales de los estados miembros, que adaptaron de forma diferente la Directiva 95/46, y de esta forma, obtener una regulación uniforme que supere las diferencias normativas existentes actualmente.

Aumentar las oportunidades
Respecto a las empresas en el mercado único digital permitiendo el libre flujo de los datos personales.

¿Necesitas cumplir la LOPD?

Read more


Sanción de 1500 euros por grabar sin consentimiento

sanción LOPD grabación cámaras
La Agencia Española de Protección de Datos ha sancionado por grabar sin consentimiento, a la empresa Leistung S.L.N.E., tras la denuncia presentada por una mujer cuya identidad queda salvaguardada, con las iniciales A.A.A.

Denuncia por el sistema de videovigilancia

El procedimiento sancionador se puso en marcha tras la denuncia, que aseguraba que la empresa Leistung había instalado un sistema de cámaras de vigilancia en su negocio de Pontevedra, las cuales emitían imágenes en directo en su página web, de acceso público (es decir, abierta a cualquier usuario de Internet). La denunciante aseguraba, además, que en dichas emisiones podían identificarse a los peatones y coches que pasaban junto al comercio, en sus calles adyacentes. Para demostrar el hecho denunciado, A.A.A. suministró pantallazos de los vídeos denunciados e incluso un vídeo demostrativo.

¿Qué clase de sanciones puede imponer la AEPD?

Hay que explicar que la AEPD no es un tribunal, es decir, no es una instancia judicial como tal, sino que es un organismo de control que se define como "independiente", y cuya misión es velar por la observancia de la normativa en materia de protección de datos. En especial, se encarga de que se cumpla el derecho fundamental a la protección de los datos personales. La AEPD, por tanto, puede, además de multas pecuniarias, imponer otras sanciones, pero no puede llevar a la cárcel a una empresa o persona por incumplir la LOPD, sino que informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos. En el caso que nos compete, la AEPD investiga y sanciona a aquellas entidades que puedan realizar alguna actividad contra la protección de datos personales.

Claves para la videovigilancia en mi negocio

Después de este análisis sobre una de las sanciones impuesta por la AEPD respecto a una infracción cometida en materia de videovigilancia, os dejo un artículo con las medidas que hay que tener en cuenta a la hora de poner cámaras en un negocio.

La AEPD informa al ciudadano, le protege para que defienda sus derechos, y actúa como un supervisor que tutela al ciudadano para que pueda ejercer esos derechos.

¿Necesitas cumplir la LOPD?

Read more


Guía sobre el Reglamento General de Protección de Datos

  Con esta guía abordaré los aspectos básicos que necesita cualquier empresa para adecuarse correctamente al Reglamento General de Protección de Datos.

Aplicación del RGPD

En España, las empresas deberán cumplir el RGPD antes de mayo de 2018Su adaptación se hará mediante la nueva LOPD que aún se encuentra en trámite parlamentario.

¿Quién puede realizar el tratamiento de los datos?

En relación a este aspecto el RGPD no introduce cambios, ya que se sigue necesitando acreditar un interés legítimo para realizar el tratamiento de los datos. Este existe, por ejemplo, en casos de ejercicio de la facultad de control del empresario sobre los trabajadores o en los tratamientos de datos con fines de videovigilancia.

Obligaciones del responsable del tratamiento

Nuevos derechos de RGPD

En el Reglamento europeo de Protección de Datos se mantienen los derechos ARCO (acceso, rectificación, cancelación y oposición) y se añaden otros derechos específicos como:

Derecho al olvido

El Derecho al olvido se define como el derecho a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

Derecho a la portabilidad

El derecho a la portabilidad de los datos se trata del derecho a que los datos personales de un ciudadano europeo, recogidos en archivos automatizados, puedan serle entregados a él o traspasados, si así lo solicita, a otra empresa en un formato estructurado, inteligible y automatizado.

Infracciones y sanciones

En el Reglamento General de Protección de Datos se establece un régimen sancionador con sanciones económicas auténticamente disuasorias, pudiendo alcanzar incluso el 4% del volumen anual de facturación de una compañía o los 20 millones de euros en los casos más graves.

Cumple el nuevo Reglamento Europeo

Read more


Infracciones y sanciones en el Reglamento europeo de Protección de Datos

sanciones reglamento europeo proteccion de datos

La entrada en vigor del Reglamento europeo de Protección de Datos va a suponer que las empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.

Por otro lado, es de esperar que las medianas empresas, entidades y profesionales liberales que están obligados a cumplir con esta normativa, puedan obtener el soporte y las recomendaciones que faciliten los distintos organismos y la Autoridad de Control en la materia.

Y, es necesario dedicar unas reflexiones a la nueva regulación en materia sancionadora prevista en el nuevo texto europeo.

Regulación de las infracciones y sanciones en el RGPD

En su artículo 83 el Reglamento europeo de Protección de Datos parte del establecimiento de las condiciones generales para la imposición de multas de carácter administrativo. El legislador no ha dudado en indicar que estas deben corresponderse, básicamente, con una serie de características en su imposición. Así, las mismas han de ser:

  • Individuales.
  • Efectivas.
  • Proporcionadas
  • Disuasorias.

La responsabilidad de dicha actuación sancionadora, y que la misma se ajuste a estas características señaladas, es evidente que corresponde a cada autoridad de control. La nueva normativa establece una serie de circunstancias concurrentes en el ejercicio de esta función sancionadora, que deben ser tenidas en cuenta por cada regulador, a la hora de establecer la sanción correspondiente a cada caso concreto y determinado, así como con relación al hecho material de fijar de manera pormenorizada la cuantía de multa que se ha imponer.

Graduación de las sanciones

Al valorar la adecuación del nivel de seguridad se tendrán específicamente en cuenta los riesgos que ofrezca el tratamiento de datos, en particular respecto a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Particularmente, se debe considerar:

  1. Cualquier infracción anterior cometida por el responsable o el encargado del tratamiento.
  2. El grado de cooperación con la autoridad de control con el fin de reparar la infracción y minimizar los posibles efectos adversos de la infracción.
  3. Los tipos de datos de carácter personal afectados por la infracción.
  4. La manera en que la autoridad de control se enteró de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
  5. En caso de que las medidas establecidas en el artículo 58, apartado 2 del Reglamento Comunitario de Protección de Datos, hayan sido impuestas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.
  6. La adhesión a códigos de conducta tal como se prevé en el artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, ambos del citado Reglamento.
  7. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Resumiendo...

Como podemos observar el Reglamento únicamente regula criterios o cuestiones básicas, faltando específicamente dentro de su contenido las cuestiones referentes a la graduación especifica de las sanciones, a la prescripción tanto de las infracciones como de las sanciones, el procedimiento sancionador, la potestad de inmovilización de los ficheros, y todo lo referente a las infracciones de las Administraciones Públicas, lo que nos permite determinar no sólo la vigencia de la Ley Orgánica 15/1.999, de 13 de diciembre, ajustada eso si a los criterios establecidos en el Reglamento Europeo de Protección de Datos, sino que incluso hay espacio para la vigencia de un reglamento de desarrollo de dicha Ley Orgánica, a los efectos de especificar todos aquellos aspectos, que la nueva normativa europea no ha desarrollado. Esta situación supone que la legislación local siga ocupando un importante espacio en el ámbito de la regulación de la protección de datos de carácter personal, y que exista un importante recorte en la finalidad unificadora y de la normativa, en los términos previstos en el propio Reglamento Comunitario.

Finalmente, debe recriminarse en esta materia al legislador europeo que se ha ocupado en establecer sanciones efectivas y disuasorias, y sin embargo, ha hecho escasa o nula referencia al desarrollo de la cultura de protección de datos entre los ciudadanos, y sobre todo entre las pymes, las grandes olvidadas de esta regulación, pero que sin embargo representan un 95% del tejido empresarial.

Evita sanciones y cumple la LOPD

Read more


Todo sobre videovigilancia y LOPD

La videovigilancia es uno de los asuntos que causa más dudas en el terreno de la protección de datos, y es natural, ya que en la Ley Orgánica de Protección de Datos (LOPD) ni siquiera aparece una sola vez la palabra "videovigilancia", por lo que para muchos aspectos concretos debemos acudir a una variada documentación.

De nuevo hemos conocido la apertura de un procedimiento sancionador por parte de la Agencia Española de Protección de Datos a El Corte Inglés por la existencia de cámaras de videovigilancia que graban la vía pública.

Sanción por incumplimiento de la LOPD

sancion proteccion de datos

Varios centros del Corte Inglés ya han sido sancionados por no cumplir la normativa de Protección de Datos en materia de videovigilancia. En concreto, en el año 2011, un centro de Málaga fue sancionado con una multa de 60.000 € y en el año 2015, a otro centro de Las Palmas se le impone una sanción de 40.000 €.

Aunque el proceso de alta y tramitación para adaptarse a la LOPD pueda parecer fácil, debemos tener en cuenta diferentes aspectos. En todos los casos el procedimiento comienza a partir de una denuncia de particulares. La AEPD comprueba los hechos y detecta que existen varias cámaras que graban la vía pública pudiendo captar vehículos y ciudadanos que se encuentren en la calle. La Agencia considera que esto no es imprescindible para la finalidad alcanzada, además de que no resulta "idóneo, adecuado ni proporcional".

Criterio de la AEPD

La Audiencia Nacional confirma esta resolución de la AEPD considerando que se produce "un tratamiento excesivo y desproporcionado de las imágenes en correspondencia con el ámbito y las finalidades que podrían justificar su recogida, toda vez que la seguridad solicitada podría obtenerse de igual manera a través de medios menos intrusivos para la intimidad de los afectados".

La AEPD estima que “La instalación de cámaras de videovigilancia en espacios públicos, al igual que la seguridad pública, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad".

sancion proteccion de datos

En este caso el centro que se enfrenta a una sanción por este mismo motivo es el de Badajoz. Se trata de una infracción grave por lo que la multa puede ir desde los 40.000 € hasta los 300.000 €.

La compañía se defiende apuntando que ninguno de sus sistemas de videovigilancia incumple ya la Ley de Protección de Datos. Recuerdan que la primera sentencia de la Audiencia Nacional mostró cómo colocar los dispositivos y que El Corte Inglés adaptó el tiro de cámara para cumplir la normativa a raíz de aquella resolución.

Señalan que actualmente la compañía respeta el derecho de los ciudadanos y las cámaras solo enfocan la puerta. Añaden que no existe ninguna otra intención más allá de la seguridad y que ha habido otras denuncias en este sentido que no han salido adelante.

Legislación sobre videovigilancia

En el caso de la instalación de cámaras de videovigilancia la LOPD exige una serie de requisitos y pautas ya que no todo vale.

Adaptar videovigilancia a la LOPD

La Ley habla de la Videovigilancia cuando se captan y graban imágenes que afectan a personas “identificadas e Identificables”, esto sugiere, no obstante ciertos problemas en su aplicación.

Por un lado el Responsable del fichero deberá identificar si el uso que hace de la videocámara se encuentra sujeto a la Ley y, por otro lado, resulta complicado informar al titular de los datos y realizarlo con criterios idénticos, comprensibles y fácilmente identificables.

La Ley habla de la Videovigilancia cuando se captan y graban imágenes que afectan a personas identificadas e identificables.

La videovigilancia se considera un sistema invasivo, por eso la ley establece la obligación de cumplir una serie de condiciones para legitimar su tratamiento.

¿Cuándo se aplica la LOPD al tratamiento de imágenes?

Se aplicará esta normativa a los “tratamientos de imágenes” con la utilización de cámarasvideocámaras o cualquier mecanismo similar que capte y/o registre imágenes, se produzcan grabación de las mismas, se transfieran, se conserven o almacenen, incluso la reproducción y emisión en tiempo real, ya sea con fines de vigilancia u otros y que esas grabaciones afecten a datos de personas “identificadas” e “identificables“.

Los requisitos que tienen que cumplirse son:

  • Que exista consentimiento del titular de los datos personales.
  • Sólo una Ley puede exonerar de ese consentimiento. Como es el caso de lo establecido en el Estatuto de los Trabajadores sobre la Dirección y Control de la Actividad Laboral.
  • No será necesario el consentimiento si los datos de carácter personal se recopilan para el ejercicio de las actividades propias de la Administración Pública, en el ámbito de sus competencias, tampoco se exigirá el consentimiento cuando los datos de carácter personal aluden a las partes de un contrato o precontrato de una relación laboral o administrativa y son obligatorios para su mantenimiento y cumplimiento.
  • Se establecen también otra serie de excepciones al consentimiento como cuando la cesión esté autorizada por ley, cuando se refiera a datos recolectados de fuentes accesibles al público, si la comunicación se realiza al Defensor del Pueblo, al Ministerio Fiscal, Jueces o Tribunales en el desarrollo de sus competencias o si lo determinan las Administraciones Públicas.

Casos en los que no se aplica la LOPD

  • No se aplicará en el ámbito personal y doméstico, considerándose como tal el realizado por persona física en el ámbito de una actividad privada o familiar.
  • El tratamiento de datos realizado por los medios de comunicación, en el ejercicio de sus derechos.

¿Cómo se deben captar y tratar las imágenes?

Los requisitos que deben cumplirse a la hora de recoger, acumular, reproducir o cancelar las imágenes son:

captar-tratar-imagenes-videovigilancia
  • Principio de Proporcionalidad entre la finalidad perseguida y la manera de tratar los datos.
  • Deber de informar adecuadamente de la grabación de imágenes.
  • Las cámaras de videovigilancia solo se usarán cuando no existan otros medios menos invasivos.
  • Las cámaras de videovigilancia que se instalen en espacios “privados”, no podrán grabar imágenes de espacios “públicos”.
  • Podrán captarse “imágenes parciales” y “limitadas” de vías públicas cuando sea imprescindible para el fin de vigilancia que se persigue.
  • El sistema de vídeovigilancia deberá respetar los “derechos de las personas” y el resto de la normativa vigente. No se podrán captar imágenes de interiores de viviendas cercanas, ni baños, ni de los aseos o espacios físicos distintos al específicamente protegido por la instalación.
  • Las imágenes se conservarán por tiempo indispensable para satisfacer la finalidad para la que se recabaron.

Ficheros de videovigilancia

Todas las empresas o particulares que utilicen cámaras de videovigilancia que graben imágenes están obligados a inscribir en la AEPD un fichero denominado "Videovigilancia" en el que figuren todas las licencias de las instalaciones de videocámaras y las renovaciones. En esta inscripción deberán incluirse los datos del titular de la autorización, fecha, vigencia, ámbito de grabación y órgano encargado de la custodia, inutilización o destrucción de las grabaciones.

Modelos informativos

  Modelo informativo videovigilancia

Modelo del apartado 1,
anexo Instrucción 1/2006

 
  Modelo informativo videovigilancia

Modelo de Cláusula Informativa Art.3,
apartado B, Instrucción 1/2006

 

¿Cuánto cuesta cumplir la LOPD?

Read more


Sanción por grabar la vía pública en Asturias

Sanción de AEPD en Asturias por grabar la vía pública

En varias ocasiones os he hablado sobre la importancia de cumplir los requisitos previstos por la LOPD en la instalación de cámaras de videovigilancia y, de hecho, son muchas las denuncias interpuestas por este motivo y las sanciones impuestas.

sancion proteccion de datos

Recientemente la AEPD ha impuesto una sanción de 2.000 € a un particular en Asturias por colocar una cámara de videovigilancia en su vivienda particular orientada a la vía pública y a zonas privativas de terceros. El denunciado tenía instalada una cámara en la fachada de su vivienda que estaba grabando imágenes de la vía pública e incluso de espacios propiedad de un tercero sin causa justificada.

Cámaras de videovigilancia y LOPD

Las imágenes se consideran, según la LOPD, como un dato de carácter personal ya que se refieren a una persona identificada o identificable. Por tanto, la grabación de imágenes de una persona física está sujeta a la normativa de Protección de Datos que se aplicará siempre que se capte y/o registre imágenes, se produzca grabación de las mismas, se transmitan, se conserven o almacenen, incluso la reproducción y emisión en tiempo real, ya sea con fines de vídeovigilancia u otros.

Criterio de la AEPD

En el caso que nos ocupa, la Agencia Española de Protección de Datos considera que, según la ley, las videocámaras instaladas en espacios privados no pueden obtener imágenes de la vía pública salvo que resulte imprescindible para la finalidad que se pretende o sea imposible evitarlo debido a la ubicación de éstas.

La AEPD considera que las videocámaras instaladas en espacios privados no pueden obtener imágenes de la vía pública salvo que resulte imprescindible para la finalidad que se pretende o sea imposible evitarlo debido a la ubicación de éstas.

En este caso no está justificada la finalidad de esas grabaciones y el denunciado, a pesar de haber sido advertido, no cesó en el tratamiento de esas imágenes. Se considera una infracción leve ya que la instalación es de un particular y los tratamientos son limitados.

Consecuencias de incumplir la ley en materia de videovigilancia

Debes tener en cuenta los requisitos a cumplir si decides instalar una cámara de videovigilancia para evitar importantes sanciones. Si la instalación del sistema de videovigilancia no la realiza una empresa autorizada, no disponemos de autorización para instalar esa videovigilancia, no inscribimos los ficheros correspondientes a la Agencia Española de Protección de Datos, no disponemos de cartel informativo ni de hojas informativas o tenemos un cartel que no cumple la LOPD o no guardamos el secreto profesional es fácil que alguien, cómo puede ser la policía, la propia Agencia, cualquier administración pública, un cliente, etc., nos denuncié ante la AEPD.

Tramitar alta En Protección de Datos en Asturias

Para evitar una sanción como esta si tienes cámaras de videovigilancia, no dudes en contactar con empresas de Asturias especializadas en la Protección de Datos que te ayudarán a cumplir los requisitos exigidos por la LOPD.

¿Necesitas cumplir la LOPD?

 

Read more


Sanción de la AEPD a Entidad bancaria en Valencia

Sanción de la AEPD a entidad bancaria en Valencia

Otra vez la inclusión indebida en ficheros de morosos y una nueva sanción impuesta por la AEPD.

La Agencia Española de Protección de Datos ha sancionado con una multa de 50.000 € a una Entidad bancaria de Valencia por incluir a unos clientes en un fichero de morosidad por un importe cuyo pago no les correspondía.

Inclusión indebida en ficheros de morosos

Los afectados en este caso denuncian que la entidad bancaria incluyó y mantuvo indebidamente sus datos personales un un fichero de solvencia patrimonial y crédito por el impago de una deuda que, según una sentencia judicial, no les correspondía abonar.

Los ficheros de morosos son comúnmente utilizados por empresas para forzar al pago a los clientes. El problema surge cuando esa inscripción es improcedente, bien por la inexistencia de la causa que la sustenta, por la inexistencia de la deuda o bien por la ambigüedad de los términos con los que la inscripción se expresa. Esta práctica, por tanto, se considera un instrumento con un fin legítimo, lícito y a priori útil para la salvaguarda de un interés que puede considerarse general. Sin embargo, usada con otros fines de interés particular, es una herramienta desmedida, desvirtuándose su buen fin.

Regulación de los ficheros de solvencia patrimonial y crédito

El artículo 4 de la LOPD obliga a que los datos personales que se recojan en cualquier fichero sean exactos y respondan siempre a la situación presente de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

Por otro lado, el artículo 29 de la LOPD regula los ficheros de solvencia patrimonial y crédito y diferencia dentro de ellos dos supuestos, uno de los cuales son los ficheros en los que se tratan datos personales referentes al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.

El Reglamento que desarrolla la LOPD establece una serie de requisitos para incluir datos personales en estos ficheros como son la existencia previa de una deuda vencida y exigible y un requerimiento previo de pago a quien resulte obligado. También exige que se informe al deudor de la inscripción en ese fichero en caso de impago.

Criterio de la AEPD

En este caso, la AEPD considera que la entidad bancaria incumple los requisitos de exactitud y certeza recogidos en la LOPD al mantener los datos personales de los denunciantes en un fichero de solvencia patrimonial y crédito con posterioridad al momento en que conoció el fallo judicial que declaraba inexistente dicha deuda.

Se considera que la citada entidad ha incurrido en una infracción grave ya que, después de conocer la mencionada sentencia en lugar de tomar medidas para adecuar los datos personales de los denunciantes que constaban en sus ficheros a la situación declarada en el fallo judicial e instar la baja de una deuda inexistente informada a nombre de cada uno de los afectados, continuó manteniendo en sus ficheros dicha información errónea y actualizándola periódicamente en el citado fichero de morosidad, a pesar de no ser una deuda cierta, vencida ni exigible a los denunciantes.

Por todo ello, resuelve imponer a esa entidad bancaria la multa de 50.000 €.

Consecuencias de la inclusión indebida en ficheros de morosos

Esta inclusión va a determinar que, en muchos casos, los afectados se vean privados de la posibilidad de acceder a una financiación. Y cuando esa inscripción es indebida, el perjuicio que puede suponer para el afectado es mucho mayor ya que se considera una vulneración de su derecho al honor protegido por la propia Constitución.

Cuando se incluye información incorrecta, menoscabando así el buen nombre y reputación del consumidor, se incurrirá en responsabilidad objetiva y lógicamente en la obligación de resarcir el daño causado.

Tramitar alta en Protección de Datos en Valencia

Si necesitas ayuda para adaptar tu negocio a la LOPD o quieres asesorarte sobre la forma de incluir a clientes en ficheros de solvencia patrimonial y crédito cumpliendo la normativa, puedes ponerte en contacto con empresas de Valencia encargadas de la Protección de Datos.

¿Necesitas cumplir la LOPD?

Read more


Memoria de la Agencia Española de Protección de Datos 2015

sanciones de la agencia de proteccion de datos en españa

Como cada año y desde 1994 en que empezó a funcionar, la AEPD ha sacado su Memoria sobre Protección de Datos del año 2015. En ella se reflejan todas las actuaciones realizadas en esta materia durante el año, las novedades y tendencias en la normativa y las decisiones que se adoptarán por la AEPD para hacer frente a las nuevas situaciones que se produzcan en un futuro.

La Protección de Datos se enfrenta a nuevos desafíos fundamentales para amparar este derecho de los ciudadanos. Esto va a hacer que la prevención y la conducta proactiva en el cumplimiento de las obligaciones sean esenciales.

Como puede resultar un poco pesado leerse las 170 páginas de esta memoria, os hacemos un resumen de las cuestiones más relevantes que recoge la misma.

Reclamaciones, infracciones y sanciones en cifras

Las denuncias y reclamaciones de los ciudadanos ante la AEPD el pasado año ascienden a 10.571, lo que supone unas 1.600 menos que en el año 2014. Todas estas denuncias y reclamaciones han sido resueltas por la AEPD. Estos datos nos indican una consolidación tras el aumento producido el año anterior.

Las resoluciones de apercibimiento se han incrementado respecto al año anterior en un 26% al mismo tiempo que han disminuido las sanciones económicas.

Por otro lado, la mayoría de las reclamaciones se refieren al ejercicio de derechos ARCO, se han presentado y resuelto por la Agencia casi un 17% más que el pasado año. En primer lugar están las denuncias por procedimientos de cancelación, seguidos de los de acceso, rectificación y oposición.

Se destaca el incremento de las consultas realizadas a través de la Sede electrónica de la Agencia con respecto a las del año anterior. También se declara que casi el 100% de las notificaciones al Registro General de Protección de Datos se realizan a través de Internet y se ha producido un incremento de casi el 10% de los ficheros inscritos.

Sectores que reciben más reclamaciones

Entre los sectores que más reclamaciones han recibido están el primer lugar, el sector de las telecomunicaciones, con más de la mitad de las denuncias. En segundo lugar se encuentran las empresas de comercialización y suministro de energía y agua, seguidas de las comunicaciones comerciales por spam.

Debemos destacar un aumento considerable de las denuncias presentadas y de las sanciones impuestas a entidades financieras. Estas reclamaciones se refieren a inclusiones indebidas en ficheros de morosidad y crédito y a contrataciones irregulares de servicios. De hecho el 75% de los ciudadanos que han presentado estas denuncias lo han hecho por su inserción en ficheros de morosos, por la reclamación de deudas impagadas y por la contratación irregular de servicios ofrecidos por operadores de telecomunicaciones, entidades financieras o empresas energéticas. El volumen de las sanciones impuestas a entidades financieras superó los 3 millones de euros mientras que las impuestas a empresas de telecomunicaciones suman unos 7 millones de euros.

El hecho de que nuestros datos figuren en un fichero de morosos de forma indebida puede ocasionarnos importantes perjuicios y por ello, la Agencia avisa a las empresas que extremen su diligencia antes de comunicar una información incorrecta. Sólo se pueden incluir los datos de un ciudadano en un fichero de morosos cuando exista una deuda cierta, vencida y exigible.

Ejercicio del Derecho al olvido
La AEPD ha resuelto casi 400 procedimientos de ejercicio del derecho al olvido dando la razón al ciudadano en la mayoría de ellos, sólo en 872 ha desestimado esa petición. Existen 130 casos en los que la petición no se ha admitido debido a que los solicitantes no se habían dirigido anteriormente a los buscadores solicitando la cancelación de sus datos como exige la ley. El Derecho al olvido es la manifestación de los derechos de cancelación y oposición aplicado a los buscadores de Internet. Se trata de un derecho expresamente recogido en el Reglamento europeo de Protección de Datos. Este derecho se puede ejercer frente al buscador de información sin que sea necesario acudir previamente a la fuente original, ya que la divulgación la realiza el buscador cuando la persona pone su nombre. Por tanto, el afectado debe acudir en primer lugar a la entidad que está tratando sus datos, que sería el buscador concreto. Si esa entidad no responde a la petición realizada o consideramos que la respuesta no es adecuada, podemos solicitar amparo a la AEPD, que podrá estimar o no la solicitud. La resolución de la AEPD es, en todo caso, recurrible ante los Tribunales.
Ejercicio de derechos ARCO

De los datos referidos a los procedimientos de ejercicio de derechos de acceso, rectificación, cancelación y oposición se deduce que los ciudadanos dan prioridad al hecho de que las entidades dejen de tratar sus datos personales cuando así se lo soliciten. De todos ellos, la mayoría de las denuncias se refieren al derecho de cancelación.

El derecho de cancelación es el derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos. Debe solicitarlo ante la entidad que esté tratando esos datos indicando la causa que lo justifica. La denegación de ese derecho debe motivarse y, contra ella cabe la tutela ante la AEPD. Hay que tener en cuenta que la cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en los preceptos aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el afectado que justificaron el tratamiento de los datos.

Sanciones y apercibimientos de la AEPD

La mayoría de los procedimientos seguidos ante la AEPD han finalizado con apercibimientos en lugar de sanciones económicas. El apercibimiento se utiliza para casos en los que no se impone sanción económica al tratarse fundamentalmente de particulares y pequeñas y medianas empresas a los que se aplican los criterios de disminución de culpabilidad y antijuridicidad exigidos en la LOPD, así como la condición de que no hayan sido sancionados o apercibidos previamente.

En la Memoria se destaca que un 75% de las sentencias de la Audiencia Nacional en recursos contra resoluciones de la AEPD han confirmado los criterios de la Agencia.

Respecto a las Administraciones Públicas, se ha producido un aumento de las reclamaciones presentadas y de las infracciones declaradas

Ficheros inscritos

Al finalizar el año 2015 se contabilizan más de 4 millones de ficheros inscritos lo que supone un 10% más que los inscritos en 2014. El 90% de esos ficheros son de titularidad privada. Los ciudadanos están cada vez más concienciados en el tema de la protección de datos y para empresas y entidades es cada vez más importante cumplir con las obligaciones y requisitos exigidos por la legislación.

Consultas de los ciudadanos

En el año 2015 la AEPD atendió más de 200.000 consultas de ciudadanos sobre aspectos de protección de datos, la mayoría de ellas fueron presentadas a través de la Sede Electrónica de la AEPD.

La Agencia ha trabajado y va a seguir trabajando en informar a los ciudadanos de sus derechos a través de diferentes vías. Las consultas atendidas en 2015 por el servicio de Atención al ciudadano se han incrementado más del 10% respecto al año anterior. Además, se lanzarán en 2016 varias iniciativas, tanto en solitario como en colaboración con otras organizaciones, con las que se pretende incrementar la concienciación de los ciudadanos sobre la importancia de proteger adecuadamente su información personal.

Informes de AEPD

La AEPD tiene la funcione de informar con carácter preceptivo los proyectos de normas que incidan en la materia propia de la Ley Orgánica de Protección de Datos de Carácter Personal. Con ello se ofrece una mayor seguridad jurídica, incorporando los principios y garantías de este derecho fundamental en las regulaciones sectoriales. Es también un deber de la AEPD atender todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en la web de esta Agencia.

En el 2015 la Agencia emitió 485 informes jurídicos en los que dio respuesta a consultas planteadas por órganos de las Administraciones Públicas y por entidades privadas. Respecto a los informes preceptivos, se emitieron un total de 146.

Plan Estratégico 2015-2019

El Plan Estratégico 2015-2019 que aparece recogido en esta Memoria y que puede ser consultado de forma íntegra en la web de la Agencia, recoge las líneas prioritarias que se establecen para dar una respuesta eficaz a las diversas líneas de trabajo que se plantean en un mundo superconectado y globalizado. Para hacerlo, nos hemos propuesto contar con la participación de todos los implicados, fomentando una institución colaboradora y transparente que considera la prevención como una herramienta imprescindible. Esa prevención debe ser difundida entre todos los actores, tanto entre los ciudadanos para que sean conscientes de los derechos que les asisten y cómo ejercerlos como entre aquellos que tratan datos, para que abandonen la idea de considerar la protección de datos como un freno al desarrollo y la tengan presente de forma imprescindible en el desarrollo de sus productos y servicios, fomentando un clima de confianza y una ventaja empresarial. La intención de la Agencia es que la protección de datos sirva para construir un modelo basado en la confianza que evite la sospecha e incluso el rechazo a las nuevas tecnologías por parte de las personas.

La protección de datos vive un momento esencial, con desafíos constantes que obligan a escuchar con atención las necesidades que van surgiendo. La digitalización de la información ha ampliado excesivamente las posibilidades de recogida, almacenamiento y, sobre todo, tratamiento de la información, al mismo tiempo que ha aumentado de forma exponencial en los últimos años la cantidad y variedad de datos personales que reúnen y procesan tanto actores públicos como privados.

Mención al Reglamento europeo de Protección de Datos

El Reglamento europeo de Protección de Datos, que se recoge en diferentes apartados de esta Memoria, va a suponer modificaciones en la legislación y la práctica de protección de datos en el conjunto de la Unión Europea, en los Estados miembros y en la forma de trabajar de las Autoridades. En lo que respecta al funcionamiento de la Agencia, la nueva normativa va a afianzar el carácter especializado e independiente de las Autoridades de protección de datos y a llevar a un nuevo nivel las labores de coordinación entre ellas, lo que previsiblemente va a suponer una adaptación de los procesos internos. La puesta en marcha de este marco legal va a constituir una nueva configuración que trata de responder a los desafíos introduciendo muchas de las ideas sobre las que se ha estado trabajando en la Agencia en los últimos años. Conceptos como la rendición de cuentas por parte del responsable, con elementos como la privacidad desde el diseño, la figura del Delegado de Protección de Datos o la comunicación de fallos de seguridad van a contribuir a que los responsables realicen una gestión de la protección de datos más eficaz y ajustada al riesgo, a la vez que más respetuosa con los derechos de los ciudadanos. El objetivo último es ofrecer los instrumentos necesarios para que aquellos obligados al cumplimiento de la legislación demuestren, de forma transparente, que tienen un compromiso efectivo con la protección de los datos de los ciudadanos.

Desde la AEPD se recomienda una adaptación progresiva a esta normativa europea antes de que sea obligatoria.

¿Necesitas cumplir la LOPD?



Read more