|
|
|
|
#SomosRyC
20 de Febrero de 2018
La AEPD ha presentado nuevos materiales para ayudar a las PYMES a cumplir con el RGPD
Éstos incluyen una Guía del Reglamento para responsables, Directrices para la elaboración de contratos entre responsables y encargados, y una Guía para el cumplimiento del deber de informar. Los documentos, elaborados junto con la Autoridad Catalana y la Agencia Vasca de Protección de Datos, han sido incluidos en una nueva sección específica de la web de la AEPD.
Estos materiales se publican con el objetivo de facilitar que, durante el periodo transitorio que finalizará el próximo 25 de mayo, las PYMES conozcan el impacto que va a tener el RGPD en la forma en la que tratan datos, para así adaptar sus procesos a la nueva normativa:
Más información: AEPD
Continúa la tramitación del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
El Gobierno de España ha impulsado la reforma de la Ley Orgánica de Protección de Datos para adaptarla al RGPD. A propuesta del Ministro de Justicia, Rafael Catalá, el Consejo de Ministros hizo público un Anteproyecto el pasado mes de junio. Tras los trámites de audiencia e información pública, el Proyecto de Ley Orgánica (“PLOPD”) fue remitido a las Cortes y publicado en el BOCG el 24 de noviembre de 2017.
Al margen de los cambios derivados de la entrada en vigor del RGPD, cabe destacar las siguientes novedades:
- Regulación de los datos referidos a las personas fallecidas, por la que se permite que los herederos puedan solicitar el acceso a los datos de los difuntos, así como su rectificación o supresión. Dicho ejercicio de derechos se sujetará a las instrucciones del fallecido, que se podrán incorporar a un registro.
- Se reduce la edad para prestar el consentimiento de los 14 años a los 13, alcanzando así el mínimo permitido por el RGPD. La normativa comunitaria establece el límite de edad por defecto en los 16 años, pero permite que los Estados miembros establezcan límites inferiores siempre que no bajen de los 13 años anteriormente mencionados.
- Se establecen disposiciones especiales para tratamientos concretos. En particular, se presume la licitud de determinadas actividades del tratamiento por la concurrencia de un interés legítimo del responsable, de un interés público o de otros intereses generales. Esta presunción es iuris tantum (admite prueba en contrario) y la lista de tratamientos no es exhaustiva. Entre otros ejemplos se encuentran los datos de contacto y de empresarios individuales, los sistemas de información crediticia, los tratamientos relacionados con la realización de determinadas operaciones mercantiles, los sistemas de videovigilancia, los ficheros de exclusión publicitaria, o los sistemas de información de denuncias internas en el sector privado.
- Por lo que respecta a los Data Protection Officers o Delegados de Protección de Datos, el PLOPD recoge una extensa lista de entidades que estarán obligadas a designar un DPO en todo caso. Entre otros sujetos obligados se pueden encontrar los siguientes: colegios profesionales, universidades, prestadores de servicios de la sociedad de la información que elaboren a gran escala perfiles de los usuarios, entidades de crédito y establecimientos financieros, aseguradoras, distribuidores y comercializadores de energía, los operadores de juego o quienes desarrollen actividades de publicidad y prospección comercial y lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles.
- El nuevo régimen sancionador describe algunas de las conductas típicas, dividiéndolas en tres categorías (leves, graves y muy graves) a los solos efectos de determinar los plazos de prescripción. También se aprovecha la cláusula residual del art. 83.2 RGPD para aclarar que entre los elementos agravantes o atenuantes podrán incluirse los que ya aparecían en el art. 45 de la vigente LOPD.
Texto íntegro del Proyecto de Ley Orgánica de Protección de Datos
La AEPD presenta su memoria del año 2016
El documento expone de manera detallada las actividades más relevantes realizadas por la Agencia en 2016, las novedades legislativas y jurisprudenciales y el análisis de los principales retos a los que se enfrenta el derecho fundamental a la protección de datos.
La Agencia destaca que, como indican todos los estudios, los ciudadanos están cada vez más preocupados por la utilización de sus datos personales. Las consultas recibidas en el área de Atención al Ciudadano han aumentado un 8% respecto al año 2015, siendo la inclusión indebida en ficheros de morosidad una de las cuestiones sobre las que más se ha preguntado (y que más reclamaciones ante la AEPD ha motivado, junto con la contratación irregular de servicios). Las denuncias y reclamaciones presentan tendencias distintas: mientras las primeras han descendido un 6,5%, las reclamaciones de tutela se han incrementado un 24,3%.
Además de la actividad generada por las consultas, denuncias y reclamaciones, la AEPD destaca el incremento de solicitudes para la transferencia internacional de datos personales con motivo de la sentencia del TJUE por la que declaró inválida la Decisión de la Comisión Europea sobre el Puerto Seguro (asunto C-362/14 Schrems).
Texto íntegro de la Memoria 2016 de la AEPD
Inspecciones de oficio a servicios financieros y a la contratación telefónica y por Internet
En 2017, la AEPD anunció nuevas inspecciones de oficio con la finalidad de elevar el nivel de protección de los ciudadanos, analizando cómo tratan sus datos las organizaciones del sector financiero, así como aquellas que realizan contrataciones de forma telefónica y a través de Internet. Estas acciones se enmarcan en el desarrollo de su Plan estratégico 2015-2019.
Las mencionadas inspecciones no tienen carácter sancionador sino preventivo. Se trata así de obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal. Todo ello con el propósito de elevar el nivel de protección de los ciudadanos.
El plan sectorial sobre servicios financieros tiene como base las denuncias que recibe la Agencia relacionadas con el sector de la actividad crediticia. Según datos de la AEPD, estas denuncias suponen un tercio de las casi 8.000 que se presentan anualmente, lo que revela que las garantías en materia de protección de datos se descuidan con frecuencia.
Por lo que respecta a la contratación a distancia de productos y servicios, las cifras del Ministerio de Energía Turismo y Agenda Digital apuntan a que cerca de un 40% de los españoles realizan compras online de manera habitual. Un grado de penetración que coloca a España en la cuarta posición de los países que más utilizan internet para la adquisición de productos.
La AEPD considera que los operadores económicos deben asegurar un adecuado desarrollo e implantación de los nuevos modelos de negocio derivados de la implantación de nuevas tecnologías, de forma que los derechos fundamentales de los ciudadanos no se vean perjudicados. Ambas inspecciones sectoriales evaluarán, por último, cómo se están adaptando las empresas que operan en estos sectores a los requisitos legales establecidos por el RGPD.
Presentado el Esquema de certificación de Delegados de Protección de Datos por la AEPD y ENAC
La Agencia, en colaboración con la Entidad Nacional de Acreditación (ENAC), presentó el pasado mes de julio su Esquema de certificación de Delegados de Protección de Datos. En la redacción ha participado representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas. La Agencia se convierte así en la primera Autoridad europea que realiza un Esquema de certificación de Delegados de Protección de Datos (DPD).
La Agencia ha recordado que la certificación no es la única vía para ser DPD, así como que no será obligatoria la utilización de un esquema de certificación determinado. El propósito del Esquema de certificación presentado es servir de referencia para acreditar las capacidades profesionales de los candidatos a DPD, sin convertirse por ello en la única puerta de entrada a la profesión. En este sentido, la AEPD y ENAC han suscrito un convenio de colaboración para coordinar sus actuaciones en el marco de sus respectivas competencias.
Tanto el desarrollo del Esquema de certificación por la AEPD, como los procesos que las entidades de certificación seguirán para evaluar las competencias del DPD, se han establecido siguiendo los criterios de la norma internacional ISO/IEC 17024:2012.
La evaluación de los conocimientos y capacidades técnicas se llevará a cabo mediante la realización de un examen, que versará sobre los temas de conocimientos específicos indicados en el programa del Esquema de certificación. Ahora bien, para poder acceder a la fase de evaluación será necesario demostrar que se cuenta con una experiencia profesional y formación reconocida mínimas.
Esquema de certificación de Delegados de Protección de Datos
La AEPD lanza un espacio web con consejos para evitar recibir publicidad no deseada
Esta sección trata de fomentar la concienciación de los ciudadanos sobre los derechos que les asisten y qué pasos deben seguir para ejercerlos y evitar la recepción de publicidad no deseada, incluyendo tanto llamadas telefónicas como correos electrónicos. Según datos de la propia Agencia, la publicidad no deseada se encuentra entre las cinco áreas por las que se declaran un mayor número de infracciones de la normativa de protección de datos.
La primera de las recomendaciones es la inscripción en la Lista Robinson, de momento el único fichero común de exclusión publicitaria que existe en España. Se trata de un servicio gratuito para los afectados y gestionado de manera independiente por la Asociación Española de Economía Digital. De esta forma, el afectado puede seleccionar el medio o medios (teléfono, correo postal, email, etc.) a través de los que no quiere recibir publicidad de las entidades que utilizan datos personales obtenidos de fuentes públicas o de bases de datos de terceros.
Dado que los casos en los que el anunciante cuenta con el consentimiento del destinatario están excluidos, el espacio web de la AEPD ofrece consejos sobre cómo evitar dar dicho consentimiento, retirarlo cuando se haya dado, o ejercitar los derechos de oposición o cancelación frente al responsable.
Por último, la Agencia indica cómo se ha de actuar si el ciudadano sigue recibiendo publicidad no deseada tras poner en práctica los pasos anteriores. Así, se recoge a qué organismo debe acudirse o qué documentación es necesaria para acreditar los hechos si desea presentar una denuncia. La creación de esta sección se suma al espacio publicado el pasado marzo para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones.
Archivada la denuncia contra una empresa de transportes por colocar cámaras de videovigilancia que potencialmente grababan parte de la vía pública
El denunciado era un conductor de vehículo-turismo (“coche-piloto”) que acompaña, dirige y auxilia a los vehículos especiales de gran longitud. El mencionado coche piloto llevaba instalada, además de un sistema de luces intermitentes para señalizar, una cámara de vídeo en el salpicadero del vehículo.
Según la empresa de transportes, la cámara tiene como objeto, exclusivamente, grabar las incidencias de la circulación de convoyes especiales de transporte que puedan afectar a bienes de dominio público o privado y las grabaciones, en su caso, se ponen a disposición de la Guardia Civil para instruir el atestado correspondiente. Concluido el transporte la cámara permanece siempre apagada y el coche-piloto aparcado con su frontal dirigido hacia la puerta del garaje del domicilio del denunciado.
La AEPD entendió que, ya que el dispositivo “sólo se enciende y graba cuando ocurre alguna incidencia durante el viaje del vehículo de gran longitud, (…) se entiende que el tratamiento que pueda realizarse de imágenes captadas en la vía pública sería adecuado a su legítima finalidad (pues estas imágenes estarían destinadas a probar la concurrencia de alguna vulneración al ordenamiento jurídico)”. Por otra parte, a pesar de las versiones contradictorias entre denunciante y denunciado, las pruebas aportadas (fotografías de la cámara apuntando a la vía pública) no permitían establecer “que la cámara denunciada ha captado imágenes o esté captando imágenes mientras el coche permanece aparcado delante de la casa del denunciado, por lo que no hay constancia en el procedimiento de que exista una vulneración del artículo 6.1 de la LOPD”.
Por todo ello, la AEPD procedió al archivo de las actuaciones.
Texto de la resolución (R/01123/2017)
Facebook, sancionada por vulnerar la normativa de protección de datos
La Agencia Española de Protección de Datos ha impuesto a Facebook tres de las mayores sanciones en lo que a cuantía se refiere del año 2017. De acuerdo a la Agencia, Facebook trata datos, incluso especialmente protegidos, con fines de publicidad y sin recabar el consentimiento inequívoco, específico e informado de los usuarios.
La red social recoge datos sobre ideología, sexo, creencias religiosas, gustos personales o hábitos de navegación mediante la interacción de los usuarios con sus servicios a través tanto de la propia red como de páginas de terceros que contienen el botón “Me gusta”. En este último caso, el tratamiento se extiende también a la información de los navegantes que no son miembros de Facebook, o a los que sí lo son pero navegan sin haber iniciado sesión en la mencionada red social.
La AEPD entendió que la información facilitada por Facebook a los usuarios no se ajusta a la normativa de protección de datos, ya que “en las páginas destinadas a informar (…) no se enumera la correspondiente lista de qué datos son recogidos, sino que se limita a dar algunos ejemplos”. La Agencia constató, asimismo, que la política de privacidad de Facebook contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla en su integridad.
Finalmente, se comprobó que Facebook no elimina la información que recoge a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo individuo. Esta práctica se extiende tanto a los casos en los que los datos han dejado de ser útiles para el propósito para el que se recogieron, como a aquellos en los que es el propio usuario el que solicita la cancelación. Así, Facebook capta información de usuarios que han eliminado su cuenta y solicitado el borrado de su información durante más de 17 meses, a través de una cookie de la cuenta eliminada.
Las conductas descritas fueron consideradas constitutivas de dos infracciones graves y una muy grave de la Ley de Protección de Datos, sancionadas con tres multas que ascendieron a un total de 1.200.000 €.
Texto de la resolución (R/01870/2017)
La AEPD investiga el posible acceso ilícito a bases de datos estatales para la creación del censo electoral catalán
La Agencia abrió en septiembre de 2017 actuaciones previas de investigación con el fin de determinar la posible comisión de un acceso ilícito a bases de datos estatales para la creación del denominado “censo electoral catalán”. Los hechos (denunciados por cerca de una veintena de ciudadanos) podrían implicar el tratamiento y cesión de datos sin el previo consentimiento de sus titulares y, en consecuencia, la vulneración de los artículos 6 y 11 de la LOPD. Las medidas adoptadas incluyen:
- Una petición de información relativa a los accesos a sus bases de datos por parte de la Generalitat o los ayuntamientos en Cataluña, dirigida a las siguientes administraciones: el Instituto Nacional de Estadística, la Agencia Tributaria, la Tesorería General de la Seguridad Social y el Ministerio de Sanidad, Servicios Sociales e Igualdad.
- La remisión de las denuncias recibidas a la Autoridad Catalana de Protección de Datos (APDCAT). Junto con la primera denuncia, la Agencia remitió asimismo un informe en el que se analiza la ausencia de base legal para la utilización por la Generalitat de Cataluña de determinados datos con el objeto de crear un censo electoral, así como “la posible infracción de la normativa en la que podrían incurrir los ciudadanos designados para las denominadas mesas electorales del 1 de octubre”.
Hasta la fecha no ha sido publicada la resolución relativa al posible procedimiento sancionador abierto. No obstante, la APDCAT emitió una nota de prensa como respuesta a la advertencia de la AEPD sobre la posible imposición de multas de hasta 300.000€ a los participantes en las mesas electorales. En este sentido, la APDCAT sostiene que dichos participantes no serían responsables del tratamiento de los datos (condición que ostentaría la administración electoral correspondiente) y que, en cualquier caso, “la institución competente para exigir las eventuales responsabilidades a la Generalitat de Catalunya derivadas de estos tratamientos de datos personales, no sería la Agencia Española de Protección de Datos sino la Autoritat Catalana de Protecció de Dades”.
Informe de la AEPD sobre el uso de datos del censo por las mesas electorales.
La AEPD apercibe a un restaurante por incluir a uno de sus clientes en un grupo de Whatsapp sin el consentimiento de este último
Según el relato de los hechos efectuado por la AEPD, el denunciante había reservado una mesa para cenar en el citado restaurante. Varios días antes de la cena, el dueño del local creó un grupo de Whatsapp en el que incluyó a todos los participantes. El denunciante salió del grupo pero fue incluido nuevamente por el administrador, que le advirtió por mensaje privado de que, si volvía a abandonar dicho grupo, se anularía su reserva. Adicionalmente, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuántas personas les acompañarían.
Tras analizar los hechos, la AEPD entendió que la entidad denunciada había infringido dos preceptos de la LOPD:
- El artículo 6 LOPD, por “no disponer del consentimiento del afectado para el tratamiento de datos realizado”.
- El artículo 10 LOPD, “por haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular”, vulnerando así el deber de secreto.
Las infracciones detectadas no conllevaron sanción económica al apreciar la AEPD la concurrencia de varios de los supuestos de disminución de la culpabilidad previstos en el art. 45 LOPD. Concretamente, la gravedad de la infracción, la ausencia de sanciones o apercibimientos anteriores, “la no vinculación de la actividad del denunciado con la realización de tratamientos de datos (…), la ausencia de reincidencia y que no constan perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida”.
En consecuencia, la AEPD se limitó a apercibir a la entidad denunciada, requiriéndole asimismo la adopción de medidas que impidan que en el futuro pudieran producirse infracciones de este tipo.
Escasos meses después, la AEPD también declaró la infracción de la LOPD del Ayuntamiento de Boecillo (Valladolid) por hechos de naturaleza similar (resolución R/03041/2017). La alcaldesa del consistorio denunciado creó un grupo de Whatsapp con “los números de teléfono móvil de 255 personas, la mayor parte vecinos de ese municipio, con la finalidad de proporcionar información de acciones o actuaciones de interés vecinal”.
Dado que cuando las infracciones de la LOPD son cometidas “en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza” la LOPD (art. 46) no prevé multas, el Ayuntamiento de Boecillo quedó únicamente obligado a comunicar la resolución de la AEPD al Defensor del Pueblo.
Texto de la resolución (R/02302/2017)
Sancionado un hospital asturiano por el acceso indebido a historias clínicas por parte de una de sus empleadas
La denunciante presentó un escrito ante la AEPD en el que exponía los accesos por parte de una profesional del centro a su historia clínica, que se repitieron hasta en 10 ocasiones a pesar de que dicha profesional sanitaria no tenía encomendada la asistencia sanitaria de la denunciante y desempañaba sus funciones en una especialidad distinta a la requerida por la interesada.
La AEPD consideró que “los accesos realizados por la (…) que no es el titular del cuidado sanitario de la denunciante, no parecen tener justificación clínico asistencial. Esto lleva a afirmar que la (…) autora de los numerosos accesos a la historia clínica en cuestión, trató los datos de la denunciante con una finalidad diferente de aquella para la que se han recogido y sin que en ningún caso conste acreditado que la afectada hubiera prestado su consentimiento para el nuevo tratamiento realizado”.
Además, dicha Agencia entendió que, aunque el hospital disponía de un registro de accesos a las historias clínicas, dicho sistema no permitía “por medio de la revisión periódica de esa información, la detección de problemas tales como los accesos injustificados”. Quedó acreditado, por tanto, que por parte del Hospital Universitario Central de Asturias se había producido una vulneración del principio de seguridad de los datos tipificada como infracción grave (art. 44.3.h LOPD).
Al tratarse de un ente público no se impuso una sanción económica, si bien la AEPD requirió al centro para que, en el plazo de un mes desde la notificación de la resolución, acreditara las medidas técnicas y organizativas adoptadas para evitar nuevas infracciones como la denunciada.
Texto de la resolución (R/02795/2017)
La AEPD habilita una nueva funcionalidad del servicio de solicitud de copia de la inscripción de ficheros
La nueva opción de la Sede Electrónica permite descargar la información en formato digital (Excel o XML), de forma que pueda ser utilizada como base para la elaboración de los registros de actividades del tratamiento. Estos registros, obligatorios en virtud del RGPD (artículo 30), reemplazarán a la obligación que tenían los responsables de notificar los ficheros de datos de carácter personal ante la AEPD para su inscripción en el Registro General de Protección de Datos.
En este sentido, la AEPD también ha lanzado Facilita RGPD, un cuestionario online para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo y que permite obtener modelos de los documentos mínimos indispensables. Entre otros: el registro de actividades de tratamiento, las cláusulas informativas, las cláusulas que deberían incluirse si la empresa contrata con un encargado del tratamiento y un anexo con las medidas de seguridad mínimas.
Nueva sanción a Google por infracción de la normativa de protección de datos
La Agencia dictó en 2017 la resolución que pone fin al procedimiento abierto a Google (por entonces Google LLC) y a su filial española (Google Spain, S.L.) en relación a la recogida y tratamiento de datos personales de redes WiFi llevada a cabo por los vehículos empleados en el proyecto Street View.
Tras las actuaciones previas de investigación se constató que Google recabó y almacenó datos personales transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de dicha recogida y sin obtener los oportunos consentimientos. Entre las categorías de información ilícitamente tratada se encuentran datos relativos a direcciones de correo electrónico de personas físicas, códigos de usuario y contraseñas que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos a ellos conectados, o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable. No se constató, sin embargo, que Google tratase datos especialmente protegidos a través de estos sistemas.
Por lo que respecta al hecho de que los datos fueran recogidos de redes WiFi abiertas al público, la AEPD recalcó que “el hecho de que los titulares de redes WiFi no aseguren el cifrado de estas redes, en perjuicio de la seguridad de sus datos, no autoriza en modo alguno la recogida de la información llevada a cabo ni ningún uso posterior de la misma”.
En consecuencia, la Agencia declaró la existencia de una infracción grave e impuso a Google una sanción de 300.000 euros (la cantidad máxima para las infracciones graves de la LOPD). A estos efectos, se valoró el carácter continuado de la infracción, el volumen masivo de datos recogidos, la vinculación entre el tratamiento ilícito y la actividad de Google, el volumen de negocio de la compañía, el hecho de que la infracción es resultado de un sistema diseñado por Google o el perjuicio para la privacidad de los afectados.
Este procedimiento sancionador ha tenido una duración inusualmente prolongada debido a la apertura de un procedimiento penal en el Juzgado de Instrucción nº 45 de Madrid, que obligó a suspender las actuaciones administrativas hasta la firmeza del auto por el que se acordó el sobreseimiento provisional y archivo de las diligencias previas.
Texto de la resolución (R/02829/2017)
La AEPD publica un documento que recoge las obligaciones del RGPD para las Administraciones Locales
La Agencia aborda en 15 puntos las modificaciones que les serán exigibles y ofrece pautas para que las mencionadas entidades conozcan las implicaciones prácticas de la nueva normativa. Aunque en muchos casos los efectos del RGPD serán los mismos que para cualquier otro responsable o encargado, existen cuestiones que afectan específicamente a las Administraciones Públicas.
Entre otros aspectos, se destacan la necesidad de identificar detalladamente las finalidades y las bases jurídicas de los distintos tratamientos, así como la obligación de ofrecer a los interesados mecanismos visibles, accesibles y sencillos para el ejercicio de sus derechos. Otras de las cuestiones abordadas son los análisis de riesgos, los registros de actividades del tratamiento, la designación de un Delegado de Protección de Datos o la elaboración de mecanismos de respuesta ante las eventuales brechas de seguridad.
Fuente: El nuevo RGPD y su impacto sobre la actividad de las Administraciones Locales
|
|
|
|
