Sancionan a una cerrajería de Madrid por no actualizar su política de privacidad a las exigencias del RGPD

La Agencia Española de Protección de Datos ha comenzado a sancionar a aquellas organizaciones que, tras más de un año de vida conjunta del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), no han procedido a adaptar sus empresas a las nuevas realidades en materia de privacidad.

Con la entrada en vigor del nuevo RGPD, se promulgaron una serie de principios de obligada observancia por los responsables del tratamiento para el tratamiento de los datos personales. Entre otros, el artículo 5 RGPD establece que “los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. Este último principio, el de transparencia, exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible, fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.

Así pues, para dar forma y cumplir con el deber de informar, el propio Reglamento establece en el artículo 13 la información básica que debe de presentarse de forma directa por el responsable del tratamiento en el momento del recabado de los datos.  Este artículo ve su reflejo en las llamadas “Políticas de Privacidad” que presentan la gran mayoría de páginas webs y que sirven para informar a los usuarios de qué se va a hacer con sus datos personales. La AEPD ya advertía en septiembre de 2018 que los documentos que detallan las políticas de privacidad son demasiado extensos y no facilitan que un usuario medio finalice su lectura ni que la comprenda y que incluso se ha detectado que no se mencionan o no se explican correctamente las bases que legitiman el tratamiento de datos personales en cuestión.

Con estos antecedentes, la AEPD ha impuesto una sanción a una web de una empresa de cerrajería, por no cumplir íntegramente con los mandatos establecidos en el artículo 13 RGPD dado que el Responsable tiene un formulario de contacto donde recaba datos personales y no facilita la información necesaria establecida en el citado artículo. Entre otras infracciones, la web en cuestión declaraba que “los datos de carácter personal que puedan ser facilitados […] a través de su web, serán incorporados a un fichero llamado “Clientes”, […] con la finalidad de gestionar la relación con nosotros y mantenerle informado de nuestros productos y servicios en el sentido de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal” añadiendo posteriormente el ejercicio (incompleto) de los Derechos ARCO, sin completar con los recogidos en la nueva normativa, como son los de Portabilidad y Limitación.

Como puede comprobarse, la URL en cuestión presentaba una escueta Política de Privacidad que obviaba en su contenido la información relativa a la identificación completa del responsable del tratamiento, la finalidad del tratamiento, los plazos de conservación, si están previstas las cesiones de los datos, etc. Incluso, nombraba la derogada ley 15/99 y su obligación de la creación del fichero de datos correspondiente. En este punto, la AEPD considera estos hechos dentro de lo establecido en el artículo 74.a) RGPD en relación con el artículo 83.5 del mismo cuerpo legal, relativo a las infracciones leves. Tras ponderar una serie de posibles atenuantes, la Agencia impone finalmente una sanción de 1.500€ a la sociedad titular de la web en cuestión.

Como hemos advertido en el inicio, tras más de año y medio de vida de normativa europea de protección de datos, la AEPD comienza a sancionar a pequeñas y medianas empresas que no hayan hecho un ejercicio de responsabilidad en lo que a la adaptación y adecuación al RGPD se refiere, entrando en este caso en detalles importantes como la página web de la organización, como puerta de entrada de datos personales de clientes.

En ÉGIDA nuestra misión es adaptar a las empresas, instituciones y organismos públicos a la normativa de protección de datos; esto supone para las empresas una mejor forma de gestionar y tratar la información, optimizar los recursos de acceso a la información, incrementar la seguridad de los datos y simplificar la forma de relacionarse con clientes, proveedores y personal y en última instancia, evitar sanciones por el incumplimiento de la ley.

Si deseas más información, estaremos encantados de atenderte en nuestra dirección de correo electrónico info@egida.es o en el número de teléfono 968-935009.

Anulan la sanción impuesta a un gimnasio de Murcia por el uso de la huella dactilar como acceso a sus instalaciones

El pasado mes de julio de 2018, saltaba a la palestra una resolución de la Agencia Española de Protección de Datos (AEPD) que sancionaba a un gimnasio de Murcia por la utilización de la huella dactilar como método de entrada y salida de los usuarios del mismo.

Los hechos probados del expediente administrativo relatan que el denunciante, hasta febrero de 2017, accedía a las instalaciones a través del uso de una pulsera que era facilitada por el propio centro. Posterior a esa fecha, se eliminó este método de autenticación por el uso de la huella dactilar de los usuarios. Con dicho método de identificación y control, se toma la huella dactilar al socio del gimnasio, pero sin que esta sea almacenada íntegramente, sino que se genera una plantilla numérica o patrón utilizando algunos puntos de la huella generados a partir de algoritmos matemáticos, creando así un código único para cada huella. Además, el propio gimnasio informa a sus clientes a través del contrato de prestación de servicios sobre la necesaria toma de la huella dactilar y el fin de dicho recabado.

No obstante, en aquella resolución, la Agencia entendía que el tratamiento de datos de reconocimiento de huella dactilar para controlar el acceso de los clientes sin ofrecer un método alternativo, utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y finalidades determinadas, con vulneración del artículo 4.1 LOPD. Por ello, se le impuso una sanción económica de 1.500€.

Pues bien, la Audiencia Nacional, en su SAN 3675/2019 de 19 de septiembre de 2019 ha estimado el recurso contencioso-administrativo interpuesto por la mercantil, y ha procedido a anular la sanción impuesta en vía administrativa. El primero de los motivos, la no consideración de dato personal el algoritmo generado tras la conversión de la huella del usuario en un código alfanumérico único, es desestimado por la Audiencia al señalar que la normativa de aplicación pre-RGPD (la Directiva 95/46 y la extinta LOPD) identifican de forma holgada a la huella dactilar como un dato personal de tipo biométrico, y es indiferente que la muestra de la huella sea de forma completa o mediante “minucias”, puesto que la conversión del rastro biométrico en una secuencia alfanumérica hace que siga siendo identificable el usuario. Además, añade el Tribunal que el sistema se inicia cada vez que el socio acude al gimnasio, poniendo el dedo en el lector digital lo que da lugar a la confrontación de datos con el algoritmo almacenado […] Por tanto, a partir de un dato único de cada socio que se transforma en algoritmo y que se verifica en cada entrada se están tratando datos del socio que accede al gimnasio y se permite su identificación.

En cambio, la Audiencia si acoge el motivo de la parte demandante que motivaba que el tratamiento de la huella dactilar como método de control de los accesos al gimnasio no supone una vulneración del artículo 4.1 de la extinta LOPD que reza que los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Con todo lo anterior, la Audiencia entiende por un lado que la recogida y uso de la huella es para la prestación de un servicio, cual es el de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad […] por lo que se cumple el juicio de idoneidad. Por otro lado, la medida es necesaria ya que el uso de la huella supone una mejora de la calidad en lo que al acceso al gimnasio se refiere al evitarse el fraude que si pudiera suceder con el intercambio de pulseras o tarjetas identificativas entre usuario. Por último, el Tribunal entiende que las medidas de seguridad aplicadas durante la vida del dato son proporcionales al uso y finalidades destinadas por el responsable del tratamiento, puesto que ha garantizado la confidencialidad por el mecanismo de conversión de la huella a su algoritmo,  almacenándose este y no la huella en la base de datos, tratando de minimizar así la injerencia en el derecho a la protección de datos de los usuarios del gimnasio. Además, la consideración de microempresa de la sociedad recurrente hace que el volumen de los datos recogidos y almacenados no pueda considerarse como “masivo”.

Por último, la sentencia da entender que establecer un método alternativo de control del dato biométrico, como puede ser la creación de tarjetas inteligentes que hicieran que el usuario tuviera bajo su custodia la información biométrica contenida en ellas, no puede aplicarse a todos los supuestos, sino que tendríamos que estar al caso concreto para ver las distintas circunstancias que singularizan el supuesto.

Puede consultar el contenido de la Sentencia aqui.

La AEPD concede los Premios de comunicación Protección de Datos 2017 a El Economista y a Diario La Ley

[vc_row][vc_column][vc_column_text]

La Agencia falla también los Premios en las categorías de “Investigación Emilio Aced”, “Buenas prácticas para adaptarse al Reglamento” y “Buenas prácticas educativas para el uso seguro de internet”

(Madrid, 29 de enero de 2018). La Agencia Española de Protección de Datos (AEPD) ha fallado los ‘Premios de Protección de Datos 2017’, que reconocen los trabajos que promueven en mayor medida el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos.

En esta edición se han recibido un total de 46 candidaturas, 7 en la categoría de ‘Comunicación’, 13 en la de ‘Investigación Emilio Aced’, 16 en la de ‘Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet’ y 10 en la nueva categoría de ‘Buenas prácticas sobre iniciativas para adaptarse al Reglamento General de Protección de Datos’ (RGPD).

Premio de Comunicación

El jurado ha concedido el premio principal de comunicación al periodista Pedro del Rosal, de El Economista, por las noticias, reportajes y entrevistas publicadas sobre la aplicación del RGPD y la adaptación al nuevo marco normativo, entre otros temas.

Asimismo, ha otorgado el accésit a Carlos Fernández, del Diario La Ley, por las informaciones publicadas en referencia al Reglamento General, las obligaciones de las Administraciones Públicas ante la nueva normativa y las directrices de las Autoridades europeas para adaptarse al nuevo contexto.

Premio de ‘Investigación en protección de datos personales Emilio Aced’

En esta categoría el jurado ha otorgado el premio principal a Abel Lozoya de Diego por su trabajo ‘Modelo de atributos clínicos a anonimizar para el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal’.

También ha concedido el accésit a Santiago Saavedra, Sofía Prósper, Guidiana Landívar y Alba Martín –con la colaboración de Pablo Martín, Carla Tortul, Adolfo Antón y Medialab-Prado- por su trabajo ‘Trackula’.

Premio a las ‘Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos’

En la modalidad de empresas, asociaciones y fundaciones, el jurado ha concedido el premio a la Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA) por las acciones e iniciativas para adaptarse al Reglamento.

En relación con la modalidad de entidades del sector público, ha otorgado el premio a la Gerencia de Informática de la Seguridad Social, por su propuesta para la adecuación al RGPD desde el rol de encargado del tratamiento.

Premio a las ‘Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de internet’

En esta categoría, el jurado ha concedido el premio en la modalidad dirigida a centros de enseñanza públicos, concertados y privados de Educación Primaria, Educación Secundaria Obligatoria, Bachillerato y Formación Profesional, al IES Isaac Albéniz de Leganés (Madrid), por su trabajo sobre el ‘Uso y Abuso de las redes sociales y su implicación en el entorno educativo’.

Finalmente, en la modalidad que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas y privadas que hayan destacado por el impulso y difusión entre los menores de edad de buenas prácticas para un uso seguro de internet, el jurado ha otorgado el premio a la Policía Nacional y la Guardia Civil, por la ejecución del ‘Plan director para la convivencia y mejora de la seguridad en los centros educativos y sus entornos’.

[/vc_column_text][/vc_column][/vc_row]

La AEPD publica un documento que recoge las obligaciones del Reglamento de Protección de Datos para Administraciones Locales

[vc_row][vc_column][vc_column_text]

La Agencia Española de Protección de Datos (AEPD) ha publicado un documento en el que sintetiza las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD). Con estas pautas, la Agencia quiere fomentar que estas entidades conozcan las implicaciones prácticas de la nueva normativa y puedan adoptar las medidas necesarias para cumplir con las previsiones establecidas en la misma.

El documento El nuevo RGPD y su impacto sobre las actividades de las Administraciones Locales aborda en 15 puntos las principales modificaciones que deberán realizar estas entidades para alinear su actividad a las exigencias del Reglamento. En muchos casos, los efectos del RGPD van a ser los mismos que para cualquier otro responsable o encargado pero, en algunas áreas, se dan especificidades que las Administraciones Locales deben tener en consideración.

En el documento se recogen, entre otros aspectos, la necesidad de identificar con nitidez las finalidades y la base jurídica de los tratamientos que se llevan a cabo; adecuar la información que se ofrece a los interesados cuando se recogen sus datos; establecer mecanismos visibles, accesibles y sencillos para que los ciudadanos puedan ejercer sus derechos, así como procedimientos que permitan responder a los ejercicios de derechos en el plazo que marca el RGPD.

Asimismo, se plantea la necesidad de efectuar análisis de riesgos de los tratamientos que se realicen; establecer tanto un registro de actividades como mecanismos para identificar con rapidez la existencia de brechas de seguridad y reaccionar ante ellas, y designar un Delegado de Protección de Datos (DPD). En este último caso, y dado que las dimensiones de las AALL no siempre hacen viable contar con un DPD integrado en plantilla, la Agencia recuerda que entre las posibles opciones se encuentra que las Diputaciones Provinciales ofrezcan a los municipios estos servicios o la contratación común de esta figura por varias entidades.

Fuente: Comunicado AEPD

[/vc_column_text][/vc_column][/vc_row]