Protección de Datos sanciona a un fisioterapeuta por enviar una solicitud de amistad en Facebook a una paciente

El fisioterapeuta de una clínica madrileña utilizó los datos personales de la ficha clínica de una paciente para solicitar su amistad en Facebook y contactar con ella por Whatsapp. La Agencia Española de Protección de Datos considera que se ha vulnerado el derecho a la protección de datos de la paciente y sanciona al profesional.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de apercibimiento al fisioterapeuta al considerar que vulneró lo establecido en la normativa de protección de datos por tratar los datos personales de la paciente con fines distintos para los que fueron recogidos por la clínica.

El asunto comienza el 16 de octubre de 2019 cuando la AEPD recibe reclamación de una afectada alegando que el fisioterapeuta que la atendió en la clínica de Madrid ha utilizado los datos personales de su ficha en la clínica para enviarle una solicitud de amistad en Facebook y remitirle whatsapps desde su teléfono personal.

La AEPD contacta con la clínica de fisioterapia y está indique que no existió voluntad de perjudicar a la usuaria con la actuación del profesional en cuestión, alegando la existencia de acuerdos escritos entre empleados y autónomos que velan por la confidencialidad de la información y añade que son básicos los datos personales que han sido tratados. Advierte, además, que la utilización indebida de los datos personales de la paciente corresponde a un fisioterapeuta autónomo que trabaja para la clínica y que han sido tomadas medidas disciplinarias contra el profesional.

Por su parte, el fisioterapeuta asegura hacer uso del número de teléfono de la afectada por motivos profesionales y que no era consciente que la solicitud de amistad en Facebook fuera dirigida a una de sus pacientes.

El 16 de junio de 2020 la Directora de la Agencia Española de Protección de Datos acuerda iniciar procedimiento sancionador al reclamado por presunta infracción del artículo 5.1.b) del RGPD en tanto que los datos de la paciente han sido recogidos inicialmente con fines determinados, explícitos y legítimos, esto es, para incorporarlos al tratamiento de la clínica de fisioterapia de la que es usuaria, y que posteriormente han sido tratados en modo incompatible con los fines para los que los mismos se obtuvieron.

Según dispone el artículo 5 del RGPD, los datos personales serán:

“a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Con todo, la AEPD, como autoridad de control competente para sancionar el tratamiento de los datos por parte del responsable o encargado de los mismos cuando se infrinja el Reglamento, sanciona con apercibimiento al reclamado por vulnerar el  principio de limitación de la finalidad que regula el citado artículo 5.1. b) del RGPD y que se tipifica en el artículo 85.3 del RGPD.

Esta sanción se fundamenta en el tratamiento ilícito de los datos personales de la afectada, obrantes en la base de datos de la clínica donde trabaja el reclamado para enviarle una solicitud de amistad en Facebook y remitirle whastapps desde su teléfono personal.

El órgano sancionador ha optado por una sanción de apercibimiento y no por una multa económica dada la levedad del quebrantamiento y la carga desproporcionada que la multa económica podría suponer para el infractor como persona física que no ha sido apercibida ni sancionada por el mismo motivo con anterioridad.

En suma, y tal y como se desprende de la propia resolución, el artículo 58.2 del RGPD permite a la autoridad de control:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento.”

De este modo, permite el Reglamento que otras sanciones además de la multa económica administrativa sean aplicables a las infracciones previstas adoptando todas las medidas necesarias para garantizar su observancia y  que dichas sanciones sean efectivas, proporcionadas y disuasorias.

Si bien dispone la normativa, el uso o tratamiento de los datos de la personalidad requiere consentimiento previo por parte del titular de los mismos, debiendo éste ser libre, específico, informado e inequívoco tal y como recoge el artículo 6 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, no pudiendo, en modo alguno, ser utilizado para fines distintos de los que se recogieron en un inicio tal.

La resolución sancionadora se puede descargar desde aquí.

¿Puede la policía evitar por protección de datos que grabes su actuación en la calle?

Recientemente ha aparecido un vídeo en el que un policía impide a un periodista que grabe la actuación policial que estaba realizando en la calle. El policía esgrimía la normativa de protección de datos para justificar el impedimento a la grabación del periodista. En este artículo vamos a responder a la pregunta de si puede la policía evitar, invocando la normativa de  protección de datos, que grabes su actuación en la calle.

En estas fechas de situación excepcional que vivimos, son muchos los vídeos difundidos por mensajería instantánea (como Whatsapp) o redes sociales, en los que se recogen imágenes de miembros de los Cuerpos y Fuerzas de Seguridad del Estado en acto de servicio, actuando frente aquellos ciudadanos que no cumplen con las directrices del Estado de Alarma.

Esta misma semana se ha hecho viral un vídeo en el que un ertzaina declara acogerse a su derecho a “no ser grabado” por protección de datos e impide a un periodista que lo grabe mientras realizaba una actuación policial en la calle. Pero, ¿puede un funcionario público impedir, en este caso a un periodista, la captación de su actuación policial y su imagen y su posterior difusión?

La captación y difusión de imágenes de las FFCCSE puede tener apoyo tanto en el RGPD y en la nueva LOPDGDD, en lo que a la catalogación de la imagen y la voz como dato personal se refiere y la legitimación de su tratamiento por el que graba, como en la Ley 1/82 de protección jurídica del derecho al honor, intimidad y propia imagen en lo que respecta a la autorización del funcionario para que se tome su imagen, como en la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana dada la condición de agente del orden del agraviado en este supuesto. No obstante, antes de comenzar, debemos de separar por un lado la captación de la imagen y por otro su distribución.

Captación y difusión de imágenes

En lo que a la captación de imágenes se refiere, la Ley Orgánica 1/1982 establece en el artículo 7.5 la prohibición general de la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo 8.2. Pero esta prohibición general no opera frente a agentes policiales, cuya captación de imágenes se ha realizado en el lugar donde ejercen el cargo público que ostenta (en este caso, la vía pública). Este artículo es claro al proclamar que el derecho a la propia imagen no impedirá:

“a) Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público”.

A este respecto, la Agencia Española de Protección de Datos ya se ha pronunciado en más de una ocasión sobre la captación y distribución de imágenes de agentes en acto de servicio y su encaje jurídico en la protección de datos.  Por ejemplo, en la resolución 0778/2018 la AEPD deja claro que hay que distinguir y separar los dos tratamientos de datos que se producen en los supuestos que estamos debatiendo.

En lo que a la captación se refiere la Agencia, haciéndose eco de un informe jurídico de 2013 afirma que “si las imágenes captadas o grabadas por particulares no se refieren a su esfera más íntima, serán de aplicación las normas sobre protección de datos personales, tanto para la obtención de la imagen como para su difusión o publicación posterior”. Por lo tanto, un particular puede grabar desde su balcón una actuación policial para su uso personal y doméstico, puede hacerlo sin el consentimiento del agente.

En consecuencia, la grabación de imágenes de actuaciones policiales está permitida tanto por la normativa en materia de protección de datos, como por la LO 1/82 siempre que se cumplan las previsiones que hemos advertido: que sea captada en la esfera personal y doméstica del ciudadano, y siempre en el ámbito de actuación del funcionario y en el lugar donde realice dicha actuación.

Pero podemos encontrar una limitación a la captación en la polémica Ley de Seguridad ciudadana que en su artículo 36 advierte que [e]l uso no autorizado de imágenes o datos personales o profesionales de autoridades o miembros de las Fuerzas y Cuerpos de Seguridad que pueda poner en peligro la seguridad personal o familiar de los agentes, de las instalaciones protegidas o en riesgo el éxito de una operación, con respeto al derecho fundamental a la información.  Así, si la grabación de una actuación policial puede suponer un riesgo para el Agente o sus familiares (piénsese en redadas contra el narcotráfico, acciones especiales contra terrorismo) las previsiones establecidas por la normativa de protección de datos  no pueden operar por razones (lógicas) de seguridad de los agentes.

¿Puedo enviar las imágenes que he grabado?

Por último, la distribución y comunicación de esas imágenes no estarían bajo el amparo de la protección de datos tal y como la AEPD ha advertido en el informe jurídico ya referenciado. Y esto se debe a que la antigua LOPD considera  la difusión de ese dato de carácter personal como una comunicación o cesión de datos cuyo consentimiento del interesado se vuelve necesario en supuestos concretos como su difusión por internet que, ya que según la Agencia no “nos encontramos, sin embargo, dentro del ámbito de la vida privada o familiar de los particulares cuando dicha publicación tiene una proyección mayor de aquella que conforma en cada caso dicho ámbito. Así resulta indicativo de que la publicación de las imágenes no queda reducida al marco personal cuando no existe una limitación de acceso a las mismas”.

En definitiva, salvo supuestos muy tasados de situaciones de riesgo o peligro para ellos, los agentes del orden no pueden impedir a los ciudadanos que sean grabados mediante la fotografía o vídeo siempre que sea en el ejercicio de su cargo público y la imagen se capte en lugares abiertos al público (vía pública). Además, el ciudadano debe de realizar la filmación siempre en el ejercicio de su potestad doméstica o particular y, en ningún caso, proceder a su distribución, bien en redes sociales o en servicios de mensajería instantánea. No obstante lo anterior, podría estar justificada incluso la difusión de las imágenes si prevalece el derecho fundamental a la información, como sería el caso de un periodista o un medio de comunicación que está informando sobre un hecho noticioso.

Sancionan a una cerrajería de Madrid por no actualizar su política de privacidad a las exigencias del RGPD

La Agencia Española de Protección de Datos ha comenzado a sancionar a aquellas organizaciones que, tras más de un año de vida conjunta del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), no han procedido a adaptar sus empresas a las nuevas realidades en materia de privacidad.

Con la entrada en vigor del nuevo RGPD, se promulgaron una serie de principios de obligada observancia por los responsables del tratamiento para el tratamiento de los datos personales. Entre otros, el artículo 5 RGPD establece que “los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. Este último principio, el de transparencia, exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible, fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.

Así pues, para dar forma y cumplir con el deber de informar, el propio Reglamento establece en el artículo 13 la información básica que debe de presentarse de forma directa por el responsable del tratamiento en el momento del recabado de los datos.  Este artículo ve su reflejo en las llamadas “Políticas de Privacidad” que presentan la gran mayoría de páginas webs y que sirven para informar a los usuarios de qué se va a hacer con sus datos personales. La AEPD ya advertía en septiembre de 2018 que los documentos que detallan las políticas de privacidad son demasiado extensos y no facilitan que un usuario medio finalice su lectura ni que la comprenda y que incluso se ha detectado que no se mencionan o no se explican correctamente las bases que legitiman el tratamiento de datos personales en cuestión.

Con estos antecedentes, la AEPD ha impuesto una sanción a una web de una empresa de cerrajería, por no cumplir íntegramente con los mandatos establecidos en el artículo 13 RGPD dado que el Responsable tiene un formulario de contacto donde recaba datos personales y no facilita la información necesaria establecida en el citado artículo. Entre otras infracciones, la web en cuestión declaraba que “los datos de carácter personal que puedan ser facilitados […] a través de su web, serán incorporados a un fichero llamado “Clientes”, […] con la finalidad de gestionar la relación con nosotros y mantenerle informado de nuestros productos y servicios en el sentido de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal” añadiendo posteriormente el ejercicio (incompleto) de los Derechos ARCO, sin completar con los recogidos en la nueva normativa, como son los de Portabilidad y Limitación.

Como puede comprobarse, la URL en cuestión presentaba una escueta Política de Privacidad que obviaba en su contenido la información relativa a la identificación completa del responsable del tratamiento, la finalidad del tratamiento, los plazos de conservación, si están previstas las cesiones de los datos, etc. Incluso, nombraba la derogada ley 15/99 y su obligación de la creación del fichero de datos correspondiente. En este punto, la AEPD considera estos hechos dentro de lo establecido en el artículo 74.a) RGPD en relación con el artículo 83.5 del mismo cuerpo legal, relativo a las infracciones leves. Tras ponderar una serie de posibles atenuantes, la Agencia impone finalmente una sanción de 1.500€ a la sociedad titular de la web en cuestión.

Como hemos advertido en el inicio, tras más de año y medio de vida de normativa europea de protección de datos, la AEPD comienza a sancionar a pequeñas y medianas empresas que no hayan hecho un ejercicio de responsabilidad en lo que a la adaptación y adecuación al RGPD se refiere, entrando en este caso en detalles importantes como la página web de la organización, como puerta de entrada de datos personales de clientes.

En ÉGIDA nuestra misión es adaptar a las empresas, instituciones y organismos públicos a la normativa de protección de datos; esto supone para las empresas una mejor forma de gestionar y tratar la información, optimizar los recursos de acceso a la información, incrementar la seguridad de los datos y simplificar la forma de relacionarse con clientes, proveedores y personal y en última instancia, evitar sanciones por el incumplimiento de la ley.

Si deseas más información, estaremos encantados de atenderte en nuestra dirección de correo electrónico info@egida.es o en el número de teléfono 968-935009.

Anulan la sanción impuesta a un gimnasio de Murcia por el uso de la huella dactilar como acceso a sus instalaciones

El pasado mes de julio de 2018, saltaba a la palestra una resolución de la Agencia Española de Protección de Datos (AEPD) que sancionaba a un gimnasio de Murcia por la utilización de la huella dactilar como método de entrada y salida de los usuarios del mismo.

Los hechos probados del expediente administrativo relatan que el denunciante, hasta febrero de 2017, accedía a las instalaciones a través del uso de una pulsera que era facilitada por el propio centro. Posterior a esa fecha, se eliminó este método de autenticación por el uso de la huella dactilar de los usuarios. Con dicho método de identificación y control, se toma la huella dactilar al socio del gimnasio, pero sin que esta sea almacenada íntegramente, sino que se genera una plantilla numérica o patrón utilizando algunos puntos de la huella generados a partir de algoritmos matemáticos, creando así un código único para cada huella. Además, el propio gimnasio informa a sus clientes a través del contrato de prestación de servicios sobre la necesaria toma de la huella dactilar y el fin de dicho recabado.

No obstante, en aquella resolución, la Agencia entendía que el tratamiento de datos de reconocimiento de huella dactilar para controlar el acceso de los clientes sin ofrecer un método alternativo, utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y finalidades determinadas, con vulneración del artículo 4.1 LOPD. Por ello, se le impuso una sanción económica de 1.500€.

Pues bien, la Audiencia Nacional, en su SAN 3675/2019 de 19 de septiembre de 2019 ha estimado el recurso contencioso-administrativo interpuesto por la mercantil, y ha procedido a anular la sanción impuesta en vía administrativa. El primero de los motivos, la no consideración de dato personal el algoritmo generado tras la conversión de la huella del usuario en un código alfanumérico único, es desestimado por la Audiencia al señalar que la normativa de aplicación pre-RGPD (la Directiva 95/46 y la extinta LOPD) identifican de forma holgada a la huella dactilar como un dato personal de tipo biométrico, y es indiferente que la muestra de la huella sea de forma completa o mediante “minucias”, puesto que la conversión del rastro biométrico en una secuencia alfanumérica hace que siga siendo identificable el usuario. Además, añade el Tribunal que el sistema se inicia cada vez que el socio acude al gimnasio, poniendo el dedo en el lector digital lo que da lugar a la confrontación de datos con el algoritmo almacenado […] Por tanto, a partir de un dato único de cada socio que se transforma en algoritmo y que se verifica en cada entrada se están tratando datos del socio que accede al gimnasio y se permite su identificación.

En cambio, la Audiencia si acoge el motivo de la parte demandante que motivaba que el tratamiento de la huella dactilar como método de control de los accesos al gimnasio no supone una vulneración del artículo 4.1 de la extinta LOPD que reza que los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Con todo lo anterior, la Audiencia entiende por un lado que la recogida y uso de la huella es para la prestación de un servicio, cual es el de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad […] por lo que se cumple el juicio de idoneidad. Por otro lado, la medida es necesaria ya que el uso de la huella supone una mejora de la calidad en lo que al acceso al gimnasio se refiere al evitarse el fraude que si pudiera suceder con el intercambio de pulseras o tarjetas identificativas entre usuario. Por último, el Tribunal entiende que las medidas de seguridad aplicadas durante la vida del dato son proporcionales al uso y finalidades destinadas por el responsable del tratamiento, puesto que ha garantizado la confidencialidad por el mecanismo de conversión de la huella a su algoritmo,  almacenándose este y no la huella en la base de datos, tratando de minimizar así la injerencia en el derecho a la protección de datos de los usuarios del gimnasio. Además, la consideración de microempresa de la sociedad recurrente hace que el volumen de los datos recogidos y almacenados no pueda considerarse como “masivo”.

Por último, la sentencia da entender que establecer un método alternativo de control del dato biométrico, como puede ser la creación de tarjetas inteligentes que hicieran que el usuario tuviera bajo su custodia la información biométrica contenida en ellas, no puede aplicarse a todos los supuestos, sino que tendríamos que estar al caso concreto para ver las distintas circunstancias que singularizan el supuesto.

Puede consultar el contenido de la Sentencia aqui.

La AEPD concede los Premios de comunicación Protección de Datos 2017 a El Economista y a Diario La Ley

[vc_row][vc_column][vc_column_text]

La Agencia falla también los Premios en las categorías de “Investigación Emilio Aced”, “Buenas prácticas para adaptarse al Reglamento” y “Buenas prácticas educativas para el uso seguro de internet”

(Madrid, 29 de enero de 2018). La Agencia Española de Protección de Datos (AEPD) ha fallado los ‘Premios de Protección de Datos 2017’, que reconocen los trabajos que promueven en mayor medida el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos.

En esta edición se han recibido un total de 46 candidaturas, 7 en la categoría de ‘Comunicación’, 13 en la de ‘Investigación Emilio Aced’, 16 en la de ‘Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet’ y 10 en la nueva categoría de ‘Buenas prácticas sobre iniciativas para adaptarse al Reglamento General de Protección de Datos’ (RGPD).

Premio de Comunicación

El jurado ha concedido el premio principal de comunicación al periodista Pedro del Rosal, de El Economista, por las noticias, reportajes y entrevistas publicadas sobre la aplicación del RGPD y la adaptación al nuevo marco normativo, entre otros temas.

Asimismo, ha otorgado el accésit a Carlos Fernández, del Diario La Ley, por las informaciones publicadas en referencia al Reglamento General, las obligaciones de las Administraciones Públicas ante la nueva normativa y las directrices de las Autoridades europeas para adaptarse al nuevo contexto.

Premio de ‘Investigación en protección de datos personales Emilio Aced’

En esta categoría el jurado ha otorgado el premio principal a Abel Lozoya de Diego por su trabajo ‘Modelo de atributos clínicos a anonimizar para el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal’.

También ha concedido el accésit a Santiago Saavedra, Sofía Prósper, Guidiana Landívar y Alba Martín –con la colaboración de Pablo Martín, Carla Tortul, Adolfo Antón y Medialab-Prado- por su trabajo ‘Trackula’.

Premio a las ‘Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos’

En la modalidad de empresas, asociaciones y fundaciones, el jurado ha concedido el premio a la Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA) por las acciones e iniciativas para adaptarse al Reglamento.

En relación con la modalidad de entidades del sector público, ha otorgado el premio a la Gerencia de Informática de la Seguridad Social, por su propuesta para la adecuación al RGPD desde el rol de encargado del tratamiento.

Premio a las ‘Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de internet’

En esta categoría, el jurado ha concedido el premio en la modalidad dirigida a centros de enseñanza públicos, concertados y privados de Educación Primaria, Educación Secundaria Obligatoria, Bachillerato y Formación Profesional, al IES Isaac Albéniz de Leganés (Madrid), por su trabajo sobre el ‘Uso y Abuso de las redes sociales y su implicación en el entorno educativo’.

Finalmente, en la modalidad que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas y privadas que hayan destacado por el impulso y difusión entre los menores de edad de buenas prácticas para un uso seguro de internet, el jurado ha otorgado el premio a la Policía Nacional y la Guardia Civil, por la ejecución del ‘Plan director para la convivencia y mejora de la seguridad en los centros educativos y sus entornos’.

[/vc_column_text][/vc_column][/vc_row]

La AEPD publica un documento que recoge las obligaciones del Reglamento de Protección de Datos para Administraciones Locales

[vc_row][vc_column][vc_column_text]

La Agencia Española de Protección de Datos (AEPD) ha publicado un documento en el que sintetiza las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD). Con estas pautas, la Agencia quiere fomentar que estas entidades conozcan las implicaciones prácticas de la nueva normativa y puedan adoptar las medidas necesarias para cumplir con las previsiones establecidas en la misma.

El documento El nuevo RGPD y su impacto sobre las actividades de las Administraciones Locales aborda en 15 puntos las principales modificaciones que deberán realizar estas entidades para alinear su actividad a las exigencias del Reglamento. En muchos casos, los efectos del RGPD van a ser los mismos que para cualquier otro responsable o encargado pero, en algunas áreas, se dan especificidades que las Administraciones Locales deben tener en consideración.

En el documento se recogen, entre otros aspectos, la necesidad de identificar con nitidez las finalidades y la base jurídica de los tratamientos que se llevan a cabo; adecuar la información que se ofrece a los interesados cuando se recogen sus datos; establecer mecanismos visibles, accesibles y sencillos para que los ciudadanos puedan ejercer sus derechos, así como procedimientos que permitan responder a los ejercicios de derechos en el plazo que marca el RGPD.

Asimismo, se plantea la necesidad de efectuar análisis de riesgos de los tratamientos que se realicen; establecer tanto un registro de actividades como mecanismos para identificar con rapidez la existencia de brechas de seguridad y reaccionar ante ellas, y designar un Delegado de Protección de Datos (DPD). En este último caso, y dado que las dimensiones de las AALL no siempre hacen viable contar con un DPD integrado en plantilla, la Agencia recuerda que entre las posibles opciones se encuentra que las Diputaciones Provinciales ofrezcan a los municipios estos servicios o la contratación común de esta figura por varias entidades.

Fuente: Comunicado AEPD

[/vc_column_text][/vc_column][/vc_row]