¿Cómo regula el responsable o encargado del tratamiento internacional la relación con su representante en la UE?

Será necesario designar un representante en aquellos supuestos en los que un responsable o encargado del tratamiento no se encuentre establecido en la Unión Europea y las actividades del tratamiento estén relacionadas con:

  • La oferta de bienes o servicios a dichos interesados en la Unión, aunque no se requiera pago por ellos.
  • El control de su comportamiento, cuando tiene lugar en la Unión Europea.

¿Cómo se regula la relación con ese representante? Lo primero que se tiene que determinar es la ubicación del representante. Este tiene que estar establecido en uno de los Estados miembros en que se encuentren los interesados sobre los que se realizan las actividades anteriores. Además, debe ser designado expresamente por mandato escrito para que actúe en nombre del responsable o encargado, respecto de todas las obligaciones que les son exigidas en la normativa de protección de datos.

Al representante se le puede encomendar que atienda junto al responsable o encargado del tratamiento las consultas, o bien que lo haga en su lugar. Las autoridades de control le podrán imponer las medidas establecidas en el RGPD, así como sancionarle de forma solidaria junto con el responsable o encargado del tratamiento.

A quién debemos dirigirnos para reclamar en materia de telecomunicaciones

En la página web de la AEPD en el apartado de áreas de actuación/reclamación de telecomunicaciones, podemos encontrar un listado de los diferentes organismos públicos con competencia en la materia  ante los cuales reclamar. Estos organismos son: Secretaria de Estado de Digitalización e Inteligencia Artificial (SEAD), Agencia Española de Protección de Datos (AEPD), Organismos de Consumo.

Nos centraremos en las competencias que en esta materia tiene la AEPD. En el caso de que estemos ante alguno de estos supuestos, podremos reclamar ante este organismo.

1º Denuncias por contratación irregular o fraudulenta:

  •  Alta irregular o fraudulenta.
  •  Facturación por un servicio, por el cual solicitó la baja.

2º Denuncias por deudas derivadas de servicios de telecomunicaciones:

  •  Inclusión o mantenimiento en tratamientos de solvencia patrimonial en diferentes supuestos, como es el caso de una deuda con más de 6 años de antigüedad, o bien una deuda en la que no se haya requerido previamente el pago.

3º Otras competencias en relación con el servicio de telecomunicaciones:

  •  Acceso online, desde una zona restringida para clientes, a datos de otros clientes.
  •  Publicación en guías de abonados tras solicitar la exclusión.

Una abogada es sancionada por reutilizar papel con datos personales de terceros

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00390-2019.pdf, se sanciona a una abogada por reutilizar papel con datos personales de terceros.

El reclamante notifica que, hasta en dos ocasiones, la abogada reclamada, había realizado la convocatoria a una junta de propietarios, utilizando para ello papel reutilizado, en el cual constaban los datos de procedimientos en los que ella había trabajado. En el reverso del papel, se podían leer los nombres y apellidos de varias personas, entre ellas la de un menor de edad.

La AEPD dio traslado de la reclamación, no obteniendo respuesta alguna por parte de la reclamada. No presentó alegaciones ni pruebas que contradijeran los hechos denunciados. La reutilización de los documentos en cuyo reverso aparecían los datos de terceros, se realizó sin el consentimiento de éstos. La AEPD determinó en su resolución que los hechos son constitutivos de una infracción del art. 32 del RGPD, ya que en este artículo se señala que “el responsable y encargado del tratamiento deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado”. La reclamada no tuvo en cuenta la aplicación de medidas para garantizar la confidencialidad de los datos personales. La sanción económica impuesta ascendió a los 2.000 euros.

El tratamiento con fines de videovigilancia

En este apartado hemos ido detallando disposiciones aplicables a tratamientos concretos regulados en la LOPDGDD.

En esta ocasión, vamos a analizar el tratamiento de las imágenes que se recogen en los sistemas de videocámaras o cámaras con la finalidad de preservar la seguridad de las personas. En nuestra ley Orgánica, se ha incorporado el art.22 “Tratamientos con fines de videovigilancia” el cual nos da indicaciones de lo que el responsable ha de tener en cuenta cuando graba imágenes de personas:

1º Colocar el dispositivo informativo en un lugar visible que contenga, al menos, la existencia del tratamiento, la identidad del responsable y el ejercicio de los derechos.

2º Solo se podrán captar imágenes de la vía pública cuando sea imprescindible para garantizar la seguridad y siempre lo mínimo posible.

3º Los datos serán suprimidos en el plazo máximo de un mes desde su captación.

4º Se pondrán a disposición de la autoridad competente en el caso de la grabación de actos ilícitos contra las personas, bienes o instalaciones. El plazo para comunicarlo será de un máximo de 72 horas desde el conocimiento de la existencia de la grabación.

¿A qué datos pueden acceder los copropietarios de una comunidad de propietarios?

El acceso por parte de los copropietarios a la documentación que recoge la comunidad de propietarios tiene que venir determinada por la finalidad de conocer y comprobar la gestión de las cuentas de la comunidad.

Son muchos los datos personales que trata una comunidad de propietarios, tales como, información personal relativa incluso a la vida privada y familiar de los afectados.

En la propia Ley de Propiedad Horizontal se, encuentran legitimadas el acceso a los datos personales de los copropietarios. Así, por ejemplo, cuando se efectúan las convocatorias de las juntas se podrán incluir los datos de los propietarios que no estén al corriente del pago de las deudas vencidas.

Para llevar a cabo el acceso a los datos personales, la comunidad de propietarios como responsable de los mismos, tendrá que aplicar el principio de minimización de datos. Esto implica que, si, por ejemplo, algún copropietario pide la relación de contratos de los trabajadores de la comunidad, en su caso, no se deberían facilitar datos más allá de las retribuciones y un desglose de los conceptos retributivos, no pudiendo entregarse las nóminas, ya que en ellas se contienen datos referentes a la salud o ideología.

En el caso de que se pudieran facilitar copias de la documentación, según el caso, se hará con las medidas relativas a la gestión y salida de soportes.

Qué debo conocer para contratar servicios de cloud computing

La AEPD publicó una  interesante “guía para clientes que contraten el cloud computing.

En este artículo analizaremos los aspectos más relevantes que tendremos en cuenta cuando vayamos a contratar un servicio de cloud computing.

Se entiende que los usuarios o clientes utilizan servicios de cloud computing cuando, para implementar procesos de tratamiento de información, comparten los mismos recursos a través de la red, estos recursos los proporciona el proveedor de la nube.

Lo primero que analizamos es qué tipo de datos voy a alojar en el sistema cloud, si tienen una mayor o menor sensibilidad, así como que tipo de nube se trata, pública o privada. De esta forma puedo decidir sobre uno u otro modelo.

En segundo lugar, para ser diligente en la elección del prestador del servicio, además de celebrar un contrato de acceso a datos por cuenta de terceros, solicitaré información sobre los siguientes aspectos:

  • Si intervienen subcontratistas solicitaremos que se nos comunique previamente para autorizarlo por escrito.
  • Conocer las terceras empresas que intervienen (p.ej. accediendo al listado en una página web).
  • Localización de los datos, ya que las garantías exigibles son diferentes en el Espacio Económico Europeo o fuera de él.
  • Solicitar mecanismos de portabilidad y borrado seguro de los datos.

Sancionada una Federación deportiva por la difusión no consentida de datos a través de terceros en Internet

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00200-2020.pdf, se sanciona a la Federación de Baloncesto de Castilla y León por la difusión de un documento con los  datos personales del presidente del club de futbol CB TIZONA al Diario de Burgos.

El reclamante interpuso una reclamación ante el Diario de Burgos y la Federación de Baloncesto de Castilla y León por la publicación y difusión de un escrito en el cual constaban su nombre, apellidos, DNI y rúbrica. En una primera presentación, en el año 2.017 la AEPD desestimó el escrito. El reclamante interpuso entonces un recurso contencioso administrativo obligando así a la AEPD a reabrir el expediente.

En esta nueva apertura se sanciona a la Federación de Baloncesto de Catilla y León, con 5.000 euros por difundir los datos personales del afectado ya que incumple el principio de confidencialidad del art. 5 RGPD.

Por otro lado, el Diario de Burgos que recibió el escrito de la Federación, no fue sancionado. La AEPD entiende que el medio de comunicación citado está actuando conforme al art. 20 de la C.E. que regula el derecho a expresar y difundir libremente los pensamientos e ideas y opiniones(…). El afectado, en este supuesto, podría ejercer el derecho a la rectificación de los datos, regulado en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación, en la que la AEPD no tiene competencia.

Los sistemas de información crediticia y su tratamiento

Otro de los tratamientos concretos regulados en nuestra Ley Orgánica, recogido en el art. 20 LOPGDD, es el tratamiento de datos en los sistemas de información crediticia. En estos sistemas se incluyen tanto a las personas físicas como jurídicas que hayan incurrido en algún tipo de impago.

¿Cuáles son los principales requisitos para que el tratamiento de estos datos personales sea legítimo?:

1º Ser Facilitados por el acreedor o por quién actúe por su cuenta o interés.

2º Referirse a deudas ciertas, vencidas, exigibles y que no se le haya reclamado por cualquier vía legal.

3º Se mantendrán como máximo 5 años desde la fecha de vencimiento de la obligación dineraria.

4º El acreedor informará al afectado de la posibilidad de la inclusión en el sistema, bien en el momento del contrato o cuando se le requiera el pago.

5º Los datos referidos a un deudor determinado solamente podrán ser consultados por quién tuviera una relación contractual con el afectado que implique algún tipo de abono de una cuantía dineraria o bien le hubiera solicitado la celebración de un contrato que suponga financiación o pago aplazado, entre otros.

¿Cuándo debo nombrar un DPD y cuáles son las consecuencias si no lo hago?

La figura del delegado de protección de datos, en adelante (DPD) ha ido cobrando importancia a lo largo de estos dos años de aplicación del reglamento. Son muchas las entidades que han reclamado sus servicios para implantar de una forma adecuada sus políticas de privacidad y cumplir con todas las exigencias que requiere el RGPD.

En el art. 34 de nuestra ley orgánica LOPDGDD, se recogen los supuestos en que resulta obligatoria la designación de un DPD. En ese listado están, entre otros, los colegios profesionales y sus consejos generales, centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en su legislación competente, así como las Universidades públicas o privadas (…)

¿Qué pasa sino estoy en ninguno de estos supuestos? En este caso, habrá que tener en cuenta los requisitos contenidos en el RGPD: si nuestro tratamiento requiere una observación habitual y sistemática de interesados a gran escala, si se tratan datos a gran escala de categorías especiales de datos personales o bien el tratamiento lo lleva a cabo una autoridad u organismo público.

Si estamos en alguno de los supuestos anteriores, debemos nombrar un DPD para evitar sanciones. La AEPD ya ha comenzado a sancionar a las entidades. Como, por ejemplo, la reciente sanción de 25.000 € impuesta a la empresa GLOVO.

Los acortadores de URLs y la protección de datos

La AEPD publicó un  interesante documento https://www.aepd.es/es/prensa-y-comunicacion/blog/acortadores-de-urls explicando los riesgos que suponen para la privacidad la proliferación de la utilización de enlaces, en adelante (URLs) acortados.

Lo primero que analiza en este documento es que la navegación en internet está en constante evolución, apareciendo constantemente nuevos servicios web. La forma en que nos comunicamos ha cambiado y esto ha supuesto que, con el uso de los microbloggings como Twitter y otro tipo de servicios de mensajería, se utilicen herramientas que permitan acortar los enlaces a un sitio web. En este caso, se reemplazaría la típica URL larga de un sitio web por una versión acortada, siendo así más fácil de integrar en un mensaje o en un tweet.

Aparentemente son servicios de redirección inocuos y, por regla general, cuando accedes al enlace acortado, te redirige al sitio original.

¿Cuáles son los riesgos para la privacidad?

1º Desconocimiento del destino al que nos redirigirá el enlace acortado, podría tratarse de sitios peligrosos que suplanten la web de otra entidad (phishing).

2º Al intermediario le estamos facilitando alguno de nuestros datos personales (IP y otra información sobre el dispositivo).

3º Muchos de ellos realizan funciones de seguimiento de usuarios y elaboración de perfiles.