Autor: AdmEkateko

La AEPD en su página web a publicado una serie de documentos e infografías recogiendo diversos aspectos fundamentales del RGPD.

En este caso, en la sección de Guías y herramientas, encontramos una infografía relacionada con el consentimiento y el tratamiento de los datos personales de menores de edad. Los menores entre 14 a 18 años podrán otorgar el consentimiento por sí mismos, salvo que una norma específica exija la asistencia de los padres o tutores, por otro lado, para el tratamiento de los datos de menores de 14 años, el consentimiento será otorgado por su padres o tutores legales.

Estos serían los principales aspectos que el responsable ha de tener en cuenta para la obtención del consentimiento:

1º Antes de obtener el consentimiento tiene que proporcionar información básica (identidad, fines, destinatarios y ejercicio de derechos)

2º La solicitud del consentimiento se tiene que distinguir de los demás asuntos de una forma clara y de fácil acceso utilizando un lenguaje sencillo.

3º La prueba de la existencia del consentimiento le corresponde al responsable.

4º El interesado tendrá derecho a retirar su consentimiento en cualquier momento sin que afecte por ello al tratamiento de sus datos.

En la Resolución  de la AEPD  https://www.aepd.es/es/documento/ps-00385-2020.pdf, una web ha sido sancionada con 8.000 euros por incumplir lo dispuesto por la LSSICE  en el uso de las cookies.

Han sido varios los reclamantes que han denunciado ante la AEPD la falta de información sobre el uso de las cookies en las diferentes URLs de la entidad sancionada.

En el proceso de investigación sobre las diferentes URLs que llevó a cabo la AEPD se llegaron a las siguientes conclusiones:

1ª URL; Existe un gestor de cookies que permite aceptar y rechazar las cookies, pero no llega a ejecutarse correctamente, pues hay que aceptar todas para seguir navegando.  En la segunda capa informativa no se indican cuáles son las cookies utilizadas por la web. Sanción de 2.000 euros.

2ª, 3ª y 4ª URL; Se comprueba que se cargan cookies no necesarias sin realizar ninguna acción. No hay un banner informativo en la página principal de la web. Además, en la segunda capa informativa, aunque existe una información clara sobre el tipo de cookies utilizadas, no se ha incluido un gestor que permita rechazar las cookies. Sanción 6.000 euros.

Uno de los aspectos que regula la normativa en protección de datos es el deber que tienen los responsables de informar sobre la recogida y uso de los datos personales.

La información tiene que ser clara y de fácil entendimiento. El RGPD y nuestra LOPDGDD pretenden garantizar y proteger los derechos de los particulares cuando facilitan sus datos personales. Las cláusulas tienen que informar al menos, sobre los siguientes puntos, tal y como lo deja indicado el artículo 11 LOPDPGDD:

• Quién es el responsable de los datos.
• La finalidad del tratamiento.
• Facilitar el medio para el ejercicio de los derechos de protección de datos.

Esta sería la información básica. Además de lo anterior, las cláusulas informativas tienen que indicar una dirección electrónica u otro medio que permita al interesado acceder de una forma sencilla e inmediata al resto de información.

En ocasiones, los datos personales que trata el responsable no los facilita directamente el interesado, sino que les son cedidos por otros. En este caso, la cláusula informativa deberá indicar, además, las categorías de datos y las fuentes de las que se obtuvieron.

Las fugas de información son uno de los incidentes de seguridad más comunes que suceden en las empresas. Estas se producen cuando se pierde la confidencialidad de la información de la empresa y esta es accesible a terceras personas no autorizadas.

Estas fugas de información pueden ser involuntarias y no intencionadas, cuando, por ejemplo, se envía un correo a múltiples destinatarios sin copia oculta, o bien se pierde un dispositivo móvil o USB con información confidencial sin cifrar. Las fugas se consideran deliberadas cuando es un ciberdelincuente el que consigue acceder a los sistemas de la empresa, o bien, el conocido como insider, cuando se trata de un exempleado que pretende generar una pérdida de reputación.

¿Cuáles son los escenarios principales donde se dan estas fugas? La información se puede extraer de las siguientes formas:

• Dispositivos móviles y de almacenamiento externo.
• Correo electrónico
• Redes inalámbricas no confiables
• Aplicaciones en la nube o herramientas colaborativas
• Redes sociales
• Malware; troyanos, spyware, keyloggers
• Credenciales de acceso inseguras

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías, así como otros artículos de interés editados por la AEPD en su página web.

En este caso, en la sección de innovación y tecnología, encontramos un documento de especial importancia para estos momentos, donde las  reuniones virtuales online se han convertido en  una constante habitual en las empresas. Estas pueden suponer un grave riesgo para la confidencialidad de los asistentes si no se tienen en cuenta precauciones básicas para su preparación. Estas reuniones pueden ser saboteadas, por antiguos compañeros de trabajo, o ciberdelincuentes.

En este documento se incluye una lista no exhaustiva para crear un espacio de trabajo eficaz y seguro.

• Seguir las políticas establecidas por la empresa utilizando solamente el proveedor tecnológico aprobado.
• Limitar la reutilización de los códigos/enlaces de acceso.
• Utilizar una “sala de espera” para ir admitiendo a los participantes y habilitar una notificación para cuando se unan a la reunión.
• Bloquear el acceso una vez que están todos los asistentes.
• No grabar la reunión, en tal caso informar a los asistentes de la finalidad.

En el procedimiento sancionador  https://www.aepd.es/es/documento/ps-00279-2020.pdf  se sanciona con una cuantiosa cantidad al  propietario de una URL por incumplir la normativa de protección de datos.

La reclamante solicitó al propietario de la web que suprimiera todos sus datos personales, lo que incluía también material fotográfico, puesto que, no contaba con su consentimiento. Una vez ejercido su derecho de supresión no obtuvo respuesta alguna, por lo que inicia la reclamación ante la AEPD. Además, en el escrito de su reclamación indica que la página web no cumplía con los requisitos de información que debe facilitar el responsable cuando recoge datos de carácter personal.

La AEPD notifica el acuerdo de inicio del procedimiento al reclamado, durante el plazo indicado no recibe ningún tipo de alegaciones por su parte, con lo cual, se convierte en propuesta de resolución.

La cantidad impuesta asciende a un total de 9.000 euros por infracción muy grave de los siguientes artículos del RGPD:

•  5.000 euros por el incumplimiento del artículo 13 RGPD; el responsable de la página web no cumple con el deber de información en su política de privacidad.
•  4.000 euros por el incumplimiento del artículo 6 RGPD; el responsable de la página web publica imágenes sin haber obtenido previamente el consentimiento del interesado.

Uno de los principios fundamentales que el responsable de una empresa tiene que cumplir es la transparencia de la información en el tratamiento de los datos personales.

Este principio está relacionado con el derecho del interesado a obtener toda la información que sea relevante en relación con sus datos personales.

En los artículos 13 y 14 del RGPD se recogen todos los puntos que el responsable debe facilitar cuando trata datos personales. Además de indicar la identidad y datos de contacto del responsable, en su caso, del delegado de protección de datos, los fines del tratamiento y los destinatarios, el responsable está obligado también a informar de su intención de realizar transferencias internacionales de datos.

En el caso de que las transferencias estén basadas en garantías adecuadas, normas corporativas vinculantes o en los supuestos de las excepciones para situaciones específicas se tiene que dejar indicado lo siguiente:

•  Copia de las garantías adecuadas
•  Lugar en el que se hayan puesto a disposición, es decir, se ha de incluir en la información, una URL que permita al interesado acceder al documento que contiene dichas garantías.

La mayoría de los ataques de ingeniería social que pude sufrir una empresa tiene la misma operativa. Conocer sus fases nos ayuda a prevenirlo puesto que lo vamos a poder identificar a tiempo para actuar con diligencia.

El ciclo de vida de este tipo de ataque consiste en tres fases:

1ª Fase de reconocimiento: Esta fase conocida también como footprinting consiste en recabar toda la información posible de las potenciales victimas del fraude, por ejemplo, números de teléfono, nombres de dominio, correo electrónico, etc…

2ª Fase de manipulación: La manipulación psicológica es clave en este tipo de fraudes. Así por ejemplo hacer creer que existe una determinada urgencia en una operación muy importante que ha costado mucho conseguir, actuar rápidamente para no perder un servicio. Lo que trata el ciberdelincuente es establecer una relación de confianza utilizando nombres de dominios falsos o suplantando la identidad de una persona u organización conocidas.

3ª Fase final del ata  que: Una vez obtenido el objetivo el ciberdelincuente tratará que el fraude no sea descubierto, puesto que así la extorsión puede continuar durante más tiempo y el impacto será mayor para la empresa.

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías sectoriales.https://www.tudecideseninternet.es/aepd/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf

En este caso, se trata de dar respuesta a la legitimación del tratamiento de la grabación de imágenes de alumnos/as y profesores/as en los centros educativos.

Habría que distinguir entre la toma de imágenes como parte de la función educativa, en estos casos, estaría legitimado en el cumplimiento de la normativa propia y no precisaría de consentimiento.

Así, por ejemplo, tal y como indica la guía, los profesores en el desarrollo de la programación y enseñanza de las áreas, materias y módulos, puede precisar la realización de ejercicios que impliquen la grabación de imágenes, las cuáles solamente han de estar disponibles para las partes interesadas, es decir, alumnos/as, padres o tutores y el personal docente correspondiente. En ningún caso, se podría difundir de forma de forma abierta en internet, sin el consentimiento de los interesados.

Por otro lado, también es posible la toma de imágenes del alumnado en determinados eventos desarrollados en el entorno escolar con la única finalidad de que los padres puedan acceder a ella. Este acceso debería llevarse a cabo en un entorno seguro, que exigiera la previa identificación y autenticación de los interesados involucrados.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00143-2020.pdf  una comunidad de propietarios recibe una sanción de  apercibimiento por notificar indebidamente las deudas a un propietario.

El reclamante manifiesta que sus datos de carácter personal y económicos han sido expuesto ante terceros, puesto que la notificación se realizó en el tablón de anuncios.

Ante la AEPD llegan las alegaciones de la comunidad de propietarios, la cual manifiesta, qué además de la publicación en el tablón correspondiente se realizó mediante burofax no siendo recogido por el deudor.

La AEPD estima que la comunidad no actuó correctamente, por un motivo de falta de cumplimiento de plazos, ya que el cartel anunciando la convocatoria que contenían la deuda y los datos personales se hizo antes de que transcurriera el plazo para recoger la notificación.

La sanción que se le pide a la comunidad es de apercibimiento, lo que implica, que en el plazo de un mes tiene que acreditar ante la AEPD el cumplimiento de que procede con todas las medidas necesarias para que el reclamado actúe de conformidad con los principios del art.5.1. f del RGPD; principio de integridad y confidencialidad.

Este tipo de sanciones hacen ver de la necesidad que tiene los responsables de tener un protocolo adecuado en protección de datos.