Blog

¿Se tienen que realizar auditorías de seguridad y cumplimiento de la normativa de protección de datos?

El responsable y encargado del tratamiento deben ser proactivos y cumplir con la normativa de protección de datos, en este sentido una de las obligaciones que nos exige el reglamento es garantizar la seguridad de los datos personales.
En el art.32 del RGPD se identifican algunas de las medidas técnicas y organizativas que el responsable y encargado del tratamiento deben aplicar para conseguir un nivel adecuado de seguridad, entre ellas:
32.1.d Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.
En este sentido, el Reglamento se está refiriendo a las auditorías como una de las medidas técnicas que se deben aplicar para salvaguardar la información.
A lo largo del articulado del RGPD, también se pueden encontrar otras referencias a las auditorías, cuando nos indica, en el art. 28 del RGPD, que una de las cláusulas del contrato de acceso a datos por cuenta del responsable, el encargado del tratamiento permitirá y contribuirá a la realización de auditorías, incluidas las inspecciones por parte del responsable o incluso de otro auditor autorizado por dicho responsable.
Así mismo en el art.24 del RGPD, se recoge que el responsable aplicará las medidas adecuadas, con el fin de garantizar y demostrar que el tratamiento es conforme con el RGPD, dichas medidas se revisarán y actualizarán cuando sea necesario.

La AEPD alerta a pymes y autónomos de los riesgos de contratar servicios de adecuación a la normativa a ‘coste cero’

Fuente: https://www.aepd.es/prensa/2019-07-04.html

(3 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un documento informativo en el que alerta a pymes y autónomos de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que la ofrecen a ‘coste cero’. El documento, que ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, también recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios.

 La adecuación a la normativa de protección de datos conocida como coste cero consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.

 La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

 Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

 La Agencia también advierte a pymes y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.

Puede ver más información en el siguiente enlace:

Adecuación a la normativa a coste cero y otras prácticas fraudulentas.

https://www.aepd.es/media/estudios/coste-cero.pdf

¿Se puede compartir información entre profesionales de distintos ámbitos y administraciones?

La AEPD en su informe da respuesta a varias consultas con un mismo hilo conductor, la protección de datos personales relativos a violencia de género. https://www.aepd.es/media/informes/2018-0070-violencia-de-genero.pdf

Una de las consultas que se plantean es si resulta conforme a la normativa en materia de protección de datos compartir información, entre distintos profesionales de distintos ámbitos y administraciones, para realizar la labor de seguimiento. En este sentido, la legitimación la encontramos en la ley 27/2003, reguladora de la orden de protección de las víctimas de violencia doméstica, en la que se dice que: “en caso de adoptarse una orden de protección por el Juez, las Administraciones públicas tomarán medidas que garanticen la protección de seguridad o de asistencia social, jurídica, sanitaria, psicológica y para ello se  establecerá un sistema integrado de coordinación administrativa, que garantice la agilidad de las comunicaciones.

Otra de las cuestiones planteadas se refería al cumplimiento de los estándares de seguridad (nivel alto) en relación con el contenido y recorrido de los datos personales de las víctimas de violencia de género. En este caso, la AEPD indica que, en el RGPD, no se establece un elenco de medidas de seguridad específicas, sino que, en virtud del principio de responsabilidad activa, el responsable tendrá que determinar las medidas técnicas y organizativas concretas, en base al análisis de riesgos previamente realizado.

Sanción YOIGO por incluir de forma indebida a un cliente en un fichero de morosos

La AEPD ha dictado recientemente una resolución sancionando a la entidad YOIGO https://www.aepd.es/resoluciones/PS-00011-2019_ORI.pdf.

La reclamante DªAAA presentó un escrito ante la AEPD para reclamar que había sido incluida de forma indebida por YOIGO en un fichero de solvencia patrimonial y crédito Badexcug, a pesar de que el pago que le reclamaban había sido satisfecho en el plazo de los 15 días concedido, aportando en la reclamación el justificante de la transferencia de pago.

A la vista de los hechos y documentos presentados, la AEPD inicia un periodo de investigación y realiza un requerimiento informativo a YOIGO, el cual no contesta, con lo que se le notifica el inicio del procedimiento sancionador, por infringir el principio de exactitud del art.5.1.d del RGPD, puesto que no actuó con la debida diligencia, al no verificar que la deuda informada al fichero de morosos era inexacta. Las entidades que gestionan los ficheros de morosos suministran periódicamente, las relaciones de las altas y bajas, a las empresas informantes que son las que deciden la cancelación de los datos de sus clientes del fichero de morosidad.

En este caso YOIGO mantuvo la inscripción de la reclamante, después de haber realizado el pago de la deuda reclamada. La sanción impuesta por la AEPD, después de aplicar los criterios de graduación, asciende a la cantidad de 60.000 euros.

Elaboración de perfiles y toma de decisiones automatizada

La elaboración de perfiles se define en el art.4 del RGPD, como el tratamiento automatizado de datos personales, con la finalidad de evaluar o analizar aspectos personales que permitan predecir el rendimiento profesional, la situación económica, la salud, preferencias o intereses personales, fiabilidad, comportamiento y la ubicación o movimientos de una persona.

Cuando la elaboración de perfiles, sea utilizada con la finalidad de tomar decisiones sobre una persona, basadas exclusivamente en un tratamiento automatizado, el interesado deberá ser informado previamente de la lógica aplicada y de la importancia de las consecuencias y efectos jurídicos que se produzcan en base a esa decisión. Además, tendrá derecho a oponerse a ese tratamiento, salvo que se den alguna de las siguientes circunstancias:

1º Que la decisión sea necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable.

2º Esté autorizada por el Derecho de la Unión o los Estados miembros.

3º Que el interesado haya dado su consentimiento explícito.

¿Cómo incorporar el registro de jornada laboral y cumplir con la normativa de protección de datos?

El registro de la jornada laboral ha sido recientemente introducido en las entidades con carácter de obligado cumplimiento para todas ellas.

El art.34.9 del Estatuto de los Trabajadores nos indica que: La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Los sistemas que pueden utilizar las entidades para el cumplimiento de esta obligación legal podrán ser muy variados, desde sistemas manuales, analógicos o digitales. En todos ellos, la legitimación para el tratamiento de los datos personales no será el consentimiento del personal, sino la obligación que le viene impuesta al empleador por este artículo 34.9 del ET.

Si se utilizaran registros basados en sistemas de geolocalización o bien, sistemas en los que se recoge la huella digital, el responsable del tratamiento tiene el deber de informar previamente al personal antes de su incorporación, tal y como nos lo exige la LOPDPGDD en su art.90, que regula el Derecho a la intimidad ante la utilización de estos sistemas. Además, el responsable tendrá que garantizar unas medidas mínimas de seguridad y minimización de datos y realizar una evaluación de impacto en caso de ser necesaria.

La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones

Fuente: https://www.aepd.es/prensa/2019-05-30.html

(Madrid, 30 de mayo de 2019). La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía ‘Drones y Protección de Datos’, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

La Guía pone de manifiesto cómo se ha generalizado el uso de drones en el ámbito civil y el crecimiento exponencial que está experimentando la utilización de estas aeronaves no tripuladas. Estos equipos son susceptibles de incorporar no sólo GPS y cámaras de vídeo sino también escáner 3D o sistemas de detección de dispositivos móviles, y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La Guía publicada por la AEPD proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente.

¿Pueden las Universidades publicar las calificaciones de las asignaturas de los alumnos/as?

La AEPD ha dado respuesta recientemente a esta pregunta en el informe publicado en https://www.aepd.es/media/informes/2019-0030-publicacion-calificaciones.pdf

La consulta acerca de la publicación de los  datos de la calificación de las asignaturas junto con el nombre y apellidos de los alumnos por parte de la Universidad, ya se planteó ante la AEPD en otras ocasiones mientras estaba vigente la LOPD15/1999, en este caso, el tratamiento de los datos de las calificaciones de los alumnos, se consideró una cesión de datos y, como tal, había que solicitar el consentimiento inequívoco de los alumnos para su publicación, salvo que, existiese una ley que permitiera dicha cesión, en ese periodo aún no se había modificado la Ley Orgánica de Universidades 6/2001, y por lo tanto, solo era posible su publicación mediante dicho consentimiento. Tras la modificación de la citada Ley Orgánica, se estableció que no era preciso recabarlo, ya que el legislador reconocía la existencia de un interés público en el conocimiento generalizado de los resultados de las evaluaciones.

La AEPD en el presente informe, siguiendo lo establecido en el RGPD y la LOPDPGDD, ha venido a reafirmar la legitimación del tratamiento por parte de las universidades en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, respetando siempre los principios de limitación de la finalidad, minimización y plazos de conservación.

Vodafone sancionada de nuevo por incumplimiento de la normativa de protección de datos

De nuevo la entidad VODAFONE ONO, S.A.U., ha sido sancionada por la AEPD https://www.aepd.es/resoluciones/PS-00092-2019_ORI.pdf

La AEPD recibe una reclamación presentada por D. A.A.A. en la que expone que, siendo cliente de VODAFONE recibió en la fecha de 10/08/2018 un correo publicitario comercial que incluía las direcciones y nombres de todos los clientes de VODAFONE a los que se dirigía este correo comercial.

En el periodo de investigación se le requiere a la entidad denunciada que aporte toda la información relacionada con los hechos, ésta, presenta un informe en el que consta que a fecha de 31 de enero de 2019 dirigió un escrito al denunciante, pidiéndole disculpas, así como, indicando que se había enviado a la plantilla comercial un comunicado recordando como han de realizarse las comunicaciones comerciales, para evitar que volviera a suceder en el futuro.

La AEPD en su resolución determina que VODAFONE ha vulnerado el principio de confidencialidad. La sanción es considerada como una infracción muy grave, apreciando, además, una falta de diligencia significativa. La multa administrativa alcanzaba la cantidad de 60.000 euros, aunque se redujo a 36.000 euros ya que se aplicaron las reducciones previstas en el acuerdo, en concreto, reconocer la responsabilidad dentro del plazo y el pronto pago.

Vodafone España, S.A.U., obligada a pagar una cuantiosa multa económica por vulnerar el principio de exactitud

La conducta imputable a VODAFONE ESPAÑA, S.A.U, se describe en el procedimiento sancionador, https://www.aepd.es/resoluciones/PS-00411-2018_ORI.pdf.

El reclamante manifiesta que en la fecha de 04/06/2015, solicitó el derecho de cancelación de sus datos a VODAFONE, recibiendo una carta por parte de la entidad en la que se le comunicaba que se había procedido a la cancelación, pese a ese escrito, el reclamante siguió recibiendo SMS de la entidad, más de 200, inclusive durante todo el año 2018.

La AEPD sanciona a VODAFONE por vulnerar el principio de exactitud de los datos, pues no solamente no se canceló, sino que siguió utilizando dicho número para la realización de pruebas de distinta naturaleza, cómo verificar la calidad del proceso, dentro de los servicios de la Tienda Online de VODAFONE.

Se presenta un escrito de reclamación ante la AEPD, el día 23/04/2018, cuando aún no había entrado en aplicación el RGPD, pero como la infracción del uso indebido de los datos por parte de VODAFONE continuó en el tiempo, el reclamante hizo llegar otra reclamación el 25/09/2018 por lo que ya se aplica la norma europea. La cuantía económica alcanzaba los 45.000 euros. Descontando las reducciones contempladas en el RGPD, entre ellas la de pronto pago, finalmente la multa económica ascendió a 27.000 euros.