Blog

Principios generales de las transferencias internacionales de datos.

Los datos personales de los usuarios, cada vez son más valiosos y se transfieren diariamente entre países en un mundo cada vez más globalizado. El aumento de estos flujos de datos transfronterizos puede suponer un menoscabo de los derechos y garantías de los interesados. Con la aplicación del RGPD, como norma común que afecta a todos los países de la zona económica europea, se pretende que el nivel de protección de los derechos de las personas físicas no se vea menoscabado.

Tal y como se recoge en uno de los considerandos del RGPD, las transferencias de datos a terceros países u organizaciones internacionales solamente pueden realizarse cumpliendo con todo lo dispuesto en el Reglamento, especialmente con lo regulado en el Capítulo de transferencias internacionales.

En cada caso concreto habrá que aplicar un procedimiento adecuado para que las transferencias internacionales sean válidas, así, por ejemplo, si enviamos datos a países reconocidos por la Comisión con un nivel de protección adecuado en base a una decisión de adecuación, esta no requerirá ninguna autorización especifica de las Agencias de protección de datos. En posteriores boletines analizaremos los diferentes medios y procedimientos.

¿Se aplica la normativa de protección de datos a las cámaras en tiempo real?

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-camaras-en-tiempo-real.pdf a la consulta planteada acerca de si la reproducción de imágenes en tiempo real que no graban se encuentran sometidas al RGPD.

En este informe, lo primero que se analiza es si el supuesto planteado existe un tratamiento de datos personales.

En Art.4.2 del RGPD define el tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

De la definición anteriormente indicada la AEPD nos indica que, aunque las imágenes no sean grabadas, la reproducción de las mismas en tiempo real supone un tratamiento de datos y por tanto está sometida al RGPD.

Dado que consiste en un tratamiento de datos personales, el Responsable del tratamiento está sometido a ciertas obligaciones y como tal debe efectuar el tratamiento de las imágenes en tiempo real con fines de videovigilancia.

Dentro de este tratamiento, el Responsable del mismo, está obligado a tener un registro de actividades de tratamiento.

También, el Responsable debe facilitar a los interesados un Derecho de información, el cual se efectúa mediante la colocación, en un lugar visible, del correspondiente cartel de videovigilancia y tener a disposición de los interesados impresos en los que se determine la información del mismo.

Cuando nos llega una solicitud de un derecho. ¿Cómo hemos de responder?

Los derechos que puede ejercitar un afectado son los derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición, portabilidad, limitación del tratamiento y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Cada uno de ellos puede ejercerse ante el responsable del tratamiento, delegado de protección de datos e incluso encargado del tratamiento, cuando así se haya previsto en el contrato de acceso a datos.

El plazo para resolver puede variar dependiendo del tipo de derecho solicitado, así, por ejemplo, el derecho de supresión se realizará sin dilación indebida, aunque, en cualquier caso, el plazo para responder será de un mes desde que se recibe la solicitud. Podríamos prorrogarlo dos meses más si fuera necesario, dependiendo de la complejidad del asunto y el número de solicitudes. En este caso, tendremos que informar al interesado de los motivos de la dilación dentro del plazo de un mes desde que recibimos la petición. ¿Qué ocurre si no es posible cursar el derecho solicitado? Tendremos que informar al interesado sin dilación indebida y, a más tardar, dentro del plazo de un mes de las razones por las cuáles no se puede dar respuesta a su derecho. Además, le informaremos de la posibilidad de presentar una reclamación a las autoridades de control.

Qué implica la normativa de protección de datos a los operadores de drones.

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-drones.pdf  a la consulta planteada por una empresa de operadores de drones.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

Un restaurante multado por captación ilícita de imágenes de un trabajador y utilizarlas como base de sanción laboral

La AEPD sanciona al RESTAURANTE LA OLIVA,https://www.aepd.es/resoluciones/PS-00401-2018_ORI.pdf por la captación de forma ilícita de las imágenes de uno sus trabajadores.

La reclamación presentada por el trabajador A.A.A. obedece al hecho de las grabaciones que le fueron realizadas en el interior y exterior del local para utilizarlas como prueba en la sanción disciplinaria que le fue impuesta por la empresa. El reclamante manifiesta que no fue avisado previamente de la instalación de las cámaras de vigilancia con la finalidad de control laboral y que tampoco había carteles informativos.

La AEPD inicia el procedimiento sancionador al RESTAURANTE LA OLIVA por la presunta infracción del art.5.1 a) del RGPD “los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. En la fase de alegaciones, el responsable indica que las videocámaras instaladas no funcionaban correctamente, ya que no tenían el software necesario, añadiendo que las imágenes habían sido tomadas con el móvil particular de otro empleado. La AEPD considera que el reclamado, al decidir sobre la finalidad y uso de las imágenes captadas con el dispositivo móvil, se convierte en responsable de las mismas, por lo que será objeto de aplicación del RGPD. El restaurante no informó al trabajador de la existencia de esas grabaciones, ni de su utilización para el control laboral.

Protección de datos en vacaciones

Fuente: https://www.aepd.es/blog/2019-07-24.html

Con la llegada de las vacaciones de verano cambiamos muchas de nuestras rutinas, viajamos, salimos más, visitamos lugares nuevos y disfrutamos de nuestro tiempo libre junto a familiares y amigos. En esta entrega de nuestro blog os presentamos algunos consejos sobre cómo afrontar situaciones de riesgo para la protección de nuestros datos personales en época estival.

Piensa dos veces antes de compartir una foto o vídeo

La actividad estival hace que la cámara de nuestro teléfono móvil tenga más trabajo del habitual: detalles de los lugares que hemos visitado, gente con la que hemos estado, fiestas a las que hemos asistido, etc. Compartir parte de esas fotografías (o todas) en una red social es algo habitual para algunas personas y entraña algunos riesgos.

Según datos del e Investigaciones Sociológicas (CIS), una de cada cuatro personas (24.5%) se ha arrepentido alguna vez de haber colgado algo en una red social. Te recomendamos que pienses en quién podrá ver tus fotos antes de pulsar el botón de compartir en tus redes sociales. Si tu perfil es accesible para los buscadores, ten en cuenta que cualquiera podrá ver, por ejemplo, las fotos, vídeos o comentarios que publicas. La Agencia dispone de una serie de vídeo tutoriales explicativos elaborados junto a INCIBE en  los que explica cómo accceder a la configuración de privacidad y seguridad de algunos de los servicios más populares en Internet para que tu perfil no se muestre cuando, por ejemplo, introduzcan tu nombre en un buscador.

Una vez que tu perfil ya no sea accesible para los buscadores, piensa también en que las personas a las que das acceso a tu información eligen a su vez quien puede tener acceso a su perfil: amigos, amigos de amigos o todo el mundo. Si compartes una foto con tus seguidores o amigos en una red social y uno de ellos indica que algo le gusta, un amigo de amigo, al que no tienes por qué conocer, puede terminar viendo esa imagen. Y es posible que haya situaciones que quizás no quieres compartir con desconocidos.

Siguiendo con los datos del CIS, un 12.2% de los encuestados afirma haber tenido problemas por contenidos que otros han colgado en una red social. Debemos recordar que necesitamos consentimiento de las personas que aparecen en las fotos que tomamos antes de compartirlas en Internet o de sus padres o tutores en el caso en que aparezcan menores.

¿Se pueden enviar comunicaciones comerciales electrónicas a los clientes sin su consentimiento?

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/2018-0173-comunicaciones-comerciales.pdf  a la consulta planteada por una entidad, en relación con el tratamiento de los datos de sus clientes con fines de mercadotecnia, publicidad y comunicaciones comerciales.

Lo primero que encontramos en este informe es la diferencia entre las comunicaciones comerciales realizadas por vía electrónica de aquellas, que tienen lugar por otros medios, ya que la legitimación y la ley principal que se aplica será diferente.

Las comunicaciones realizadas por vía electrónica, deben regularse por lo dispuesto en el art.21 de la LSSI, con lo que se convierte en ley especial sobre la norma general del RGPD. En este caso, el envío de comunicaciones comerciales solo podrá efectuarse con el consentimiento expreso del interesado o bien, cuando haya existido una relación contractual previa y los datos se hayan obtenido de forma lícita. Las comunicaciones tienen que referirse a productos o servicios de la propia empresa y que sean similares a los que fueron adquiridos con anterioridad.

Por otro lado, las comunicaciones comerciales realizadas por otros medios no electrónicos aplicarán el contenido del RGPD para el tratamiento de datos personales, así será el consentimiento expreso del interesado o bien el interés legítimo de la entidad, cuando no prevalezcan los intereses legítimos del interesado y exista una relación contractual previa.

GESTION DE COBROS, S.L. sancionada con 60.000 euros de multa por infringir la confidencialidad de los datos

La AEPD sanciona ala entidad GESTION DE COBROS,https://www.aepd.es/resoluciones/PS-00121-2019_ORI.pdf

La reclamante Dª.A.A.A., solicitó un mini préstamo por Internet a una empresa denominada “MARIA DINERO.COM”, facilitándole sus datos personales, entre los cuáles se incluía su correo electrónico personal, pero no el de la entidad para la cuál trabaja, “La Universidad autónoma de Barcelona”. En este último correo es donde la entidad sancionada, GESTION DE COBROS, le envía una notificación con la finalidad de reclamar la deuda con el asunto de Morosa. El correo electrónico utilizado tiene carácter corporativo, por lo que todo el personal de la Universidad tiene acceso a su contenido, con lo cuál se ha cometido una infracción muy grave de confidencialidad de los datos de la reclamante.

La AEPD al tener constancia de la reclamación, inicia un periodo de investigación, a partir del cual solicita información de los hechos  a la entidad MARIA DINERO, ésta actúa correctamente, ya que informó a su cliente con carácter previo, que si no devolvía en plazo la cantidad prestada, sus datos serían comunicados a GESTION DE COBROS para recuperarlo, siendo ésta entidad la que no actúa diligentemente, puesto que, al utilizar el email del lugar de trabajo de Dª.A.A.A infringe el art.5.f del RGPD, ya que permitir a terceros, el acceso a los datos personales de la reclamante, causándole daños y perjuicios morales.

¿Qué son Las brechas de seguridad?

El término de brecha de seguridad se define en el art.4.12 del RGPD, como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, la conservación o tratamiento de forma ilícita, así como la comunicación o el acceso no autorizado a los datos, para que sea tenida en cuenta como brecha de seguridad, debe afectar a datos de carácter personal.

¿Qué han de tener en cuenta el responsable y encargado del tratamiento ante una brecha de seguridad?  Independientemente del tamaño de la entidad y de la gravedad y consecuencias del incidente, el responsable y encargado del tratamiento lo tienen que dejar documentado en el registro de incidencias, incluyendo entre otros datos, los hechos relacionados con el incidente, sus efectos y las medidas correctivas que se han adoptado. Así, por ejemplo, la pérdida de un ordenador portátil, el acceso de un empleado no autorizado a la base de datos y su borrado, el envío de un e_mail a un destinatario incorrecto, constituyen todas brechas de seguridad que deben documentarse. Este documento lo pondremos a disposición de la autoridad de control, cuando ésta nos lo requiera, y verificar así, que cumplimos con lo dispuesto en la norma.

¿Se tienen que realizar auditorías de seguridad y cumplimiento de la normativa de protección de datos?

El responsable y encargado del tratamiento deben ser proactivos y cumplir con la normativa de protección de datos, en este sentido una de las obligaciones que nos exige el reglamento es garantizar la seguridad de los datos personales.
En el art.32 del RGPD se identifican algunas de las medidas técnicas y organizativas que el responsable y encargado del tratamiento deben aplicar para conseguir un nivel adecuado de seguridad, entre ellas:
32.1.d Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.
En este sentido, el Reglamento se está refiriendo a las auditorías como una de las medidas técnicas que se deben aplicar para salvaguardar la información.
A lo largo del articulado del RGPD, también se pueden encontrar otras referencias a las auditorías, cuando nos indica, en el art. 28 del RGPD, que una de las cláusulas del contrato de acceso a datos por cuenta del responsable, el encargado del tratamiento permitirá y contribuirá a la realización de auditorías, incluidas las inspecciones por parte del responsable o incluso de otro auditor autorizado por dicho responsable.
Así mismo en el art.24 del RGPD, se recoge que el responsable aplicará las medidas adecuadas, con el fin de garantizar y demostrar que el tratamiento es conforme con el RGPD, dichas medidas se revisarán y actualizarán cuando sea necesario.