Blog

Sancionada con 6.000 euros una entidad por no notificar a sus clientes ni a la AEPD el hackeo a su cuenta de correo

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00122-2020.pdf instruido por la AEPD, se sanciona a SAUNIER-TEC, MANTENIMIENTOS DE CALOR Y FRIO, S.L.(el reclamado), por no notificar una brecha de seguridad. La sanción impuesta fue de 6.000 euros.

La reclamante presenta escrito de reclamación ante la AEPD alegando que había recibido una serie de emails solicitando una serie de cambios en sus datos personales, incluyendo su número completo de cuenta bancaria. El dominio desde el cual le llegó el correo tenía una extensión diferente, lo que indicaba que no eran emails oficiales enviados por la empresa SAUNIER-TEC. La reclamante se puso en contacto con la entidad para conocer de la brecha de seguridad y no recibió respuesta del responsable de protección de datos. La AEPD a la vista de los hechos, admite a trámite la reclamación e inicia el procedimiento sancionador contra la entidad por infringir los artículos 33 y 34 del RGPD, los cuales regulan cómo y cuándo ha de notificarse la brecha de seguridad que puedan suponer un riesgo para los derechos y libertades de las personas físicas. En este caso, la AEPD determina que, dada la categoría de datos afectados, datos bancarios y el número de afectados por la brecha, se tendría que haber notificado a los afectados.

IMPORTANTE

El responsable ha de notificar a la AEPD las brechas de seguridad antes del plazo de 72 horas desde su conocimiento.

Responsable del tratamiento y encargado del tratamiento

La normativa en protección de datos, en concreto el RGPD y nuestra Ley Orgánica LOPDGDD, define las obligaciones y responsabilidades de cada uno de los principales sujetos en el tratamiento de los datos.

En el art.4 del RGPD se define al responsable del tratamiento, como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales siguiendo las instrucciones del responsable.

En la LOPDGDD existe un apartado, denominado “disposiciones aplicables a tratamientos concretos”, en el cual, la normativa indica cómo tienen que actuar el responsable y encargado en relación con los datos personales y esos tratamientos.

¿Puedo conservar un currículum en el que se incluye el dato sobre el estado de inmunidad frente a la COVID-19?

Actualmente, se están viviendo situaciones paradójicas en materia de protección de datos debido a la pandemia que estamos sufriendo por la COVID-19.

Recientemente, la AEPD se ha pronunciado en un comunicado a cerca del tratamiento de datos de salud incluidos en el currículum vitae de los solicitantes a un empleo.

El dato de salud en cuestión, es el referido al estado de inmunidad frente a la enfermedad.

Primero, el responsable de una entidad no puede solicitar este dato para incluirlo dentro del proceso de selección como un requisito, ya que, se estaría llevando a cabo un tratamiento de datos de categorías especiales sin una finalidad legitima. Por otro lado, la legitimación del tratamiento es ilícita. Este supuesto no puede fundamentarse en el consentimiento del candidato, no sería válido, puesto que en esta situación no se daría libremente. Tampoco se podría alegar una necesidad para la celebración del contrato y aplicar las medidas de prevención. El responsable debe mantener la seguridad en su centro de trabajo, respecto de sus trabajadores y el futuro candidato aún no lo es.

En segundo lugar, cuando un responsable reciba un currículum vitae incluyendo este dato sobre el estado de inmunidad del candidato debería eliminarlo de su base de datos.

Es posible ceder datos telefónicos al CIS para realizar encuestas telefónicas?

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2020-0049.pdf por el CIS (Centro de Investigaciones Sociológicas) ante la necesidad de acceder a los listados de teléfono para la realización de las  encuestas pre electorales vascas y gallegas.

La AEPD resuelve si esta cesión es legítima y si cumple con las garantías para su realización conforme a la normativa de protección de datos.

El CIS justifica que debido a la situación especial derivada por la COVID-19 y las restricciones del estado de alarma, las encuestas no se pueden realizar mediante visita personal, tal y como marca la normativa que regula la función estadística. por otro lado, la utilización del correo ordinario para este tipo de estudios no se ajustaría a los objetivos de la encuesta. Por eso entiende, que la única posibilidad es realizar mediante llamada telefónica. En este sentido, la AEPD señala en su informe, que la justificación planteada por el CIS es adecuada.

Además, la AEPD indica que se deben aplicar los principios del RGPD, como es el de minimización de los datos. Solamente se facilitará el número de teléfono y la provincia, pero no su titular; se dará acceso a un porcentaje que se ajuste a la muestra y se podrán conservar el tiempo necesario para hacer el trabajo de campo, hasta un máximo de 30 días. Se tendrán en cuenta, por otro lado, las garantías propias de la función estadística.

Un hotel sancionado por ubicar una cámara de videovigilancia grabando parte de la vía pública

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00369-2019.pdf instruido por la AEPD, se sanciona a CASA GRACIO OPERATION, SLU (el reclamado), por la colocación de cámaras de videovigilancia grabando parte de la vía pública.

En este caso, el reclamante, una comunidad de propietarios, alegaba que las cámaras de videovigilancia de dicho hotel recogían imágenes de la vía pública, así como parte de la puerta de entrada a su comunidad. Para ello, en su escrito, presentó fotografías de la ausencia de carteles y de la ubicación de los dispositivos de videovigilancia y sus modelos.

La AEPD admite a trámite la reclamación e inicia un proceso de investigación. La reclamada presentó pruebas alegando que las cámaras cumplían con la normativa de protección de datos. Después de realizar las oportunas comprobaciones, la AEPD estima que no es así, ya que las cámaras instaladas tipo Domo poseen máscaras de privacidad que no son las adecuadas para la protección de los datos personales, puesto que recogen un perímetro mayor del permitido.

Se vulnera uno de los principios básicos del RGPD que es el de la minimización de datos, ya que las imágenes que captan estas cámaras son excesivas para cumplir con la finalidad de videovigilancia del Hotel. Se sanciona con 10.000 euros. El reclamado acepta su responsabilidad por lo que la cantidad al final fue menor.

La protección de datos desde el diseño y por defecto

El responsable del tratamiento, en virtud de su responsabilidad proactiva, debe definir anticipadamente y de forma preventiva el tratamiento de los datos personales. En las primeras fases del diseño de las operaciones del tratamiento, se tendrán que aplicar las medidas técnicas y organizativas que garanticen la protección de los datos personales desde el primer momento. Esto es lo que se denomina protección de datos desde el diseño.

¿Qué significa entonces, el concepto por defecto? El responsable en este caso, debe garantizar que los datos se traten con la mayor protección de la intimidad posible. Es decir, solamente se tratarán los datos necesarios para la finalidad del tratamiento, el plazo de conservación será el mínimo imprescindible y la accesibilidad a esos datos será limitada.

¿Y cómo puede el responsable aplicar estos principios y demostrar además su cumplimiento? Lo puede hacer mediante la realización de la Evaluación de Impacto de protección de datos regulada en el art.35 del RGPD. En determinados supuestos la evaluación de impacto resultará obligatoria, en particular, cuando se vayan a utilizar nuevas tecnologías que entrañen un alto riesgo para los derechos y libertades de los interesados.

¿Podríamos difundir la identificación de un trabajador/a afectado por el COVID-19?

A lo largo de la evolución de la pandemia originada por el Covid-19 han surgido muchas dudas acerca del tratamiento de los datos personales relacionados con la salud de los trabajadores/as de las empresas.

El responsable de la entidad, en aplicación de la normativa de prevención de riesgos laborales, debe garantizar la seguridad y la salud de su centro de trabajo, para ello aplicará las medidas adecuadas al nivel de riesgo de su entidad, que vengan determinadas por los servicios de prevención de riesgos laborales y de la salud. En el caso de que uno de los trabajadores/as estuviera afectado por el virus, su identificación personal, solamente se realizará a las autoridades competentes, en concreto a las sanitarias.

La AEPD, en su apartado de consultas frecuentes, indica que en el caso de que no sea posible cumplir con el objetivo de garantizar la seguridad en el centro de trabajo sin identificar al afectado/a, se podrá proporcionar esa información identificativa.

Por otro lado, el personal laboral que se encuentre en alguna de estas situaciones, que presenten síntomas compatibles con Covid-19 o estén en aislamiento domiciliario o bien hayan tenido contacto estrecho con alguna persona infectada, deberán ponerlo en conocimiento del responsable.

La AEPD analiza por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria

(Madrid, 1 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección de oficio de la atención sociosanitaria’, que analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos.

Las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

¿Es legal publicar en un tablón de la empresa un listado de productividad de los empleados/as?

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2018-0183.pdf por una entidad que se dedica a la comercialización de productos derivados del cerdo ibérico puro (con un alto valor económico).El responsable de la empresa pretende publicar semanalmente en el tablón de anuncios existentes en la sala de deshuesado, la productividad de cada persona según el número de sobres de jamón/paleta loncheado que hayan realizado.

Al final de mes el Departamento de Recursos Humanos pagará una prima de productividad. El objetivo de la publicación es generar una competitividad sana entre los empleados/as y, además, transparencia en la obtención de la prima.

Ante este planteamiento, la AEPD estima que la publicación de esos datos que consiste en el número de matrícula (dato conocido por el propio trabajador/a y el Departamento de Recursos Humanos) estaría legitimado en el interés legítimo del responsable (art.6.1. f del RGPD), que consiste en generar una competitividad sana que ayude a mejorar la productividad general. También hace referencia al interés legítimo del personal laboral, puesto que pueden conocer su propio rendimiento y se garantiza la transparencia en la obtención de la prima económica. La AEPD da unas pautas para su publicación recomendando que se haga solamente en el tablón de anuncios de la Sala en la que se desarrolla la actividad laboral.

Primera sanción por no tener nombrado un Delegado de Protección de Datos

En el reciente procedimiento sancionador https://www.aepd.es/es/documento/ps-00417-2019.pdf instruido por la AEPD, se sanciona a la entidad GLOVOAPP23, (en adelante el reclamado) por no tener designado un Delegado de Protección de Datos (en adelante DPD).

Está aumentando la conciencia de los usuarios respecto de la protección de sus datos personales, cada vez se preocupan más por conocer qué hacen los responsables con sus datos y cómo ejercer sus derechos reconocidos en el RGPD y LOPDGDD. Este es el caso de dos reclamantes que se dirigieron a la AEPD para poner en su conocimiento, que la entidad GLOVO no tenía nombrado un DPD al que dirigir las reclamaciones.

La AEPD en virtud de su potestad investigadora solicitó a la reclamada que presentara las alegaciones oportunas. La entidad, en su escrito de contestación a la reclamación, alegaba que había constituido un Comité de Protección de Datos que realizaba las funciones propias de un DPD, además, indicaba en ese escrito, que su actividad no estaba incluida dentro de los supuestos de designación obligatoria de DPD.

Finalmente, la AEPD determina en su resolución que la reclamada está obligada a nombrar un DPD, puesto que lleva a cabo un tratamiento de datos habitual y sistemático de interesados, considerado a gran escala. Es la primera sanción de este tipo y alcanza la cuantía de 25.000 euros.