La AEPD atribuye una infracción grave al Ayuntamiento de Castilleja de la Cuesta en Sevilla

La Agencia Española de Protección de Datos ha resuelto que el Ayuntamiento de Castilleja de la Cuesta, incurrió en 2016 en una infracción grave de la Ley Orgánica de Protección de Datos, al comunicar conjuntamente a varios policías locales el cambio de su situación laboral, aludiendo a las causas médicas de uno de los casos pese a que la notificación llegaba por igual a varios policías.

ACCEDER A LA RESOLUCIÓN

Protección de Datos priorizará los acuerdos sobre las multas

El Ministerio de Justicia y la Agencia Española de Protección de Datos (AEPD) siguen sin dar ninguna pista sobre el contenido de la nueva Ley Orgánica de Protección de Datos (LOPD). Su primer borrador, si se cumplen -esta vez sí- las previsiones, verá la luz en las próximas semanas. Mientras, empresas y profesionales aguardan con impaciencia cómo se concretarán algunos aspectos que el Reglamento General de Protección de Datos (RGPD), que será de plena aplicación en mayo de 2018, cuya aplicación práctica requiere definir o precisar.

La directora de la Agencia, Mar España, tan sólo avanzó ayer que el texto “apuesta por impulsar la solución amistosa de conflictos” frente a las sanciones, y que no sólo se limitará a implementar el RGPD, sino que abordará otros ámbitos de la privacidad para dar mayor seguridad jurídica al sector.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: EL ECONOMISTA

La AEPD publica dos documentos que recogen las obligaciones del Reglamento de Protección de Datos para las AAPP

La Agencia Española de Protección de Datos quiere fomentar que estas entidades conozcan las implicaciones prácticas de la nueva normativa, de forma que puedan tomar las medidas necesarias.

  • ‘El impacto del RGPD sobre la actividad de las AAPP’ sintetiza en 15 puntos los aspectos que deben tener establecidos el 25 de mayo de 2018.
  • ‘El Delegado de Protección de Datos en las AAPP’ recoge la posición, las funciones las funciones y las cualidades profesionales de una figura que será obligatoria para las administraciones.

La necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que realizan, con exigencias adicionales en el caso de los datos especialmente protegidos; ofrecer a los ciudadanos una información más amplia de la que actualmente se ofrece y hacerlo de forma concisa, transparente y con un lenguaje claro; establecer mecanismos sencillos para que los ciudadanos puedan ejercer sus derechos; realizar análisis de riesgos de todos los tratamientos de datos que lleven a cabo y revisar las medidas de seguridad establecidas; establecer un registro de actividades y designar a un Delegado de Protección de Datos, entre otros puntos, son algunos de los aspectos recogidos en el texto.

En este sentido, el segundo documento está centrado en ‘El Delegado de Protección de Datos en las Administraciones Públicas’. El Reglamento establece como obligatoria la designación de esta figura en el caso de autoridades u organismos públicos. En consecuencia, la designación de los DPD en el ámbito público debería producirse con antelación al 25 de mayo de 2018.

La regulación del Delegado de Protección de Datos que establece el Reglamento es válida tanto para entidades privadas como para autoridades y organismos públicos, si bien hay algún aspecto en el que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades. El documento recoge de manera sistemática la posición y las funciones del DPD puntualizando los aspectos propios de las administraciones, además de abordar las cualidades profesionales que debe tener esta figura.

Ambos documentos se suman a los recursos de ayuda que la Agencia ya tiene disponibles en su sección específica sobre el Reglamento para ayudar a las entidades, tanto públicas como privadas, a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Declaración común del Grupo de Contacto de las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica

El 13 de noviembre de 2014 Facebook anunció una revisión global de su política de privacidad, su política de cookies y sus términos de uso. Tras este anuncio, se creó un Grupo de Contacto a nivel europeo formado por las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica. Los miembros del Grupo de Contacto han iniciado investigaciones nacionales relacionadas, entre otros aspectos, con la calidad de la información facilitada a los usuarios, la validez del consentimiento y el tratamiento de datos personales con fines publicitarios. Tres de los miembros publican hoy los resultados (Francia, Bélgica y Holanda).

Resultados de los procedimientos nacionales

En Francia el Comité Restringido de la CNIL ha decidido imponer una sanción de 150.000 euros a Facebook Inc. y Facebook Ireland Limited. El Comité Restringido considera que el Grupo Facebook no tiene una base legal para combinar la información de la que dispone con los titulares de las cuentas para mostrar publicidad específica. También encuentra que el Grupo Facebook realiza un seguimiento ilegal de los usuarios de internet a través de la cookie datr. El banner de la cookie y la mención de la información recopilada “dentro y fuera de Facebook” no permiten a los usuarios entender claramente que sus datos personales son recopilados sistemáticamente tan pronto como navegan en un sitio web de terceros que incluye un plug-in social.

En Bélgica, la Comisión de Privacidad de Bélgica ha emitido hoy nuevas recomendaciones al Grupo Facebook sobre el seguimiento de usuarios y no usuarios de la red social a través de cookies, plug-ins sociales y píxeles, siguiendo los cambios realizados por Facebook en septiembre de 2015 y mayo de 2016, después de las primeras recomendaciones realizadas el 15 de mayo de 2015. La Comisión de Privacidad de Bélgica considera que Facebook sigue incumpliendo la legislación belga y de la UE sobre protección de datos en lo que respecta al seguimiento de usuarios y no usuarios de Facebook a través de cookies, plug-ins sociales y píxeles. En particular, no se cumplen los requisitos legales relativos al consentimiento, el tratamiento justo, la transparencia y la proporcionalidad, entre otros, debido a las deficiencias en la información que Facebook proporciona a los interesados y a la insuficiencia de las opciones que ofrece.

La Comisión de Privacidad de Bélgica considera además que la recopilación de datos personales por parte de Facebook utilizando cookies, plug-ins sociales y píxeles es excesiva en varias circunstancias. La Comisión de Privacidad está solicitando la ejecución judicial de sus recomendaciones ante el Tribunal de Primera Instancia de Bruselas. La vista oral se celebrará del 12 al 13 de octubre de 2017.

En Holanda, el Grupo Facebook viola la legislación holandesa sobre protección de datos. Esa es la conclusión de la Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) después de su investigación sobre el tratamiento de datos personales de 9,6 millones de usuarios de Facebook en Holanda. La empresa viola la legislación holandesa sobre protección de datos, incluyendo no ofrecer información suficiente a los usuarios sobre el uso de sus datos personales. La Autoridad holandesa también ha encontrado que Facebook utiliza datos personales confidenciales de los usuarios sin su consentimiento explícito. Por ejemplo, los datos relativos a las preferencias sexuales se utilizaron para mostrar anuncios específicos. El Grupo Facebook ha realizado cambios para poner fin al uso de este tipo de datos para este propósito. La Autoridad holandesa evalúa actualmente si las otras violaciones han cesado. Si no fuera así, la Autoridad holandesa puede decidir emitir una sanción.

En Hamburgo (Alemania), la Autoridad de Hamburgo ha emitido dos órdenes diferentes relacionadas con el Grupo Facebook. Un caso se centró en el uso de seudónimos. Facebook apeló contra la decisión. El Tribunal Superior Administrativo levantó la orden para permitir el uso de seudónimos, sin tomar una decisión sobre la cuestión de si la Autoridad de Hamburgo era competente. En cambio, el Tribunal se refirió al procedimiento en curso ante el Tribunal de Justicia de la Unión Europea para decidir sobre el derecho aplicable (en el caso de la Autoridad de Schleswig Holstein, asunto EU-CJ C-210/16) (*1). En un segundo procedimiento, la Autoridad de Hamburgo ordenó al Grupo Facebook que dejara de combinar datos de los usuarios de WhatsApp sin su consentimiento previo. El 25 de abril de 2017, el Tribunal Administrativo (inferior) confirmó la validez de esta orden, sin decidir sobre la ley aplicable (*2).

En España, la Agencia Española de Protección de Datos ha abierto dos procedimientos de infracción tras las investigaciones preliminares sobre la política de privacidad y las condiciones de uso de Facebook. Estos procedimientos, teniendo en cuenta los resultados de las investigaciones, se basan en la supuesta infracción de las disposiciones de la legislación española en materia de protección de datos.

SEGUIR LEYENDO LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 

La AEPD e ISMS Forum Spain publican un ‘Código de buenas prácticas en protección de datos para proyectos de Big Data’

La Agencia Española de Protección de Datos (AEPD) e ISMS Forum Spain han editado conjuntamente un código de buenas prácticas en colaboración con empresas y profesionales independientes, orientado a asesorar en materia de protección de datos a todas aquellas entidades que se estén planteando poner en marcha proyectos de Big Data. El documento toma como referencia el nuevo Reglamento Europeo de Protección de Datos, que será aplicable el 25 de mayo de 2018.

Las iniciativas basadas en Big Data pueden aportar beneficios sociales en sectores clave y nuevas posibilidades de negocio a las organizaciones a partir del análisis de grandes cantidades de datos a los que se aplican algoritmos con el fin de establecer correlaciones o elaborar patrones. Sin embargo, también surgen dudas y preocupaciones sobre usos que pueden no ser lícitos por realizarse sin respaldo legal o por generar abusos, como la modificación de precios de un producto en función de lo que esté dispuesto a pagar un usuario al que previamente se ha analizado.

En este sentido, la generación de perfiles de consumidores o profiling es sin duda uno de los usos principales del Big Data, y puede entrañar riesgos por posibles tratamientos basados en predicciones si se utilizan de forma discriminatoria excluyendo a sectores minoritarios apoyándose en los datos analizados. Teniendo en cuenta estos aspectos, el desarrollo y la puesta en marcha de proyectos de Big Data implica una importante responsabilidad para aquellas entidades que los implementan, que deben preservar la privacidad de las personas adoptando acciones y soluciones de tipo jurídico, organizativo y técnico.

El Código de buenas prácticas en protección de datos para proyectos de Big Data de la AEPD e ISMS Forum Spain constituye un punto de partida de referencia práctica para las empresas, con un primer bloque que incluye el régimen jurídico aplicable y cuestiones clave como la definición del responsable del tratamiento de los datos y el encargado. También se analizan las principales implicaciones derivadas de los tratamientos basados estas técnicas, como el origen, calidad y conservación de los datos; la procedencia de los mismos; la trasparencia que se debe ofrecer en la información previa facilitada a los afectados; la obtención del consentimiento de estos o, en su caso, el interés legítimo para tratar esos datos; los usos no previstos en el momento inicial, y el ejercicio de derechos por parte de los ciudadanos cuya información se está tratando.

El segundo bloque examina los aspectos que deben tener en cuenta las entidades que van a utilizar Big Data para garantizar la protección de datos y la privacidad de los ciudadanos, destacando principios como la privacidad desde el diseño o la responsabilidad de las entidades a la hora de establecer mecanismos de garantía y cumplimiento de las obligaciones de protección de datos (accountability). Igualmente, el documento detalla, entre otros aspectos, la necesidad de realizar evaluaciones de impacto en proyectos de este tipo para minimizar los riesgos o la posibilidad de optar por la anonimización irreversible de los datos. El Código finaliza con una revisión de las medidas tecnológicas imprescindibles en materia de privacidad y seguridad para crear un entorno adecuado de confianza para el desarrollo de tecnologías Big Data.

El Código de buenas prácticas en protección de datos para proyectos de Big Data se presentará hoy en el marco de la XIX Jornada Internacional de la Seguridad de la Información, organizada por ISMS Forum, y contará con la participación de Mar España, directora de la Agencia Española de Protección de Datos, y Carlos A. Saiz, director del Data Privacy Institute de ISMS Forum.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Fiscalía investiga filtraciones a una farmacéutica de datos de pacientes en Andalucía y Extremadura

La Fiscalía Superior de Justicia de Andalucía ha abierto una investigación por la presunta difusión ilícita de información confidencial sobre pacientes y más de 250 funcionarios de la Sanidad andaluza y extremeña.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: EL CONFIDENCIAL DIGITAL

La AEPD celebrará su 9ª Sesión Anual Abierta el próximo 25 de mayo

La Agencia Española de Protección de Datos celebrará, el próximo 25 de mayo, su 9ª Sesión Anual Abierta, que tendrá lugar en el Centro de Conferencias Fundación Pablo VI (Paseo de Juan XXIII, 3, de Madrid). En esta edición se abordarán de manera detallada, entre otros temas, las novedades del Reglamento General de Protección de Datos y, especialmente, su implementación práctica en las organizaciones, así como las actividades realizadas por la Agencia, las novedades legislativas y jurisprudenciales, y los principales retos que afronta este derecho fundamental.

La Sesión está dirigida a representantes de instituciones, empresarios, profesionales de la protección de datos y ciudadanos interesados en la materia. Durante el evento se entregarán los ‘Premios Protección de Datos 2016’. Estos galardones, que alcanzan su XX edición, reconocen los trabajos que promueven en mayor medida el conocimiento y la investigación de este derecho fundamental.

El formulario de inscripción para asistir a la Sesión Anual se habilitará a finales de abril.

La Agencia de Protección de Datos multa a una web por usar ‘cookies’ sin el consentimiento de los usarios

La Agencia Española de Protección de Datos (AEPD) ha multado con 5.000 euros a la web Lolabits.es por usar cookies —archivos de texto que se instalan en el ordenador cuando se visita una página— sin el consentimiento informado de los usuarios. El portal se publicitaba como una página de almacenamiento de archivos al estilo de Dropbox, y estaba cerrada desde 2016.

La resolución de la AEPD imputa a los propietarios de la web, Abelhas.Pt Limited, radicada en Chipre, la infracción del artículo 22.2 de la ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), que dispone que los prestadores de servicios pueden recuperar datos de los equipos terminales de los destinatarios siempre que haya un consentimiento informado.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: ELPAIS.COM

La AEPD lanza un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones

Con motivo de la celebración del Día mundial de los derechos de los consumidores el 15 de marzo, la Agencia Española de Protección de Datos (AEPD) ha publicado un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones.

La creación de esta sección forma parte del conjunto de iniciativas adoptadas por la Agencia para fomentar la concienciación de los ciudadanos sobre las garantías y los derechos que les asisten y cómo ejercerlos. Por un lado, una gran parte de las denuncias que recibe la Agencia en asuntos como la inserción indebida en ‘ficheros de morosidad’ o la contratación irregular tiene relación con el sector de las telecomunicaciones y, por otro, al haber varios organismos públicos con competencias en esta materia, resulta fundamental que el ciudadano conozca ante qué organismo debe presentar su reclamación en función de las causas que la motivan.

La Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD), la AEPD y los organismos de consumo son las principales entidades públicas con competencias en materia de telecomunicaciones, cada una en sus respectivos ámbitos. Para que el ciudadano pueda obtener una respuesta adecuada a su reclamación es esencial que la plantee ante el organismo adecuado, así como aportar la máxima documentación posible.

La página está dividida en cuatro espacios: Qué puedo reclamar y Dónde debo dirigirme; Cómo puedo reclamar; Preguntas frecuentes, donde los ciudadanos encontrarán la respuesta a casos concretos; y Qué documentación tengo que presentar en caso de contratación irregular o fraudulenta, por deudas derivadas de servicios de telecomunicaciones o por inclusión indebida en guías de abonados.

El espacio web ha sido elaborado por la AEPD en colaboración con la SESIAD y la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) con el objetivo de que los consumidores y usuarios sepan desde el primer momento ante qué organismo pueden reclamar sus derechos en función de su problema concreto (disconformidad con la factura recibida, incumplimiento de oferta, contratación irregular de un servicio, información engañosa, cláusulas abusivas, etc.) La Agencia recuerda además que, en el caso de plantear una reclamación, su tramitación será más ágil cuantas más pruebas o indicios pueda aportar el usuario.

La inserción indebida en ficheros de morosidad y la contratación irregular, dos de las áreas en las que la Agencia tiene competencias, se encuentran entre las principales reclamaciones que plantean que los ciudadanos ante este organismo. Hay que tener en cuenta que la incorporación a un fichero de este tipo tiene unos efectos especialmente negativos para los consumidores, por lo que la Agencia considera que las empresas deben actuar con especial diligencia ante este tipo de situaciones.

Según datos de la última Memoria de la AEPD, uno de cada tres afectados denunció ante la Agencia por cuestiones relacionadas con el ámbito de la morosidad, en particular la inclusión indebida en ficheros de solvencia, la reclamación de deudas o la contratación irregular en servicios ofrecidos por operadoras de telecomunicaciones, entidades financieras o compañías energéticas.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica la guía ‘Protección de datos y administración de fincas’ para facilitar a este sector el cumplimiento de la normativa

La Agencia Española de Protección de Datos (AEPD) ha publicado la guía ‘Protección de datos y administración de fincas’, un documento que forma parte del conjunto de iniciativas adoptadas por la Agencia para facilitar y fomentar el cumplimiento de la normativa de protección de datos.

La información referente a comunidades de propietarios es uno de los temas más consultados en el catálogo de preguntas frecuentes de la página web de la Agencia.  La AEPD considera que publicar una guía orientada a abordar la protección de datos en las comunidades de vecinos a través de los administradores de fincas contribuye tanto a facilitar el trabajo de estos, ofreciéndoles una información ajustada a sus necesidades, como a mejorar el nivel global de protección de los ciudadanos. Según datos del Consejo General de Colegios de Administradores de Fincas, estos gestionan el 80% del parque total de viviendas en España.

‘Protección de datos y administración de fincas’ aborda en primer lugar cuestiones generales de la normativa de protección de datos que se aplican a los administradores de fincas, que actúan por cuenta de las comunidades de propietarios. En este sentido, se incluyen secciones dedicadas a las definiciones de conceptos básicos, a la inscripción de ficheros y el futuro registro de actividades, a la forma de organizar las relaciones entre la comunidad de propietarios y el administrador, y a las principales obligaciones de las partes.

Por otro lado, la guía analiza con detalle algunos supuestos específicos que se plantean con frecuencia ante la Agencia, tanto en forma de consulta como de denuncia: información sobre propietarios con pagos pendientes (publicación en el tablón de avisos de la finca de la identidad de los propietarios deudores y/o de las cuotas vencidas e impagadas), acceso y obtención de copias de la documentación de la comunidad, requisitos para la instalación de cámaras de videovigilancia o tratamiento de datos de empleados.

Aplicación del nuevo Reglamento europeo

El documento recoge la normativa de protección de datos vigente, incorporando también  referencias al Reglamento General de Protección de Datos, que será aplicable a partir del 25 mayo de 2018 y que supone una gestión distinta de la que se realiza en la actualidad.

Esta guía puede complementarse con directrices y materiales adicionales destinados a apoyar a las entidades en su adaptación a la nueva normativa. Algunos de ellos pueden ser ya consultados y utilizados por las empresas, incluido el colectivo al que va dirigida esta guía. Así, la Agencia ha publicado recientemente la Guía del Reglamento europeo para responsables de tratamiento, la Guía para el cumplimiento del deber de información y la Guía para la elaboración de contratos entre responsables y encargados. Todas ellas están disponibles en la página web de la AEPD y pueden proporcionar un apoyo útil como complemento a esta guía y de cara al futuro marco normativo.

Por otra parte, ‘Protección de Datos y administración de fincas’ es la primera de una serie de guías sectoriales que va a publicar la Agencia a lo largo de 2017, y que abordarán, entre otras materias, el tratamiento de datos en centros docentes, la videovigilancia o la presentación de quejas y reclamaciones en el ámbito de las telecomunicaciones. En cualquier caso, la Agencia Española efectuará una revisión de esta guía para adaptarla plenamente al nuevo Reglamento Europeo en los meses anteriores a su efectiva aplicación.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS