Entradas

La AEPD analizará el cumplimiento de la protección de datos en servicios financieros y en la contratación telefónica y por internet

La Agencia Española de Protección de Datos (AEPD) ha acordado el inicio de dos planes sectoriales de oficio centrados, el primero de ellos, en el sector de las entidades financieras, y al que se suma otro que analizará las contrataciones realizadas de forma telefónica y a través de internet.

Las inspecciones de oficio realizadas por la AEPD, que no tienen carácter sancionador sino preventivo, analizan el cumplimiento de la normativa de protección de datos en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal. La finalidad es elevar el nivel de protección de los ciudadanos analizando para ello cómo tratan sus datos las organizaciones.

Servicios financieros

El plan sectorial sobre servicios financieros tiene como base las denuncias que recibe la Agencia relacionadas con el sector de la actividad crediticia, que suponen un tercio del total de las casi 8.000 que se presentan anualmente y que ponen de manifiesto que con frecuencia se descuidan las garantías en materia de protección de datos de los afectados.

Las organizaciones involucradas son las entidades financieras, pero también aquellas que dan soporte o participan en actividades de crédito. Además, se evidencia la expansión del mercado de los microcréditos, con plataformas que utilizan soportes digitales y mecanismos de autenticación a través de internet que presentan retos no sólo en la forma de identificar a los usuarios sino en la forma en la que se tratan esos datos.

Contratación a distancia

En cuanto al plan sectorial de oficio sobre contratación a distancia de productos y servicios (de forma telefónica y a través de internet), hay que tener en cuenta que un 40% de los españoles realiza compras online de forma habitual, según datos del Ministerio de Energía Turismo y Agenda Digital, y que España es el cuarto país de Europa en utilización de la Red para la compra de productos.

Los grandes sectores económicos, entre los que se incluyen las compañías de telecomunicaciones, entidades aseguradoras o comercializadoras de suministros energéticos, están inmersos en procesos de explotación de las nuevas tecnologías para la contratación de productos y servicios. La Agencia considera que un adecuado desarrollo e implantación de estos nuevos modelos de negocio debe ser compatible con los derechos fundamentales de los ciudadanos.

En último término, uno de los objetivos de estos dos planes será el de recomendar la adopción de medidas que aporten las suficientes garantías a los consumidores en cuanto a la protección de sus datos personales lo que, a su vez, redundará en un servicio de mayor calidad, de forma que la sencillez y agilidad que caracteriza la contratación y gestión de los productos se haga sin menoscabo de las garantías y requerimientos que la normativa sobre protección de datos impone.

Ambas inspecciones sectoriales evaluarán, asimismo, cómo se están adaptando las empresas que operan en estos sectores a los requisitos legales establecidos en el nuevo Reglamento General de Protección de Datos, que será aplicable el 25 de mayo de 2018. Con la realización de estas inspecciones, la Agencia quiere fomentar un cumplimiento más eficaz del derecho a la protección de datos, especialmente en ámbitos o sectores con un gran impacto en los ciudadanos, un objetivo recogido en su Plan estratégico 2015-2019.

La AEPD publica los resultados de la primera inspección sectorial en Europa sobre servicios cloud en el ámbito educativo

La Agencia Española de Protección de Datos ha publicado hoy los resultados de la primera inspección sectorial en Europa sobre servicios de cloud computing en el ámbito educativo, un plan realizado con el objetivo de evaluar el grado de cumplimiento de la normativa de protección de datos en un entorno complejo caracterizado por la pluralidad de actores que intervienen, el gran volumen de datos que se maneja y la tipología de los mismos.

La aplicación de las tecnologías en este sector, y en particular el cloud computing, aporta perspectivas innovadoras para mejorar los procesos de enseñanza y aprendizaje. No obstante, la utilización de estos recursos también puede implicar importantes riesgos para la privacidad que es necesario abordar para facilitar el cambio al entorno digital y contribuir al desarrollo de estos nuevos modelos en un marco respetuoso con los derechos de los afectados.

Las estadísticas publicadas por el Ministerio de Educación, Cultura y Deporte hablan de aproximadamente ocho millones de estudiantes no universitarios en España, lo que pone de manifiesto el volumen de datos que son susceptibles de ser objeto de tratamiento. Asimismo, los avances tecnológicos aplicados en el sector educativo en los últimos años han supuesto un cambio sustancial en los procesos de enseñanza y aprendizaje, con tecnologías que emergen y evolucionan rápidamente, y que permiten obtener información sobre perfiles de aprendizaje del alumnado. En este escenario, además, cobra especial importancia la tipología de algunos de los datos que se recogen, que abarcan desde la gestión administrativa a datos especialmente protegidos (comportamentales, médicos o psicopedagógicos) de menores.

El objetivo de la inspección sectorial realizada, que no tiene carácter sancionador sino preventivo, es sensibilizar a los actores implicados sobre el necesario cumplimiento de la legislación de protección de datos. El informe dedica un amplio espacio a analizar el funcionamiento del sector educativo en el modelo de cloud computing, detallando las principales conclusiones sobre el nivel de cumplimiento de la LOPD por parte de los centros escolares, las plataformas educativas (que permiten, entre otras funciones, la creación de entornos de trabajo colaborativos entre el profesorado y el alumnado) y las entidades que prestan servicios de alojamiento. Estas conclusiones hacen referencia expresa a cuestiones relativas al tratamiento de datos, los contratos suscritos entre las partes y las imprescindibles medidas de seguridad.

Además, el documento completo recoge un total de 22 recomendaciones que la AEPD realiza a los intervinientes con el fin de que adecúen sus tratamientos al marco normativo de protección de datos, subsanando así las deficiencias detectadas. Eldecálogo de las más destacadas es el siguiente:

  • Difusión y publicidad. Si se van a difundir públicamente imágenes de los alumnos o se les van a remitir comunicaciones publicitarias es imprescindible obtener el consentimiento de los interesados o de sus representantes legales.
  • Editoriales. Los centros educativos que presten servicios de adquisición de libros digitales deben informar a los afectados de la cesión de datos que se realiza a las editoriales y de la finalidad de la misma. Por su parte, las editoriales no están legitimadas para tratar sin consentimiento los datos que pueden obtener a partir de esas plataformas de enseñanza, tales como los resultados de los ejercicios realizados por los alumnos o los perfiles que pueden obtenerse a partir de los mismos.
  • Supervisión de contenidos. Los contenidos que los alumnos publican en las aulas virtuales deberían ser supervisadas por los profesores con objeto de evitar contenidos malintencionados. En este sentido, la Agencia recomienda el registro de alumnos, la supervisión de contenidos por parte del profesor antes de la publicación y la delimitación de los niveles de acceso por grupos.
  • Apps móviles. Se ha detectado la existencia de aplicaciones orientadas a que los profesores organicen las clases con ellas, y que registran datos personales de los alumnos, incluyendo imágenes y calificaciones. Los centros deberían elaborar normas internas para la utilización de estas herramientas de conformidad con las exigencias legales.
  • Otros servicios de almacenamiento en la nube. Cuando en los centros educativos se empleen herramientas u otros servicios de almacenamiento en la nube distintos de las plataformas educativas, ya sean gratuitas o de pago, su utilización tendrá que ser autorizada previamente por el centro, estableciendo normas internas para garantizar adecuadamente el tratamiento de los datos personales.
  • Contratos con garantías. Los centros educativos deberán formalizar la contratación de servicios cloud de forma que puedan acreditar su celebración y la incorporación de las garantías adecuadas para la protección de datos personales, incluidas las exigibles en caso de subcontratación. Asimismo, el prestador de servicios cloud debe garantizar la portabilidad de la información y la no conservación de los datos al término del contrato (borrado seguro).
  • Ubicación de los datos. Es necesario que los centros educativos conozcan las entidades que intervienen en la prestación de servicios de cloud, su ubicación y las garantías adoptadas en caso de que vayan a realizarse transferencias internacionales de datos.
  • Responsabilidades en materia de seguridad. Es preciso que los contratos especifiquen la tipología de los datos que se van a almacenar con el fin de implantar el nivel de seguridad exigible, así como especificar claramente las responsabilidades de todos los intervinientes (servicios de alojamiento, plataformas educativas y centros de enseñanza) en la implantación de dichas medidas de seguridad. En particular, hay que asegurar la adecuada asignación de permisos de acceso a los datos personales y concienciar a los usuarios sobre los peligros de utilizar contraseñas que no sean suficientemente robustas.
  • Nubes privadas, públicas e híbridas. Las plataformas educativas que prestan servicios a varios centros escolares deben garantizar la independencia y el aislamiento de los datos almacenados por cada uno de ellos.
  • Punto Neutro. Iniciativas como la puesta en marcha por el Punto Neutro del INTEF son bienvenidas como fórmula de acceso a los contenidos digitales de las editoriales en la medida en que garanticen el anonimato de los alumnos.

FUENTE: Agencia Española de Protección de Datos