Banco alega error de empleado en tratamiento de datos pero es sancionado con 40.001€ - Asesoría LOPD Madrid

Banco alega error de empleado en tratamiento de datos pero es sancionado con 40.001€

Banco alega error de empleado en tratamiento de datos pero es sancionado con 40.001€ - Asesoría LOPD Madrid

Imagen geralt en Pixabay

No es el primer caso ni será el último, en el que la actuación incorrecta, indebida, imprudente o como la queramos calificar de un empleado, suponga a la empresa para la que trabaja, una sanción en materia de protección de datos.

Cuestiones como si un “simple” comentario en el texto de un correo electrónico puede considerarse un tratamiento de datos, van a quedar disipadas en esta resolución, si bien nuestra impresión es que la Agencia  Española de Protección de Datos (AEPD), que normalmente se caracteriza por ser bastante coherente en sus resoluciones, en este caso creemos que no lo ha sido. Pero mejor, juzguen ustedes mismos

En definitiva, si queréis saber cómo puede un comentario desafortunado en un email de un empleado a otro, que luego éste se olvida de suprimir en la respuesta a una clienta, llega a suponer una sanción de 40.001€ para su empresa deberéis leer esta artículo hasta el final.

La denuncia:

Por parte de una clienta contra su Entidad Bancaria, manifestando que un empleado de la sucursal de la que es cliente ha comunicado datos de salud de su persona al Servicio Jurídico de la entidad con motivo de una solicitud de información realizada por la misma ante dicho servicio, información que fue remitida por correo electrónico sin su consentimiento.

En dicho email, el Servicio Jurídico y un empleado de la sucursal hacían referencia al modo de obtener y facilitar la información solicitada por la clienta, y en el último párrafo del correo el empleado afirmaba sobre la cliente: “Comentarte que esta mujer en los 2 últimos meses nos ha solicitado 3 ó 4 veces las claves de acceso y la tarjeta de claves porque dice perderlas o que las tiene su abogada, comentarte que al parecer tiene un trastorno de bipolaridad del que se trata.

Las respuestas de la entidad denunciada a la solicitud de información y alegaciones de la AEPD:

A lo largo del proceso, la AEPD solicitó a la entidad bancaria determinada información y que presentase alegaciones, pero básicamente en las tres ocasiones se manifestó en los mismos términos de manera reiterada y solicitando el archivo de las actuaciones, alegaciones que la Agencia no admitió y que fueron:

  • Inexistencia de Datos: Que no contaba con datos de salud de la denunciante y por tanto “La entidad no ha podido vulnerar la normativa de protección de datos al no haber obtenido de la denunciante o de terceros ni haber tratado nunca ni cedido datos de salud de la misma”.
  • Que el comentario que aparece en el correo electrónico entregado a la denunciante por error, fue un comentario desafortunado de un empleado, que “se trató de una mera y desafortunada e innecesaria conjetura del empleado, resultado de su trato previo en aquellos días con la afectada”.
  • Inexistencia de tratamiento e inexistencia de un fichero. no cabe decir, que además, es un dato susceptible de tratamiento ni que, de hecho, haya habido un tratamiento de ese dato ….. que tampoco habría habido en ningún caso cesión o comunicación a un tercero.”

La AEPD decide iniciar procedimiento sancionador por la presunta infracción del artículo 7.3 de la LOPD, tipificada como muy grave (de 300.001 a 600.000€)

Recordemos que el artículo 7.3  LOPD, en relación a los datos especialmente protegidos (en este caso datos de salud), señala que: “sólo puedan ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente”.

También hemos de recordar, sobre los datos especialmente protegidos, la exigencia de consentimiento expreso del afectado salvo que pueda acreditarse de otra manera y que corresponde siempre al responsable del tratamiento comprobar que tiene dicho consentimiento.

La AEPD inicia periodo de práctica de pruebas, solicitando a la entidad información sobre los datos de carácter personal de la denunciante que figuran en los ficheros de la entidad, que aclare si la denunciante ha facilitado información relativa a la afirmación realizada por el empleado “al parecer tiene un trastorno de bipolaridad del que se trata” y una “declaración testifical del empleado”.

De igual modo, la AEPD solicita a la denunciante que aporte información sobre si en algún momento ha manifestado a alguna persona vinculada a la entidad denunciada que padecía y se trataba de la patología a la que se refiere el correo electrónico referido al mencionado dato de salud.

Las respuestas a la AEPD fueron que mientras, la denunciante indicó que “en ningún momento manifestó a persona vinculada a la entidad denunciada cuestión alguna referente a su estado de salud o a circunstancias propias de su esfera personal e íntima”, la entidad bancaria reiteró sus alegaciones sobre que se trató de un comentario desafortunado de un empleado y de la inexistencia de dato, de un tratamiento y de un fichero.

La AEPD formuló propuesta de resolución de sanción de 40.001 por la comisión de una infracción del artículo 7.3 de la LOPD, tipificada como muy grave.

Ante la resolución, la entidad denunciada, presento nuevo escrito de alegaciones, que podéis leer en detalle en la resolución, reiterando los argumentos expuestos sobre la inaplicabilidad de la LOPD y adjuntando declaración firmada del empleado en la que manifiesta: “Que fue producto de una mera y desafortunada apreciación personal por mi parte, una simple suposición no basada en ninguna información médica ni de ningún otro tipo obtenida ni de la denunciante ni de ningún tercero”

La AEPD considera probado que en los correos electrónicos intercambiados además de mencionar “trastorno de bipolaridad del que se trata” también se hace otra mención a la salud de la denunciante al referirse a los “problemas de salud que pueda tener” y que dichos correos permiten vincular el nombre, apellidos y NIF de la denunciante, es decir, sus datos identificativos y que por lo tanto, se ha producido un tratamiento automatizado de datos personales de salud, sin que la entidad bancaria haya acreditada el consentimiento expreso de la denunciante.

También considera probado que los datos han sido incluidos en una cuenta corporativa del dominio de la entidad bancaria y por tanto implica que existe un tratamiento de datos en un fichero automatizado, remarcando la diligencia que la entidad bancaria no ha tenido.

La sanción no fue mayor ya que  la Agencia aplica los criterios de graduación de sanciones

Aunque la AEPD dicta en su resolución que existen agravantes, es decir, la mencionada diligencia que por su actividad no ha acreditado, si aprecia la concurrencia dos circunstancias recogidas en el Artículo 45.4 de la LOPD, que permiten dejar la sanción en 40.001€, en concreto:

  • Que el volumen de los tratamientos referidos se circunscribe a un único uso y
  • A que no hay constancia de la obtención de beneficios derivados de la infracción.

Conclusiones:

En definitiva, la Agencia pone de manifiesto que un comentario en un correo electrónico supone que existe un tratamiento de datos o fichero automatizado, no aceptando que se tratase de un “error” cometido y asumido por un empleado, fruto de su desafortunada apreciación personal.

Debemos informar y concienciar a nuestros empleados sobre este tipo de comentarios o anotaciones que se realizan sobre clientes, candidatos, evaluaciones de personal, etc. si bien entendemos que seguramente la entidad recurrirá ya que la misma nos parece un tanto desproporcionada.

Enlace a la resolución de la AEPD

En todo caso, quedamos a la espera de vuestros comentarios.

Otro año más, desearos Feliz Navidad y Feliz Privacidad 2018 | Eurovima Consulting S,L.

Otro año más, desearos Feliz Navidad y Feliz Privacidad 2018

Otro año más, desearos Feliz Navidad y Feliz Privacidad 2018 | Eurovima Consulting S,L.

Imagen elaborada a partir de MAGNIFIED SNOWFLAKE en Ifreepic

Al 2017 le quedan apenas 10 días y no sé si lo echaremos de menos, pero desde luego ya pensamos en el 2018 y en lo bueno que seguro nos deparará.

Por eso queremos una vez más aprovechar esta época para hacer llegar a clientes, proveedores colaboradores, lectores y a todos los amigos de EUROVIMA nuestros mejores deseos.

Respecto a nuestra querida privacidad, ha sido un año de transición hacia el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que sí, ya este nuevo año, desde el 25 mayo de 2018, por fin será de aplicación.

Recordemos que el Legislador ha buscado con la nueva regulación actualizar una normativa obsoleta y adaptarla a las nuevas circunstancias sociales y tecnológicas.

¿Estamos preparados para afrontar el paso al RGPD?

El nuevo marco regulatorio de la Unión Europea en materia de protección de datos de carácter personal, el RGPD, nos proporciona un marco jurídico homogéneo al que debemos incorporarnos cuanto antes, al igual que a la nueva Ley Orgánica de Protección de Datos.

El RGPD eleva el nivel de responsabilidad de las Empresas, Profesionales o Entidades que tratamos datos de las personas que por el motivo que sea nos han confiado su privacidad, así ofrecerá y concederá al ciudadano un mayor control sobre sus datos personales.

Ahora nos encontramos con una perspectiva que ya no será tan estática, y sí dinámica, en la que el RIESGO pasa a ser una palabra clave, en cuanto a las garantías de cumplimiento.

Datos personales más accesibles, fáciles de procesar y baratos de almacenar, hacen que su transmisión y flujos sean constantes y con carácter internacional, de manera que como usuarios estemos expuestos a un mayor riesgo para nuestros derechos y libertades derivados de dichos tratamientos.

Deberemos realizar un análisis de riesgo que permita conocer en qué estado se encuentra nuestra seguridad para determinar el nivel de protección adecuado y alinearlo con la realidad de las amenazas, que no dejan de evolucionar

Gracias por contar con nosotros.

Clientes, proveedores, compañeros de profesión, y especialmente a nuestro equipo humano y colaboradores, os queremos agradecer nuevamente vuestra comprensión, esfuerzo y dedicación. Gracias por compartir trabajo, conocimiento y experiencias.

En definitiva, desde EUROVIMA, queremos agradecer nuevamente a TODOS vuestras aportaciones y haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado y/o a nuestro lado.

Seguimos contando con vosotr@s!!!! Un fuerte abrazo,

El equipo de Eurovima

Por crear un grupo de WhastApp un restaurante es apercibido por la AEPD | Eurovima Consulting S,L.

La AEPD apercibe a un restaurante por crear y usar un grupo de WhatsApp

Y un buen día, WhatsApp se hizo presente en nuestro mundo, y el de las empresas.

Por crear un grupo de WhastApp un restaurante es apercibido por la AEPD | Eurovima Consulting S,L.

Imagen obtenida de Pixabay en Pexels

Desde que se popularizó su uso nos hemos acostumbrado, o resignado, a recibir miles de mensajes, muchos de ellos sin interés, otros tantos de mal gusto, y para colmo después vino la posibilidad de la creación de grupos de usuarios.

Grupos en los que seguramente todos habremos tenido una mala experiencia, amén de las susceptibilidades y el hartazgo que provocan o por el temor a abandonarlos por miedo a ser juzgados, y no hablamos solo de los temidos grupos de padres del colegio.

Además, de un tiempo a esta parte, muchas empresas lo están usando como servicio de atención al cliente, y en ocasiones para comunicaciones comerciales, a las que la Agencia Española de Protección de Datos (AEPD) ya ha sancionado por ello.

Se trata de la primera infracción que la Agencia Española de Protección de Datos (AEPD) ha dictado vinculada a la creación de un grupo de WhatsApp.

Es el caso de un restaurante que infringe dos artículos de la LOPD:

  • El artículo 6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”)
  • El artículo 10 de la LOPD (“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que ……”.

El motivo de la denuncia fue la inclusión sin permiso en un grupo, del que se salió y fue nuevamente incluido:

En la resolución adjunta (ver enlace) se indica el desarrollo de los hechos: “Con fecha 8 de diciembre de 2016 realizó reserva para la cena del día 31 de diciembre de 2016 en el citado restaurante; varios días antes de la cena, se crea un grupo de whatsapp con las personas que participaban en dicha cena.

El denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si sale del grupo se anulará la reserva. Asimismo, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañaran”.

La Subdirección General de Inspección de Datos de la AEPD, tras la denuncia procedió a abrir actuaciones previas de investigación para esclarecer los hechos denunciados, tratando de ponerse en contacto con la entidad denunciada, lográndolo con la supuesta dueña (así se identificó) pero siendo infructuosos los intentos posteriores de notificación alguna.

La resolución, pone de manifiesto los siguientes hechos probados:

  1. La realización de la reserva
  2. Que el responsable del restaurante creó un grupo de WhatsApp con las personas que participaban en dicha cena, enviando un listado con el nombre y apellidos de quien hizo la reserva, el número de personas que cenarían y un plano del restaurante con la ubicación de la mesa
  3. Que el denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunicaban que “si sale del grupo se anulará la reserva”.

Dos fueron los artículos infringidos.

La AEPD manifiesta que se infringió el artículo 6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”) al haberse acreditado que el restaurante fue el responsable de la creación de un grupo de whatsapp con las personas que cenarían en Nochevieja, insertando un listado de todos los comensales sin que hubiese consentido para el tratamiento de sus datos personales.

Al mismo tiempo, la AEPD señala que además del artículo 6.1, también se infringió el artículo 10, es decir, que se vulneró el deber de secreto, al haber posibilitado el acceso por terceros (el resto de comensales) a datos personales sin que el titular de los datos hubiese prestado su consentimiento para ello.

Al tratarse de un mismo hecho que deriva en dos infracciones, puesto que la comisión de una implica, necesariamente, la comisión de la otra, procede únicamente declarar la infracción más grave, en este caso la del artículo 6 de la LOPD.

Destacar que el restaurante no contaba con antecedentes de sanciones y apercibimientos precedentes.

La AEPD no procede a sancionar económicamente pero apercibe al restaurante, al concluir que se cumplen los requisitos recogidos establecidos en la Ley, es decir:

  • Se constata una cualificada disminución de la culpabilidad ante la no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal
  • La ausencia de reincidencia
  • Y que no constan perjuicios causados a las personas interesadas.

Eso sí, la AEPD insta al restaurante a que no cree grupos de WhatsApp de comensales, salvo que cuente con el consentimiento de los mismos para la finalidad pretendida.

Como habitualmente indicamos a nuestros Clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, de las comunicaciones comerciales que hagamos, y de un tiempo a esta parte, con el uso general que las empresas le dan a la aplicación de WhatsApp (envío de partes de baja, vacaciones, comentarios varios….)

 

Un murmullo en espera de la “nueva” LOPD: La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos | Eurovima Consulting

Un murmullo en espera de la “nueva” LOPD

La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Un murmullo en espera de la “nueva” LOPD: La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos | Eurovima ConsultingEl pasado jueves, 25 de mayo de 2017, ha tenido lugar en el centro de Conferencias Fundación Pablo VI de Madrid la 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).

Como cada año, y ya van 7 de las 9 sesiones anuales realizadas a las que hemos podido asistir, el aforo se completó de profesionales interesados en conocer de boca de la Agencia las últimas novedades referentes al RGPD. La expectación era máxima, prueba de ello es que el aforo se completó a las 4 horas de abrirse la inscripción.

La sesión se ha celebrado justo 365 días antes de que sea de aplicación el Reglamento General de protección de datos (RGPD), es decir, en mitad del periodo de transición hacia el nuevo marco normativo europeo.

Antes de nada, felicitar y dar la enhorabuena a los premiados por la labor que realizan en los ámbitos de la investigación y comunicación en materia de protección de datos, por sus trabajos y dedicación en aras de acercar el mundo de la privacidad a toda la sociedad.

En poco más de media hora, tiempo que duró la intervención de la Directora de la AEPD, las expectativas se tornaron en decepción:

Como sucede en otros ámbitos en este tipo de casos, lamentablemente lo expuesto no ha cubierto las expectativas ya que Mar España, directora de la Agencia, “informó” sobre el estado del anteproyecto de modificación de la LOPD (adaptación al Reglamento Europeo) indicando que esperaba estuviese disponible al público antes del verano (hace meses se indicó que esperaba fuese posible en el primer trimestre de 2017) y que no podía avanzar nada sobre el mismo por un tema de confidencialidad.

Nos contó que el borrador ya ha sido remitido al Ministerio de Justicia para que pueda comenzar el proceso de tramitación (que no es corto), esperando que su aprobación llegue a tiempo, es decir, antes del 25 mayo de 2018.

En definitiva, se generó un sonoro murmullo entre los asistentes al evento ante tal decepción.

Entramos, o mejor dicho continuamos, en el ámbito de la protección de datos personales, en un periodo de incertidumbre sobre si su aprobación llegará antes de que el Reglamento Europeo sea de aplicación y por tanto, a que el texto definitivo no sea conocido hasta casi el último momento, cuestión que entrañará una mayor dificultad a la hora de lograr la integración del nuevo marco normativo europeo “a la carrera”.

Nuevas herramientas del reglamento general de protección de datos:

En la presentación de nuevas herramientas del reglamento general de protección de datos, además de citar las guías ya publicadas, se mencionaron:

  • La que se publicó ese mismo día orientada al “Ciudadano”; ‘Protección de Datos: Guía para el Ciudadano’ que incorpora referencias al nuevo Reglamento Europeo, en aras de informar a los ciudadanos acerca de sus derechos en relación con el tratamiento de sus datos de carácter personal, el asesoramiento en la presentación de denuncias y reclamaciones, etc.
  • Se anunció la publicación de sendas guías para padres y colegios, ya que la formación en materia de seguridad en internet orientada a los menores es y ha sido una prioridad para la AEPD.
  • Herramienta de ayuda web “NanoPymes”. Disponible en junio en la web de la AEPD, pretende “facilitar”* el cumplimiento de las pymes siempre que traten datos con nivel de riesgo muy bajo, en base a los datos del tejido empresarial español y del tipo de tratamiento que realiza una pyme (72.5% del total de tratamiento son de nivel bajo). La AEPD incide en su presentación que es un programa de ayuda en general y los documentos generados serán válidos en la medida en que se ajusten las respuestas con la realidad y por supuesto, su uso no garantiza el cumplimiento del RGPD.

*Andrés Calvo (AEPD): la herramienta “NanoPymes” no reemplaza el asesoramiento de un profesional

Sobre otras cuestiones más destacadas o de relevancia, señalar lo siguiente:

Datos del avance de la memoria 2016: se han recibido unas 12.000 denuncias o tutelas de derechos ante la AEPD, con aplicación del 20% de reducción en cada vez más casos de sanción, sobre todo por pago espontaneo o reconocimiento.

Respecto a la necesidad de realizar una Evaluación de Impacto sobre la protección de datos (EIPD) parece que además del “alto riesgo”, en la lista creada por el Grupo de Trabajo del Artículo 29 encontraremos más consideraciones para su realización. Eso sí, invocando a la “diligencia” a la que la AEPD siempre se refiere, cuando dudes en hacerla o no, si puedes, hazla.

Sobre las certificaciones de profesionales (se encuentra en curso la elaboración del Esquema de Certificación) se reiteró que la certificación es instrumento de garantía de profesionalidad y de transparencia para responsables y encargados, pero no única vía de acceso.

Sobre las entidades que deberán tener un Delegado de Protección de Datos (DPD ó DPO), la Agencia ha dado un primer esbozo de lista que pueden consultar en la web de la AEPD (presentaciones 9 jornada)

La Agencia va a crear una unidad de atención a los responsables y profesionales en materia de privacidad, recomendando que las consultas se realicen a través de asociaciones profesionales.

En casos concretos, el interés legítimo permitirá consentimiento tácito obtenido antes de la aplicación del RGPD. Se podría permitir el consentimiento tácito para el envío de publicidad cuando exista un contrato con el interesado. En todo caso, son cuestiones a concretar….

Se pone fin a la excepción del artículo 2.2 RLOPD (Ámbito objetivo de aplicación: datos de “contacto”)

Finalmente recordar a la AEPD, que el análisis de las sentencias, informes y resoluciones más relevantes, fueron expuestas un año más, a toda pastilla. En menor medida los informes y sentencias relevantes, pero que en todo caso, las revisaremos con calma en los videos expuestos en la web de la Agencia, ya que en directo, es difícil sacar muchas conclusiones.

En definitiva, toca esperar para tener toda la información necesaria para hacer bien nuestro trabajo y mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y la de los demás).

CIBERSEGUIDAD y Protección de datos. ¿Estamos preparados?

CIBERSEGURIDAD y Protección de datos. ¿Estamos preparados?

Hablamos de ciberseguridad y de la posibilidad de sufrir un ciberataque. La seguridad total no existe, pero lo que no es admisible es que cuando se produce una “brecha de seguridad” que compromete a nuestros datos personales, no sea gestionada de manera correcta. Eurovima Consulting S. L. | Asesoría de Protección de Datos Madrid | LOPD

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Un año más: Feliz Navidad y Feliz Privacidad 2017

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en MadridOtro año que va pasando y nuevamente queremos aprovechar esta época para hacer llegar a nuestros clientes, colaboradores, lectores y amigos nuestro mejores deseos.

Nuevamente ha sido un buen año para Eurovima, en el que hemos seguido apostando por el servicio y atención. La “familia” de Eurovima, interna y externa se ha incrementado, por eso volvemos a dar las gracias a los clientes de antaño por continuar a nuestro lado, a los nuevos que se han sumado y a los que vendrán decirles, que les esperamos con los brazos abiertos.

Respecto a “nuestro mundo”, otro año, y van demasiados, en los que la privacidad y la seguridad han vivido momentos convulsos, con el azote nuevamente del terrorismo y las amenazas de la ciberseguridad en el uso del Big Data y el Internet de las Cosas, de manera que una vez más vuelve a poner en liza el valor y la ponderación que ha de tener la privacidad frente a la seguridad. Sin olvidarnos de nuestros menores y las redes sociales: mucho por enseñar y educar.

Un año en el que pensamos que estamos de enhorabuena, ya que el cambio en la Agencia Española de Protección de Datos (AEPD) ha sido para bien, consolidando esas buenas primeras impresiones que nos causó la nueva Directora, Mar España Martí a finales de 2015.

Impresiones que también son positivas sobre el Plan Estratégico que la AEPD estableció con unos objetivos que a nuestro modo de ver van logrando alcanzar en cada uno de los cinco grandes ejes estratégicos en los que se estructuró.

  1. Prevención para una protección más eficaz
  2. Innovación y protección de datos: factor de confianza y garantía de calidad
  3. Una Agencia colaboradora, transparente y participativa
  4. Una Agencia cercana a los responsables y a los profesionales de la privacidad
  5. Una Agencia más ágil y eficiente.

En lo normativo, hemos visto ¡¡¡por fin!!!, la aprobación el pasado abril del nuevo marco regulatorio en materia de Protección de Datos de carácter personal. La aprobación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aunque no será de aplicación hasta dentro de dos años, mayo de 2018, supone contar con un marco jurídico homogéneo, elevando el nivel de responsabilidad de las empresas y concediendo al ciudadano un mayor control sobre sus datos personales.

Veremos ahora el papel de la AEPD a la hora de definir, desarrollar y revisar las cuestiones que el Reglamento confiere a las Autoridades Nacionales de Control de los Estados Miembros, que por otra parte se traducirá en que la LOPD (publicación prevista del anteproyecto de reforma en el primer trimestre de 2.017) y sus normas de desarrollo deben ser revisadas y adaptadas al Reglamento.

Agradecer nuevamente al equipo de colaboradores de Eurovima, a los de siempre y a las nuevas incorporaciones, su esfuerzo y dedicación. A los que han emprendido nuevos retos, desearles mucha suerte y a todos decirles una vez más que hemos tenido mucha suerte de compartir trabajo, conocimiento y experiencias a lo largo de todo este año, deseando repetir.

En definitiva, desde EUROVIMA, haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado.

¡¡¡¡Seguimos contando con vosotr@s!!!! Un fuerte abrazo,

El equipo de Eurovima

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa

Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.

La denuncia: Instalar una cámara de videovigilancia en la ventana de una vivienda pudiendo captar la vía pública y propiedades de terceros

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Image courtesy of nipitphand at FreeDigitalPhotos.net

Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.

La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

¿Pero, en qué consiste la figura del apercibimiento?

Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.

En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.

¿Qué requisitos debe cumplir un sistema de videovigilancia según establece la LOPD?

  1. Respetar el principio de proporcionalidad.
  2. Si el sistema está conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada 
  3. No captar imágenes de las personas que se encuentren fuera del espacio privado (en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado)
  4. Cumplir con el deber de informar a los afectados (Instrucción 1/2006, de la AEPD, sobre el Tratamiento de Datos Personales con Fines de Vigilancia a través de Sistemas de Cámaras o Videocámaras), concretamente:
    • Colocar, en las zonas video vigiladas, al menos un distintivo informativo (cartel de aviso) ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
    • tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD

¿Qué señala la AEPD en su resolución?

De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.

No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:

  1. Cumpla lo previsto en el artículo 6.1 de la LOPD, es decir, a que justifique la retirada de la cámara, o bien su reubicación o reorientación para que ni se oriente ni capte espacio público.
  2. E informe a la AEPD del cumplimiento del requerimiento, acreditando la adopción de dichas medidas, por medio de fotografías que evidencien la retirada de la cámara o fotografías que muestren lo que capta la cámara una vez se haya reubicado o reorientado.

La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)

La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.

En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.

Nuevos tiempos para la privacidad: aprobado el Reglamento Europeo General de Protección de Datos | Eurovima Consulting S.L | Asesoría LOPD Madrid

Nuevos tiempos para la privacidad: aprobado el Reglamento Europeo General de Protección de Datos.

Nuevos tiempos para la privacidad: aprobado el Reglamento Europeo General de Protección de Datos | Eurovima Consulting S.L | Asesoría LOPD Madrid

Internet Security Stock Photo by hywards in FreeDigitalPhotos.net

Ya lo veníamos anunciado, pero tardaba tanto en “cerrarse el círculo” que parecía que nunca se iba a completar. Hoy 14 de abril, tras cuatro largos años de negociaciones, el Parlamento Europeo ha aprobado la nueva normativa de Protección de Datos, aunque no será de aplicación hasta dentro de dos años, abril de 2018.

Esta reforma pretende, entre otras cuestiones, garantizar en toda la UE unos estándares de protección de datos un nivel uniforme y adecuado a la nueva era digital, sobre todo si pensamos que la actual directiva data de 1995, una fecha en la que el uso de internet era escaso y primario. Po tanto, se trata de un gran paso a favor de los derechos de los consumidores y usuarios en la era digital.

Una norma única para toda la UE que ofrecerá una mayor claridad a las empresas, reforzando la confianza y la seguridad jurídica.

Será de aplicación a todas las empresas que procesen datos de ciudadanos de la UE, con independencia de si su sede está fuera de la UE.

Entre otras disposiciones, las nuevas reglas incluyen:

  • El llamado “derecho al olvido”, ya reconocido por el Tribunal de Justicia de la UE, que permitirá bajo determinadas condiciones la supresión de datos personales e información.
  • El tratamiento de datos personales deberá de contar con un deber de información y consentimiento reforzado, que puede ser revocado en cualquier momento.
  • Restringe a los menores de 13 años el acceso a las redes sociales, si bien cada estado puede aumentarlo hasta los 16, necesitando autorización de sus padres para el tratamiento de sus datos.
  • El reconocimiento de nuevos derechos como el de la “portabilidad”.
  • Informaciones respecto a las brechas de seguridad y el derecho a ser informado en dichos casos cuando se ponga en peligro la privacidad.
  • Nuevos principios, entre otros, la figura del delegado de protección de datos obligatoria para algunas empresas, la rendición de cuentas “accountability” o la privacidad por diseño y por defecto
  • Cambios en el régimen sancionador con multas que pueden alcanzar hasta el 4% de la facturación global.

Próximos pasos

Una vez el Reglamento se publique en el Diario oficial de la UE, será de aplicación directa en todos los Estados miembros a los dos años que es el tiempo que cada país tendrán para dar traslado a su legislación nacional los cambios, en el caso de España, a la LOPD.

NOTA sobre el estado del Privacy Shield, acuerdo que sustituirá al Safe Harbor o puerto seguro, para regular las transferencias internacionales de datos personales, de UE a EEUU.

Aunque se vienen produciendo importantes avances en las negociaciones para lograr la aprobación del Privacy Shield, el acuerdo que sustituya al Safe Harbor o puerto seguro invalidado por el Tribunal de Justicia de la Unión Europea el pasado octubre de 2015, de momento no ha sido aprobado y por tanto, las empresas europeas que necesiten transferir datos personales a EEUU tendrán que esperar o recurrir a los mecanismos señalados al efecto.

Más información en la nota de prensa oficial

Resumen de la jornada sobre el uso responsable de las nuevas tecnologías por los menores | Eurovima Consultin | Asesoría LOPD Madrid

Resumen de la jornada sobre el uso responsable de las nuevas tecnologías por los menores

Resumen de la jornada sobre el uso responsable de las nuevas tecnologías por los menores | Eurovima Consultin | Asesoría LOPD Madrid

Father With One Child by Ambro in FreeDigitalPhotos.net

Hace unos días tuvimos la oportunidad de asistir a una jornada sobre el uso responsable de las nuevas tecnologías celebrada de manera conjunta por el Ayuntamiento de Pozuelo de Alarcón y la Fundación Legálitas en el Instituto Gerardo Diego de dicha localidad madrileña.

El objetivo de la jornada era el promover un uso responsable y seguro de Internet y las Nuevas Tecnologías especialmente entre los niños y los adolescentes. Como estas cuestiones afectan no sólo a nuestros menores, la jornada se organizó con un programa doble en el que por la mañana se impartió una charla para los alumnos de secundaria y por la tarde a las familias y al público en general.

Entre los ponentes se encontraba Sara García, responsable de la Fundación Legálitas, Fernando Lanchares, experto en nuevas tecnologías y Enrique Rodríguez inspector jefe de la Policía Judicial del Cuerpo Nacional de Policía.

La jornada arrancó con la proyección de unos vídeos de la campaña promovida por la Fundación Legálitas y la Fundación Deporte Joven por la Seguridad en Internet, en el que distintos deportistas, que despiertan siempre gran interés entre los más jóvenes, les hablaban de la importancia de la seguridad en el uso de Internet y las Nuevas Tecnologías con un mensaje distinto al que en ocasiones se les presenta y que no pretende asustar ni meter miedo.

Estos vídeos dejaban una serie de mensajes directos, entre los que destacamos:

  • Avisar a padres o profesores en el momento en que se sientan amenazados.
  • Que guarden su privacidad y no revelen sus claves a sus amigos o compañeros, ni revelen a terceros desconocidos sus propios datos personales.
  • Que para que nos respeten,  primero debemos aprender a respetar a los demás y nunca ser cómplice reenviando contenido o información que pueda dañar a otras personas.
  • Que cuando estén delante de un ordenador,  no vayan tan rápido  que acepten  a personas como amigos  si son personas que realmente no conocen. Deben configurar de manera correcta su privacidad en las redes sociales que utilicen.
  • Que en el caso en que reciban  un correo o un WhatsApp  que les puede hacer sentir incómodos  o les causen vergüenza,  en ningún caso contesten y siempre acudan a sus padres o sus profesores a contarlo .
  • Y en definitiva,  que no cuelguen nada que no pondrían en el tablón de anuncios de su colegio y que se comporten en Internet de la misma manera que se comportan en la vida real.

 Posteriormente los ponentes abordaron el uso de las Nuevas Tecnologías enfocándolo hacia los distintos problemas que un mal uso puede provocar, identificándolos y diferenciando los 3 principales:

  1. Ciberbullyng. Se define como el acoso “entre iguales” en el entorno TIC: chantaje, vejaciones e insultos de niños a otros niños.
  2. Grooming o ciberacoso sexual, se puede describir como la forma en que algunas personas se acercan a niños y adolescentes para ganar su confianza, creando lazos emocionales para posteriormente poder abusar de ellos sexualmente.
  3. Sexting. Que consiste en el envío de contenidos de tipo sexual (principalmente fotografías y/o vídeos) producidos generalmente por el propio remitente, a otras personas, generalmente por medio de teléfonos móviles.

El acoso en internet  no tiene límites ni horarios, no hay una casa o “un fin de semana en el que refugiarse”.

Debemos tener especial cuidado porque igual que el acoso escolar se puede limitar en parte al horario de la escuela, cuando ese acoso se traslada a la red, no hay horarios ni imite espacial de tiempo. El menor acosado en las redes sociales lo sufre de manera permanente, no hay noches o fines de semana en los que el menor se puede refugiar lejos del alcance del acosador del colegio.

Además, la difusión tiene un alcance mayor ya que no se limita única y exclusivamente a un grupo, a una clase o incluso a un colegio, todos sabemos que la difusión en Internet tiene un alcance enorme.

Por ello a medida que a esas edades empiezan a navegar por  Internet, hemos de controlar el horario y el uso ya que en la red no hay un límite espacial de tiempo.

Detectar las señales del acoso: el deber de vigilancia y de educarlos.

Hemos de estar alerta a las señales que nos pueden indicar que algo pasa, teniendo siempre presente que como padres no podemos obrar por omisión ya que tenemos el deber de “in vigilando” e “in educando”.

En definitiva, debemos informarles y educarles en todas estas cuestiones y en que hagan un buen uso de las tecnologías. Se hizo hincapié en la responsabilidad penal que los propios menores asumen a partir de los 14 años aunque la responsabilidad civil recaerá sobre sus padres o tutores legales.

Se comentaron datos que no dejan de sorprendernos, como que el 50% de los menores de entre 11 y 16 años no saben configurar su privacidad en las redes sociales que utilizan, y es que cuanta más información suben, cuanto más se utilizan las redes sociales, más confiados se vuelven porque ellos “controlan”.

Conclusiones:

¿En qué momento están preparados y se pueden iniciar en Internet y Redes Sociales?. La cuestión es que en el momento en que consideremos que nuestros hijos están preparados para iniciarse en el mundo de Internet, al igual que en cualquier otro aprendizaje, necesitarán hacerlo de nuestra mano, necesitarán que se les establezcan unas reglas de antemano bajo un canal de comunicación permanente con ellos.

Debemos vigilar su privacidad, estamos obligados a configurarla con ellos, debemos controlar su adicción, vigilar los peligros a los que se exponen como el fraude o el acceso a contenidos inadecuados (páginas web que les dan consejos de cómo adelgazar o como fabricar un petardo….)

Engañar a un menor es relativamente fácil. Un ejemplo; seguro que nosotros no haremos ningún caso a una ventana que se aparezca misteriosamente en nuestro ordenador y nos diga que somos el visitante un millón y que facilitemos nuestros datos para entrar en un sorteo de un maravilloso “iPhone” de última generación, pero ¿ellos facilitarían esos datos?………

Finalmente recalcar que ese deber de vigilancia también hay que trasladarlo para el caso en que sea nuestro hijo el acosador, que por muy duro que sea, se puede dar el caso ya que para que alguien sea acosado alguien tendrá que acosar.

Una vez que tengamos claras todas estas cuestiones y nosotros estemos preparados, el riesgo no desaparecerá pero sí será menor.

Drones y uso lúdico: algo más que un simple juguete. | Eurovima Consulting SL

Drones y uso lúdico: algo más que un simple juguete

Los Reyes Magos me han traído un dron.

Drones y uso lúdico: algo más que un simple juguete. | Eurovima Consulting SL

Photo by Malgorzata Kadysz in stock.tookapic.com

Finalizado ya el periodo navideño es la hora de volver a nuestras labores diarias y afrontar con ánimo el nuevo año. Entre los que con suerte han recibido regalos de Papá Noel o los Reyes Magos, son muchos los que se han encontrado con un pequeño aparto volador llamado dron, de hecho se ha convertido en uno de los regalos estrella de estas navidades.

Un dron no es un juguete.

Quizá consideremos que se trata de un simple juguete, es más, por su reducido tamaño ni se nos ocurriría pensar que volarlo en el parque pudiese molestar a nadie. Sin embargo, la Agencia Estatal de Seguridad Aérea (AESA), la autoridad de control que regula y hace cumplir la normativa aérea, lo considera una aeronave, y como tal, su vuelo está sujeto a la normativa vigente en la materia sobre el vuelo de aeronaves.

A los aficionados nos han llegado infinidad de noticias, informes y recomendaciones muy confusas y que nos están coartando a la hora de salir a disfrutar de la naturaleza y de nuestro Dron.

En este artículo intentaremos aclarar un poco las ideas, de tal modo que podamos salir a volar con garantías y sin peligro.

Distintas normas según su finalidad.

En artículos anteriores ya distinguíamos diversas utilidades de estos aparatos, lo que implicaba que dependiendo de su uso se aplicasen distintas normas para su regulación, así por ejemplo, en España, hay una norma específica que regula su uso por los cuerpos y fuerzas de seguridad.

Para uso profesional, decíamos que existe una norma, de carácter temporal que regula su uso, el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia, en el que se señala entro tras cuestiones: “Las aeronaves civiles pilotadas por control remoto, cualesquiera que sean las finalidades a las que se destinen excepto las que sean utilizadas exclusivamente con fines recreativos o deportivos, quedarán sujetas asimismo a lo establecido en esta Ley y en sus normas de desarrollo, en cuanto les sean aplicables.”

Además se deberá tener en cuenta lo que diga la Real Federación Aeronáutica Española, las Federaciones Deportivas Aeronáuticas de las Comunidades Autónomas, y las leyes de las comunidades autónomas y las ordenanzas municipales, si existen.

AESA ya ha dado recomendaciones a los Ayuntamientos sobre el uso de los drones y les ha dejado bien claro que no tienen competencia sobre la materia y que no pueden autorizar la grabación en ciudad de ciertos eventos.

Actualmente está en proceso de discusión una nueva norma que regulará pormenorizadamente esta circunstancia, pero hasta la fecha, sigue siendo válido el Real Decreto mencionado.

El  Drone para uso lúdico. Qué podemos hacer y qué no.

En esta categoría es en la que nos movemos la mayoría de nosotros, aeromodelistas, curiosos, aficionados al Radio Control y nuevos pilotos recién estrenados.

Aquí es donde existe el mayor problema de interpretación. Se ha dicho que como se trata de un juguete no le aplica la normativa vigente, y que AESA no tiene autoridad sobre la materia. Incluso que existe un vacío legal y que por tanto está permitido volar en cualquier sitio, siempre que se trate de uso recreativo. Pues debemos desechar esta idea, porque es MENTIRA.

Lo primero que tenemos que tener en cuenta es que en España desde el nivel del suelo hacia arriba se considera espacio aéreo Nacional, y por tanto le es aplicable la normativa sobre la materia.

La primera conclusión entonces sería que si volamos en un lugar techado, AESA no tendrá competencia sobre la materia y por tanto se permite su vuelo en casa, garajes, y pabellones cubiertos.

Fuera de estos lugares AESA ha establecido una serie de recomendaciones que serán de obligado cumplimiento, en tanto no salga la nueva norma que definitivamente regule esta circunstancia.

La podéis descargar en este enlace, y de hecho, os recomiendo llevar este documento siempre encima cuando salgáis a volar por si la Autoridad os empieza a poner problemas. El documento, como veréis, implica tener un poco de sentido común, y se recomienda tener un mínimo de experiencia para volar en exterior.

Se prohíbe:

  • Volar en zonas urbanas y donde haya aglomeraciones de personas como en parques, playas, conciertos…
  • Volar de noche.
  • Volar cerca de aeropuertos o aeródromos, helipuertos, zonas de parapentes, paracaídas…
  • Y sobre todo no poniendo en peligro a terceros.

Se permite.

  • Volar de día, a la vista del piloto, y no superar los 120 metros de distancia de éste.
  • Volar en zonas de vuelo de aeromodelismo y zonas despobladas. (Sí, podemos irnos al campo, fuera de la ciudad, donde no molestemos a nadie).
  • Los daños que se produzcan por un dron serán responsabilidad del piloto, por lo que es recomendable contratar un seguro de responsabilidad civil, como llevamos recomendando desde el primer artículo que hicimos sobre la materia.

Las grabaciones de los drones y la LOPD.

Uno de los alicientes de los drones es la posibilidad de grabar imágenes desde los mismos. Ya os indicábamos en su momento que a toda grabación  realizada fuera del ámbito doméstico le es aplicable la LOPD, y las resoluciones recaídas hasta la fecha así nos lo confirman. Por tanto, si vamos a grabar los vuelos, tened muy claro que la publicación de estas imágenes en Internet excede del ámbito doméstico, y por tanto pueden ser utilizadas para sancionar vía LOPD, si se distinguen a personas en las mismas.

Es más, toda grabación publicada en Internet puede ser utilizada como medio de prueba en un proceso judicial o administrativo, por lo que se podrá comprobar fehacientemente si estás cumpliendo la normativa o no. Quedáis advertidos¡¡¡.

En definitiva, un aeromodelo o dron no es un juguete. Su vuelo implica una serie de responsabilidades. Pero lo más importante es utilizar el sentido común. Felicidades por vuestro regalo, y buenos vuelos.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.