NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

La AEPD inicia procedimiento sancionador a una empresa por la instalación de cookies sin autorización (previa) del usuario.

Según hemos podido leer en las redes sociales y en multitud de noticias y blogs relacionados, la Agencia Española de Protección de Datos (AEPD) ha notificado el inicio de un procedimiento sancionador a una empresa por instalar cookies sin la autorización del usuario de la web de la empresa en cuestión.

De confirmarse, estaríamos ante una primera resolución de este tipo, en la que se analizará la aplicación del artículo 22.2 de la LSSI en el que se establece lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” .

Hemos querido subrayar la palabra después ya que en ella está la clave de la denuncia (o eso es lo que cuando menos se ha estado indicando, ya que no hemos tenido acceso al procedimiento).

La cuestión es que parece ser que las cookies investigadas son de las más empleadas en páginas webs, como son Google Analytics, Maps o WordPress, es decir, muy comunes.

Recordemos que la AEPD, presentó en abril de este año la primera guía en Europa sobre el uso de cookies, elaborada junto a los representantes de la industria y que de facto, parece que ha supuesto el pistoletazo de salida para su cumplimiento, ya que ha sido en ese momento cuando las empresas han incorporado en sus páginas web la información sobre el uso de las cookies, información que parece ser no cumple con la normativa, si bien, trataremos de analizarlo con calma y por supuesto esperaremos expectantes la resolución que publique la AEPD.

NEWS 17/Mayo/2013 Día Mundial de Internet

Como cada año y desde el 2005 , en este 17 de mayo (coincidiendo con la celebración del día de las letras gallegas), se celebra el Día Mundial de las Telecomunicaciones y la Sociedad de la Información –también conocido como Día de Internet-, una jornada que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad.

Os dejamos un enlace con la página web de la AEPD, donde se nos hace una serie de recomendaciones relativas a la privacidad e internet, ya que «La AEPD como miembro del Comité de Impulso de este día en el que participan diversas organizaciones públicas y privadas, quiere fomentar una cultura de protección de los datos personales en el contexto de la Red, de forma que se tenga plena consciencia de los riesgos que pueden desprenderse del mal uso de Internet.

La AEPD asimismo quiere recordar a los padres o tutores que es necesario que adopten una posición activa en relación con el uso de las nuevas tecnologías por parte de los menores».


NEWS 08/Mayo/2013 Nuevas Guías sobre el CLOUD y COOKIES de la AEPD

El pasado 26 de abril de 2013, tuvo lugar en Madrid, la 5ª Sesión Anual Abierta de la AEPD (Agencia Española de Protección de Datos). Sobre esta sesión ya publicamos un post en el que comentamos un resumen con el contenido, alcance e impresiones sobre la misma.

Hoy queremos recordar que en dicha sesión se presentaron dos guías (de las que os dejamos su enlaces correspondientes)con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube Guía para clientes que contraten servicios de Cloud Computing, como a los proveedores que los prestan Orientaciones para prestadores de servicios de Cloud Computing.

Reproducimos por su interés, parte de la Nota emitida por la AEPD de la 5ª sesión anual (nota completa en este enlace):

En el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, ha presentado la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigido a pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.

Ese día 26 se anunció la publicación de la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria, que el día 29 la AEPD presentó junto a dichos representantes.

Reproducimos por su interés, parte de la Nota emitida por la AEPD (nota completa en este enlace):

El director de la AEPD, José Luis Rodríguez Álvarez, ha destacado que, con esta Guía, se da un gran paso adelante para conciliar el uso de las cookies con la protección de la privacidad de los ciudadanos. “Se establecen reglas claras para garantizar que los usuarios puedan decidir si consienten o no la instalación de cookies en sus terminales, contando con una información clara y completa sobre qué datos se recopilan, quiénes los van a tratar y a qué fines se destinan. Al mismo tiempo, se proporcionan a las empresas y a los responsables de páginas web en general unas directrices y orientaciones prácticas que les facilitará el cumplimiento de las obligaciones legales con mayor seguridad jurídica y el grado de flexibilidad necesario para posibilitar el desarrollo de la economía digital”.

La guía ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la información que debe facilitarse, el apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información “clara y completa” sobre las cookies. La Guía especifica un sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.

La Guía también recoge cuestiones relacionadas con la accesibilidad y visibilidad de esa información. Aunque no se ofrecen indicaciones rígidas de dónde debe ser colocada, sí se especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.

Además de ese nivel de información, para la instalación y utilización de cookies será necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado.

Por último, el documento también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.

Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en el documento conjunto no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. La AEPD recomienda a las entidades implicadas en la utilización de cookies llevar a cabo una revisión de las que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Las entidades podrán conocer así qué cookies se utilizan y para qué finalidad, descartando así las innecesarias.

 

NEWS 25/abril/2013. Red de venta de datos afecta a funcionarios, empresarios….

En el día de ayer ha salido publicado en distintos medios que han sido detenidas, en la llamada «operación pitiusa», una red en la que participarían detectives, agentes de la Policía, de la Guardia Civil, empresarios y funcionarios.

Hay 26 nuevas detenciones, para un total de 114 detenidos.

Los detenidos (son 26 las nuevas detenciones, para un total de 114 implicados) por la presunta trama de compra y venta de datos personales -desde números de la Seguridad Social hasta matrículas de vehículos pasando por historiales médicos completos, se han producido por casi toda la geografía nacional.

Los arrestados presuntamente compraban los datos a funcionarios para después ponerlos irregularmente en manos de empresarios.

NEWS 26/Febrero/2013. El Derecho al olvido a debate en el TJUE

Hoy 26 de febrero en Luxemburgo el Tribunal de Justicia de la Unión Europea (TJUE) analizará la cuestión prejudicial sobre el ejercicio de derechos frente a buscadores de Internet, a cuya vista tiene previsto asistir el director de la Agencia Española De Protección de Datos (AEPD).

Estaremos pendientes sobre cuál será el  pronunciamiento del TJUE sobre cómo interpretar la directiva europea de protección de datos en relación con los recursos interpuestos por Google contra las resoluciones en las que la AEPD ha amparado los derechos de oposición y de cancelación de datos personales de ciudadanos frente a buscadores en Internet, y en concreto Google.

¿Protección o censura?- Se trata de conocer las posturas de Google, España y otros países comunitarios sobre el derecho al olvido, proceso que podría/debería aclarar, o cuando menos comenzar a vislumbrar, cómo aplicar la normativa de protección de datos a buscadores de internet. La AEPD ha instado a Google a retirar la indexación de determinados contenidos por considerar que ésta genera perjuicios muy graves a los ciudadanos afectados, quien se ha negado, alegando que se trata de un «problema de libertad de expresión» y que son las fuentes del origen de la información los responsables.

NEWS 21/Enero/2013


La AEPD organiza la Jornada ’20 años de Protección de Datos en España’

El próximo 28 de enero la AEPD organiza, coincidiendo con la celebración del Día de la Protección de Datos en Europa, una jornada conmemorativa de los’20 Años de Protección de Datos en España’. A la jornada acudirán diversas personalidades y expertos que representarán a todos los agentes que han participado activamente en el desarrollo de este derecho fundamental en nuestra sociedad.

Las plazas son limitadas. Sólo se podrá acceder a la jornada mediante inscripción previa

PROGRAMA

08.45h.- Recepción y acreditación de asistentes

09.15h.- Bienvenida

09.20h.- Inauguración

09.50h.- La elaboración y aprobación de la LORTAD

10.30h.- Pausa café

10.50h.- Mesa Redonda. El Parlamento y la protección de datos

11.50h.- El derecho a la protección de datos en la jurisprudencia del Tribunal Constitucional

12.30h.- Mesa Redonda. La Actuación de la Agencia Española de Protección de Datos

13.30h.- Mesa Redonda. La protección de datos en la jurisprudencia de la Audiencia Nacional y del Tribunal Supremo

16.30h.- Mesa Redonda. El cumplimiento de la normativa de protección de datos en el sector público

17.45h.- Mesa Redonda. El cumplimiento de la normativa de protección de datos en el sector privado

19.00h..- Clausura. Retos actuales de la protección de datos

Acceso al programa completo e inscripción

 

NEWS 16/Octubre/2012

NOTA INFORMATIVA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD: 16-10-2012)

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google.

A modo de resumen, las conclusiones son:

  1. Reclaman a Google que informe de una forma más clara a sus usuarios y le piden que ofrezca un mayor control sobre la combinación de datos entre sus numerosos servicios.
  2. Solicitan a la empresa que modifique las herramientas que emplea para evitar una recogida excesiva de datos.

(Madrid, 16 de octubre de 2012). Las Autoridades europeas de protección de datos han publicado sus conclusiones respecto de la nueva política de privacidad implementada por Google el pasado mes de marzo, tras meses de investigación liderada por la Autoridad francesa de protección de datos (CNIL). Tras analizar las respuestas y la documentación proporcionada por Google, las Autoridades concluyen que Google no proporciona suficiente información a los usuarios sobre sus operaciones de tratamiento de datos. Asimismo, considera que Google no ofrece al usuario un control sobre el modo en que sus datos se combinan entre los diferentes servicios de Google.

Por ello, las Autoridades europeas requieren a Google que ofrezca una información más clara y completa sobre los datos que se recogen y las distintas finalidades de cada una de las múltiples operaciones de tratamiento de datos que lleva a cabo. En relación con la combinación de datos entre servicios, las autoridades emplazan a Google a que refuerce el consentimiento para las combinaciones que se basan en la autorización de los usuarios y a que ofrezca mejores posibilidades para que los usuarios puedan oponerse al tratamiento de sus datos en los casos en que las operaciones de tratamiento no precisan consentimiento.

Las Autoridades Europeas han remitido estas recomendaciones a Google para darle la oportunidad de mejorar su nueva política de privacidad, y esperan que Google tome medidas eficaces para cumplir rápidamente con estas recomendaciones.

Nueva política de privacidad
El pasado 24 de enero Google anunció que modificaría su política de privacidad y sus condiciones de uso para la mayoría de sus servicios a partir del 1 de marzo de 2012. Ante las numerosas dudas que estos cambios planteaban, el Grupo de Autoridades de Protección de Datos de la UE encomendó a la Autoridad francesa (CNIL) que dirigiera la investigación sobre esta nueva política de privacidad.

En este contexto, se enviaron dos cuestionarios sucesivos a Google. La empresa contestó a estos cuestionarios, pero varias de las respuestas resultaron incompletas o poco precisas. En concreto, Google no contestó suficientemente a cuestiones clave como la descripción de sus operaciones de tratamiento de datos personales o la lista detallada de las más de 60 políticas de privacidad específicas que se han sustituido por esta nueva política general.

NEWS 10/Octubre/2012

INTECO Publica Estudio sobre la protección de datos en las empresas españolas:

El INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN acaba de publicar este estudio cuyo objeto es «establecer un diagnóstico de la percepción de cumplimiento de la normativa vigente en materia de protección de datos personales por parte de la pequeña y mediana empresa española en 2012» según se recoge en su resumen ejecutivo.

Del estudio cabe destacar lo siguiente:

Respecto al Conocimiento de la LOPD.- Casi todas las pequeñas y medianas empresas la conoce (86%). Siendo conscientes de estar sujetas a la misma cerca del 80%.

Sobre la existencia de ficheros.- 3 de cada 4 empresas trabajan habitualmente con ficheros con datos personales, siendo los más frecuentes los de clientes (94%) y proveedores (80%). Otros ficheros usados con menor frecuencia son: nóminas, los archivos para la seguridad social y de candidatos.

En cuanto a la percepción de adopción de las obligaciones sobre protección de datos:

  • La mitad de las pequeñas y medianas empresas dicen cumplir con todas las obligaciones de la LOPD. 
  • El 57% de las empresas afirma haber inscrito los ficheros (siendo la estimación de INTECO, que solo el 31,8% los han inscrito)

Percepción de adopción de medidas de seguridad:

  • La percepción es irregular entre las empresas españolas.
  • Un 57% de pequeñas y medianas con ficheros con datos personales manifiesta tener un Documento de Seguridad. 
  • El 48% de las empresas afirma haber organizado sesiones de formación específica sobre protección de datos.
  • Solo un 30% de las empresas dice disponer de un registro de incidencias.
  • casi el 62% de las empresas españolas afirma que realiza copias de respaldo con periodicidad semanal.

Finalmente el informe también establece una serie de recomendaciones y los perfiles de empresas según su cumplimiento de la normativa sobre protección de datos:

  1. Empresas despreocupadas-indiferentes
  2. Empresas previsoras-estratégicas
  3. Empresas desinformadas
  4. Empresas cumplidoras

NEWS 20/septiembre/2012

Nuevo comunicado de la Fundación Tripartita señalando que posiblemente se estén produciendo casos de fraude en la impartición de curso sobre blanqueo de capitales y financiación del terrorismo.

La Fundación recuerda y advierte sobre la necesidad de acreditar la participación de los trabajadores, es decir, de estar ante un nuevo caso del llamado «coste 0» (ofrecer un curso financiado con fondos y “regalar” un asesoramiento vinculado al contenido del curso).

La Fundación recuerda, advierte  y previene sobre la inadecuada utilización de los créditos de  formación y evitar que se produzcan errores que supongan la devolución de las cantidades bonificadas por los costes de los mismos, ya que está recibiendo numerosas consultas sobre la posibilidad de bonificar los costes de los cursos indicados.