Entradas

¿Pueden pedirnos el nº de teléfono para emitirnos una factura?

AEPD sancionado con 2.000€ a un restaurante por pedir a una clienta, que solicito una factura, el nº de teléfono para emitirla (ya que el sistema le obligada a ello), es decir, pedir un dato innecesario, excesivo para la finalidad

Una de Faemino y Cansado en versión RGPD o que decir si te pillan en un ejercicio de derechos

Hace 3 días se celebró el Día de la Protección de Datos y ese día leíamos una resolución reciente de la Agencia Española de Protección de Datos (AEPD) en la que, una vez más, recuerda a las entidades que tratan datos personales que si un cliente, empleado, usuario, etc. les pide ejercer un derecho, deben de responder y actuar con la diligencia que establece el RGPD.

¿Es una dirección de email un dato de carácter personal?

El día 19 de octubre de 2021, leíamos 2 resoluciones sancionadoras de la AEPD en las que se desestiman alegaciones sobre que el email no es un dato de carácter personal.

¿Qué sucede si no nombro ante AEPD un Delegado de Protección de Datos (DPD) y estoy obligado?

Este post también se podría titular: ¿Cuándo es obligado nombrar un Delegado de Protección de Datos?
Ya que en realidad esa es la cuestión que muchas empresas o entidades que tratan datos personales se preguntan, pero algunas no, y otras tantas lo ignoran.

Agencia Española de Protección de Datos | Eurovima Consulting S.L.

La AEPD presenta la campaña: “Un solo clic puede arruinarte la vida’ para alertar de los riesgos de difundir contenidos sexuales o violentos”

Agencia Española de Protección de Datos | Eurovima Consulting S.L.En el Día Internacional de Protección de Datos, que se celebra cada 28 de enero, la Agencia Española de Protección de Datos (AEPD) ha presentado la campaña: “Un solo clic puede arruinarte la vida’ para alertar de los riesgos de difundir contenidos sexuales o violentos.

Una iniciativa para concienciar de los riesgos de reenviar o difundir contenidos sensibles, como fotografías o vídeos de carácter sexual o violento y del servicio de denuncia para comunicar la difusión ilícita de este tipo de contenidos y solicitar su retirada (a través del Canal prioritario)

Una iniciativa que seguramente en el marco familiar puede tener mucha relevancia por la falta de conciencia de nuestros menores en la importancia que tiene este tema.

Confiando en que os pueda resultar de utilidad y se comparta con nuestros menores y adolescentes, os dejamos el enlace donde podéis encontrar toda la información

Feliz privacidad¡¡¡¡

Por crear un grupo de WhastApp un restaurante es apercibido por la AEPD | Eurovima Consulting S,L.

La AEPD apercibe a un restaurante por crear y usar un grupo de WhatsApp

Y un buen día, WhatsApp se hizo presente en nuestro mundo, y el de las empresas.

Por crear un grupo de WhastApp un restaurante es apercibido por la AEPD | Eurovima Consulting S,L.

Imagen obtenida de Pixabay en Pexels

Desde que se popularizó su uso nos hemos acostumbrado, o resignado, a recibir miles de mensajes, muchos de ellos sin interés, otros tantos de mal gusto, y para colmo después vino la posibilidad de la creación de grupos de usuarios.

Grupos en los que seguramente todos habremos tenido una mala experiencia, amén de las susceptibilidades y el hartazgo que provocan o por el temor a abandonarlos por miedo a ser juzgados, y no hablamos solo de los temidos grupos de padres del colegio.

Además, de un tiempo a esta parte, muchas empresas lo están usando como servicio de atención al cliente, y en ocasiones para comunicaciones comerciales, a las que la Agencia Española de Protección de Datos (AEPD) ya ha sancionado por ello.

Se trata de la primera infracción que la Agencia Española de Protección de Datos (AEPD) ha dictado vinculada a la creación de un grupo de WhatsApp.

Es el caso de un restaurante que infringe dos artículos de la LOPD:

  • El artículo 6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”)
  • El artículo 10 de la LOPD (“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que ……”.

El motivo de la denuncia fue la inclusión sin permiso en un grupo, del que se salió y fue nuevamente incluido:

En la resolución adjunta (ver enlace) se indica el desarrollo de los hechos: “Con fecha 8 de diciembre de 2016 realizó reserva para la cena del día 31 de diciembre de 2016 en el citado restaurante; varios días antes de la cena, se crea un grupo de whatsapp con las personas que participaban en dicha cena.

El denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si sale del grupo se anulará la reserva. Asimismo, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañaran”.

La Subdirección General de Inspección de Datos de la AEPD, tras la denuncia procedió a abrir actuaciones previas de investigación para esclarecer los hechos denunciados, tratando de ponerse en contacto con la entidad denunciada, lográndolo con la supuesta dueña (así se identificó) pero siendo infructuosos los intentos posteriores de notificación alguna.

La resolución, pone de manifiesto los siguientes hechos probados:

  1. La realización de la reserva
  2. Que el responsable del restaurante creó un grupo de WhatsApp con las personas que participaban en dicha cena, enviando un listado con el nombre y apellidos de quien hizo la reserva, el número de personas que cenarían y un plano del restaurante con la ubicación de la mesa
  3. Que el denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunicaban que “si sale del grupo se anulará la reserva”.

Dos fueron los artículos infringidos.

La AEPD manifiesta que se infringió el artículo 6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”) al haberse acreditado que el restaurante fue el responsable de la creación de un grupo de whatsapp con las personas que cenarían en Nochevieja, insertando un listado de todos los comensales sin que hubiese consentido para el tratamiento de sus datos personales.

Al mismo tiempo, la AEPD señala que además del artículo 6.1, también se infringió el artículo 10, es decir, que se vulneró el deber de secreto, al haber posibilitado el acceso por terceros (el resto de comensales) a datos personales sin que el titular de los datos hubiese prestado su consentimiento para ello.

Al tratarse de un mismo hecho que deriva en dos infracciones, puesto que la comisión de una implica, necesariamente, la comisión de la otra, procede únicamente declarar la infracción más grave, en este caso la del artículo 6 de la LOPD.

Destacar que el restaurante no contaba con antecedentes de sanciones y apercibimientos precedentes.

La AEPD no procede a sancionar económicamente pero apercibe al restaurante, al concluir que se cumplen los requisitos recogidos establecidos en la Ley, es decir:

  • Se constata una cualificada disminución de la culpabilidad ante la no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal
  • La ausencia de reincidencia
  • Y que no constan perjuicios causados a las personas interesadas.

Eso sí, la AEPD insta al restaurante a que no cree grupos de WhatsApp de comensales, salvo que cuente con el consentimiento de los mismos para la finalidad pretendida.

Como habitualmente indicamos a nuestros Clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, de las comunicaciones comerciales que hagamos, y de un tiempo a esta parte, con el uso general que las empresas le dan a la aplicación de WhatsApp (envío de partes de baja, vacaciones, comentarios varios….)

 

Un murmullo en espera de la “nueva” LOPD: La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos | Eurovima Consulting

Un murmullo en espera de la “nueva” LOPD

La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Un murmullo en espera de la “nueva” LOPD: La 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos | Eurovima ConsultingEl pasado jueves, 25 de mayo de 2017, ha tenido lugar en el centro de Conferencias Fundación Pablo VI de Madrid la 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).

Como cada año, y ya van 7 de las 9 sesiones anuales realizadas a las que hemos podido asistir, el aforo se completó de profesionales interesados en conocer de boca de la Agencia las últimas novedades referentes al RGPD. La expectación era máxima, prueba de ello es que el aforo se completó a las 4 horas de abrirse la inscripción.

La sesión se ha celebrado justo 365 días antes de que sea de aplicación el Reglamento General de protección de datos (RGPD), es decir, en mitad del periodo de transición hacia el nuevo marco normativo europeo.

Antes de nada, felicitar y dar la enhorabuena a los premiados por la labor que realizan en los ámbitos de la investigación y comunicación en materia de protección de datos, por sus trabajos y dedicación en aras de acercar el mundo de la privacidad a toda la sociedad.

En poco más de media hora, tiempo que duró la intervención de la Directora de la AEPD, las expectativas se tornaron en decepción:

Como sucede en otros ámbitos en este tipo de casos, lamentablemente lo expuesto no ha cubierto las expectativas ya que Mar España, directora de la Agencia, “informó” sobre el estado del anteproyecto de modificación de la LOPD (adaptación al Reglamento Europeo) indicando que esperaba estuviese disponible al público antes del verano (hace meses se indicó que esperaba fuese posible en el primer trimestre de 2017) y que no podía avanzar nada sobre el mismo por un tema de confidencialidad.

Nos contó que el borrador ya ha sido remitido al Ministerio de Justicia para que pueda comenzar el proceso de tramitación (que no es corto), esperando que su aprobación llegue a tiempo, es decir, antes del 25 mayo de 2018.

En definitiva, se generó un sonoro murmullo entre los asistentes al evento ante tal decepción.

Entramos, o mejor dicho continuamos, en el ámbito de la protección de datos personales, en un periodo de incertidumbre sobre si su aprobación llegará antes de que el Reglamento Europeo sea de aplicación y por tanto, a que el texto definitivo no sea conocido hasta casi el último momento, cuestión que entrañará una mayor dificultad a la hora de lograr la integración del nuevo marco normativo europeo “a la carrera”.

Nuevas herramientas del reglamento general de protección de datos:

En la presentación de nuevas herramientas del reglamento general de protección de datos, además de citar las guías ya publicadas, se mencionaron:

  • La que se publicó ese mismo día orientada al “Ciudadano”; ‘Protección de Datos: Guía para el Ciudadano’ que incorpora referencias al nuevo Reglamento Europeo, en aras de informar a los ciudadanos acerca de sus derechos en relación con el tratamiento de sus datos de carácter personal, el asesoramiento en la presentación de denuncias y reclamaciones, etc.
  • Se anunció la publicación de sendas guías para padres y colegios, ya que la formación en materia de seguridad en internet orientada a los menores es y ha sido una prioridad para la AEPD.
  • Herramienta de ayuda web “NanoPymes”. Disponible en junio en la web de la AEPD, pretende “facilitar”* el cumplimiento de las pymes siempre que traten datos con nivel de riesgo muy bajo, en base a los datos del tejido empresarial español y del tipo de tratamiento que realiza una pyme (72.5% del total de tratamiento son de nivel bajo). La AEPD incide en su presentación que es un programa de ayuda en general y los documentos generados serán válidos en la medida en que se ajusten las respuestas con la realidad y por supuesto, su uso no garantiza el cumplimiento del RGPD.

*Andrés Calvo (AEPD): la herramienta “NanoPymes” no reemplaza el asesoramiento de un profesional

Sobre otras cuestiones más destacadas o de relevancia, señalar lo siguiente:

Datos del avance de la memoria 2016: se han recibido unas 12.000 denuncias o tutelas de derechos ante la AEPD, con aplicación del 20% de reducción en cada vez más casos de sanción, sobre todo por pago espontaneo o reconocimiento.

Respecto a la necesidad de realizar una Evaluación de Impacto sobre la protección de datos (EIPD) parece que además del “alto riesgo”, en la lista creada por el Grupo de Trabajo del Artículo 29 encontraremos más consideraciones para su realización. Eso sí, invocando a la “diligencia” a la que la AEPD siempre se refiere, cuando dudes en hacerla o no, si puedes, hazla.

Sobre las certificaciones de profesionales (se encuentra en curso la elaboración del Esquema de Certificación) se reiteró que la certificación es instrumento de garantía de profesionalidad y de transparencia para responsables y encargados, pero no única vía de acceso.

Sobre las entidades que deberán tener un Delegado de Protección de Datos (DPD ó DPO), la Agencia ha dado un primer esbozo de lista que pueden consultar en la web de la AEPD (presentaciones 9 jornada)

La Agencia va a crear una unidad de atención a los responsables y profesionales en materia de privacidad, recomendando que las consultas se realicen a través de asociaciones profesionales.

En casos concretos, el interés legítimo permitirá consentimiento tácito obtenido antes de la aplicación del RGPD. Se podría permitir el consentimiento tácito para el envío de publicidad cuando exista un contrato con el interesado. En todo caso, son cuestiones a concretar….

Se pone fin a la excepción del artículo 2.2 RLOPD (Ámbito objetivo de aplicación: datos de “contacto”)

Finalmente recordar a la AEPD, que el análisis de las sentencias, informes y resoluciones más relevantes, fueron expuestas un año más, a toda pastilla. En menor medida los informes y sentencias relevantes, pero que en todo caso, las revisaremos con calma en los videos expuestos en la web de la Agencia, ya que en directo, es difícil sacar muchas conclusiones.

En definitiva, toca esperar para tener toda la información necesaria para hacer bien nuestro trabajo y mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y la de los demás).

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Un año más: Feliz Navidad y Feliz Privacidad 2017

Un año más: Feliz Navidad y Feliz Privacidad 2017 | Eurovima Consulting | Agencia de Protección de Datos en MadridOtro año que va pasando y nuevamente queremos aprovechar esta época para hacer llegar a nuestros clientes, colaboradores, lectores y amigos nuestro mejores deseos.

Nuevamente ha sido un buen año para Eurovima, en el que hemos seguido apostando por el servicio y atención. La “familia” de Eurovima, interna y externa se ha incrementado, por eso volvemos a dar las gracias a los clientes de antaño por continuar a nuestro lado, a los nuevos que se han sumado y a los que vendrán decirles, que les esperamos con los brazos abiertos.

Respecto a «nuestro mundo», otro año, y van demasiados, en los que la privacidad y la seguridad han vivido momentos convulsos, con el azote nuevamente del terrorismo y las amenazas de la ciberseguridad en el uso del Big Data y el Internet de las Cosas, de manera que una vez más vuelve a poner en liza el valor y la ponderación que ha de tener la privacidad frente a la seguridad. Sin olvidarnos de nuestros menores y las redes sociales: mucho por enseñar y educar.

Un año en el que pensamos que estamos de enhorabuena, ya que el cambio en la Agencia Española de Protección de Datos (AEPD) ha sido para bien, consolidando esas buenas primeras impresiones que nos causó la nueva Directora, Mar España Martí a finales de 2015.

Impresiones que también son positivas sobre el Plan Estratégico que la AEPD estableció con unos objetivos que a nuestro modo de ver van logrando alcanzar en cada uno de los cinco grandes ejes estratégicos en los que se estructuró.

  1. Prevención para una protección más eficaz
  2. Innovación y protección de datos: factor de confianza y garantía de calidad
  3. Una Agencia colaboradora, transparente y participativa
  4. Una Agencia cercana a los responsables y a los profesionales de la privacidad
  5. Una Agencia más ágil y eficiente.

En lo normativo, hemos visto ¡¡¡por fin!!!, la aprobación el pasado abril del nuevo marco regulatorio en materia de Protección de Datos de carácter personal. La aprobación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aunque no será de aplicación hasta dentro de dos años, mayo de 2018, supone contar con un marco jurídico homogéneo, elevando el nivel de responsabilidad de las empresas y concediendo al ciudadano un mayor control sobre sus datos personales.

Veremos ahora el papel de la AEPD a la hora de definir, desarrollar y revisar las cuestiones que el Reglamento confiere a las Autoridades Nacionales de Control de los Estados Miembros, que por otra parte se traducirá en que la LOPD (publicación prevista del anteproyecto de reforma en el primer trimestre de 2.017) y sus normas de desarrollo deben ser revisadas y adaptadas al Reglamento.

Agradecer nuevamente al equipo de colaboradores de Eurovima, a los de siempre y a las nuevas incorporaciones, su esfuerzo y dedicación. A los que han emprendido nuevos retos, desearles mucha suerte y a todos decirles una vez más que hemos tenido mucha suerte de compartir trabajo, conocimiento y experiencias a lo largo de todo este año, deseando repetir.

En definitiva, desde EUROVIMA, haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado.

¡¡¡¡Seguimos contando con vosotr@s!!!! Un fuerte abrazo,

El equipo de Eurovima

Nota de prensa de la AEPD: “El Reglamento de protección de datos en 12 preguntas»

NEWS5Hoy, 26 de mayo de 2016, la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web un documento en el que de manera simple, siguiendo un formato de pregunta-respuesta, facilita la comprensión del nuevo marco normativo tanto a los ciudadanos, como para ayudar a las organizaciones a adaptarse a los cambios que va a incorporar y cumplir así con sus obligaciones, en el momento en que entre en vigor.

Os emplazamos a consultar la nota en el siguiente enlace y como siempre a vuestra disposición para cualquier duda, consulta o comentario.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Delete Button For Erasing Or Deleting Trash by Stuart Miles in FreeDigitalPhotos.net

Aunque sobre este tema ya hemos hablado en algún que otro post, queremos hacer hincapié en la utilidad de cumplir nuestros propios protocolos, no sólo por la sanción que nos puedan imponer, sobretodo por no manchar nuestra imagen de marca o negocio.

No atender convenientemente el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición) al tratamiento de los datos personales de un cliente o usuario, es uno de los motivos más recurrentes de sanción en el ámbito de la LSSI (Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD)

Normalmente las entidades que han realizado un proyecto de adecuación normativo, habrán establecido un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que habrá notificado a todo su personal con el fin de atenderlos convenientemente, de lo contrario el proyecto de adecuación normativo a la LOPD no ha sido ni completo ni riguroso.

La eterna lucha contra el SPAM

Recordemos que se denomina “spam” a todo tipo de comunicación no solicitada que se realiza por vía electrónica y que se lleva a cabo mediante el envío de correos electrónicos comerciales, SMS o por medios de comunicación electrónica equivalentes.

Como el coste es mínimo y se trata de envíos que se realizan de manera sencilla y ágil, esta práctica se ha extendido entre aquellas empresas que prefieren arriesgarse y lograr una publicidad efectiva antes que legal y respetuosa con sus clientes y los que pudieran llegar a serlo.

El SPAM se considera grave cuando se realiza de forma masiva, abusiva e indiscriminada según se establece en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificado por el Real Decreto-Ley 13/2012, de 30 de marzo.

En definitiva, cualquier envío de comunicación con publicidad por medios de comunicación electrónica estarán supeditados a que exista un consentimiento previo, específico, inequívoco e informado, salvo relación contractual anterior y que no se indique voluntad en contra – Comunicaciones electrónicas no deseadas: motivo recurrente de sanción.

La AEPD resuelve que queda acreditado el envío de 3 correos publicitarios una vez manifestó su oposición.

La AEPD acredita en su resolución que el denunciante solicitó en 2 ocasiones la petición del cese en el envío de información comercial, señalando respecto al envío de los 3 correos electrónicos publicitarios lo siguiente:

“[…] No contaba con el consentimiento previo y expreso de la denunciante, toda vez que se enviaron con posterioridad a que éste hubiera manifestado su oposición a la recepción de envíos publicitarios. Por ello, los 3 correos electrónicos enviados […] incumplían la prohibición de remitir comunicaciones comerciales no autorizadas o solicitadas establecida en el artículo 21.1 de la LSSI, ya que se trataba de envíos publicitarios no consentidos por su destinatario, quien había manifestado a la citada entidad su voluntad de no continuar recibiendo publicidad circunstancia perfectamente conocida por dicha entidad”.

Respecto a la culpabilidad de conducta de la imputada, la AEPD señala que:

[…] Le era exigible otra conducta diferente de la que observó, habida cuenta que no adoptó todas las precauciones necesarias en orden a asegurarse que los procedimientos instaurados para tramitar las bajas en el envío de comunicaciones publicitarias funcionaban correcta y efectivamente, considerándose que el argumento de la buena fe resulta insuficiente en atención a la diligencia que le resulta exigible como empresa habituada a la remisión de envíos publicitarios por medios de comunicación electrónica, debiendo, por tanto, velar por el cumplimiento de los derechos de los destinatarios de tales mensajes recogidos en la LSSI, causa por la que debió actuar con más prudencia para justificar la legalidad de su conducta.”

La sanción no fue mayor, ya que la AEPD valoró como circunstancias atenuante la ausencia de intencionalidad, o que hubieses ocasionado perjuicios relevantes al denunciante o generado beneficios a la empresa imputada como resultado de los envíos.

La importancia de cumplir con nuestros procedimientos de respuesta y actuación ante el ejercicio de derechos ARCO

Aunque en la resolución podemos ver que aunque la entidad denunciada manifestó que: disponemos de protocolo interno de atención a cualquier solicitud ARCO referenciada al email […] o por correo ordinario, con personas responsables y sistemas de comunicación. En esta ocasión y debido a que la empresa en esas fechas estaba inmersa en cambios estructurales se ha demorado en el tiempo proceder a la cancelación de los datos solicitada por la denunciante. Entienden que ha habido una demora en el tiempo de ejecución de la mencionada cancelación.”

En definitiva, aunque la entidad manifestó su error al no atender la petición, alegando estar en un momento de cambios internos, no le valió para librarse de la sanción, por eso insistimos a nuestros clientes que si han realizado un proyecto de adecuación normativo riguroso, y por tanto han implementado un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que presten especial atención a los mismos al igual que con la gestión de las suscripciones a los boletines o newsletter,

Seguir los procedimientos que hemos implementado y se encontrarán recogidos en nuestro documento de seguridad es vital para cumplir tanto la LOPD como de la LSSI y de paso trasmitir una imagen de garantías a nuestros clientes y a los potenciales a los que nos queremos acercar.

Puedes encontrar más información acerca de los derechos ARCO en este artículo que tenemos publicado: Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”