Las resoluciones sancionadoras de la Agencia Española de Protección de Datos (AEPD) respecto a páginas web que no se encuentran adecuadas a la normativa, tanto de protección de datos como de la LSSI (generalmente respecto a las cookies) son cada vez más habituales.
La LSSI prohíbe las comunicaciones comerciales para la promoción directa o indirecta de los bienes o servicios sin consentimiento expreso del destinatario, salvo cuando exista una relación contractual previa y se cumplan otros requisitos. En este artículo te contamos qué es lo que debemos tener presentes en el envío de comunicaciones comerciales por medios electrónicos y la diferencia entre 2 situaciones idénticas de envíos de comunicaciones comerciales no consentidas, sancionadas con 1.500€-12.000€
¿Qué debemos saber antes de instalar cámaras de videovigilancia conforme normativa protección datos? | Eurovima Consulting | Asesoría Protección de Datos Madrid
Te apuntas a una excursión, la pagas y resulta que antes de la salida en el propio autobús te dicen verbalmente que será grabada y podrás tener una copia, previo pago, y si no quieres salir indiques que no quieres ser grabado y te pongas detrás de la cámara.
Pues resulta que luego alguien te denuncia ya que has vulnerado sus derechos, ya que la imagen es un dato de carácter personal, y la Agencia Española de Protección de Datos (AEPD) atiende dicha reclamación y te apercibe por una doble infracción:
Definido en el artículo 4 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Recordemos que para un caso como este, el consentimiento del excursionista debe de ser prestado válidamente, de forma expresa y afirmativamente, siendo evidente que la fórmula empleada por la empresa no fue la adecuada.
La propia AEPD señala en su resolución que “NO es válido alegar que se preguntó antes de empezar las grabaciones del reportaje” ya que recordemos la fórmula utilizada fue: “si alguien no está de acuerdo con que se le filme, que lo indique para no sacarle en el reportaje …”, ya que no acredita que se proporcionó toda la información sobre el tratamiento de datos personales conforme al artículo 13 del RGPD.
En este caso, si observamos la información facilitada por la empresa respecto a lo que el art. 13 del RGPD establece, vemos que el incumplimiento es evidente, ya que recordemos, de manera resumida es la siguiente:
Respecto al consentimiento, recordemos que el responsable del tratamiento debe poder demostrar que el interesado ha dado su consentimiento y por tanto deberá poderlo acreditar.
Por tanto eso supone documentar quién, cómo y cuándo consintió, y qué información le fue facilitada, debiendo sopesar la manera de hacerlo cuando se hace de forma verbal (grabación), offline (firma y fecha) u online (acreditar la información a través del doble opt-in)
Aunque en el presente caso es evidente que existe una finalidad económica directa (pago del mismo) por la grabación, nunca informativa o pública, pero es curioso ver que entre las alegaciones, se indicase lo siguiente: “(…) Las grabaciones en calle públicas por parte de las televisiones no requieren dar autorización expresa de los viandantes solo si ven la cámara y no están de acuerdo con que se les grabé lo advierten al productor de igual manera en los eventos deportivos conciertos fútbol toros etcétera sacan al público sin la autorización previa (…)”
La imagen es un dato de carácter personal y su tratamiento está sujeto a la normativa de protección de datos, entre otras, debe estar sustentado en una base de legitimación y cumplir con el deber de información, debiendo se capaz de acreditarlo.
Todo ello sin entrar en la regulación del derecho a la propia imagen, como derecho fundamental de carácter personal reconocido en el art. 18.1 de la Constitución, que se recoge en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LO 1/1982)
Enlace a la resolución sancionadora de la AEPD publicada el 07/01/2021
photo credit: David Feltkamp via photopin cc
La propuesta inicial de la Agencia era 6 millones a raíz de varias reclamaciones resueltas en un único procedimiento por infracción de los artículos 13 y 14 #RGPD (2 millones) y otros 3 por artículo 6 del RGPD
Básicamente la #AEPD sanciona el formulario en el que el banco da a conocer los términos aplicables a la protección de datos personales, que requiere el #consentimiento (específico, inequívoco e informado) de sus clientes. Dicha información recogida en su política de privacidad, no es adecuada respecto a la finalidad del tratamiento y la base jurídica que lo legitima (especialmente las basadas en el interés legítimo), e insuficiente información sobre sobre el tipo de perfiles que se van a realizar y los usos específicos a que se van a destinar.
La Agencia le requiere que en el plazo de 6 meses corrija sus formularios: “adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho X (detallado en la página 114)»
El BBVA declara no estar conforme y solicita la nulidad del procedimiento o la caducidad y subsidiariamente su archivo o, en su defecto, apercibimiento o una reducción significativa.
El BBVA declara reproducidas en su totalidad sus alegaciones al acuerdo de inicio, que, a su juicio, la propuesta de resolución no tiene en cuenta ni rebate; y formula las consideraciones siguientes, que reproducen básicamente aquellas alegaciones a la apertura del procedimiento (página 22 a 37)
El único objeto del procedimiento ha sido el formulario que da a conocer los términos aplicables a la protección de datos personales y requiere el #consentimiento de los interesados, dejando al margen otras cuestiones como: análisis sobre la seguridad de los datos de la EIPD, gestión de derechos, datos comunicados a empresas del “grupo BBVA” y la información ofrecida a través de cualquier otro canal o documento para la contratación de productos o de servicios que, por su especialidad, incluyeran sus propias cláusulas de protección de datos.
La resolución ha sido publicada por la Agencia con fecha 11 de diciembre de 2020.
Imagen de Gerd Altmann en Pixabay
Una empresa plantea a la AEPD una consulta ya que pretende publicar cada semana la productividad semanal individual de cada empleado que participa en una actividad que requiere conocer el rendimiento obtenido, en esta caso vinculado al deshueso y loncheado de jamones en sobres.
La consulta indica que el listado se ubicará en el tablón de anuncios de la sala donde los trabajadores hacen el trabajo y sin datos directos vinculados al empleado, solo con el dato del número de matrícula, que únicamente conoce el empleado y las personas del Departamento de Recursos Humanos que realizan el pago de una prima.
En base al rendimiento a final de mes la empresa paga una prima de productividad reflejada en su nómina, es decir, solo conocida por el trabajador.
La AEPD, que ya se ha pronunciado con anterioridad al RGPD sobre la publicación de los datos de productividad, lo hace para dar traslado respecto al RGPD y a la base legitimadora del tratamiento de datos de la consulta, establecidas en el artículo 6.1 del RGPD y a la necesidad de la previa evaluación de ponderación de los derechos e intereses de los afectados.
La Agencia considera que en este caso, la publicación de los datos de productividad de los empleados está fundamentado en el artículo 6.1.f) del RGPD, es decir, si el mismo “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales…”
Del empresario al generar competitividad sana entre sus empleados y la mejora de la productividad global de la empresa,
y también de los empleados quienes conocerán su propio rendimiento frente al resto de compañeros.
Además, el proceso garantiza la transparencia del dato al tener su correspondiente repercusión económica.
Eso sí, la empresa deberá de adoptar las medidas de seguridad organizativas y técnicas necesarias que garantice el secreto y acceso a dichos datos, y que no dé lugar a tratamientos posteriores, algo que considera se cumple “al limitarse la publicación al tablón de anuncios de la Sala en la que se desarrolla la actividad laboral” y al identificar a cada trabajador por su número de matrícula, dato solo conocido por el empleado y el personal del Departamento de Recursos Humanos.
La Agencia concluye: “Por todo ello, el tratamiento objeto de consulta, en cuanto fundamentado en el artículo 6.1.f) del RGPD y previa ponderación de los intereses y derechos afectados, habiéndose adoptado garantías adecuadas, se estima conforme a la normativa vigente sobre protección de datos de carácter personal.”
Llevamos meses leyendo resoluciones de la Agencia Española de Protección de Datos (AEPD) en el ámbito de páginas web que no tienen adecuadas la información respecto a las cookies, o que las instalan sin cometimiento (las no necesarias) o de la inexistencia o inadecuadas políticas de privacidad y/o aviso legal.
En muchos casos terminan en sanciones o apercibimiento y aunque sabemos que las cuantías no son tan importantes como los 30.000€ de sanción impuesta a IBERIA y cuya resolución es de esta semana, concretamente del día 21/10/2020, si estamos ante un momento en el que la Agencia, una vez actualizada su guía de cookies, ha dado de plazo hasta el 31 de octubre para que adecuemos nuestras páginas web.
Una de esas resoluciones de la AEPD en materia de cookies, es la que también se ha publicado esta semana. En este caso se archiva el procedimiento sancionador respecto a una web por inicialmente “carecer de la información preceptiva en una Política de Privacidad y en la instalación de cookies no ofrecer información clara y completa”.
Las alegaciones de la empresa dueña de la web fueron que se estaba trabajando “justamente en la actualización de los textos legales y por ese motivo no disponía de los avisos acorde al RGPD”.
La reclamada aportó los textos actualizados y la Agencia revisa la web pero le abre procedimiento sancionador al considerar que “no cumplía las condiciones que impone la normativa en vigor, por lo que procede la apertura de un procedimiento sancionador” al incumplir el art. 22.2 LSSI respecto a la política de cookies.
La empresa titular de la web “se puso las pilas” y modificó el banner siguiendo la “Guía sobre cookies” y así se lo hace saber a la AEPD que vuelve a revisarla y lo arhiva al entender que “no se contradice con lo estipulado en el artículo 22.2 LSSI”.
¿Cumple tu web con el RGPD la LSSI y tienes bien configurado tu banner e información sobre las cookies?
También recuerda que hay más tareas que debes abordar para que tu actividad o negocio cumpla con la normativa de protección de datos, no solo se trata de aedecuar los textos legales de la página web.
En el siguiente enlace podrás ver la resolución completa finalmente archivda
Y en este otro la de 30.000€ de sanción impuesta a IBERIA
En el canal de Youtube de la AEPD nos dan consejos sobre uso correcto de las cámaras de videovigilancia con respuestas a las dudas más frecuentes planteadas.
Puedes consultarnos cualquier duda y también dispones de más info en la web de la Agencia Española de Protección de Datos en Áreas actuación/videovigilancia
Hasta hace un mes, hablar de teletrabajo era algo casi residual, en auge, pero también en gran parte ocasional, es decir, cuando por motivos de trabajo realizábamos un viaje de negocios, nos desplazábamos a las oficinas del cliente o por motivos concretos y puntuales teníamos que conectarnos desde casa.
Si a esto le unimos el COVID-19 y el constante aumento del número de dispositivos móviles de uso personal en el ámbito laboral, es decir, la irrupción del BYOD, «Bring Your Own Device» o «trae tu propio dispositivo», estamos ante una nueva esfera en la que debemos ser más prudentes y reforzar nuestras políticas de seguridad para que la privacidad no se vea afectada por incidencias bien de confidencialidad, integridad y/o disponibilidad.
Teletrabajo y BYOD, aportan ventajas pero son beneficios ligados al incremento de las amenazas y riesgos que debemos tener muy presentes revisando nuestra gestión del riesgo y adoptando las medidas de seguridad necesarias y orientarlas a la protección de datos personales que tratemos, tal y como la Agencia Española de protección de datos nos señala en su blog y que vamos a resumir.
Siempre hemos dicho, como en nuestro post de 2015 ¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? que salvaguardar nuestro negocio es algo inherente al pensamiento empresarial, da igual si eres grande o pequeño, realizar copias de seguridad es una medida indispensable que garantizará la continuidad y mantendrá la confianza de nuestros clientes, en tiempos en los que el ransomware o secuestro de la información son cada vez más potentes y destructivos.
Hemos hablado de revisar nuestra gestión del riesgo y adoptar las medidas de seguridad necesarias ante la nueva esfera, sus soportes, espacios físicos, etc. y por tanto debemos definir pruebas periódicas para verificar la integridad y la efectiva recuperación de la información en esta nueva situación.
Cualquier dispositivo portátil: ordenadores, móviles, tabletas, memorias USB, discos duros externos, etc. puede extraviarse o ser objeto de un robo.
Nos encontraremos ante una posible brecha de seguridad que habrá que analizar y por tanto debemos anticiparnos tratando de minimizar su impacto aplicando medidas que garantice la confidencialidad de la información que puedan contener:
Imagen geralt en Pixabay
No es el primer caso ni será el último, en el que la actuación incorrecta, indebida, imprudente o como la queramos calificar de un empleado, suponga a la empresa para la que trabaja, una sanción en materia de protección de datos.
Cuestiones como si un “simple” comentario en el texto de un correo electrónico puede considerarse un tratamiento de datos, van a quedar disipadas en esta resolución, si bien nuestra impresión es que la Agencia Española de Protección de Datos (AEPD), que normalmente se caracteriza por ser bastante coherente en sus resoluciones, en este caso creemos que no lo ha sido. Pero mejor, juzguen ustedes mismos
En definitiva, si queréis saber cómo puede un comentario desafortunado en un email de un empleado a otro, que luego éste se olvida de suprimir en la respuesta a una clienta, llega a suponer una sanción de 40.001€ para su empresa deberéis leer esta artículo hasta el final.
Por parte de una clienta contra su Entidad Bancaria, manifestando que un empleado de la sucursal de la que es cliente ha comunicado datos de salud de su persona al Servicio Jurídico de la entidad con motivo de una solicitud de información realizada por la misma ante dicho servicio, información que fue remitida por correo electrónico sin su consentimiento.
En dicho email, el Servicio Jurídico y un empleado de la sucursal hacían referencia al modo de obtener y facilitar la información solicitada por la clienta, y en el último párrafo del correo el empleado afirmaba sobre la cliente: “Comentarte que esta mujer en los 2 últimos meses nos ha solicitado 3 ó 4 veces las claves de acceso y la tarjeta de claves porque dice perderlas o que las tiene su abogada, comentarte que al parecer tiene un trastorno de bipolaridad del que se trata.”
A lo largo del proceso, la AEPD solicitó a la entidad bancaria determinada información y que presentase alegaciones, pero básicamente en las tres ocasiones se manifestó en los mismos términos de manera reiterada y solicitando el archivo de las actuaciones, alegaciones que la Agencia no admitió y que fueron:
La AEPD decide iniciar procedimiento sancionador por la presunta infracción del artículo 7.3 de la LOPD, tipificada como muy grave (de 300.001 a 600.000€)
Recordemos que el artículo 7.3 LOPD, en relación a los datos especialmente protegidos (en este caso datos de salud), señala que: “sólo puedan ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente”.
También hemos de recordar, sobre los datos especialmente protegidos, la exigencia de consentimiento expreso del afectado salvo que pueda acreditarse de otra manera y que corresponde siempre al responsable del tratamiento comprobar que tiene dicho consentimiento.
La AEPD inicia periodo de práctica de pruebas, solicitando a la entidad información sobre los datos de carácter personal de la denunciante que figuran en los ficheros de la entidad, que aclare si la denunciante ha facilitado información relativa a la afirmación realizada por el empleado “al parecer tiene un trastorno de bipolaridad del que se trata” y una “declaración testifical del empleado”.
De igual modo, la AEPD solicita a la denunciante que aporte información sobre si en algún momento ha manifestado a alguna persona vinculada a la entidad denunciada que padecía y se trataba de la patología a la que se refiere el correo electrónico referido al mencionado dato de salud.
Las respuestas a la AEPD fueron que mientras, la denunciante indicó que “en ningún momento manifestó a persona vinculada a la entidad denunciada cuestión alguna referente a su estado de salud o a circunstancias propias de su esfera personal e íntima”, la entidad bancaria reiteró sus alegaciones sobre que se trató de un comentario desafortunado de un empleado y de la inexistencia de dato, de un tratamiento y de un fichero.
Ante la resolución, la entidad denunciada, presento nuevo escrito de alegaciones, que podéis leer en detalle en la resolución, reiterando los argumentos expuestos sobre la inaplicabilidad de la LOPD y adjuntando declaración firmada del empleado en la que manifiesta: “Que fue producto de una mera y desafortunada apreciación personal por mi parte, una simple suposición no basada en ninguna información médica ni de ningún otro tipo obtenida ni de la denunciante ni de ningún tercero”
La AEPD considera probado que en los correos electrónicos intercambiados además de mencionar “trastorno de bipolaridad del que se trata” también se hace otra mención a la salud de la denunciante al referirse a los “problemas de salud que pueda tener” y que dichos correos permiten vincular el nombre, apellidos y NIF de la denunciante, es decir, sus datos identificativos y que por lo tanto, se ha producido un tratamiento automatizado de datos personales de salud, sin que la entidad bancaria haya acreditada el consentimiento expreso de la denunciante.
También considera probado que los datos han sido incluidos en una cuenta corporativa del dominio de la entidad bancaria y por tanto implica que existe un tratamiento de datos en un fichero automatizado, remarcando la diligencia que la entidad bancaria no ha tenido.
Aunque la AEPD dicta en su resolución que existen agravantes, es decir, la mencionada diligencia que por su actividad no ha acreditado, si aprecia la concurrencia dos circunstancias recogidas en el Artículo 45.4 de la LOPD, que permiten dejar la sanción en 40.001€, en concreto:
En definitiva, la Agencia pone de manifiesto que un comentario en un correo electrónico supone que existe un tratamiento de datos o fichero automatizado, no aceptando que se tratase de un “error” cometido y asumido por un empleado, fruto de su desafortunada apreciación personal.
Debemos informar y concienciar a nuestros empleados sobre este tipo de comentarios o anotaciones que se realizan sobre clientes, candidatos, evaluaciones de personal, etc. si bien entendemos que seguramente la entidad recurrirá ya que la misma nos parece un tanto desproporcionada.
Enlace a la resolución de la AEPD
En todo caso, quedamos a la espera de vuestros comentarios.
