Entradas

Un ejemplo de como descuidar las cookies de tu web te puede costar caro

Las resoluciones sancionadoras de la Agencia Española de Protección de Datos (AEPD) respecto a páginas web que no se encuentran adecuadas a la normativa, tanto de protección de datos como de la LSSI (generalmente respecto a las cookies) son cada vez más habituales.

¿Puedo grabar una excursión sin solicitar el consentimiento ni informar a los asistentes?

¿Puedo grabar una excursión sin solicitar el consentimiento ni informar a los asistentes?

Imagen de Pexels en Pixabay

Evidentemente no, por ello la AEPD atiende una reclamación en ese sentido y apercibe por doble infracción de protección de datos

Te apuntas a una excursión, la pagas y resulta que antes de la salida en el propio autobús te dicen verbalmente que será grabada y podrás tener una copia, previo pago, y si no quieres salir indiques que no quieres ser grabado y te pongas detrás de la cámara.

Pues resulta que luego alguien te denuncia ya que has vulnerado sus derechos, ya que la imagen es un dato de carácter personal, y la Agencia Española de Protección de Datos (AEPD) atiende dicha reclamación y te apercibe por una doble infracción:

  1. Artículo 13 RGPD, respecto al deber de información que debería haber facilitado de manera previa al inicio del reportaje
  2. Artículo 7 RGPD por falta de consentimiento, que en este caso sería la base legal que legitima la grabación.

El consentimiento en el RGPD:

Definido en el artículo 4 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Recordemos que para un caso como este, el consentimiento del excursionista debe de ser prestado válidamente, de forma expresa y afirmativamente, siendo evidente que la fórmula empleada por la empresa no fue la adecuada.

La propia AEPD señala en su resolución que “NO es válido alegar que se preguntó antes de empezar las grabaciones del reportaje” ya que recordemos la fórmula utilizada fue: “si alguien no está de acuerdo con que se le filme, que lo indique para no sacarle en el reportaje …”, ya que no acredita que se proporcionó toda la información sobre el tratamiento de datos personales conforme al artículo 13 del RGPD.

¿Qué información debió ser facilitada por la empresa antes de la grabación?

En este caso, si observamos la información facilitada por la empresa respecto a lo que el art. 13 del RGPD establece, vemos que el incumplimiento es evidente, ya que recordemos, de manera resumida es la siguiente:

  • la identidad y los datos de contacto del responsable;
  • los datos de contacto del delegado de protección de datos, en su caso;
  • los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
  • los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
  • en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional;
  • el plazo durante el cual se conservarán los datos;
  • derecho a solicitar al responsable del tratamiento el ejercicio de derechos: acceso, rectificación o supresión, oposición, etc.;
  • el derecho a presentar una reclamación ante una autoridad de control;
  • ……………
Acreditar el consentimiento

Respecto al consentimiento, recordemos que el responsable del tratamiento debe poder demostrar que el interesado ha dado su consentimiento y por tanto deberá poderlo acreditar.

Por tanto eso supone documentar quién, cómo y cuándo consintió, y qué información le fue facilitada, debiendo sopesar la manera de hacerlo cuando se hace de forma verbal (grabación), offline (firma y fecha) u online (acreditar la información a través del doble opt-in)

Finalidad informativa vs económica de una grabación

Aunque en el presente caso es evidente que existe una finalidad económica directa (pago del mismo) por la grabación, nunca informativa o pública, pero es curioso ver que entre las alegaciones, se indicase lo siguiente: “(…) Las grabaciones en calle públicas por parte de las televisiones no requieren dar autorización expresa de los viandantes solo si ven la cámara y no están de acuerdo con que se les grabé lo advierten al productor de igual manera en los eventos deportivos conciertos fútbol toros etcétera sacan al público sin la autorización previa (…)”

Conclusión de la resolución de la Agencia ante la denuncia planteada

La imagen es un dato de carácter personal y su tratamiento está sujeto a la normativa de protección de datos, entre otras, debe estar sustentado en una base de legitimación y cumplir con el deber de información, debiendo se capaz de acreditarlo.

Todo ello sin entrar en la regulación del derecho a la propia imagen, como derecho fundamental de carácter personal reconocido en el art. 18.1 de la Constitución, que se recoge en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LO 1/1982)

Enlace a la resolución sancionadora de la AEPD publicada el 07/01/2021

https://www.aepd.es/es/documento/ps-00181-2020.pdf

La Agencia Española de Protección de datos impone al BBVA la mayor sanción en protección de datos hasta la fecha: ¡¡¡5 millones!!!

photo credit: David Feltkamp via photopin cc

La propuesta inicial de la Agencia era 6 millones a raíz de varias reclamaciones resueltas en un único procedimiento por infracción de los artículos 13 y 14 #RGPD (2 millones) y otros 3 por artículo 6 del RGPD

La importancia de la información ofrecida y el consentimiento obtenido al tratar datos personales

Básicamente la #AEPD sanciona el formulario en el que el banco da a conocer los términos aplicables a la protección de datos personales, que requiere el #consentimiento (específico, inequívoco e informado) de sus clientes. Dicha información recogida en su política de privacidad, no es adecuada respecto a la finalidad del tratamiento y la base jurídica que lo legitima (especialmente las basadas en el interés legítimo), e insuficiente información sobre sobre el tipo de perfiles que se van a realizar y los usos específicos a que se van a destinar.

La Agencia le requiere que en el plazo de 6 meses corrija sus formularios: “adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho X (detallado en la página 114)»

Seguramente habrá recurso del Banco, ya que entre otras cosas considera:

El BBVA declara no estar conforme y solicita la nulidad del procedimiento o la caducidad y subsidiariamente su archivo o, en su defecto, apercibimiento o una reducción significativa.

El BBVA declara reproducidas en su totalidad sus alegaciones al acuerdo de inicio, que, a su juicio, la propuesta de resolución no tiene en cuenta ni rebate; y formula las consideraciones siguientes, que reproducen básicamente aquellas alegaciones a la apertura del procedimiento (página 22 a 37)

El único objeto del procedimiento ha sido el formulario que da a conocer los términos aplicables a la protección de datos personales y requiere el #consentimiento de los interesados, dejando al margen otras cuestiones como: análisis sobre la seguridad de los datos de la EIPD, gestión de derechos, datos comunicados a empresas del “grupo BBVA” y la información ofrecida a través de cualquier otro canal o documento para la contratación de productos o de servicios que, por su especialidad, incluyeran sus propias cláusulas de protección de datos.

La resolución ha sido publicada por la Agencia con fecha 11 de diciembre de 2020.

Reflexiones sobre internet, menores y fotografías | Eurovima Consulting | Asesoría LOPD Madrid

Reflexiones sobre internet, menores y fotografías

Reflexiones sobre internet, menores y fotografías | Eurovima Consulting | Asesoría LOPD Madrid

Family Taking Self Portrait
Fotografía de David Castillo Dominici en FreeDigitalPhotos.net

Antes de nada señalar que no pretendemos dar lecciones de nada, solo expresar una visión sobre un tema que creemos es de interés e incidir en una serie de cuestiones que nos hagan reflexionar sobre la publicación de imágenes de menores en internet.

¿Qué dice la LOPD sobre las fotografías? ¿Es la imagen un dato de carácter personal?

Lo primero que debemos tener claro, es que una foto representa una imagen personal, que desde el punto de vista normativo de la LOPD, es considerado un dato de carácter personal tal y como establece el artículo 5.1 del Reglamento de desarrollo de la LOPD (RDLOPD): “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Por tanto, una foto tendrá la consideración de dato de carácter personal si permite la identificación de las personas que en ellas aparecen.

En segundo lugar, sobre la protección de los menores y sus derechos, que son muchos, nos centraremos solo en los que establece la LOPD como lo señalado en el artículo 13 del RDLOPD, en el que respecto a las imágenes que afecten a menores de edad se señala: “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.”

A las consideraciones legales hay que añadirles el medio en el que vamos a difundir las imágenes: internet

Una vez que ha quedado claro que la imagen es un dato de carácter personal regulado por la LOPD y que para su publicación hay que recabar el consentimiento paterno de los menores de 14 años, tenemos que considerar 3 simples cuestiones básicas de nuestra exposición al entrar en internet:

  • Nada es gratis, nuestros datos e información es el valor que aportamos.
  • Lo que no quieras que se conozca, no lo publiques ni en tu círculo más cercano.
  • Al subir una foto a internet, a las Redes Sociales, hemos perdido todo su control sobre ella, pues no hay garantías ni medidas de seguridad o privacidad que impida que se puedan descargar.

6 consejos para la publicación de fotografías de menores en internet:

A partir de este momento, creo que cada uno de nuestros lectores sacará sus propias conclusiones, no obstante nosotros queremos ofreceros estos 6 consejos:

  1. Al hacer la foto, comprueba que la función de localización no esté activada. Si la subes a internet se podría rastrear donde se hizo e incuso el día y la hora.
  2. Ojo con los comentarios que añadimos, no des información que terceros puedan usar de manera malintencionada tipo “entrando en su primer día de cole”, “primer día que se quedan solos en casa” o “ya va sola en autobús al cole”, ni etiquetes la foto con nombre y apellidos. Esos comentarios junto a otra información que ofrezca la foto ofrecen información sobre su colegio, lugares que frecuenta, actividades, horarios, etc.
  3. No publiques fotos de otros niños sin el consentimiento de sus padres.
  4. Si van a participar en un concurso infantil o como modelos publicitarios que requiera la publicación de las fotos de los peques, que te digan, cuando menos, quién es el responsable, los fines, las cesiones previstas y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. Comparte tus fotos con seguridad. En internet hay herramientas seguras para compartir fotos, búscalas.
  6. El menor usa las Redes Sociales, pero debe ser informado y formado en el uso de internet, deben comprender los riesgos de publicar fotos y sus posibles consecuencias, advirtiéndoles de que no intercambien o compartan fotografías con personas desconocidas.

Podéis encontrar más información sobre menores, internet y privacidad, en las siguientes páginas web:

Haz marketing pero consulta a tu asesoría protección de datos

Haz marketing, pero antes consulta a tu asesoría de protección de datos

Está visto que algunos hacen cualquier cosa por captar datos de potenciales clientes, pero ya sabemos que en este mundo del marketing, no todo vale, como hemos podido comprobar en la resolución dictada el pasado 30 de septiembre de 2013, por la Agencia Española de Protección de Datos (AEPD) vista la denuncia presentada por un particular en diciembre de 2012, en la que denunciaba haber recibido dos correos electrónicos comerciales no deseados en el que se le solicitaban la aportación de datos personales de terceros, al menos 5 contactos, a cambio de recibir una participación en la lotería de Navidad.

La inspección confirma la veracidad de la denuncia.

La AEPD realiza una inspección a la entidad denunciada, verificando que tiene registrado un fichero de Clientes y que la campaña de marketing se hizo enviando correos a sus Clientes, con un enlace en el que debían cumplimentar los datos de captación solicitados de amistades/conocidos, en definitiva de terceros (nombre, apellidos, dirección correo electrónico y población), datos que posteriormente usarían para enviar correos electrónicos ofreciendo sus productos a esos nuevos «contactos».

Parece ser que la campaña no tuvo mucho éxito, apenas 47 registros, desistiendo la empresa en realizar finalmente la campaña, borrando los datos durante el proceso de inspección. La AEPD también comprobó que los correos electrónicos del denunciante figuraban en el fichero de clientes del denunciado, demostrando con una factura que contenía sus datos por una compra anterior.

Recordar que el artículo 6.1 de la LOPD señala que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La sentencia habla de doble incumplimiento, pero le aplica el apercibimiento.

Lo curioso de la sentencia, es que la AEPD señala que se producen dos incumplimientos, uno por el envío del correo electrónico cuya finalidad no era la adecuada a su relación como Cliente, es decir, ofrecer sus productos sino “como medio de captación de potenciales clientes a cambio de un beneficio (en este caso, un décimo de lotería)” y otro incumplimiento cuando “la entidad se nutre de una base de datos para envío de publicidad, ya que no tiene el consentimiento de estas personas para tener sus datos.”

La sentencia señala que ha quedado acreditado el tratamiento de los datos del denunciante y de los terceros que fueron incluidos en su base de datos, sin presentar prueba alguna que demuestre el consentimiento ni justificar que concurre alguna de las excepciones al artículo 6.1

En concreto, la AEPD,  con arreglo al artículo 45.6 (ley de economía sostenible) decide apercibir a la entidad, ya que se trata de una infracción grave, no había sido apercibido o sancionado hasta la fecha y al no haber obtenido beneficios de la misma, sin  exigir que la entidad denunciada adopte medida correctora alguna dada la infracción.

En definitiva, antes de hacer una campaña de marketing, consulta con tu asesoría en protección de datos

Habitualmente recalcamos a nuestros clientes, que antes de realizar cualquier tipo de campaña y por el medio que sea, nos consulten sobre la misma, ya que contar con la opinión de expertos en materia de marketing puede ser importante para alcanzar los objetivos perseguidos, pero hacerlo con expertos consultores en protección de datos nos evitará situaciones como la comentada o peores, bien en forma de sanción económica o afectando a nuestra imagen.