Entradas

¿Pueden pedirnos el nº de teléfono para emitirnos una factura?

AEPD sancionado con 2.000€ a un restaurante por pedir a una clienta, que solicito una factura, el nº de teléfono para emitirla (ya que el sistema le obligada a ello), es decir, pedir un dato innecesario, excesivo para la finalidad

Una de Faemino y Cansado en versión RGPD o que decir si te pillan en un ejercicio de derechos

Hace 3 días se celebró el Día de la Protección de Datos y ese día leíamos una resolución reciente de la Agencia Española de Protección de Datos (AEPD) en la que, una vez más, recuerda a las entidades que tratan datos personales que si un cliente, empleado, usuario, etc. les pide ejercer un derecho, deben de responder y actuar con la diligencia que establece el RGPD.

Uno año más: Feliz Navidad y Feliz Privacidad 2022

Nos quedan pocos días para acabar este 2021 y toca pensar en lo bueno que seguro nos traerá el 22 y sobre todo a clientes, lectores, proveedores, colaboradores y a todos los amigos de EUROVIMA queremos trasladaros nuestros mejores deseos.

¿Es una dirección de email un dato de carácter personal?

El día 19 de octubre de 2021, leíamos 2 resoluciones sancionadoras de la AEPD en las que se desestiman alegaciones sobre que el email no es un dato de carácter personal.

¿Qué sucede si no nombro ante AEPD un Delegado de Protección de Datos (DPD) y estoy obligado?

Este post también se podría titular: ¿Cuándo es obligado nombrar un Delegado de Protección de Datos?
Ya que en realidad esa es la cuestión que muchas empresas o entidades que tratan datos personales se preguntan, pero algunas no, y otras tantas lo ignoran.

El envío de comunicaciones comerciales sin consentimiento (SPAM) sancionado 1.500€ y 12.000€ a 2 empresas por misma infracción LSSI

La LSSI prohíbe las comunicaciones comerciales para la promoción directa o indirecta de los bienes o servicios sin consentimiento expreso del destinatario, salvo cuando exista una relación contractual previa y se cumplan otros requisitos. En este artículo te contamos qué es lo que debemos tener presentes en el envío de comunicaciones comerciales por medios electrónicos y la diferencia entre 2 situaciones idénticas de envíos de comunicaciones comerciales no consentidas, sancionadas con 1.500€-12.000€

¿Qué espacio de la calle puedo grabar con una cámara de videovigilancia, conforme a la normativa de protección de datos, para evitar robos en mi propiedad o zonas comunes?

¿Qué debemos saber antes de instalar cámaras de videovigilancia conforme normativa protección datos? | Eurovima Consulting | Asesoría Protección de Datos Madrid

Agencia Española de Protección de Datos | Eurovima Consulting S.L.

La AEPD presenta la campaña: “Un solo clic puede arruinarte la vida’ para alertar de los riesgos de difundir contenidos sexuales o violentos”

Agencia Española de Protección de Datos | Eurovima Consulting S.L.En el Día Internacional de Protección de Datos, que se celebra cada 28 de enero, la Agencia Española de Protección de Datos (AEPD) ha presentado la campaña: “Un solo clic puede arruinarte la vida’ para alertar de los riesgos de difundir contenidos sexuales o violentos.

Una iniciativa para concienciar de los riesgos de reenviar o difundir contenidos sensibles, como fotografías o vídeos de carácter sexual o violento y del servicio de denuncia para comunicar la difusión ilícita de este tipo de contenidos y solicitar su retirada (a través del Canal prioritario)

Una iniciativa que seguramente en el marco familiar puede tener mucha relevancia por la falta de conciencia de nuestros menores en la importancia que tiene este tema.

Confiando en que os pueda resultar de utilidad y se comparta con nuestros menores y adolescentes, os dejamos el enlace donde podéis encontrar toda la información

Feliz privacidad¡¡¡¡

¿Puedo grabar una excursión sin solicitar el consentimiento ni informar a los asistentes?

¿Puedo grabar una excursión sin solicitar el consentimiento ni informar a los asistentes?

Imagen de Pexels en Pixabay

Evidentemente no, por ello la AEPD atiende una reclamación en ese sentido y apercibe por doble infracción de protección de datos

Te apuntas a una excursión, la pagas y resulta que antes de la salida en el propio autobús te dicen verbalmente que será grabada y podrás tener una copia, previo pago, y si no quieres salir indiques que no quieres ser grabado y te pongas detrás de la cámara.

Pues resulta que luego alguien te denuncia ya que has vulnerado sus derechos, ya que la imagen es un dato de carácter personal, y la Agencia Española de Protección de Datos (AEPD) atiende dicha reclamación y te apercibe por una doble infracción:

  1. Artículo 13 RGPD, respecto al deber de información que debería haber facilitado de manera previa al inicio del reportaje
  2. Artículo 7 RGPD por falta de consentimiento, que en este caso sería la base legal que legitima la grabación.

El consentimiento en el RGPD:

Definido en el artículo 4 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Recordemos que para un caso como este, el consentimiento del excursionista debe de ser prestado válidamente, de forma expresa y afirmativamente, siendo evidente que la fórmula empleada por la empresa no fue la adecuada.

La propia AEPD señala en su resolución que “NO es válido alegar que se preguntó antes de empezar las grabaciones del reportaje” ya que recordemos la fórmula utilizada fue: “si alguien no está de acuerdo con que se le filme, que lo indique para no sacarle en el reportaje …”, ya que no acredita que se proporcionó toda la información sobre el tratamiento de datos personales conforme al artículo 13 del RGPD.

¿Qué información debió ser facilitada por la empresa antes de la grabación?

En este caso, si observamos la información facilitada por la empresa respecto a lo que el art. 13 del RGPD establece, vemos que el incumplimiento es evidente, ya que recordemos, de manera resumida es la siguiente:

  • la identidad y los datos de contacto del responsable;
  • los datos de contacto del delegado de protección de datos, en su caso;
  • los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
  • los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
  • en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional;
  • el plazo durante el cual se conservarán los datos;
  • derecho a solicitar al responsable del tratamiento el ejercicio de derechos: acceso, rectificación o supresión, oposición, etc.;
  • el derecho a presentar una reclamación ante una autoridad de control;
  • ……………
Acreditar el consentimiento

Respecto al consentimiento, recordemos que el responsable del tratamiento debe poder demostrar que el interesado ha dado su consentimiento y por tanto deberá poderlo acreditar.

Por tanto eso supone documentar quién, cómo y cuándo consintió, y qué información le fue facilitada, debiendo sopesar la manera de hacerlo cuando se hace de forma verbal (grabación), offline (firma y fecha) u online (acreditar la información a través del doble opt-in)

Finalidad informativa vs económica de una grabación

Aunque en el presente caso es evidente que existe una finalidad económica directa (pago del mismo) por la grabación, nunca informativa o pública, pero es curioso ver que entre las alegaciones, se indicase lo siguiente: “(…) Las grabaciones en calle públicas por parte de las televisiones no requieren dar autorización expresa de los viandantes solo si ven la cámara y no están de acuerdo con que se les grabé lo advierten al productor de igual manera en los eventos deportivos conciertos fútbol toros etcétera sacan al público sin la autorización previa (…)”

Conclusión de la resolución de la Agencia ante la denuncia planteada

La imagen es un dato de carácter personal y su tratamiento está sujeto a la normativa de protección de datos, entre otras, debe estar sustentado en una base de legitimación y cumplir con el deber de información, debiendo se capaz de acreditarlo.

Todo ello sin entrar en la regulación del derecho a la propia imagen, como derecho fundamental de carácter personal reconocido en el art. 18.1 de la Constitución, que se recoge en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LO 1/1982)

Enlace a la resolución sancionadora de la AEPD publicada el 07/01/2021

https://www.aepd.es/es/documento/ps-00181-2020.pdf

La Agencia Española de Protección de datos impone al BBVA la mayor sanción en protección de datos hasta la fecha: ¡¡¡5 millones!!!

photo credit: David Feltkamp via photopin cc

La propuesta inicial de la Agencia era 6 millones a raíz de varias reclamaciones resueltas en un único procedimiento por infracción de los artículos 13 y 14 #RGPD (2 millones) y otros 3 por artículo 6 del RGPD

La importancia de la información ofrecida y el consentimiento obtenido al tratar datos personales

Básicamente la #AEPD sanciona el formulario en el que el banco da a conocer los términos aplicables a la protección de datos personales, que requiere el #consentimiento (específico, inequívoco e informado) de sus clientes. Dicha información recogida en su política de privacidad, no es adecuada respecto a la finalidad del tratamiento y la base jurídica que lo legitima (especialmente las basadas en el interés legítimo), e insuficiente información sobre sobre el tipo de perfiles que se van a realizar y los usos específicos a que se van a destinar.

La Agencia le requiere que en el plazo de 6 meses corrija sus formularios: “adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho X (detallado en la página 114)»

Seguramente habrá recurso del Banco, ya que entre otras cosas considera:

El BBVA declara no estar conforme y solicita la nulidad del procedimiento o la caducidad y subsidiariamente su archivo o, en su defecto, apercibimiento o una reducción significativa.

El BBVA declara reproducidas en su totalidad sus alegaciones al acuerdo de inicio, que, a su juicio, la propuesta de resolución no tiene en cuenta ni rebate; y formula las consideraciones siguientes, que reproducen básicamente aquellas alegaciones a la apertura del procedimiento (página 22 a 37)

El único objeto del procedimiento ha sido el formulario que da a conocer los términos aplicables a la protección de datos personales y requiere el #consentimiento de los interesados, dejando al margen otras cuestiones como: análisis sobre la seguridad de los datos de la EIPD, gestión de derechos, datos comunicados a empresas del “grupo BBVA” y la información ofrecida a través de cualquier otro canal o documento para la contratación de productos o de servicios que, por su especialidad, incluyeran sus propias cláusulas de protección de datos.

La resolución ha sido publicada por la Agencia con fecha 11 de diciembre de 2020.