- Noviembre de 2018 -
Aprobada la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales

En fecha 21 de noviembre de 2018, ha sido aprobado por el Pleno del Senado, por 221 votos a favor, 21 votos en contra y sin abstenciones, el texto del Proyecto de Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales remitido por el Pleno del Congreso de los Diputados, sin haber aceptado ninguna de las enmiendas presentadas en el Senado por los grupos parlamentarios.

Finalizado el citado trámite en el Senado, el texto de la LOPDyGDD será publicado en el Boletín Oficial del Estado y entrará en vigor el día siguiente a su publicación.

Puede acceder al texto completo de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, a la espera de su publicación en el BOE, aquí.

La nueva Ley adapta el derecho español al contenido del Reglamento General de Protección de Datos.

Puede acceder a la publicación de la Agencia Española de Protección de Datos sobre la aprobación de la Ley aquí.

La Agencia Española de Protección de Datos publica un comunicado en el que recoge los criterios a seguir sobre las cuestiones electorales en la LOPDyGDD

La AEPD ha publicado, debido a las noticias aparecidas en los medios de comunicación sobre la modificación de la LOREG por la LOPDyGDD, su criterio sobre las cuestiones electorales que se recogen en dicha Ley.

La Agencia afirma que el texto no permite el tratamiento de datos de carácter personal para la elaboración de perfiles basados en opiniones políticas ni el  envío de información personalizada basada en perfiles ideológicos o políticos. El texto de la Ley únicamente permite la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales.

Del mismo modo, el citado texto también permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles mencionados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

Puede acceder al comunicado de la AEPD aquí.

Asimismo, en relación con estos criterios, la AEPD ha señalado que no se permitirá a  los partidos políticos elaborar perfiles con datos ideológicos, sexuales, de religión o de cualquier otro tipo que se puedan obtener de los ciudadanos en las redes sociales u otros servicios de internet, ni enviar propaganda electoral basada en los perfiles ideológicos. Para ello, la autoridad de control ha declarado la existencia de una iniciativa para coordinarse con la Junta Electoral Central por la que se vigilará con especial diligencia y rigor el cumplimiento de la normativa de protección de datos.

Puede acceder a la nota de prensa de la AEPD aquí.

La Agencia Española de Protección de Datos archiva las actuaciones incoadas con ocasión de la cesión de datos de carácter personal en el caso Cambridge Analytica

Con fecha 5 de abril de 2018, la Directora de la Agencia Española de Protección de Datos inició actuaciones de investigación con relación al uso de los datos personales de los usuarios de Facebook por CAMBRYDGE ANALYTICA.

Afirma la AEPD que del escrito presentado por FACEBOOK IRELAND LIMITED en respuesta al requerimiento de información enviado, se deduce que los datos de los usuarios de Facebook fueron recabados por la aplicación “thisisyourdigitallife”, desarrollada por GSR y dada de alta en la plataforma de Facebook en noviembre de 2013. Posteriormente, los datos recabados por dicha compañía fueron cedidos a terceras empresas, entre las que se encontraba Cambrydge Analytica. La app que recopilaba los datos continuó activa en la Plataforma de Facebook hasta diciembre de 2015.

De la redacción de los términos de uso de la app, no se podía entender que el consentimiento otorgado por los usuarios fuese informado para las finalidades determinadas, ni se advertía que los datos recabados podían ser cedidos a terceros. Por ello, la AEPD afirma que el tratamiento objeto de análisis no encuentra acomodo en la LOPD.

La Agencia Española de Protección de Datos indica que “FACEBOOK es la entidad que establece las normas que tienen que cumplir los terceros que desarrollan aplicaciones – como GSR – […] y, en su caso, establecer unas medidas de control y supervisión”, por lo que queda acreditado que las normas establecidas por la compañía resultaron insuficientes en virtud del acceso y posterior cesión de los datos de los usuarios de la red social. Afirma la AEPD que “la cesión de los datos producida tiene su origen en un primer estadio, en la deficiente supervisión de FACEBOOK sobre la manera en que los desarrolladores de aplicaciones acceden a los datos de los usuarios”.

No obstante, y a pesar de lo anterior, el criterio de la APED ha sido el archivo de las actuaciones incoadas en la medida en que los hechos han prescrito ya que, tal y como establece el artículo 47 de la LOPD, el plazo de prescripción de las infracciones graves (como era el caso) era de dos años. Se debe hacer notar que se desconoce la fecha exacta en la que se produjo la cesión por lo que no puede determinarse con precisión el dies a quo del inicio del cómputo del plazo de prescripción, teniendo conocimiento únicamente de “que el acceso por parte de GSR a la plataforma FACEBOOK se podía producir hasta el mes de diciembre de 2015, por lo que a fecha de diciembre de 2017 los hechos habrían prescrito”.

Puede acceder a la resolución completa de la AEPD aquí.

Informe del Gabinete Jurídico de la AEPD sobre la figura del Responsable de Seguridad y el Delegado de Protección de Datos

El Gabinete Jurídico de la Agencia Española de Protección de datos ha publicado un informe en el que analiza las figuras del Delegado de Protección de Datos del Reglamento General de Protección de Datos y el responsable de seguridad de la información del Esquema Nacional de Seguridad, así como su posible compatibilidad.

En virtud de este informe, un DPD asume la función de asesorar y supervisar las actividades de tratamiento de los responsables o encargados, garantizando los derechos y libertades de las personas cuyos datos son tratados, mientras que el responsable de la seguridad debe garantizar la seguridad de la información.

El Gabinete Jurídico considera, y así lo argumenta en su informe, que debe diferenciarse la figura del DPD y del responsable de seguridad por diversas razones, entre las que podemos encontrar, la mayor independencia que debe presentar el delegado de protección de Datos en su cargo respecto al responsable de seguridad o los distintos ámbitos de actuación en los que operan, con objetivos que deberían ser diferenciados.

Por ello, con carácter general, el Gabinete Jurídico entiende que debe existir la necesaria separación entre el Delegado de Protección de Datos, regulado en el RGPD, y el responsable de seguridad del ENS, sin que sus funciones puedan recaer en la misma persona u órgano colegiado. No obstante, solo excepcionalmente, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación, sería admisible la designación como Delegado de Protección de Datos de la persona que ejerciera las funciones de responsable de seguridad del ENS, siempre que en la misma concurran los requisitos de formación y capacitación previstos en el RGPD.

Puede acceder al Informe íntegro del Gabinete Jurídico aquí.

La AEPD, Comercio y Consumo ofrecen recomendaciones para impulsar la compra segura en internet

La Agencia Española de Protección de Datos, la Dirección General de Política Comercial y Competitividad, y la Dirección de Consumo celebraron en fecha 19 de noviembre de 2018 un acto en el que explicaron diversas recomendaciones que deben seguirse por los usuarios para fomentar la compra segura en internet, debido a que el 39% de los usuarios admite tener cierta preocupación al facilitar el número de su tarjeta para realizar compras por Internet.

Por ello, se han promovido acciones desde la autoridad de control que tienen como objetivo favorecer la confianza de los ciudadanos en la compra online, lo que permite desarrollar, a su vez, la economía digital.

Entre las recomendaciones formuladas por la AEPD se pueden apreciar, entre otras, el uso de páginas oficiales o de confianza, con prestigio contrastado; utilizar contraseñas con números, letras y caracteres especiales; no realizar las compras utilizando una red Wifi pública o no responder a correos sospechosos que soliciten los datos personales, por ejemplo, bancarios. Asimismo, la AEPD ha otorgado especial importancia a las compras de juguetes conectados ya que los usuarios son menores de edad y niños. En este caso las recomendaciones consisten en conocer qué datos recoge el juguete, qué datos se transmiten por internet, qué tratamiento de datos realiza la app móvil, cómo se protegen dichos datos o como se puede interponer una reclamación en caso de querer ejercer nuestros derechos, entre otros aspectos.

Estas recomendaciones complementan la Guía de compra segura en internet, “una iniciativa realizada por la Agencia Española de Protección de Datos, INCIBE, Consumo y la Policía Nacional con la finalidad de generar confianza y contribuir al crecimiento del comercio online en España”.

La AEPD celebra sus 25 años al servicio del ciudadano y edita el libro “25 años de la AEPD”

La Agencia Española de Protección de Datos celebró el día 13 de noviembre una jornada que tuvo como objetivo conmemorar los 25 años de la autoridad de control en nuestro país.

Por ello, durante dicha jornada, presentó el libro “25 años de la Agencia Española de Protección de Datos: Acompañando al ciudadano en su transformación digital”, que recoge la evolución que ha experimentado la sociedad española desde la creación de la AEPD, repasando, de forma cronológica, cuáles han sido los progresos tecnológicos más significativos y cómo estos han modificado los hábitos de los ciudadanos.

No obstante, en el libro también se recogen las novedades e implicaciones del Reglamento General de Protección de Datos, así como algunas de las resoluciones más destacadas dictadas por la Agencia en los últimos años.

La AEPD impone una sanción de 40.001 euros a Iberdrola por deficiencias en su portal web que permitían el acceso de terceros a datos de carácter personal de clientes

Con fecha 3 de mayo de 2018, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a IBERCLI, por presunta infracción del artículo 9 (principio de seguridad de los datos) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.h) de dicha norma.

Este procedimiento se inició debido a que el afectado dirigió escrito a la AEPD denunciando a IBERCLI por haber permitido que, a través de la página web de la compañía, se rebajara la potencia contratada en su domicilio sin que el denunciante hubiera contactado nunca con la entidad a través de la citada página web.

Afirma la AEPD que IBERCLI estaba “obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros”. Sin embargo, y a pesar de la obligación que la compañía debía haber cumplido, “ha quedado acreditado que la citada entidad incumplió esta obligación, por cuanto el sistema de gestión de accesos a través de la web de la entidad no impidió de manera fidedigna que un tercero, la inquilina del afectado, tuviera la posibilidad de acceder sin restricción a los datos personales relativos al denunciante”.

Puede acceder a la resolución de la AEPD aquí.

El ICO británico multa a dos empresas por la realización de más de un millón de llamadas a suscriptores de TPS

La Oficina del Comisionado de la Información de Reino Unido ha impuesto una sanción a dos compañías diferentes por la realización de, aproximadamente, 1.730.000 llamadas de información comercial a personas que se habían registrado con el Servicio de Preferencia Telefónica (TPS). Se debe hacer notar que resulta contrario a la ley realizar llamadas a personas que se han registrado con una antigüedad de más de 28 días en este servicio.

El ICO le ha impuesto una sanción de 160.000 libras a la compañía Design Bedrooms Limited por la realización de más de un millón y medio de llamadas durante el periodo comprendido entre abril y noviembre de 2017. Del mismo modo, la sanción de 90.000 libras impuesta a Solartech North East Ltd ha sido establecida con motivo de la realización de 74.902 llamadas durante el periodo comprendido entre mayo y junio de 2017.

Puede acceder a las resoluciones del ICO aquí (Design Bedrooms Limited) y aquí (Solartech North East Limited).

La CNIL francesa ha publicado un comunicado en el que evalúa los seis meses de vigencia del Reglamento General de Protección de Datos

La Comisión Nacional de la Informática y las Libertades ha publicado en su página web un informe en el que hace balance de los hechos acaecidos desde que fue de plena aplicación el RGPD el 25 de mayo de 2018.

La autoridad de control afirma, entre otras cuestiones, que el 66% de los franceses declara estar más sensibilizado que antes en relación con la protección de datos, considerando que el RGPD es más efectivo que las anteriores regulaciones.

Por otro lado, la CNIL, en este informe, aporta cifras que demuestran el impacto que ha tenido el Reglamento General de Protección de Datos durante estos meses. En palabras de la autoridad de control, 32.000 organizaciones han nombrado un Delegado de Protección de Datos, se han recibido 1.000 notificaciones de violaciones de datos (7 por día desde el 25 de mayo de 2018) o se ha experimentado un incremento en el número de visitas realizadas a la página web de la CNIL, entre otras cuestiones.

Asimismo, la Comisión Nacional de la Informática y las Libertades ha llevado a cabo diversas actuaciones con el objetivo de adaptarse a lo dispuesto en el RGPD. A modo ejemplificativo, ha publicado la lista de tratamientos que deberán someterse a una evaluación de impacto.

Puede acceder al comunicado del CNIL aquí.

El GPDP italiano establece cuándo debe llevarse a cabo una evaluación de impacto

El Garante per la Protezione dei Dati Personali (el equivalente a la Agencia Española de Protección de Datos en Italia) ha publicado una lista de tratamientos de datos de carácter personal que deben estar sometidos a la realización previa de una evaluación de impacto por parte del responsable del tratamiento.

La evaluación de impacto es obligatoria, tal y como afirma la agencia italiana, cuando el tratamiento de datos presenta un elevado riesgo para los derechos y libertades de las personas. Por ello, la lista no exhaustiva publicada en el Diario Oficial por parte del GPDP incluye aquellos tratamientos de datos realizados con tecnologías innovadoras, tratamientos sistemáticos de datos biométricos y datos genéticos o tratamientos de evaluación a gran escala, entre otros.