- Abril de 2019 -
La AEPD actualiza ‘Facilita RGPD’, la herramienta para ayudar a las empresas a cumplir con la protección de datos

La Agencia Española de Protección de Datos ha actualizado la herramienta “Facilita”, que tiene como objetivo facilitar a las pequeñas y medianas empresas el cumplimiento de la normativa de protección de datos.

Esta herramienta consiste en un cuestionario dividido en cuatro bloques a través del cual las empresas pueden conocer si los datos que tratan son considerados de bajo riesgo así como recibir aquellos documentos necesarios para cumplir con la normativa en materia de protección de datos, como cláusulas informativas previamente redactadas en función de su actividad empresarial, entre otros.

Entre las novedades introducidas a través de esta actualización, podemos encontrar el desarrollo en mayor profundidad de las cláusulas informativas generadas para los diversos tratamientos de las compañías, la renovación del distintivo informativo de señalización de zona videovigilada habiendo sido actualizado en virtud de lo dispuesto tanto en el RGPD como en la Ley Orgánica 3/2018 o la inclusión de una nueva cláusula de confidencialidad para aquellos supuestos en los que la prestación del servicio contratado con una tercera empresa implique un acceso accidental y accesorio a datos personales, sin que la compañía tenga acceso a los sistemas de información.

La AEPD impone una sanción de apercibimiento a la empresa Balmore Atlantic, S.L. con motivo de una brecha de seguridad que permitió acceder a datos personales de clientes y empleados

La Agencia Española de Protección de Datos ha impuesto a la entidad Balmore Atlantic, S.L., por una infracción del artículo 32 del RGPD, sancionada conforme a lo dispuesto en el artículo 83.4 a) del citado RGPD y, calificada como grave en el artículo 73 d) de la LOPDGDD, una sanción de apercibimiento de conformidad con lo establecido en el artículo 58.2 b) del RGPD.

La autoridad de control acordó iniciar de oficio las actuaciones de investigación con motivo de la difusión de una noticia relacionada con la posibilidad que tenían los clientes de dos tiendas de Xiaomi (ambas propiedad de Balmore Atlantic) de acceder a los correos electrónicos que contenían datos de carácter personal de empleados y clientes cuando estos utilizaban los terminales móviles que se encontraban de exposición en la tienda. Asimismo, FACUA CONSUMIDORES EN ACCIÓN presentó una reclamación ante la AEPD con motivo de la existencia de la brecha de seguridad en la empresa que permitía acceder a terceros a datos de carácter personal de empleados y clientes.

Con fecha febrero de 2019, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a Balmore por la presunta infracción del artículo 32 del RGPD. Afirma la autoridad de control en la resolución sancionadora que la entidad ha incurrido en una “infracción de la normativa sobre protección de datos materializado en la existencia de una brecha de seguridad derivada de la defectuosa configuración de una cuenta de correo desde un terminal para uso de gestiones internas de la tienda”.

No obstante, posteriormente al requerimiento efectuado, Balmore acreditó que se adoptaron con “una razonable diligencia” medidas de carácter técnico y organizativo necesarias para reforzar la seguridad de los datos con el objetivo de evitar que se pudiera volver a producir una quiebra similar. Habida cuenta de ello, tomando en consideración la ausencia de intencionalidad, de daños y perjuicios así como el comportamiento y las medidas adoptadas por el responsable del tratamiento, la Agencia Española de Protección de Datos ha procedido a sancionar a la entidad con el apercibimiento.

Puede acceder a la resolución íntegra de la AEPD aquí.

La AEPD y Adigital presentan las novedades de la Lista Robinson para promover la protección de los datos de los ciudadanos

LA Agencia Española de Protección de Datos junto a la Asociación Española de la Economía Digital han presentado una serie de novedades de la Lista Robinson (servicio gratuito de exclusión publicitaria a disposición de los consumidores y creado por Adigital) debido a que la evitación de recepción de publicidad no deseada es una de las cuestiones que más se plantean ante la autoridad de control española.

Entre las novedades introducidas, podemos encontrar la posibilidad de que aquellos ciudadanos que tenían intención de limitar la recepción de publicidad no deseada de forma gratuita lo puedan realizar no solo por canales (teléfono, SMS, email o postal), como ya ocurría, sino también por sectores publicitarios. Del mismo modo, se ha implementado un nuevo servicio de gestión de reclamaciones.

Respecto a las novedades de esta lista para las empresas, estas están relacionadas con el sistema de consulta de la misma ya que dicha consulta se vuelve más sencilla y eficaz, habiendo sido mejorado el proceso de cifrado y seudonimización de los datos, lo que la hace más segura. En virtud de estas modificaciones, la consulta permite identificar fácil y rápidamente a quién puede y no puede enviar una empresa publicidad sin la necesidad de llevar a cabo ningún desarrollo externo o inversiones económicas.

La AEPD publica su Plan de Responsabilidad Social, alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible

La Agencia Española de Protección de Datos ha publicado su plan de Responsabilidad Social, que ha sido elaborado con la colaboración del Pacto Mundial de Naciones Unidas, y que está alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible.

El Plan de Responsabilidad Social de la AEPD está estructurado en cuatro ejes:

  • El compromiso con la sociedad (en asuntos de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento). Entre las medidas que más destacan podemos encontrar la colaboración con la Fiscalía para actuar frente a la difusión de imágenes o información personal de menores en internet, con la Policía Nacional en cursos sobre privacidad y seguridad o con el Ministerio de Educación y la Delegación de Gobierno para la Violencia de Género para la elaboración de materiales curriculares que ayuden a la prevención, detección y erradicación de este tipo de violencia en el entorno escolar.
  • La potenciación de la innovación y el emprendimiento mediante la creación de productos y servicios que sean compatibles con los derechos de las personas. Para ello la autoridad de control realizará seminarios y cursos en los que se puedan reunir los emprendedores. Del mismo modo, la autoridad de control ha tenido en cuenta la importancia de las políticas de cumplimiento (compliance), por lo que será aprobado un Código Ético y un Código de Conducta para empleados y directivos de la AEPD, así como la implantación de un canal de denuncias anónimo.
  • El compromiso con los empleados, en el que destacan medidas como la aprobación del plan de igualdad de la Agencia o la promoción del teletrabajo.
  • El compromiso con el medioambiente.
La CNIL, autoridad de control francesa, ha publicado un reglamento en el que recoge las obligaciones que tienen que cumplir los empleadores que deseen utilizar dispositivos biométricos para controlar el acceso

El RGPD establece que los datos biométricos tienen la categoría de datos sensibles, del mismo modo que los datos sobre la salud, las opiniones políticas o las creencias religiosas. Habida cuenta de ello el tratamiento de estos datos sólo se permite en determinados supuestos tasados.

Para adaptar la normativa nacional al Reglamento General de Protección de Datos, el legislador francés modificó la ley “Informatique et Libertés”, estableciendo que se podían instalar dispositivos de control de acceso biométrico en el lugar de trabajo siempre y cuando estos cumplieran con el reglamento elaborado por la CNIL.

En virtud de ello, la CNIL ha publicado el citado reglamento (Reglamento “biométrie sur les lieux de travail), cuya redacción definitiva ha sido precedida de una consulta pública. Este reglamento especifica cómo se debe realizar el tratamiento de datos biométricos, siendo vinculante lo dispuesto en él. Habida cuenta de ello, aquellos organismos que implementen estos controles de acceso biométrico deberán respetar las indicaciones dadas por la autoridad de control.

El “European Data Protection Board” ha publicado una guía en relación con el ámbito y la aplicación del artículo 6.1.b) del RGPD en el contexto de los servicios de la sociedad de información

El EDPB ha publicado una guía, sujeta a consulta pública hasta el 24 de mayo de 2019, en relación con el ámbito y la aplicación del artículo 6.1.b) del RGPD en el contexto de los servicios de la sociedad de información.  

En esta guía, el EDPB  realiza diversas observaciones respecto a los principios que rigen la protección de datos y la interacción del artículo 6.1.b) con otras bases legitimadoras del tratamiento. Entre otras cuestiones, esta guía recoge los criterios que deben existir para que se considere lícito el tratamiento de datos de carácter personal sobre la base del artículo 6.1.b).

Puede acceder a la guía publicada por el EDPB, que está sujeta a consulta pública, aquí.

La Asamblea Nacional de Panamá aprueba la nueva Ley de Protección de Datos

La Asamblea Nacional de Panamá ha aprobado la Ley Nº 81, de 26 de marzo de 2019, de Protección de Datos Personales. Esta Ley ha sido publicada en la Gaceta Oficial en fecha 29 de marzo de 2019 y será de aplicación dos años después de su promulgación (26 de marzo de 2021).

Debido a que su aprobación y publicación ha sido realizada con posterioridad a la entrada en vigor del Reglamento General de Protección de Datos, la Ley panameña está muy influenciada por el modelo regulatorio europeo, habiendo incluido alguna de las novedades que recoge el RGPD.

La Ley regula, entre otras cuestiones, las bases jurídicas que legitiman el tratamiento de datos personales estableciendo que el tratamiento de los datos sólo se podrá llevar a cabo cuando se obtenga el consentimiento del titular, cuando sea necesario para la ejecución de una obligación contractual, una obligación legal o que dicho tratamiento esté autorizado por una ley especial o la normativa que la desarrolle. Asimismo incluye en su artículo 8 otras bases de legitimación que también recoge el RGPD, como el interés legítimo.

Se reconocen los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) y se incluye, asimismo, el derecho de portabilidad (novedad que también se encuentra recogida en el RGPD).

No obstante, en la Ley número 81 no se regula la figura del encargado de tratamiento (persona física o jurídica que realiza el tratamiento de datos de carácter personal por cuenta del responsable del tratamiento), lo que constituye una de las principales diferencias con la redacción del Reglamento. Del mismo modo, otra de las principales diferencias que se pueden apreciar se encuentra en la imposición de las multas para aquellos supuestos en los que se incumpla lo dispuesto en la normativa, ya que mientras el RGPD contempla sanciones muy elevadas, en la legislación panameña la multa máxima es de 10.000 balboas (1 balboa equivale a 0.89 euros).

Puede acceder a la Ley número 81 sobre Protección de Datos Personales publicada en la Gaceta Oficial de Panamá aquí.

La CNIL lanza una consulta pública relacionada con dos proyectos de directrices sobre el tratamiento de datos para la gestión de personal y para la implementación de un sistema de alerta

La CNIL ha publicado dos proyectos que tienen como objetivo actualizar la normativa nacional en materia de protección de datos así como facilitar a las organizaciones el cumplimiento de lo dispuesto en la misma.

Respecto al proyecto relativo al tratamiento de datos personales destinado a la implementación de un sistema de alerta, este se refiere a aquellos tratamientos de datos personales que pueden ser realizados tanto por los organismos públicos como por entidades privadas con el objetivo de  tratar y recopilar las alertas profesionales en el contexto de la Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (Loi Sapin 2).

El borrador relativo al tratamiento de datos de carácter personal para la gestión de personal regula la implementación por parte de organismos públicos o privados de un sistema que permita tratar los datos personales para la contratación de trabajadores, el control del tiempo de trabajo, la formación profesional o la gestión de nóminas, entre otros.

Ambos proyectos serán sometidos a consulta pública con la finalidad de que cualquier interesado pueda aportar sus consideraciones. El periodo de consulta pública durará hasta el 10 de mayo para el borrador de las directrices relativas al tratamiento de datos para la implementación de un sistema de alarma y hasta el 31 de mayo para el proyecto relativo al tratamiento de datos de carácter personal para la gestión de personal.

Posteriormente, ambos documentos se presentarán para su consideración en la sesión plenaria de la CNIL con el objetivo de adoptar sus versiones finales.

El ICO, autoridad de control inglesa, lanza una consulta pública sobre el Código Práctico que tiene como objetivo desarrollar una guía que permita garantizar la seguridad de los datos personales de los niños en internet

El ICO ha sometido a consulta pública el documento “Age appropriate design: a code of practice for online services”. El borrador del código practico está dirigido a aquellos proveedores de servicios o productos online (incluyendo aplicaciones, programas, páginas webs o juguetes conectados) que tratan datos de carácter personal y a los que probablemente accedan los niños. El objetivo de este código es desarrollar una guía práctica que permita garantizar que los servicios online protegen los datos de carácter personal de los niños de manera adecuada. El presente borrador permite que los proveedores del servicio desarrollen sus productos o servicios cumpliendo (y pudiendo demostrarlo) con las disposiciones recogidas en el RGPD.

Entre otras cuestiones, se establece que sólo pueden tratarse aquellos datos personales que sean exclusivamente necesarios para la finalidad perseguida, que los datos de los niños no pueden compartirse con terceros interesados (a no ser que pueda demostrarse que existe una razón que lo justifique, siempre teniendo en cuenta el interés del menor) o que los servicios de geolocalización deben estar apagados por defecto.

No obstante la consulta del presente borrador está abierta al público hasta el 31 de mayo de 2019.

La AEPD publica la lista de tratamientos de datos en los que es obligatorio realizar una evaluación de impacto

En virtud del apartado cuarto del artículo 35 del Reglamento General de Protección de Datos, el cual dispone que “la autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos”, la Agencia Española de Protección de Datos ha publicado una lista orientativa de tipos de tratamiento que requieren la realización de una evaluación de impacto. Del mismo modo, y conforme a lo previsto en el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella.

Según la autoridad de control española, será necesario realizar una evaluación de impacto en aquellos supuestos en los que el tratamiento de datos analizado cumpla con dos o más criterios de la lista, salvo que dicho tratamiento se encuentre entre aquellos que no requieren la realización de una EI. Habida cuenta de ello, cuantos más criterios de la lista reúna el tratamiento, mayor será el riesgo que el mismo implique y mayor será la certeza de la necesidad de realizar una evaluación de impacto.

Entre los criterios que enumera esta lista (la cual debe entenderse como una lista no exhaustiva), se puede encontrar que el tratamiento analizado implique la elaboración de un perfilado; el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD; la geolocalización o control del interesado de forma sistemática y exhaustiva; el uso de datos biométricos con el propósito de identificar de manera única a una persona física; el uso de datos genéticos para cualquier fin o el uso de datos a gran escala.

Puede acceder a la lista publicada por la AEPD aquí.