BIENVENIDOS A ATGROUP

Últimas Noticias

PLATAFORMA DE VEHÍCULO CONECTADO, DGT 3.0, APLICACIÓN DE LA DIRECCIÓN GENERAL DE TRÁFICO., ¿NUEVO RETO EN MATERIA DE PROTECCIÓN DE DATOS?

LA ENTRADA EN VIGOR DEL REAL DECRETO 159/2021, DE 16 DE MARZO, POR EL QUE SE REGULAN LOS SERVICIOS DE AUXILIO EN LAS VÍAS PÚBLICAS, EL PRÓXIMO 1 DE JULIO, CONSOLIDA LA TENDENCIA DE LA MOVILIDAD CONECTADA QUE FOMENTA LA DGT DESDE SU PROPUESTA DE PLATAFORMA DE MOVILIDAD INTELIGENTE , DGT 3.0

Recientemente ha vuelto a salir en prensa (La Vanguardia, 26/05/2021) que la Dirección General de Tráfico tiene muy avanzada una aplicación informática que interconectará a los conductores entre sí, con la vía y les notificará en tiempo real las diferentes incidencias y novedades que puedan tener en la ruta.

El objetivo no puede ser más interesante: accidentes cero, heridos cero y fallecidos cero para el famoso año 2050.

Para el desarrollo de esta aplicación se han destinado recursos económicos importantes, que ascienden a más de tres millones de euros y se han implicado prestigiosas empresas e instituciones en su desarrollo. También se han tenido presentes los diferentes operadores que tengan datos o conocimientos para aportar en la mejora de la movilidad, como son los fabricantes de vehículos, centros de coordinación de emergencias o de control de tráfico rodado.

A nadie se le escapa que la potencia y el alcance de esta aplicación va en paralelo a la evolución de las nuevas tecnologías como son el 4G y el 5G, y sobre todo el llamado Internet de las Cosas (IoT), donde millones de dispositivos se conectan en tiempo real, interactuando de forma automatizada. Las previsiones son que una vez este implantado el 5G la plataforma DGT 3.0 entre en pleno funcionamiento.

Sin duda el saber la situación de la vía, si hay un accidente, un tramo de obras o esta cortada por una inclemencia meteorológica es una valiosa información, que a buen seguro será apreciada por los conductores y aportará mejoras en la seguridad y la reducción de la contaminación, optimizando trayectos y reduciendo caravanas e incidentes.

Con la entrada en vigor del RD 159/2021, de 16 de mayo, por el cual se reforma el Reglamento General de Vehículos, se da un paso más en esa dirección, dicha norma, modifica el Reglamento General de Vehículos y regula la conexión a la nube de la DGT, no sólo de los vehículos con incidencia en la vía ( señales luminosas e interconexión bajo protocolo V.16), sino de los servicios de asistencia en ruta, creando un registro de homologación de los operadores de dichos servicios, de obligada inscripción en el Registro Estatal de Auxilio en Vías Públicas (REAV), así como a la señalización en tiempo real de las actividades de asistencia , geoposicionando los servicios en tiempo real de la ubicación de los trabajos con el protocolo de comunicaciones asignado (V.2, V.23 y V.24).

De todas estas novedades en materia de movilidad y seguridad vía echamos a faltar un elemento importante, el estudio de la evaluación del impacto en materia de privacidad.

En efecto, la realidad es que detrás de cada vehículo, u operador de movilidad hay personas físicas, identificadas o identificables (titulares, conductores, peatones afectados, personal técnico de asistencia en ruta, etc.), haciendo poco o nada creíble que esos datos masivos utilizados se traten exclusivamente de forma anónima sin posibilidad de reversión por ninguno de los operadores afectados.

La interconexión de todos los elementos de movilidad urbana en interurbana mediante el 5G e IoT, junto a la IA, hace que el cerco sobre la esfera de la intimidad sea cada vez más estrecho, y más si lo asociamos al uso masivo de nuestros inseparables smartphone.

El cruce de datos entre todos los dispositivos interconectados en tiempo real puede abrir la puerta no sólo a las conductas de asistencia en carretera o ayuda ante incidentes, sino a la supervisión de fiel y estricto cumplimiento de las normas de circulación, ya que será nuestro propio vehículo el que vaya indicando a la Autoridad de Control las situaciones que pudieran constituir infracción administrativa e incluso penal.

Y de todo ello, no parece que nadie vaya a informar adecuadamente según el RGPD y la LOPDGDD a los usuarios e incluso a los terceros afectados, como pudieran ser pasajeros o viandantes.

Por tanto, entendemos que dichas nuevas plataformas de gestión de la movilidad, ya sea urbana o interurbana, compartidas o no , necesitan un análisis profundo desde el punto de vista de la afectación o los riesgos que pueda tener en materia de privacidad desde el punto de vista del RGPD Y.

No basta con enunciar que serán datos anónimos, el principio de Responsabilidad Activa del artículo 5.2 del RGPD nos exige poder acreditar en todo momento los hechos, por tanto, se hace imprescindible que en todo proyecto donde pueda haber uso masivo de datos que pudieran ser vinculados a personas se haga la correspondiente evaluación del riesgo y los oportunos Planes de Evaluación de Impacto, y todo ello, por supuesto, antes de la puesta en explotación, como nos indica el principio de privacidad desde el diseño del artículo 25 del RGPD.

No perdemos la esperanza de que en breve se publicaran los informes correspondientes por parte del Delegado de Protección de Datos de la Dirección General de Tráfico respecto a la plataforma DGT 3.0.

28 de Mayo de 2021

Memoria AEPD 2020: Refrendo del Tribunal Supremo a las Sanciones Impuestas por la AEPD: 95%

Imagen de Hans Braxmeier en Pixabay
En la recientemente publicada memoria del 2020 de la agencia española de protección de datos, se constata la tendencia del TS de confirmar de forma abrumadora las resoluciones sancionadoras de la AEPD.

En un sistema jurídico con garantías, como es el español, las resoluciones administrativas sancionadoras pueden ser revisadas por los jueces según establecen las leyes procesales oportunas.

En el caso de las resoluciones sancionadoras interpuestas por la Agencia Española de Protección de Datos, el órgano juzgador competente en primera instancia es la Audiencia Nacional y en segunda instancia seria el Tribunal Supremo.

Históricamente , al ser la AEPD un operador jurídico con garantías y amplia experiencia procesal, las resoluciones sancionadoras que eran recurridas por los afectados eran en primera instancia mayoritariamente desestimadas total o parcialmente y en algunos casos inadmitidas, siendo las pocas estimadas a favor del recurrente normalmente por cuestiones procesales más que de fondo del asunto (p.e. prescripciones, caducidad, errores materiales, etc) o por cambios legislativos favorables.

Es evidente que una vez pasada la primera instancia procesal , (la Audiencia Nacional), cuando el asunto llega a la segunda instancia, (el Tribunal Supremo), ya ha sido juzgado por un órgano judicial colegiado y cualificado, siendo poco probable que no se hayan tenido en cuenta argumentos o situaciones con relevancia jurídica que puedan modificar el sentido de un fallo. En todo caso, como el error humano existe, la segunda instancia verifica si se ajusta el fallo recurrido a la Ley, como muestra de lo anterior cave destacar que en este año 2020, ha habido una sentencia estimada por el TS , aunque también conviene destacar que han sido desestimadas otras 17...

En todo caso, es un hecho innegable, que las estadísticas históricas de los fallos judiciales actúan como elemento disuasorio a la hora de plantearse un recurso judicial contra la AEPD, haciéndolo sólo recomendable en los casos que verdaderamente exista un sustento jurídico claro y preciso.

En todo caso, en la solución de conflictos en materia de RGPD, si que nos gustaría destacar desde estas líneas la importancia que esta cobrando el sistema de “Traslado” de actuaciones que esta adoptando la AEPD, consistente en dar conocimiento al denunciado de la existencia de una denuncia contra su persona física o jurídica, indicándole la posibilidad de prestar alegaciones y aclarar los hechos antes de iniciarse las actuaciones inspectoras.

Entendemos que este procedimiento previo , el “Traslado” es una gran oportunidad para solventar posibles malos entendidos e incidencias y evitar ulteriores procedimientos sancionadores de resultado incierto y muy probablemente onerosos Desde ATGROUP os iremos informado de las novedades sobre este y otros temas que os puedan ser de interés en materia de RGPD.

30 de Abril de 2021

FLoC: EL FIN DE LAS COOKIES... EXCEPTO LAS DE GOOGLE

Google está preparando el FLoC, una actualización de su famoso navegador Google Chrome en el cual no aceptarán ninguna cookie de terceros

Recientemente ha salido publicado en los medios de comunicación que Google está preparando un cambio importante en su famoso navegador CHROME que consistirá en dos elementos clave:

 Primero Sólo admitirá las cookies propias de Google y no las de terceros.
 Segundo Las cookies de Google utilizarán la tecnología FLoC que servirán para filtrar a los usuarios por cohortes o grupos de intereses comunes.

Sin duda, puede parecer un avance en la privacidad con respecto al actual sistema donde múltiples empresas desarrollan sus cookies (ficheros adjuntos aL navegador con funciones diversas) y generan sus propios perfiles de usuario en un sistema absolutamente descentralizado, justo al contrario del que nos propone Google, donde el futuro modelo estará totalmente controlado por el gigante de Internet sin opción a la participación de terceros en la segmentación de usuarios.

Es evidente que el actual sistema de cookies puede comportar situaciones no deseadas por el usuario y para evitar dichas situaciones la AEPD ,(entendemos nosotros que con muy buen criterio) ha exigido a todos los titulares de webs que el usuario pueda elegir qué cookies acepta o no antes de navegar en una web. De esta manera, es el usuario quien elige qué nivel de privacidad desea en la navegación dentro de una web.

Con el nuevo modelo que propone Google no tendrá sentido dicha configuración de cookies, ya que sólo serán aceptadas aquellas que el operador dominante haya desarrollado para sí mismo, y seguramente el usuario al entrar en una web sólo tendrá que atender a una pregunta binaria, es decir si acepto entrar en el sistema FLoC o no.

El Federated Learning of Cohorts (FLoC) de Google, consiste en identificar al usuario según sus gustos y actividad de navegación dentro de un grupo determinado o cohorte, asignando una ID diferenciada según intereses y perfiles. De esta manera no se tiene un individuo sino un grupo con intereses comunes con la segmentación publicitaria que pueda ser de interés en cada momento para anunciantes y agencias.

En este punto, vemos alguna luz y también alguna sombra, como elemento positivo e interesante en la mejora de la privacidad cabría destacar la no identificación del usuario final, es decir, el sistema FLoC no permite identificar uno por uno a los usuarios como ocurre ahora, sólo se permitiría saber a qué ID de cohorte pertenece, sin entrar en el anonimato absoluto, pero difuminado dentro de un grupo de interés similar. Sin duda, esta capa de ocultación, si está bien realizada puede ser una mejora respecto a la privacidad.

Como sombras, la verdad es que nos preocupa que sólo Google pueda hacer cookies de Chrome, operador dominante con más del 90% del mercado occidental, sin duda es un monopolio que va más allá de fronteras y estados, si bien es cierto que la atomización del mercado hacía más dificultoso su control y supervisión, no es menos cierto que la capacidad de coerción de las Autoridades de Control europeas es muy superior en estos operadores terceros que a la que pueden ejercer frente a los monstruos de Internet como es Google.

La segunda sombra, es la alternativa que nos da Google con su sistema FLoC a la identificación personal del usuario, el operador nos propone clasificar por grupos (cohortes en lenguaje Google) a los consumidores, de tal manera que cada usuario según su comportamiento estaría segmentado y clasificado según el patrón diseñado por Google.

Es evidente que estos patrones de conducta son de máximo interés para Google, y no precisamente por su ánimo altruista, sino para comercializar con ellos a anunciantes y publicistas con la máxima eficacia y sin competencia, ya que sólo Google tendrá acceso a dichos perfiles.

En resumen, que no es descabellado pensar que con la excusa de mejorar la privacidad de su navegador, Google de un solo movimiento elimina la posibilidad de que terceros extraigan información comercial de la navegación al no aceptar cookies de terceros y además impone el sistema monopolístico exclusivo de la segmentación de potenciales clientes mediante sus propias y únicas cookies admitidas del sistema FLoC…la verdad es que nos parece una práctica monopolística que puede perjudicar tanto a los usuarios como al resto de pequeños desarrolladores del mundo de la publicidad que verán como tienen que cambiar todos sus patrones e inversión económica, como siempre a favor del monopolio.

Es evidente que todas las autoridades de control europeas están muy al tanto de los derroteros que puede adoptar la cuestión, preocupa el seguimiento en el tiempo de usuarios, las evoluciones de consumo, la verdadera anonimización de las cohortes del sistema FLoC, el tratamiento de datos de especial protección, entre otros elementos.

En todo caso, a los usuarios nos da la sensación de la lucha de David contra Goliat, intentar controlar mediante procedimientos administrativos a los gigantes de Internet, no es una tarea fácil para ninguna autoridad de control europea ni puede tener un resultado óptimo si no hay otras medidas complementarias que fomenten la competencia y estimulen el cumplimiento normativo.

Para concluir, nos gustaría volver a plantear un deseo, ahora con más sentido que nunca, la Unión Europea, tiene que dar un paso al frente en su política de Digital, está claro que existe una política común de fronteras, financiera, de mercancías e incluso de Relaciones Exteriores, pero echamos a faltar el fomento de políticas de independencia digital similares a las que emprendió China en su día con BAIDO, ALIBABA, TACENT y XAOMI, e incluso Rusia con YANDEX, sin duda alternativas necesarias y ejemplos a seguir si pretendemos tener cierta independencia digital europea.

Veremos en unos meses por dónde evoluciona el FLoC, estaremos a la espera y os tendremos informados.

Un saludo.

8 de Abril de 2021

LA MEJOR FORMA DE EVITAR UNA SANCIÓN DE LA AEPD: CONTESTAR CORRECTAMENTE AL TRASLADO DE LA DENUNCIA

EL MECANISMO PREVIO DE ADMISIÓN A TRÁMITE DE RECLAMACIONES ANTE LA AEPD QUE CONSISTE EN DAR TRASLADO AL DENUNCIADO.

La verdad es que el mecanismo previo que establece el artículo 65.4 de la LOPDGDD es una herramienta poco conocida por todos.

Se trata de un proceso por el cual la Autoridad de Control competente en materia de protección de datos, cuando recibe una denuncia de un afectado por una posible vulneración de la LOPDGDD, procede a dar traslado a la parte denunciada para que manifieste lo que crea oportuno en su descargo en base a los hechos expuestos en la denuncia.

Con la respuesta del denunciado la autoridad de control decidirá con mejor criterio si se abre otro procedimiento administrativo o por el contrario se procede al archivo de la denuncia.

Es importante destacar que históricamente el número de expedientes sancionadores abiertos en base a una denuncia es muy superior a los abiertos de oficio, y que en caso de infracción del RGPD la Autoridad de Control no puede eludir su responsabilidad y tendrá que actuar , independientemente de que el interés del denunciante sea honesto o no a la hora de presentar la denuncia.

En muchos casos el recibimiento de dicha comunicación de traslado de la denuncia por parte de la AEPD es la primera noticia que tiene el denunciado de que hay un problema en materia de protección de datos y que ha sido denunciado por alguien ante la Autoridad de Control competente.

En todo caso, desde ATGROUP nuestra recomendación pasa por aprovechar esa primera oportunidad de explicar , documentar y por que no decirlo ayudar a la Autoridad de Control en su tarea de esclarecimiento de los hechos, aportando las pruebas y evidencias necesarias para eliminar o minimizar la presunta vulneración denunciada.

Recordemos que el principio de responsabilidad proactiva (art. 5. RGPD) obliga al responsable de tratamiento al fiel cumplimiento del RGPD y la LOPDGDD y también a poder demostrar dicho cumplimiento en todo momento.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).

Os seguiremos informando.

Un saludo.

31 de Marzo de 2021

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS SANCIONA CON 8 MILLONES DE EUROS A VODAFONE

La Agencia Española de Protección de Datos (AEPD) ha impuesto a la empresa Vodafone España varias sanciones que suman más de ocho millones de euros por incumplir varios artículos de la legislación española, y se convierte así en la multa más alta que ha impuesto este organismo.

La empresa Vodafone España, según la AEPD, ha incumplido no solo la Ley de Protección de Datos Personales y Garantías de los Derechos Digitales, también la Ley General de Telecomunicaciones y la Ley de Servicios de la Sociedad de la Información y de comercio electrónico.

En la resolución, a la que ha tenido acceso EFE, se señala que desde el segundo trimestre del año 2018 la AEPD ha recibido casi doscientas reclamaciones contra la empresa.

La mayoría de las reclamaciones contra Vodafone España denuncian la realización de acciones de mercadotecnia y de prospección comercial a través de llamadas telefónicas y mediante el envío de comunicaciones comerciales electrónicas, tanto de correos como de mensajes SMS, acciones que según la Agencia vulneran la legalidad.

Esas comunicaciones no han sido solicitadas o expresamente autorizadas por las personas que las han recibido, que no han podido ejercer el derecho a oponerse; o se han dirigido a personas que habían pedido su inclusión en la "lista Robinson" (un directorio al que se adscriben quienes no quieren recibir publicidad); y no se adecuaban tampoco a los procedimientos y garantías establecidas para realizar esas acciones de mercadotecnia.

La Agencia Española de Protección de Datos impone a la empresa una sanción de 4 millones de euros por incumplir el artículo 28 del Reglamento General de Protección de Datos; y 2 millones por incumplir el artículo 44 del mismo reglamento. Impone además una sanción de 150.000 euros por incumplir el artículo 21 de la Ley de Servicios de la Sociedad de la Información y de comercio electrónico; y otros dos millones por incumplir la Ley General de Telecomunicaciones.

Y concede a la empresa Vodafone España un plazo de seis meses para acreditar ante la Agencia Española de Protección de Datos que ha ajustado a la legalidad todas las operaciones que han sido motivo de investigación y de sanción.

La empresa asegura que no está de acuerdo con los incumplimientos que les imputa la Agencia, considera que la cuantía de la sanción propuesta es desproporcionada y subraya que la compañía trata "con las máximas garantías de confidencialidad y privacidad los datos de sus clientes" y ha comunicado su intención de recurrir la sanción ante la propia Agencia y ha dejado abierta la posibilidad de llevar el caso a la Audiencia Nacional.

25 de Marzo de 2021

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ABRE UNA INVESTIGACIÓN A LA EMT SOBRE LA BRECHA DE SEGURIDAD EN EL FRAUDE DE 4 MILLONES DE EUROS

La AEPD ha abierto una investigación por posible brecha de seguridad en la Empresa Municipal de Transporte de Valencia

La Agencia Española de Protección de Datos ha estimado el recurso presentado el día 1 de junio por parte del concejal del PP Carlos Mundina. En dicho recurso también se investigará el incumplimiento del reglamento de protección de datos de la EMT.

Desde el partido político aseguran valorar muy positivamente la apertura de esta investigación de la brecha de seguridad en la EMT para evitar estafas como la ocurrida hace un mes y que supuso el robo de 4 millones de euros. Los ‘populares’ advierten en su reclamación un muy bajo nivel de ciberseguridad en la EMT así como la falta de protocolos en la gestión. La consultora Ernst and Young menciona que “la EMT todavía no está adaptada a las obligaciones legales de Reglamento General de Protección de Datos”.

También se recoge un comunicado por parte de la delegada de Protección de Datos de la EMT acerca de una posible brecha de seguridad en la banca electrónica de Caixabank en relación a una posible suplantación de identidad a la hora de acceder a las cuentas bancarias de EMT en dicha entidad.

Miembros de otros partidos políticos mencionaban los grandes problemas de ciberseguridad cuando ocurrió el fraude de los 4 millones de euros y que fue certificado por varios estamentos de gran importancia. Además, aseguraban que se descartó muy prematuramente el hecho de que hubiese problemas de ciberseguridad en la EMT, ya que habia notificaciones por parte de la AEPD cuando se cerró la comisión.

11 de Marzo de 2021

LA UE SANCIONA A ESPAÑA CON 15 MILLONES DE EUROS POR NO INCORPORAR A TIEMPO UNA NORMA DE PROTECCIÓN DE DATOS PERSONALES

El Tribunal de Justicia de la Unión Europea (TJUE) ha condenado este jueves a España a pagar una multa de 15 millones de euros por no haber incorporado a su legislación nacional la directiva sobre protección de datos en el ámbito penal.

En julio de 2018, la Comisión Europea abrió un procedimiento de infracción contra España por no haber aprobado la directiva de protección de datos personales en el marco de la prevención y detección de infracciones penales. Esta directiva debía haber sido adoptada por los estados miembros antes del 6 de mayo de 2018, tras un año de disputas, la Comisión Europea solicitó al Tribunal de Justicia Europeo que impusiera a España una sanción en julio de 2019.

La sentencia dada el día 25 de febrero de 2021, ha fallado a favor de la comisión europea y España deberá pagar 15 millones de euros además de pagar una cantidad diaria de 89.000 euros si el incumplimiento todavía persiste.

La directiva mencionada implanta unas normas para el tratamiento de datos personales por parte de autoridades policiales y judiciales para poder facilitar el intercambio de información con fines de prevención, investigación, detección y ejecución de sanciones penales. La medida garantiza que los datos relacionados con los casos como por ejemplo las víctimas, testigos, sospechosos y los propios autores de los delitos, estén debidamente protegidos en la investigación penal.

La finalidad de la medida no es otra que facilitar la cooperación entre los estados miembros para luchar más eficazmente contra la delincuencia y terrorismo en el territorio Europeo. Estas normas de la UE contribuyen a la plena realización de un espacio de libertad, seguridad y justicia.

Argumentos de España ante la acusación

España no negó haber incumplido sus obligaciones de adoptar y comunicar las medidas de transposición de la Directiva, pero, argumentó que debido a que las circunstancias institucionales eran muy excepcionales, las actividades del gobierno y del parlamento se habían retrasado. Recordemos que había un gobierno en funciones y unas elecciones a la vuelta de la esquina.

Resultado de la sentencia

En la sentencia de este jueves, el TJUE desestima los argumentos de España y declara el incumplimiento de sus obligaciones. De hecho, en la fecha de la terminación de la fase escrita en Luxemburgo, el 6 de mayo de 2020, el Gobierno de Sánchez aún no había adoptado ni comunicado las medidas de transposición de la directiva.
Por ello, los jueces europeos consideran que la multa constituye un medio apropiado para garantizar que España ponga fin, lo antes posible, al incumplimiento de la norma y considera que la multa es una medida disuasoria para evitar la repetición futura de infracciones análogas que afecten a la plena efectividad del Derecho de la UE.

4 de Marzo de 2021