BIENVENIDOS A ATGROUP

Últimas Noticias

¿QUÉ HAY QUE TENER ANTE UN REQUERIMIENTO DE LA AEPD POR QUÉ TENEMOS VIDEO CÁMARAS?

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS PUEDE PEDIRNOS EN CUALQUIER MOMENTO LA SITUACIÓN LEGAL Y TÉCNICA DE UNA INSTALACIÓN DE CCTV, ¿QUÉ DOCUMENTOS NOS VAN A PEDIR?

La instalación de videocámaras o Circuitos Cerrados de Televisión (CCTV) son sin duda algunos elementos que pueden poner en peligro la intimidad y la privacidad de las personas afectadas, ya sean trabajadores, clientes, e incluso viandantes.
Para proteger a los ciudadanos del abuso y posibles intromisiones ilegitimas, la normativa en materia de privacidad exige una serie de requisitos legales y técnicos para tener un CCTV legal y ajustado a Derecho. La normativa requiere el cumplimiento de principios como el de proporcionalidad, seguridad, interés legítimo, información al afectado entre otros.
En todo caso, con el fin de facilitar la gestión de un posible requerimiento de la AEPD u otra autoridad de control (p.e ACPD, AVPD) recomendamos que siempre se tenga a mano y actualizada la siguiente documentación acreditativa:

Documento de información a los potenciales trabajadores afectados , con especial atención a la gestión de los posibles ejercicios de derechos y la correcta identificación de la finalidad del tratamiento (p.e. seguridad, identificación, control de acceso, protección de bienes y personas, otros)

Fotografías de plano de detalle, y general de la ubicación de los carteles de advertencia del CCTV en todos los accesos, (es importante que el texto sea el correcto, ya que en muchas ocasiones hemos visto dicho cartel sin texto o con un texto genérico que no cumple los artículos 7, 8 y 9 respecto al deber de información del RGPD). También conviene destacar que la ubicación de las cámaras no puede afectar a la intimidad de los trabajadores, usuarios o afectados, por tanto, no se pueden ubicar enfocando a lavabos, salas sindicales, vestuarios, etc.

En el caso de que la gestión de la imágenes y visualización la realice un tercero, se deberá tener suscrito el correspondiente contrato de encargado de tratamiento con todo lo establecido en el artículo 28.3 del RGPD.

Evidencias de las capacidades técnicas de los dispositivos de captación y tratamiento de imágenes. Hay que tener presente que los dispositivos pueden tener funcionalidades que afecten a la evaluación del riesgo respecto a la privacidad, como son el uso de cámaras giratorias con zum incorporado (domo) o las cámaras gestionadas mediante IP con conexión a Internet. Es muy importante que todo el sistema de CCTV implantado pueda cumplir y cumpla con los requisitos técnicos de seguridad que establece la normativa, para cualquier duda, la AEPD tiene una guía específica de gestión de CCTV de gran interés.

Plano de ubicación de cámaras y alcance de visión . Se trata de un documento gráfico donde se pueda determinar los ángulos de cada dispositivo, adjuntando un “pantallazo” de cada plano de visualización. En todo caso conviene recordar las limitaciones del uso de la imagen, especialmente las que puedan afectar a vía pública o recintos privados ajenos.

Registro de Actividades de Tratamiento , (RAT) donde se incluya el análisis de los tratamientos realizados en el CCTV.

Protocolo de gestión de imágenes , donde se verifique quien puede tener acceso, con qué criterios, plazo de conservación, sistema de copia de seguridad, sistemas de gestión de los posibles ejercicios de derechos, seguridad del sistema, y todo ello ajustado a los principios de privacidad desde el diseño y por defecto.

Actas de supervisión del sistema por el Delegado de Protección de Datos en su caso. A esta lista hecha para fines divulgativos y sólo enunciativa, también se puede añadir el informe que se haya realizado de forma previa al tratamiento sobre la idoneidad y proporcionalidad de la instalación (privacidad desde el diseño), como puede ser el caso de obligación legal (p.e. entidades bancarias) o por antecedentes que pongan en peligro bienes jurídicos a proteger (p.e. robos, hurtos, zonas de materias peligrosas o explosivas, etc.) Para más información véase “ Guía sobre el uso de videocámaras para seguridad y otras finalidades ”, en www.aepd.es Ante cualquier duda o consulta, desde ATGROUP quedamos a vuestra disposición.

28 de Febrero de 2021

LA BEUC DENUNCIA A TIKTOK POR ENGAÑAR A MENORES E INFRINGIR LAS LEYES DE PROTECCIÓN DE DATOS DE LA UE

La Organización Europea de Consumidores (BEUC en francés) junto con otras 17 entidades de 15 países europeos piden a la unión europea iniciar una investigación a la red social TikTok por múltiples infracciones de la ley del consumidor de la UE.

La red social de moda, TIKTOK, creada por la desarrolladora china ByteDance cuenta con 800 millones de usuarios activos en todo el mundo y es muy popular entre los niños y adolescentes. En una nota de prensa de 4 puntos, la BEUC acusa a tiktok de violar los derechos del consumidor en la UE.

La denuncia de la BEUC sostiene que TikTok comete múltiples violaciones de los derechos del consumidor y no protege a los niños de la publicidad oculta y del contenido inapropiado. En el comunicado detalla que los puntos de “Términos de servicio” de TikTok no son claros, sino que son ambiguos y desfavorecen al usuario como por ejemplo que otorgan a TikTok el derecho irrevocable de usar, distribuir y reproducir los vídeos creados por los usuarios sin remuneración y libremente.

Referente a la publicidad dentro de la aplicación, según BEUC la publicidad está de forma oculta. Mediante trends, hashtags o challenges creados por las marcas de publicidad, los usuarios son motivados a participar incitando a comprar determinados productos sin que exista un filtrado, contribuyendo al marketing oculto y recibiendo una publicidad subliminal.

También señala que TikTok no está protegiendo a los menores de contenido inapropiado, por ejemplo vídeos con contenido sugerente, de maltrato, retos peligrosos, como por ejemplo la menor italiana que murió por imitar un reto que consistía en auto ahogarse hasta perder el conocimiento.

Por último manifiestan que las prácticas de TikTok para el procesamiento de los datos personales son engañosas, ya que no informan a sus usuarios sobre qué datos personales se recopilan, su propósito y la razón legal.

La directora general de BEUC dice que: “Con esta acción, BEUC y sus miembros quieren que las autoridades inicien una investigación exhaustiva sobre las políticas y prácticas de Tik Tok y se aseguren de que TikTok respeta los derechos de los consumidores de la UE.”

25 de Febrero de 2021

ABIERTA UNA INVESTIGACIÓN A MERCADONA POR EL USO DE LAS CÁMARAS FACIALES DE VIGILANCIA DE SUS SUPERMERCADOS

La AEPD inicia una investigación a Mercadona por usar la tecnología de reconocimiento facial para detectar a posibles individuos con órdenes de alejamiento sobre los locales o trabajadores.

La Agencia Española de Protección de Datos ha iniciado los trámites para llevar a cabo una investigación a Mercadona por la implementación de cámaras de vigilancia que detectan el reconocimiento facial de los clientes. Esto ha ocurrido en más de 40 supermercados que la compañía dispone en ciudades como Zaragoza, Mallorca y Valencia. Esta investigación ha dado inicio a raíz de diferentes informaciones publicadas en los medios de comunicación de nuestro país en el que se hablaba de la protección especial que existe sobre los datos biométricos. Este procedimiento se encuentra en una fase inicial por lo que todavía no se conocen muchos detalles del caso.

Mercadona se enfrenta a una sanción económica bastante elevada en caso de que finalmente la AEPD decidiera declarar que se ha cometido una infracción. Estos datos, al ser biométricos, no pueden ser tratados de manera normal, por lo que se aplicaría el artículo 83.5 del Reglamento General de Protección de datos y conlleva a multas de hasta 20 millones de euros.

Desde Mercadona informan que se han cumplido todos los requisitos especificados previamente por la AEPD y que han actuado con total transparencia. Este sistema implementado recientemente permite detectar a personas físicas con sentencia firme de orden de alejamiento ya sea contra Mercadona o contra alguno de sus trabajadores. Se pretende evitar el acceso a sus supermercados a todo aquel que se encuentre en esa situación. Otras grandes empresas como IBM o Amazon ya han utilizado este sistema de control de acceso pero sin éxito, ya que fue recientemente retirado por ambas empresas por su dudosa ética acerca de su uso.

La compañía valenciana insiste en que el sistema empleado es totalmente legal y que no almacena imágenes para un posterior uso. Reiteran además que el cliente a la entrada del supermercado es informado con un cartel que contiene el siguiente mensaje: “Le informamos de que Mercadona S.A., con el fin de mejorar su seguridad, ha implementado un sistema de reconocimiento facial para detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga en vigor que puedan suponer un riesgo para su seguridad”.

19 de Febrero de 2021

ASÍ UTILIZAN TUS DATOS LAS PLATAFORMAS PARA PREDECIR TU COMPORTAMIENTO

Los algoritmos inteligentes son los encargados de predecir lo que haremos. Así funciona el modelo económico de las grandes tecnológicas.
Comercializar con nuestra privacidad está a la orden del día para así vendernos mejor los productos o servicios y también condicionar nuestra decisiones. Pero, ¿Cuál es el modelo de negocio y hasta qué punto peligra nuestra privacidad?.


Las redes sociales extraen muchos de nuestros datos personales, como por ejemplo​ , la información que pones en tu perfil, las fotos que cuelgas, la geolocalización de tu móvil, las compras que haces, las palabras que buscas, los mensajes que mandas e incluso aquellos que terminas borrando sirven para engordar los informes personales que las plataformas guardan de ti para ​ analizar tu comportamiento​.

Los algoritmos son códigos computacionales que ayudándose de la Inteligencia Artificial procesan los millones de datos para crear estadísticas y patrones sobre tu comportamiento y así predecir nuestros movimientos. La cantidad de datos es tan grande, que ya ni los propios programadores comprenden cómo operan exactamente.

El año pasado la empresa Google se enfrentó a una demanda de 5 millones de dólares por rastrear a sus usuarios incluso cuando se encontraban navegando en el modo incógnito. Ya no solo son los datos que cedes conscientemente, sino lo que se infiere de ellos. Cuanto mayor es la cantidad de usuarios, más preciso es su conocimiento y sus cálculos para predecir nuestro comportamiento. Es verdad que su precisión para conocernos nos seduce, pero también debemos recalcar que nos retiene.

No podemos negar que la entrada de los algoritmos ha supuesto toda una revolución comercial. Gracias a sus mecanismos inteligentes logran llegar donde nosotros no llegamos y localizar clientes potenciales. Eso puede servir para que un supermercado recomiende, por ejemplo, productos sin gluten a gente que sufre de intolerancia, pero también para personalizar anuncios políticos.

5 de Febrero de 2021

Cuide sus datos sanitarios, son los más demandados por los ciberdelincuentes.

Se afirma que los datos sanitarios son de lo más apetecible para un ciberataque, por el valor que se puede sacar de ellos.

Según Iván Mateos, ingeniero de ventas de Sophos (empresa especializada en ciberseguridad de última generación) la relación entre la ciberseguridad y la pandemia es mayor de lo que pensamos.

Un ciberdelincuente que nos roba datos a nosotros o a una empresa u organización, puede destruirlos, o bien robarlos y utilizarlos. Desde hacerse pasar por nosotros, hasta venderlos a cambio de dinero o incluso secuestrarlos y pedir un rescate por ellos.

El problema principal es que no somos conscientes de lo que puede suponer que nos roben datos personales, y es que se comete un delito al suplantar la identidad de otra persona.

Por todo esto, Mateos nos da consejos de seguridad. La solución más básica es “desconfiar de todo mail del que desconocemos su procedencia, de los enlaces que nos piden nuestros datos…” Además, es fundamental utilizar contraseñas seguras e ir cambiandolas en periodos regulares de tiempo. Iván Mateos recomienda utilizar contraseñas largas, que intercalen minúsculas, mayúsculas y diferentes caracteres.

Por evidente que parezca el asunto, gran cantidad de personas no siguen estos consejos y, ahora que la pandemia ha hecho aumentar el teletrabajo y por ello, la informática, es fundamental estar concienciado y valorar nuestros datos personales, derechos y obligaciones como usuarios de Internet.

1 de Febrero de 2021

Multas millonarias, ¿Nueva tendencia de la Agencia Española de Protección de Datos?

La Agencia Española de Protección de Datos da por finiquitado el régimen sancionador de la LOPD, y entra en pleno en las sanciones millonarias del RGPD

En efecto, hasta la fecha la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS se había caracterizado por tener una política sancionadora seria y coherente, con el marco establecido por la LORTAD en su día y últimamente con la LOPD, con una horquilla de importes de cierta relación en cuanto a tipo de infracción, atenuantes, agravantes y otras circunstancias modificativas de la responsabilidad administrativa (con algunas excepciones, claro está):
Con sorpresa para propios y extraños, en estas últimas semanas se han publicado diversas resoluciones sancionadoras de importes especialmente llamativos, (caso BBVA PS/70/2019 y caso Caixa Bank PS/477/2019), que establecen sanciones millonarias tanto para infracciones graves , y lo que sorprende más, para leves en los casos expuestos.

Es un cambio claro de línea argumental en la corrección de conductas y por supuesto de precedente administrativo. Anulando por tanto cualquier criterio orientador anterior al RGPD en materia de importe de las sanciones.

En palabra del mismo órgano de control ”… De nada vale argumentar que la LOPD preveía sanciones por importes inferiores…. Lo cierto es que, en este aspecto, como en muchos otros, el RGPD ha supuesto un cambio de paradigma en la protección de los datos personales, estableciendo medidas con un claro carácter disuasorio. Basta con examinar las sanciones que, en esta materia, han impuesto recientemente otros países europeos, que son públicas, para entender el alcance del cambio que conlleva la aplicación del RGPD…”

Está claro que el marco europeo, así como las nuevas capacidades legales abrían la puerta al nuevo régimen sancionador.

Las sanciones comentadas son de un volumen extraordinario (5 millones y 6 millones de euros) con respecto a los precedentes vinculados a la antigua LOPD, pero absolutamente consonantes con las actuaciones que otras autoridades de control están adoptando en Europa. Hay que destacar que se trata de resoluciones administrativas extensas, minuciosas y sin duda muy trabajadas técnicamente, como es costumbre de la AEPD (146 folios una y 177 la otra…).

La duda que se suscita en el sector es si los más que previsibles recursos judiciales que interpongan las entidades hoy sancionadas prosperaran, y en caso afirmativo, hasta donde.

En efecto, el elemento subjetivo de la sanción tiene en consideración el desvalor de las acciones y el beneficio obtenido de forma directa por el ilícito sancionado, la falta de estructura, etc.. Estamos seguros que las partes recurrentes argumentaran sobre el precedente administrativo de los importes por infracciones parecidas establecidas en la LOPD, las posibles atenuantes del antiguo artículo 45.5 de la LOPD ( hoy 83.2 del RGPD), pero como bien parece deducirse de la resolución, de poco va a servir si la única línea de defensa para impugnar el importe de la sanción propuesta es la aplicación de precedentes de una norma derogada para este supuesto de hecho como es la LOPD.

En todo caso, damos por supuesto que más tarde o más temprano, tendremos una más que previsible recurso contencioso administrativo que interpongan las partes, no nos cabe duda que la resolución judicial de la Sala de lo Contencioso de la Audiencia Nacional, que es el órgano competente para conocer de este tipo de recursos, será digna de estudio, ya que marcará una línea de actuación en materia de aplicación de graduación de sanciones del RGPD, ya sea validando y ratificando la actuación de la AEPD y su nuevo marco sancionador millonario o por el contrario, “suavizará” importes, matizando algún elemento que pudiera cambiar el signo de la resolución impugnada ajustando cantidades e interpretaciones a posiciones más clásicas y cercanas a la antigua LOPD.

Lo veremos en un tiempo, estaremos a la espera y os tendremos informados.
Un saludo.

31 de Enero de 2021

PROHIBICIÓN AL BANCO DE ESPAÑA A EXIGIR LA DECLARACIÓN DE LA IRPF DE SUS TRABAJADORES

El Alto Tribunal ha dictado que esta exigencia vulnera la protección de datos de carácter personal.
La Sala de lo Social ha anulado un párrafo del artículo 8.2 de la Ordenanza del Banco de España. Este apartado, obligaba a sus trabajadores a entregar la declaración del IRPF en procesos de verificación de operaciones financieras privadas.

El IRPF no solo permite conocer los datos económicos del afectado, sino todo un abanico de datos que aparecen en la misma, como por ejemplo, su religión, ideas… datos que según la LOPDP 15/199, de 13 de diciembre, son especialmente protegidos.

El tribunal desestimó los recursos de cancelación por parte del BANCO DE ESPAÑA y la FEDERACIÓN DE SERVICIOS DE COMISIONES OBRERAS, contra la sentencia impuesta por la Audiencia Nacional que declaró la nulidad de un párrafo del artículo 8.2 de la Ordenanza 9/2017, que desarrolla el Código de Conducta para el personal del Banco de España.

La Sala rechazó la alegación de El Banco de España, relativo a que no era necesario el consentimiento del trabajador cuando se ejerce una facultad empresarial, añadiendo que las facultades del empresario de control de la actividad de sus trabajadores no son omnímodas, tienen el límite de que en su ejercicio se ha de respetar la dignidad del trabajador.

También asegura que las Orientaciones del BCE 2015/855 y 2015/856, artículos 5 y 3.3 imponen a los bancos centrales del Eurosistema obligaciones de supervisión del cumplimiento de las normas contenidas en la Orientación y comprobaciones de su cumplimiento, bien de forma periódica o ad hoc, pero no establecen con carácter general el que el Banco pueda reclamar a cualquiera de sus empleados sus declaraciones de IRPF o sus datos fiscales.

Así, precisa que lo que se impone es una obligación de supervisión pero no la forma en la que la misma ha de llevarse a cabo, quedando a la decisión del Banco de España la forma de realizar la supervisión y comprobación del cumplimiento de las normas de la Orientación. Por último, considera que la medida exigida por el Banco de España no supera el triple juicio constitucionalmente exigido de ser idónea, necesaria y proporcionada.

Finalmente la Sala concluyó que no existe habilitación legal para que el Banco de España pueda solicitar a sus empleados las declaraciones de IRPF de hasta cuatro ejercicios, ni mediando consentimiento de los interesados, ya que vulnera el derecho a la protección de datos de carácter personal.

28 de Enero de 2021