BIENVENIDOS A ATGROUP

Últimas Noticias

PROHIBICIÓN AL BANCO DE ESPAÑA A EXIGIR LA DECLARACIÓN DE LA IRPF DE SUS TRABAJADORES

El Alto Tribunal ha dictado que esta exigencia vulnera la protección de datos de carácter personal.
La Sala de lo Social ha anulado un párrafo del artículo 8.2 de la Ordenanza del Banco de España. Este apartado, obligaba a sus trabajadores a entregar la declaración del IRPF en procesos de verificación de operaciones financieras privadas.

El IRPF no solo permite conocer los datos económicos del afectado, sino todo un abanico de datos que aparecen en la misma, como por ejemplo, su religión, ideas… datos que según la LOPDP 15/199, de 13 de diciembre, son especialmente protegidos.

El tribunal desestimó los recursos de cancelación por parte del BANCO DE ESPAÑA y la FEDERACIÓN DE SERVICIOS DE COMISIONES OBRERAS, contra la sentencia impuesta por la Audiencia Nacional que declaró la nulidad de un párrafo del artículo 8.2 de la Ordenanza 9/2017, que desarrolla el Código de Conducta para el personal del Banco de España.

La Sala rechazó la alegación de El Banco de España, relativo a que no era necesario el consentimiento del trabajador cuando se ejerce una facultad empresarial, añadiendo que las facultades del empresario de control de la actividad de sus trabajadores no son omnímodas, tienen el límite de que en su ejercicio se ha de respetar la dignidad del trabajador.

También asegura que las Orientaciones del BCE 2015/855 y 2015/856, artículos 5 y 3.3 imponen a los bancos centrales del Eurosistema obligaciones de supervisión del cumplimiento de las normas contenidas en la Orientación y comprobaciones de su cumplimiento, bien de forma periódica o ad hoc, pero no establecen con carácter general el que el Banco pueda reclamar a cualquiera de sus empleados sus declaraciones de IRPF o sus datos fiscales.

Así, precisa que lo que se impone es una obligación de supervisión pero no la forma en la que la misma ha de llevarse a cabo, quedando a la decisión del Banco de España la forma de realizar la supervisión y comprobación del cumplimiento de las normas de la Orientación. Por último, considera que la medida exigida por el Banco de España no supera el triple juicio constitucionalmente exigido de ser idónea, necesaria y proporcionada.

Finalmente la Sala concluyó que no existe habilitación legal para que el Banco de España pueda solicitar a sus empleados las declaraciones de IRPF de hasta cuatro ejercicios, ni mediando consentimiento de los interesados, ya que vulnera el derecho a la protección de datos de carácter personal.

28 de Enero de 2021

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CREA EL PACTO DIGITAL PARA LA PROTECCIÓN DE LAS PERSONAS

La AEPD busca promover un gran acuerdo por la convivencia digital, para fomentar el compromiso por la privacidad y concienciar sobre la difusión de contenido sensible en las redes.

La AEPD afirma que es necesario "que todos los actores implicados en el ámbito digital, los ciudadanos y las organizaciones, sean conscientes de las consecuencias que puede suponer en la vida de la persona afectada la difusión de contenidos especialmente sensibles y también las responsabilidades en que pueden incurrir aquellos que los difunden (civiles, penales y administrativas)".

Por ello, ya son más de 40 organizaciones empresariales, asociaciones y fundaciones (entre ellas la Cruz Roja Española, Mediaset, RTVE, Atresmedia…) las que han asumido el compromiso y comenzarán a implantar las medidas que ha dictado la AEPD.

Una de las principales medidas consistirá en difundir el Canal Prioritario, el cual se encargará de la eliminación urgente e inmediata de contenidos sexuales y violentos publicados sin consentimiento.También se encuentra entre ellas, apoyar la transparencia para que todo el mundo conozca en que se emplean sus datos, además de promover la igualdad de género y la protección de la infancia, entre otras situaciones de personas en situación de vulnerabilidad.

El Pacto Digital se divide en tres partes; la carta de adhesión, el compromiso por la responsabilidad en el ámbito digital y el Decálogo de buenas prácticas.

En la carta de adhesión, la entidad firmante se compromete a implantar en su organización los principios y recomendaciones de la AEPD.
En el compromiso por la responsabilidad en el ámbito digital, se encuentran las obligaciones que las organizaciones han de cumplir. No busca que se asuman más de las que hay, pero busca un compromiso ajustado.

Por último, el Decálogo de buenas prácticas, con el que la AEPD quiere promover todas sus medidas entre los medios de comunicación y organizaciones que disponen de canales de difusión para informar a su público.

El Pacto Digital para la Protección de las Personas de la AEPD se presentará públicamente en un evento llamado I Foro de Privacidad, Innovación y Sostenibilidad, con la presidencia de Honor de sus majestades los Reyes, el día 28 de enero de 2021 (con ocasión del Día Internacional de la Protección de Datos).

26 de Enero de 2021

MULTA RÉCORD A CAIXABANK S.A CON 6.000.000 DE EUROS

Caixabank ha recibido una multa histórica por parte de La Agencia Española de Protección de Datos. La entidad vulneró tres de los artículos de la actual normativa, incluyendo una calificada como muy grave.

La entidad Caixabank tendrá que hacer frente a una multa de 6 millones de euros por haber vulnerado tres normativas de la GDPR. La agencia impone una multa de 2 millones, considerada leve, por incumplir la normativa del artículo 13 y 14., mientras que los 4 millones restantes vienen a raíz de saltarse el artículo 6, una infracción calificada como muy grave por el reglamento.

Todo se remonta en 2018, tras realizar una investigación por una denuncia de un particular y una posterior en 2019 llevado por la FACUA (Asociación de Consumidores) contra el ‘Contrato Marco’ de privacidad que deben suscribir todos los clientes de dicho banco. El ‘Contrato Marco’ no es más que un acuerdo entre uno o varios compradores o proveedores, que establecen como regirán los contratos, en un cierto periodo de tiempo. El documento de la sentencia consta de 177 páginas y detalla cómo la entidad Caixabank infringió los artículos y no ha corregido lo que se le ha pedido por la institución.

Entre los fallos que menciona la GDPR, referente a los 2 primeros puntos, encontramos que la información ofrecida en los distintos documentos o canales nos son uniformes. Se emplea una terminología imprecisa para definir la política de privacidad, también nos encontramos con una falta de información sobre la categoría de datos personales.

En cuanto al punto 6, la Agencia Española de Protección de Datos afirma que La Caixa no da una buena justificación de la base jurídica del tratamiento de datos personales, incumple los requisitos establecidos para la prestación de un servicio válido. También habla de algunas deficiencias en los procesos habilitados para obtener el consentimiento de sus clientes y el procedimiento por el cual pasan para prestar su consentimiento para la recogida y tratamiento de sus datos personales.

Además de la sanción impuesta, la AEPD obliga a la entidad que en el plazo de seis meses adecue la normativa de protección de datos personales, las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

Según la agencia, Caixabank no ha tenido una actitud muy colaborativa por su parte y las correcciones que se han efectuado por la compañía no han sido realmente una verdadera regularización de la situación irregular de la que hemos podido comprobar en el procedimiento sancionador.

21 de Enero de 2021

MULTA A TWITTER EUROPA POR INFRACCIÓN DEL RGPD.

El pasado 15 de diciembre la Agencia de Protección de Datos Irlandesa impuso a Twitter Europa (ubicada en Irlanda) una multa de 450.000 euros, resultado de no comunicar a tiempo a la DPA Irlandesa una brecha de seguridad de datos personales y por no haberlo documentado debidamente.

Esta brecha afectó a miles de personas en los distintos países europeos, y como consecuencia la DPA tuvo que coordinarse y cooperar con las autoridades de control interesadas de estos países afectados.

Esto dio lugar a la utilización por primera vez del proceso de resolución de conflictos a través del Comité Europeo de Protección de Datos que actuaría como árbitro entre la Autoridad de Control Principal y el resto de autoridades.

La causa de esta sanción se remonta tres años atrás, precisamente el día 29 de diciembre del 2018, cuando un tercero se dio cuenta de la existencia de un error en el código del sistema de Twitter y que afectaba especialmente a los usuarios de Android.

Este error suponía que si el usuario de Android se cambiaba el correo electrónico vinculado en su cuenta de Twitter, los tweets protegidos, es decir, aquellos tweets que supuestamente solo tienen acceso los seguidores del usuario, pasarían a ser accesibles para todo el mundo.

El 3 de enero de 2019 Twitter EEUU decidió que este error debía tratarse como una brecha de seguridad, cosa que no fue notificada a Twitter Europa hasta pasados cuatro días y posteriormente a la DPA Irlandesa.

Según la comunicación que envió Twitter Europa a la DPA Irlandesa, entre el 5 de septiembre del 2017 y el 11 de enero de 2019, se vieron afectadas más de 88.000 personas por este error.

Según la DPA, Twitter EU debería haber sido consciente de la brecha de seguridad el 3 de enero de 2019, fecha en la que Twitter EEUU calificó internamente como brecha de seguridad. Esta falta de comunicación hizo que Twitter EU notificase el incidente fuera del límite establecido que son las primeras 72 horas, tal y como está establecido en el artículo33.1 del RGPD.

Finalmente, la DPA Irlandesa concluyó que Twitter EU infringió el artículo 33.5 del RGPD alno documentar debidamente la brecha de seguridad y ofrecer esta información a la DPA Irlandesa durante su investigación.

Por todo esto, Twitter EU ha terminado recibiendo su primera multa por infracción del Reglamento General de Protección de Datos.

18 de Enero de 2021

LAS NUEVAS Y POLÉMICAS CONDICIONES DE WHATSAPP

Nuevo año y nuevos cambios. Whatsapp, la conocida aplicación de mensajería móvil, ha decidido modificar sus políticas de seguridad. Estos cambios, como bien ha explicado Facebook, se efectuarán a partir del 8 de febrero de este mismo año.

Probablemente, si eres usuario de Whatsapp, en estos primeros días del año te habrás encontrado con un mensaje de advertencia al intentar acceder. Esto es debido a que la conocida aplicación de mensajería ha decidido cambiar sus condiciones y políticas de privacidad, así lo anunciaba a finales del año pasado. Este cambio obligará a los usuarios que la utilicen a compartir sus datos personales con Facebook (propietaria de la app).

Al aceptar los términos y condiciones nuevos, el usuario permitirá que la aplicación o las empresas como Facebook y Twitter tengan un acceso casi total a sus actividades, las cuales comprenden los mensajes de texto, los contactos, compras e interacciones con terceros, entre otras.

Según la empresa de telecomunicaciones, los cambios entrarán en vigor el próximo 8 de febrero. El usuario, para poder seguir utilizando la aplicación, debe aceptar estas condiciones. En caso de rechazarlas, no podrá seguir usándola.

Sin embargo, esta nueva obligación sólo afectará a los usuarios que residen fuera de la Unión Europea. Tanto los ciudadanos de la UE como los del Reino Unido, no se verán afectados por las nuevas condiciones de la plataforma. En cambio, este mensaje de advertencia le sale a todos los usuarios. ¿Por qué sucede esto?. Tal y como ha explicado Facebook, todos los usuarios deben aceptarlas aunque no se aplique en las cuentas europeas.

La decisión de Facebook de vincularse más estrechamente con Whatsapp es una respuesta contra Apple, ya que el año pasado presentó una función que permitía a los usuarios rechazar ser rastreados por Facebook. Este hecho perjudicó al negocio publicitario de la compañía de Mark Zuckerberg, que se servía de ese rastreo para poder recopilar datos personales de los usuarios y así posteriormente venderlos a terceros para poder personalizar sus anuncios.

Tras que la empresa estadounidense anunciara esta modificación en sus términos y condiciones, miles de internautas han optado por explorar otro tipo de plataformas para librarse de estas medidas que impone Whatsapp a sus usuarios. Incluso se ha observado una disminución de descargas de aproximadamente un 11% en estos primeros días de enero.

14 de Enero de 2021

EL TRIBUNAL SUPREMO RECONOCE UN NUEVO DERECHO

El Tribunal Supremo reconoció el derecho de poder eliminar de un buscador de Internet contenidos localizados a partir de poner los dos apellidos de una persona y no solo con el nombre completo como estaba establecido antiguamente.

La sala de Contención-Administrativo ha dictado una sentencia que decreta que el ejercicio del derecho al olvido permite a cualquier persona afectada a exigir que un motor de búsqueda (como por ejemplo Google) elimine de sus listas de resultados cualquier información encontrada a partir del nombre completo o solamente incluyendo los dos apellidos.

El Tribunal Supremo fija como normativa el ejercicio del derecho de oposición, rectificación o cancelación del tratamiento de datos, y, en su caso, del derecho al olvido, reconocido en el artículo 6.4 de la Ley Organica de Protección de Datos de Caracter Personal, que faculta a la persona interesada a exigir que el gestor de un motor de búsqueda elimine todos los resultados obtenidos a partir del nombre completo o los dos apellidos, como vínculos a páginas webs, publicados legalmente a terceros, que contengan datos e informaciones veraces, relativos a la persona.

La Sala estudió el caso planteado por una persona que solicitó a Microsoft Corporation, gestor del buscador Bing, la desindexación de las URL para las búsquedas realizadas no solo por su nombre completo, sino también por sus apellidos. Microsoft accedió a la primera petición pero rechazó la segunda apoyándose en que los dos apellidos no son ningún identificador irrefutable de una persona.

Así también, la AEPD y la Audiencia Nacional tampoco accedieron a dicha reclamación en relación con los dos apellidos, al considerar que, conforme la normativa del registro Civil, las personas son designadas por su nombre y apellidos.

Por otro lado, el Tribunal Supremo anuló esta sentencia al estimar el recurso de casación del interesado. La sala sostenía que no resultaba coherente reconocer el derecho al olvido cuando la búsqueda se efectúa a partir del nombre completo de una persona y negarlo cuando se efectuaba sólo a partir de los dos apellidos de la persona, esto implicaba no tener en cuenta los principios generales del Derecho de la Unión Europea.

Por tanto, la Sala consideró que el criterio mantenido en la sentencia impugnada carecía de apoyo y supondría restringir, injustificadamente, el derecho de exigir al gestor de un motor de búsqueda la eliminación de la lista de resultados, del que es titular la persona afectada.

4 de Enero de 2021

EEUU SANCIONA A SANTANDER POR NO REVISAR MILLONES DE EMAILS DE SU PLANTILLA

La autoridad reguladora de EEUU ha sancionado con 123.000 euros a la filial de la entidad por un fallo informático que dejó fuera de supervisión 6 millones de correos electrónicos de tres cuartas partes de su plantilla.

Este hecho se produjo entre enero de 2014 y enero de 2019 cuando la filial se dio cuenta de la existencia de dicho fallo informático reportándoselo a las autoridades en febrero de 2019.

Como indica el artículo 2110, los miembros del regulador al cual pertenece Santander desde 1994, tienen la obligación de supervisar todos los correos que entran y salen de sus empleados relacionados con el negocio de la compañía.

La entidad de Ana Botín no se dio cuenta del problema hasta cinco años más tarde cuando se dispusieron a buscar un email antiguo y no lo encontraban.

Según informa Santander, este problema ya está resuelto. Han implementado cambios en las políticas y los procesos que utilizan para poder así evitar que este suceso vuelva a ocurrir en un futuro.

A principios de noviembre, la filial firmó el documento aceptando pagar la sanción impuesta de 123.000 euros.

28 de Diciembre de 2020