#SomosRyC
Protección de Datos-Newsletter / Primer trimestre 2020
08 de April de 2020
Informe sobre los tratamientos de datos resultantes de la situación derivada de la extensión del virus COVID-19 (Informe 0017/2020)
La AEPD ha emitido un informe jurídico en el que se analiza el tratamiento de datos personales relacionado con la nueva situación de emergencia sanitaria que se deriva de la expansión en nuestro país del Coronavirus (Informe 0017/2020). El citado informe aclara, en primer lugar, que la normativa de protección de datos personales se seguirá aplicando, puesto que salvaguarda un derecho fundamental y no existe motivo justificado para su suspensión.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 17 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación (en adelante, el “RGPD”) contiene las reglas necesarias que deben aplicarse en esta materia ante una emergencia sanitaria.
Así, el artículo 46 del RGPD reconoce que la base jurídica de los tratamientos ante una epidemia puede ser múltiple, basándose, por ejemplo, en el interés público, regulado en el artículo 6.1.e) del RGPD. También se considera como base jurídica legitimadora el interés vital del interesado y de otras personas, establecido en el artículo 6.1.d) del citado cuerpo legal. Sin embargo, para el tratamiento de datos de salud, no será suficiente con que exista una base jurídica del artículo 6 del RGPD, sino que, además, tendrá que contarse con una circunstancia especial que levante la prohibición del tratamiento de la categoría de datos de salud, según lo establecido en el artículo 9 del RGPD.
El informe concluye indicando que las autoridades sanitarias competentes de las distintas Administraciones Públicas serán quienes deberán adoptar las decisiones necesarias, y los responsables de los tratamientos seguir sus instrucciones, incluso cuando esto suponga un tratamiento de datos personales de salud. De esta forma, se entiende compatible la aplicación de la normativa de protección de datos con el seguimiento e implantación de las medidas que tomen las autoridades en la lucha contra la epidemia.
Preguntas frecuentes relativas a tratamientos de datos durante el Estado de Alarma contestadas por la AEPD
Como complemento del informe arriba comentado, la AEPD ha publicado un documento respondiendo a las preguntas frecuentes que pueden surgir respecto al tratamiento de datos personales relacionados con las medidas adoptadas para frenar la extensión del coronavirus. Entre las cuestiones que se analizan, se encuentran las siguientes:
· ¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?
Los empleadores podrán tratar los datos del personal para garantizar su salud y la del resto del personal. De esta forma, la empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.
· ¿Pueden transmitir esa información al personal de la empresa?
Como norma general, esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad.
· ¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?
Los empresarios tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito.
Puede consultar el documento completo en el siguiente enlace.
Comunicados de la AEPD sobre apps y webs de autoevaluación del Coronavirus
Como consecuencia de la proliferación de páginas web y aplicaciones móviles que ofrecen ayuda y servicios para evaluar y aconsejar en relación con el Coronavirus, la AEPD ha publicado dos comunicados diferentes sobre este asunto.
En el primer comunicado de fecha 16 de marzo de 2020, la AEPD advierte al conjunto de la ciudadanía de los riesgos que implica facilitar datos de salud en este tipo de webs y apps, incluso en aquellos casos en los que, aparentemente, los datos no se asocian a la identidad del usuario.
En el segundo comunicado publicado el 26 de marzo de 2020, la AEPD recuerda que la situación de emergencia provocada por el COVID-19 no puede suponer una suspensión del derecho fundamental a la protección de datos personales aunque, al mismo tiempo, no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes en la lucha contra la epidemia.
La AEPD establece distintos criterios que deben aplicarse para que el tratamiento de datos personales que conlleven las iniciativas que se están desarrollando sean lícitas. Entre los criterios analizados destacan:
· Las únicas apps y webs que tendrían legitimidad para realizar tratamientos de salud relacionados con el coronavirus son entidades públicas o entidades privadas que colaboren con ellas.
· En el caso de tratamientos de datos de geolocalización a través del teléfono móvil para controlar el cumplimento del aislamiento, la AEPD establece que solo tienen competencia las autoridades sanitarias. No obstante, el único dato que, a los efectos de la geolocalización, debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considere que es imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad.
Campañas de Phishing sobre el Covid-19
El pasado 12 de marzo de 2020, la AEPD publicó en su blog un artículo en el que alertaba a los ciudadanos sobre la proliferación de las campañas de phishing por parte de los ciberdelincuentes aprovechando la situación de alerta por el COVID-19. Este tipo de ataques se realizan a través de servicios de mensajería instantánea, correo electrónico u otros medios suplantando la identidad de organizaciones legítimas como el Ministerio de Sanidad o una Consejería de Sanidad, con información relevante sobre el COVID-19. En casi todos los casos, se solicita que se ejecute un archivo con urgencia o que se siga un enlace de internet para conseguir la información.
En este sentido, la AEPD recomienda a los ciudadanos que se mantengan informados mediante fuentes oficiales y que verifiquen la dirección de correo electrónico remitente de los mensajes que puedan recibir, así como el enlace web al que remite el mensaje.
Se puede consultar el artículo completo en el siguiente enlace.
Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial
El pasado mes de febrero, la AEPD publicó una nueva guía dirigida a los responsables del tratamiento. Se trata de la “Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción" (en adelante, “Guía”), que tiene como objetivo señalar los aspectos más relevantes en la relación entre la inteligencia artificial (en adelante, “IA”) y la protección de datos personales. Con carácter general, la IA es la capacidad de una máquina de realizar análisis e inferencias a partir de información compleja o incompleta.
La Guía se centra en facilitar recomendaciones en relación con la denominada “IA-débil” (esto es, la inteligencia artificial que se dedica a resolver problemas concretos y acotados), dejando al margen las llamadas “IA-fuerte” e “IA-generales” (superinteligencia capaz de resolver cualquier problema). En concreto, explica el tratamiento de datos personales en una solución IA y describe varias fases en las que podrá haber un tratamiento de datos personales, comenzando por la de “entrenamiento” del sistema, seguida de la fase de “validación”, “despliegue” y “explotación”, acabando con la fase de “retirada” del servicio. También destaca que no todas las fases incluirán un tratamiento de datos, pero recomienda realizar un análisis previo a cada fase por defecto para saber qué tratamientos de datos se van a realizar.
En cada una de las anteriores etapas, la Guía identifica cuáles de los intervinientes en el proceso ocuparían la posición de responsables y cuáles la de encargados del tratamiento. De esta forma, en la fase de “entrenamiento”, el responsable será la entidad que defina los fines del componente IA y decida los datos personales que se van a necesitar para “entrenar” el sistema. La posición de encargado del tratamiento estará ocupada por la entidad contratada para la ayuda durante esta fase.
Por otro lado, la Guía establece las bases legitimadoras que pueden ser de aplicación, dependiendo de la fase en la que nos encontremos, destacando, por ser las más habituales, las siguientes: (i) la ejecución de un contrato, (ii) el interés legítimo y (iii) el consentimiento de los interesados.
De acuerdo con el criterio de la AEPD, la utilización de tecnologías de IA exige un deber de información reforzado. Por ello, se deberá facilitar información para entender el comportamiento del tratamiento de los datos, incluyendo la siguiente información: (i) si existe o no supervisión humana cualificada, (ii) referencias a auditorías realizadas al sistema IA, (iii) información acerca de si el sistema IA contiene información de terceros y, de ser así, las consecuencias de tratar esos datos sin una base legitimadora.
La Guía recomienda que todos los tratamientos basados en el IA sean siempre objeto de supervisión humana con el objetivo de que este pueda tomar decisiones de ignorar ciertos algoritmos en situaciones que así lo exijan.
Cuando los tratamientos de datos estén basados en tratamientos automatizados será necesario que concurra alguna de las excepciones reguladas en el artículo 22.2 del RGPD, el consentimiento explícito del interesado entre una de ellas.
Asimismo, se analiza cómo debe de estar informado el personal a cargo del responsable de tratamiento. El personal, con el objetivo de que pueda prevenir errores y realizar soluciones deberá tener información acerca de las limitaciones del sistema IA de manera que su función no sea solo la de un “simple transmisor de información”.
Destaca, entre cosas cuestionas, la importancia de que los datos que se aporten sean exactos y menciona que el responsable, con el objetivo de minimizar riesgos, deberá implementar técnicas orientadas a detectar posibles desviaciones en los algoritmos utilizados (Algorithmic Impact Assessment). La AEPD incide en que los riesgos son distintos a los habituales y que, por este motivo, se deberán adoptar medidas de seguridad especificas a los sistemas de IA.
Finalmente, recomienda a los responsables y encargados realizar auditorías para comprobar que los sistemas IA cumplan con las exigencias establecidas en el RGPD.
Puede acceder al documento completo en el siguiente enlace.
Orientaciones para la aplicación de la disposición adicional octava y la disposición final duodécima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
La AEPD ha publicado un documento en el que recoge una serie de orientaciones para la aplicación de la disposición adicional octava y la disposición final duodécima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (la “LOPDGDD”). Estas disposiciones se refieren, por un lado, a la potestad de verificación de las Administraciones Públicas y, por otro, a la modificación del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (“LPAC”).
Tal y como establece la LPAC en su artículo 28, la entrega de documentación en el marco de la tramitación de un procedimiento administrativo es, al mismo tiempo, un derecho y un deber de todos los ciudadanos. Es, por un lado, un deber, ya que los interesados deben aportar los datos y documentos exigidos por las Administraciones Públicas y, por otro, un derecho, al regular que el interesado tiene el derecho a no aportar aquella información que, bien porque haya sido generada por las Administraciones Públicas o bien porque haya sido presentada con anterioridad, ya está en poder de la Administración.
En la redacción original del citado artículo 28, se establecía que la consulta de documentación entre administraciones quedaba habilitada a través de un consentimiento que podía entenderse concedido por el ciudadano de manera tácita. Esto contradecía, sin embargo, la necesidad de consentimiento expreso recogida en el RGPD. Con la llegada de la LOPDGDD, este artículo 28 ha sido modificado, eliminándose la necesidad de recabar el consentimiento del interesado, pudiéndose “consultar o recabar dichos documentos salvo que el interesado se opusiera a ello” y sin caber la oposición “cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección”. Es precisamente por esta aparente contradicción, así como por las numerosas consultas planteadas, por lo que la AEPD ha decidido publicar estas orientaciones.
De esta forma, la AEPD aclara que “en el caso del tratamiento de los datos que se derive de las relaciones de los ciudadanos con la Administración y que puede incluir operaciones de comunicación, consulta y verificación de datos entre administraciones, la base jurídica del tratamiento ha de buscarse en los apartados c) (cumplimiento de una obligación legal) y e) (cumplimiento de una misión de interés público o en el ejercicio de poderes públicos) del artículo 6.1 del RGPD”. Únicamente en aquellos supuestos en los que una ley especial aplicable requiera el consentimiento expreso, ambas bases jurídicas mencionadas quedarían desplazadas por un consentimiento prestado en las condiciones que exige el artículo 7 del RGPD.
En cuanto al ejercicio de oposición al que se refiere el artículo 28, cuando este se ejercite, debe ir acompañado de una causa para que el responsable realice una ponderación de los motivos alegados, sin ser válida una oposición en términos absolutos. Además, en el caso de que el ciudadano manifieste una oposición motivada, deberá aportar los documentos a cuya consulta se opone para que la administración actuante pueda conocer que concurren en él los requisitos establecidos en el procedimiento correspondiente.
Puede acceder al documento completo en el siguiente enlace.
Modelo de informe para ayudar a las empresas a realizar evaluaciones impacto en materia de protección de datos (sector privado)
El 5 de marzo la AEPD publicó un modelo de informe para ayudar a las empresas a realizar evaluaciones impacto en materia de protección de datos (“EIPD”).
El referido informe es un complemento a otros documentos de la AEPD como la Guía para Análisis de Riesgos, Guía práctica para las Evaluaciones de Impacto en la Protección de Datos o la herramienta para la realización del análisis de riesgos y la evaluación de impacto para la protección de datos: Gestiona EIPD.
El informe recoge los aspectos que deben ser tenidos en cuenta a la hora de realizar una EIPD, como la descripción del tratamiento, su finalidad, la base jurídica que lo justifica, la obligación de realizar una evaluación de impacto, las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.
Modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones de impacto en materia de protección de datos (sector público)
La AEPD también actualizó el pasado 5 de marzo su modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones de impacto en la protección de datos que había sido publicado el 9 de julio de 2019 y elaborado en colaboración con el Ministerio de Trabajo y Economía Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.
Vodafone España, S.A.U. sancionada con una multa de 120.000 euros (Expediente Nº: PS/00235/2019)
El pasado 27 de febrero de 2020, la AEPD sancionó a VODAFONE ESPAÑA, S.A.U. (en adelante, “Vodafone”) con una de las multas más altas impuestas hasta la fecha (120.000 euros) por tratar datos personales de un menor de 14 años e incluirlos en ficheros de solvencia patrimonial y crédito (ASNEF y BADEXCUG).
De acuerdo con el criterio mantenido por la AEPD, Vodafone infringió los siguientes artículos:
· Artículo 6.1.a) RGPD: Vodafone trató los datos personales de un menor de 14 años durante un período de 13 meses sin poder acreditar que se había prestado válidamente el consentimiento para ello.
· Artículo 5.1.a) RGPD: Vodafone trató datos personales de forma ilícita y desleal al incluirlos en ASNEF y BADEXCUG, incumpliendo el plazo concedido para el pago de la deuda.
Conviene recordar que el artículo 7 de la LOPDGDD establece que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años”.
Puede encontrar la resolución completa en el siguiente enlace.
Archivado procedimiento frente a Bankia, S.A. por caducidad y declaración de apertura de nuevas investigaciones (E/02026/2019)
La presente resolución trae causa en una reclamación presentada frente a la entidad BANKIA, S.A. por parte de un cliente titular de una cuenta ON. De acuerdo con el reclamante, la entidad bancaria exigía aceptar el consentimiento para el tratamiento de datos personales, que aparecían ya premarcados, cobrándole comisiones en caso de no proceder a su aceptación.
Posteriormente, la AEPD recibió nuevas reclamaciones de clientes de BANKIA, S.A. en las que, en síntesis, denunciaban el cobro de comisiones en caso de no aceptarse las condiciones de recepción de publicidad y cesión de sus datos personales impuestas por dicha entidad.
En los Fundamentos de Derecho de la resolución, la AEPD se centra en aspectos procesales, sin entrar a analizar el cumplimiento de los principios de protección de datos. Así, se analizan los siguientes artículos:
· Artículo 67 de la LOPDGDD, recoge la posibilidad de realizar por parte de la AEPD actuaciones previas de investigación para lograr una mejor determinación de los hechos y circunstancias que justifican la tramitación del procedimiento. Estas actuaciones no podrán tener una duración superior a doce meses.
· Artículo 25 LPAC, el cual establece en su apartado primero que “En los procedimientos iniciados de oficio, el vencimiento del plazo máximo establecido sin que se haya dictado y notificado resolución expresa no exime a la Administración del cumplimiento de la obligación legal de resolver, produciendo los siguientes efectos: b) en los procedimientos en que la Administración ejercite potestades sancionadoras o, en general, de intervención, susceptibles de producir efectos desfavorables o de gravamen, se producirá la caducidad. En estos casos, la resolución que declare la caducidad ordenará el archivo de las actuaciones, con los efectos previstos en el artículo 95”.
· Artículo 95.3 LPAC indica que la caducidad no produce, por si sola, la prescripción de las acciones y, en los casos en los que sea posible la iniciación de un nuevo procedimiento por no haberse producido la prescripción, podrán incorporarse a éste los actos y trámites cuyo contenido se hubiera mantenido igual de no haberse producido la caducidad.
En este supuesto, la AEPD concluye que las actuaciones deben declararse caducadas ya que comenzaron el 21 de febrero de 2019, continuando pendientes de finalización. Sin embargo, dado que los hechos objeto de investigación no se encuentran prescritos, la AEPD declara la iniciación de nuevas actuaciones de investigación.
Puede encontrar la resolución completa en el siguiente enlace.
Vodafone Ono, S.A.U. sancionada con una multa de 60.000 euros por falta de aplicación de las medidas de seguridad apropiadas (Expediente Nº: PS/00212/2019)
En este caso, Vodafone Ono, S.A.U. (en adelante, “Vodafone”) es sancionada con 60.000 euros por una falta de medidas de seguridad en el área de clientes. El reclamante puso en conocimiento de la AEPD que al acceder al área de clientes con el usuario y contraseña correspondiente para dar de baja un servicio contratado a nombre de su madre, descubre que el sistema informático de Vodafone, con dicho usuario y contraseña, le facilita el acceso a los datos de una tercera persona, sin ninguna relación con el titular de la cuenta.
La AEPD determinó que el hecho suponía una infracción del artículo 32 del RGPD, procediendo a imponer la multa indicada.
Puede acceder al documento completo en el siguiente enlace.
La entidad SOTA, S.C.P sancionada con apercibimiento por no contar con políticas de privacidad web adecuadas al RGPD (Expediente Nº: PS/00371/2019)
La AEPD ha sancionado con apercibimiento, sin imposición de multa económica, a la entidad SOTA S.C.P., titular de la página web www.joiestelada.cat.
La AEPD observó que, para realizar un pedido de los productos que publicita en la referida web, el usuario debía introducir datos personales en formularios que carecían de cualquier tipo de banner o link a una política de privacidad.
La AEPD considera el hecho como una infracción del artículo 13 del RGPD, advirtiendo que, si no se toman las medidas para adecuar su web a las obligaciones en materia de protección de datos en el plazo de un mes, la infracción podrá ser sancionada con multa de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5.a) del RGPD.
Twitter Spain, S.L. instada a dar respuesta al derecho de supresión ejercido por la reclamante (Expediente R/00607/2019)
La presente resolución trae causa en una reclamación presentada frente a la entidad Twitter Spain, S.L. (en adelante, “Twitter”) por no haber atendido debidamente el derecho de supresión ejercido por la reclamante. Esta manifestó que la clínica donde se había realizado un tratamiento quirúrgico publicó unas imágenes suyas sin su consentimiento en el perfil de Twitter.
Aunque Twitter dice haber bloqueado la cuenta y haber tomado acciones al respecto, lo cierto es que el servicio de inspección de la AEPD comprobó que, aunque el primer tweet estaba retirado, el segundo no, y la cuenta de la clínica seguía accesible por Internet.
La AEPD instar a Twitter para que, en el plazo de diez días hábiles, remita a la parte reclamante certificación en la que haga constar el derecho de supresión o se denieguen de forma motivada las causas por las que no procede la supresión solicitada. El incumplimiento de la resolución podría ser considerado como una infracción con sanción según el artículo 58.2 del RGPD.
Puede acceder al documento completo en el siguiente enlace.
Multa a un particular de 4.000 euros por instalar un sistema de videovigilancia orientado hacia el espacio público (Expediente 00293/2019)
La Dirección General de la Policía formuló denuncia ante la AEPD por la instalación por un parte de un ciudadano particular de un sistema de videovigilancia orientado hacia el espacio público con la finalidad de controlar la calle próxima a la vivienda.
La AEPD impuso una multa de 4.000 euros al reclamado por una infracción del artículo 5.1.c) del RGPD, recordando que, conforme a lo establecido en el artículo 22 de la LOPDGDD, las personas físicas pueden instalar sistemas de videovigilancia, siempre que la cámara esté “orientada hacia los principales accesos de su vivienda particular, sin poder obtener imágenes de espacio público y/o privativo de terceros cercanos a la vivienda de su propiedad”.
Puede acceder al documento completo en el siguiente enlace.
Iberdrola Clientes, S.A.U. sancionada por el RGPD y por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) (Expediente: Nº: PS/00181/2019)
La AEPD ha impuesto una sanción a Iberdrola Clientes, S.A.U. (en adelante, “Iberdrola”) de 80.000 euros por incumplimiento del artículo 6 del RGPD, y otra de 50.000 euros por una infracción del 6.1 de la LOPD. Los hechos analizados suponen un incumplimiento de las obligaciones relativas a la legitimación del tratamiento y al consentimiento de los interesados. Iberdrola dio de alta, asociados a los datos de la reclamante (nombre y apellidos, NIF, domicilio, correo electrónico; teléfono móvil y datos bancarios) tres contratos; emitió facturas a su nombre; giró varios adeudos contra su cuenta bancaria y comunicó sus datos personales a un tercero (Conecta Legal) sin legitimación, toda vez que el importe que debía ser requerido a la reclamante no le era exigible en tanto ella no había sido parte en el contrato del que derivaba la supuesta deuda.
Además, la AEPD considera que Iberdrola actuó con una muy grave falta de diligencia, debido a su falta de cooperación ya que no respondió a su solicitud informativa, ni al requerimiento que hizo la Inspección de Datos en el curso de las actuaciones. También se toma como agravante la duración y el alcance del tratamiento ilícito de los datos y la evidente vinculación entre la actividad empresarial de Iberdrola y el tratamiento de datos personales objeto de sanción.
Puede acceder al documento completo en el siguiente enlace.
Sanciones destacadas impuestas por otras Autoridades de Control de Estados Miembros de la UE (de enero a marzo de 2020)
En el ámbito de la Unión Europea, debemos resaltar la imposición de las siguientes sanciones:
· En Italia, el Il Garante per la protezione dei dati personali sancionó con 27.800.000 euros a Telecom Italia S.P.A. por realizar envíos de comunicaciones comerciales y llamadas telefónicas sin el consentimiento de los interesados, a pesar de estar inscritos en los ficheros de exclusión publicitaria del país.
· En Holanda, la Autoriteit Persoonsgegevens ha impuesto una multa de 525.000 euros a la Real Asociación Neerlandesa de Tenis por vender los datos personales de más de 350.000 miembros a patrocinadores con fines de comercialización directa sin haber obtenido previamente su consentimiento.
· En Grecia, la Hellenic Data Protection Authority ha sancionado con 15.000 euros a Allseas Marine S.A. por incumplir los requisitos para el uso de sistemas de videovigilancia. La entidad no fue capaz de demostrar que había informado a sus trabajadores sobre la inclusión de cámaras de videovigilancia en sus puestos de trabajo.
· En Chipre, el Comisionado de Protección de Datos ha impuesto una sanción de 9.000 euros a los Servicios de Seguridad Social del Ministerio de Trabajo, Bienestar y Seguridad Social, por permitir a la policía el acceso a datos de carácter personal sin aplicar las medidas técnicas y organizativas suficientes para garantizar la seguridad de la información.
· En Noruega, la Datatilsynet ha impuesto a Rælingen Municipality una sanción de 73.600 euros por tratar datos sobre la salud de menores con discapacidades físicas y psíquicas en la plataforma de aprendizaje digital Showbie. La mencionada plataforma permitía el acceso a la información de otros estudiantes.
· Por último, en Polonia, la Agencia Polaca de Protección de Datos ha sancionado a un colegio de Danzig con 4.600 euros. El colegio usaba escáneres biométricos de huellas dactilares para que los estudiantes pudieran realizar el pago en el comedor escolar. Aunque los padres habían dado su consentimiento por escrito, la autoridad de protección de datos consideró que no lo habían prestado de forma libre.
Designación de más de un delegado de protección de datos en el ámbito del Ministerio de Defensa (N/Ref. 2995/2019)
El informe analiza si es obligatoria la designación de más de un delegado de protección de datos en el ámbito del Ministerio de Defensa, teniendo en cuenta la existencia, dentro de su estructura, de diferentes centros docentes y sanitarios.
Puede encontrar el documento completo en el siguiente enlace.
Aplicación de la normativa sobre protección de datos personales en el marco de la actuación de la Dirección de Competencia de la Comisión Nacional de los Mercados y la Competencia
en relación con la aplicación de la normativa sobre protección de datos personales en el marco de la actuación de la Dirección de Competencia de la Comisión Nacional de los Mercados y la Competencia. La consulta se centra en las dos grandes cuestiones con incidencia directa en la actuación de la Dirección de Competencia previstas en el RGPD, referidas tanto a la determinación de la base jurídica que legitime el tratamiento de datos personales como al ejercicio de los derechos de los interesados.
Puede encontrar el documento completo en el siguiente enlace.
“Por todo lo que hay detrás”: nueva campaña de la AEPD
La AEPD ha lanzado una nueva campaña, “Por todo lo que hay detrás”, con la finalidad de sensibilizar a los ciudadanos de las consecuencias de difundir, a través de Internet, contenido de carácter violento o sexual sin consentimiento de las personas que aparecen en el mismo.
La AEPD aprueba su Código Ético
La AEPD ha publicado, mediante la Instrucción de 24 de enero de 2020, su Código Ético, que recoge las normas de conducta, principios y valores que deben regir las actuaciones de todos aquellos que forman parte de la organización, con total independencia del cargo, puesto o función que desempeñan.
El Código Ético completo se encuentra en el siguiente enlace.
Normas Corporativas vinculantes del grupo Fujikura Automotive Europe (Grupo FAE)
La AEPD aprobó el 16 de marzo de 2020 las primeras normas corporativas vinculantes (por sus siglas en inglés, “BCR”) para las transferencias internacionales de datos personales en el marco del RGPD. La entidad FUJIKURA AUTOMOTIVE EUROPE, S.A.U., entidad situada en España, como entidad matriz del grupo de compañías pertenecientes al Grupo FAE, presentó la solicitud de aprobación de las BCR para facilitar la transferencia de datos a entidades del grupo FAE establecidos en terceros países.
La resolución de aprobación completa se encuentra en el siguiente enlace.
