La Agencia Española de Protección de Datos publica la memoria de 2023

La Agencia Española de Protección de Datos (AEPD) ha publicado la memoria del año 2023. En el documento se detallan las diferentes campañas de concienciación, difusión, colaboración e inspección que se han realizado por parte de la AEPD, también hay un extracto de los informes, dictámenes, recomendaciones, decisiones vinculantes , declaraciones y procedimientos más relevantes del año 2023. Asimismo, se ha publicado la Memoria de Responsabilidad Social 2023.

Según las cifras de la AEPD, este año 2023 se han registrado  un 43% más de reclamaciones que el año anterior. Ha habido un incremento de un 114% respecto al año 2022 de las reclamaciones relacionadas a la recepción de publicidad no deseada. De ellas, la mayoría hace referencia a las llamadas telefónicas comerciales no deseadas. También se dan casos de recepción de publicidad a través de SMS, la obtención de datos personales sin consentimiento o la contratación fraudulenta.

En cuanto a los procedimientos sancionadores, el área de videovigilancia ha sido el grupo de actividad con un mayor número de procedimientos resueltos durante este año 2023. Entre otros, ha habido el caso del procedimiento de instalación de una videocámara dentro de la vivienda alquilada a diferentes inquilinos o la colocación de una cámara de videovigilancia en el hall de un piso de alquiler por habitaciones individuales de estudiantes.

[1]A continuación, en la imagen se puede observar cuál ha sido el TOP 10 de procedimientos sancionadores más habituales según los grupos de actividades: 

 

[1] Tabla 13: Procedimientos sancionadores más frecuentes de la Memoria 2013 AEPD memoria-aepd-2023.pdf

De los procedimientos sancionadores no todos han acabado en sanción. Un 11% se han resuelto con el archivo de actuaciones por parte de la AEPD.

La sanción más cuantiosa del año 2023 corresponde a un procedimiento del sector de las entidades financieras, en el que se impone a Caixabank, S.A. una sanción de 5 millones de euros, por la infracción de los artículos 5.1f), 25 y 32 del RGPD.

Para más información o consultar la Memoria de 2023 de la AEPD completa, aquí.

Facebooktwittergoogle_pluslinkedinmail

Memoria 2021 de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria de actuación correspondiente al ejercicio 2021, en la que se recoge de forma exhaustiva las actividades realizadas, las cifras de gestión, los informes y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. (más…)

Facebooktwittergoogle_pluslinkedinmail

La AEPD impone una sanción de 20.000€ a una empresa de Martorell por no haber realizado una evaluación de impacto

El pasado mes de octubre, la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 20.000€ a una empresa de Martorell por la implementación de un sistema de control horario de la jornada laboral mediante el uso de un dato biométrico, como es la huella dactilar del trabajador, sin haber realizado previamente una evaluación de impacto. (más…)

Facebooktwittergoogle_pluslinkedinmail

Nuevos nombramientos en la Agencia Española de Protección de Datos

Fruto del acuerdo entre PSOE y PP, el pasado viernes 21 de octubre se dieron a conocer los nombres de las personas que relevarán a la dirección de la Agencia Española de Protección de Datos (AEPD), así como la nueva composición de organismos como el Tribunal de Cuentas, el Tribunal Constitucional y el Defensor del Pueblo.

La nueva directora de la AEPD será Belén Cardona Rubert que relevará en el cargo a Mar España Martí, que lideraba la entidad desde julio de 2015. (más…)

Facebooktwittergoogle_pluslinkedinmail

La memoria de la AEPD del año 2020

Ya de pleno en el 2021, llega el momento en que la Agencia Española de Protección de Datos publica su memoria anual sobre el año anterior, un año -no hay que decirlo- marcado por una pandemia sin precedentes que lo ha condicionado todo. Como no podía ser de otro modo, la actividad de la AEPD durante el año 2020 se ha centrado en buena parte a garantizar y compatibilizar el derecho a la protección de datos con las medidas destinadas a minimizar los estragos de la COVID-19. (más…)

Facebooktwittergoogle_pluslinkedinmail

¿Cómo cumplir la normativa de cookies?

Mediante un nombre tan aparentemente inofensivo como el de cookies (galletitas) hacemos referencia a aquellos programas que permiten registrar y guardar información personal sobre los usuarios y preferencias de navegación por internet, lo que implica realizar una pequeña instalación en el equipo del usuario. Aunque las cookies sirven a menudo sólo para registrar datos muy elementales que facilitan la navegación, como la lengua preferida o la moneda con la que queremos pagar, no siempre estamos hablando de datos banales, ya que, en muchos casos, registran opciones y preferencias de navegación y pueden servir para la elaboración de perfiles y la configuración de publicidad personalizada. Es el caso de las cookies llamadas de seguimiento. En este caso, podemos hablar de verdaderas afectaciones a la privacidad de las personas y, en algunos casos, de una recogida de datos personales. (más…)

Facebooktwittergoogle_pluslinkedinmail

La AEPD publica la Guía de protección de datos por defecto

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha publicado la guía de protección de datos por defecto. La nueva guía está dirigida a los responsables del tratamiento, delegados de protección de datos, encargados del tratamiento, desarrolladores y suministradores, que se encargan de diseñar, desarrollar y explotar aplicaciones y servicios que comportan el tratamiento de datos personales. (más…)

Facebooktwittergoogle_pluslinkedinmail

La AEPD publica el Plan de inspección de oficio de la atención sociosanitaria

Dentro del Plan Estratégico 2015-2019, la Agencia Española de Protección de Datos ha realizado el Plan de inspección de oficio de la atención sociosanitaria con el objetivo principal de analizar los tratamientos de datos personales que se efectúan en este ámbito e investigar su adaptación a la normativa de protección de datos con carácter preventivo.

La atención sociosanitaria engloba la coordinación de la asistencia sanitaria y social dirigida a colectivos especialmente vulnerables como, por ejemplo, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial y en riesgo de exclusión social. El plan de inspección se refiere a la prestación simultánea intensiva, continuada y sinérgica de los servicios sociales y sanitarios. La Agencia considera que más de un sector sociosanitario debería hablar del denominado “espacio sociosanitario” en el que se coordinan los servicios sociales y los sanitarios para prestar una atención integral, que no sea fragmentada, al usuario que presente simultáneamente enfermedades crónicas y dependencia con servicios trasversales y multidisciplinares que atienden al individuo de forma más eficaz y de acuerdo con sus necesidades específicas.

La AEPD empezó su plan de inspección en junio de 2018. Para ello, realizó la planificación de la auditoría identificando los actores involucrados y realizó un estudio previo basado en la investigación documental a través de Internet; en esta fase la Agencia se reunió con el IMSERSO. En la siguiente fase, la AEPD procedió a solicitar información y documentación a los centros inspeccionados, excluyendo Cataluña y País Vasco por razón de competencias. La Agencia realizó inspecciones de septiembre de 2018 a diciembre del mismo año en centros de Atención sociosanitaria de referencia de carácter público estatal para la atención a enfermos con una determinada dolencia, hospitales de media estancia y convalecencia público de una Comunidad Autónoma dependientes de su Consejería de Sanidad, residencia de mayores especializada en Alzheimer de un Ayuntamiento gestionado por una empresa privada con contrato de gestión indirecta y centros privados sociosanitarios de atención a enfermos mentales con plazas concertadas, privadas y de aseguradoras privadas. El plan de inspección resulta en la emisión del informe.

El capítulo 7 de conclusiones y recomendaciones del informe explica las diferentes deficiencias detectadas y aspectos susceptibles de mejora y las recomendaciones propuestas para la subsanación o mejoras de estas.

La asistencia sociosanitaria requiere el tratamiento de muchos datos personales, entre los que se incluyen datos las categorías especiales. La prestación sanitaria demanda el uso de datos sanitarios, incluyendo la Historia Clínica, diagnósticos, tratamientos, etc.; datos de la Historia Social como informes sociales, información sociofamiliar y del entorno, situación económica personal, redes de apoyo, etc.; informes psicopedagógicos; datos de evaluación de autonomía, etc.; registro de incidencias como caídas o alteraciones conductuales de las personas usuarias, etc.; el denominado Plan de Atención Personalizada/Individualizada (PAP/PAI) de la persona usuaria; datos de familiares o de personas responsables de la persona usuaria; contrato de convivencia; entre otros datos personales.

La Agencia ha detectado que estos datos personales se utilizan frecuentemente en documentación en formato papel que pueda encontrarse dispersa en los diferentes espacios físicos del centro sociosanitario, es lo que la AEPD ha llamado “islas de información” y considera que, en determinadas casuísticas, puede afectar a la integridad y disponibilidad de los datos personales. También la Agencia detecta que los datos personales son tratados por diferentes perfiles profesionales, por ejemplo, en las reuniones interdisciplinares mediante las que se coordina la atención y se realizan los seguimientos de las personas usuarias. El sector sociosanitario requiere que trabajen diferentes perfiles, personal médico, enfermero, fisioterapéutico, terapéutico ocupacional, psicológico, psicopedagogo, asistencial no diplomado (auxiliares), así como otro personal gestor o de apoyo e, incluso, orientadores espirituales en los centros religiosos, todo el personal coordinado con la finalidad de atender a la persona usuaria de forma integral y personalizada. En este sentido, la Agencia relata el ejemplo expreso de una persona usuaria que vocifera sin motivo aparente o causa conocida y el origen de su malestar puede ser tanto físico, como psíquico o social, por lo que se necesita toda la información posible para prestar la debida atención a la persona usuaria.

Antes estas situaciones detectadas por la Agencia, la misma sugiere que una posible solución, dentro de los recursos disponibles, es la digitalización total de la historia sociosanitaria del centro. Para ello, aplicando los principios de protección desde el diseño y por defecto, se otorgarían a los perfiles profesionales los diferentes accesos a los datos personales que necesiten para poder realizar la debida prestación sanitaria. La información se estructura por distintos accesos e inicialmente se otorgan los privilegios de acceso mínimo necesarios para la prestación sociosanitaria, depurando posterior y puntualmente otras necesidades en base a los nuevos requerimientos que se presenten.

Todo ello, deberá acompañarse del compromiso de confidencialidad escrito y suscrito por el personal que, además del personal propio, puede incluir personas becarias, estudiantes en prácticas, personal de empresas externas.

El capítulo 7 detecta otras situaciones a subsanar y mejorar como la información del tratamiento de datos personales a las personas usuarias y familias, licitud del tratamiento, los flujos de datos entre administraciones y otros actores públicos y privados, análisis de contrato, pliegos y convenios y otras adaptaciones al Reglamento General de Protección de Datos. Entre otras subsanaciones y mejoras propuestas por la Agencia se menciona el procedimiento de identificación y gestión de las quiebras de seguridad, la realización de un Análisis de Riesgos para determinar las medidas técnicas y organizativas apropiadas al nivel de riesgos detectado a fin de garantizar la seguridad de los tratamientos de datos personales, las correspondientes Avaluación de Impacto relativas a la Protección de Datos.

Es en el capítulo 8 del informe donde se encuentra el decálogo de recomendaciones que puede resumirse del siguiente modo:

  1. Información a la persona usuaria preferentemente en capas, concisa y con un lenguaje claro adecuado a la capacidad de comprensión de la persona destinataria de la información. La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros juntamente con las leyendas informativas en todos los formularios de recogida de datos personales.
  2. Licitud de cada actividad de tratamiento.
  3. Minimizar la compartición de datos personales entre el personal aplicando los principios de protección de datos desde el diseño y por defecto. Menciona expreso la Agencia el deber de realizar auditorías de los accesos.
  4. El personal con accesos a datos personales deben suscribir el compromiso de confidencialidad. Debe incluirse en los contratos de encarado de tratamiento como obligatorio la firma del compromiso por parte de los empleados y a poder ser incluyendo el modelo de compromiso como anexo al contrato de encargo.
  5. Evitar la dispersión de los documentos en papel con datos personales en diferentes ubicaciones del centro y las establecer medidas de seguridad para el traslado y almacenamiento de la documentación con mecanismos que impidan su acceso a personas no autorizadas.
  6. No se deben usar usuarios genéricos.
  7. Para facilitar información a los familiares de la persona usuaria sobre su estancia, ubicación en el centro y estado de salud debe recabarse el consentimiento de la persona usuaria.
  8. No usar el fax ni el correo electrónico sin cifrar para el envío de documentación que contenga datos personales de categorías especiales.
  9. Los contratos de encargado de tratamiento deben ser conformes al RGPD. En los contratos de prestación de servicios sin acceso a datos personales se debe prohibir expresamente el acceso a los mismos e informar al personal trabajador. También debe incluirse los posibles accesos accidentales o fortuitos con un compromiso de confidencialidad.
  10. Las medidas de seguridad se establecen en base al Análisis de Riesgos. La Evaluación de Impacto relativa a la Protección de Datos es obligatoria para los nuevos tratamientos de los centros sociosanitarios.

El informe recoge en el capítulo 9 algunas preguntas frecuentes que resultan de utilidad práctica como, por ejemplo, que no se pueden cancelar determinados datos personales de una persona usuaria a petición suya porque es preciso mantener la autenticidad de la historia sociosanitaria.

Facebooktwittergoogle_pluslinkedinmail

El teletrabajo: una rueda en continuo movimiento

El teletrabajo está posibilitando la continuidad de diferentes negocios durante el estado de alarma, el mantenimiento de muchos puestos de trabajos y que determinados productos y servicios, dentro de las restricciones del estado de alarma y sus fases, puedan seguir ofreciendo -se los clientes y consumidores. Sin embargo, el teletrabajo no se encuentra exento de riesgos sino más bien todo lo contrario, con la implantación de este ha cambiado el perímetro de los datos personales, secretos empresariales y el resto de información intangible de valor para la continuidad de determinados negocios, dando lugar a nuevas situaciones de riesgos.

Actualmente, los datos personales e información intangible para realizar el teletrabajo pueden ser accedidos mediante distintos equipos, recursos, aplicaciones y softwares. Por ejemplo, es factible que una persona teletrabajadora trate datos personales, los cuales el empleador es responsable o encargado del tratamiento, desde su SmartTv personal dando órdenes por voz para dictar un documento mediante el uso de una aplicación de una compañía tercera, situada incluso fuera de la Unión Europea y los territorios equiparables a la misma, y sin conocimiento del ocupador de los riesgos.

Ante los riesgos del teletrabajo, en primer lugar, el empleador debe disponer del perímetro de los datos personales e información intangible a custodiar y vigilar. Para ello, el empleador debe realizar el denominado mapa del perímetro consistente en la identificación de los equipos, recursos, aplicaciones, softwares necesarios para la realización del teletrabajo. Deberá conocer el uso de cada equipo, recurso, aplicación o software que se use. El mapa del perímetro permitirá conocer con mayor detalle los posibles riesgos de cada equipo, recurso, aplicación y software que se emplee. No son los mismos riesgos usar un ordenador profesional facilitado por la compañía con conexión remota segura y medidas de seguridad implementadas que los riesgos de utilizar un ordenador personal de la persona trabajadora sin conexión remota, ni medidas de seguridad. Por ello, resulta necesario que, primeramente, el empleador conozca los equipos, recursos, aplicaciones y softwares que dispone para la realización del teletrabajador.

Una vez el empleador conoce los equipos, recursos, aplicaciones y softwares usados para la realización del teletrabajo, podrá analizar los riesgos de cada uno y definir las medidas de seguridad apropiadas, entre las puede darse la prohibición de utilizar los mismos si no reúnen los requisitos de seguridad exigibles.

Las medidas de seguridad definidas deberán explicarse al personal teletrabajador. Para ello, es recomendable realizar un esfuerzo didáctico para que cada persona teletrabajadora comprenda las medidas de seguridad para su buen cumplimiento. Hay una anécdota de un niño que, durante unas colonias, subía a jugar a los columpios de metal prohibidos previamente por los riesgos de una caída o golpe. La primera vez que, cuando el niño estaba jugando en el columpio de metal, los monitores de las colonias le llamaron la atención y al niño le extrañó porque no había entendido la prohibición instruida en lengua catalana dado que el niño no conocía la palabra “gronxador” del catalán que, en castellano, es columpio. Sin todavía entender el niño la prohibición de no jugar en el columpio de metal volvió a subirse al mismo, nuevamente los monitores le llamaron la atención y, esta vez, sí se resolvió el malentendido y el niño no subió más al columpio de metal. Esta anécdota puede ser de utilidad para subrayar la importancia que el personal teletrabajador entienda las medidas de seguridad y la formación de estas no se limite a explicarlas únicamente, sino a asegurarse que cada persona teletrabajadora las ha entendido.

Entre las medidas de seguridad debe incluirse preceptivamente la notificación por parte del personal teletrabajador de cualquier incidente de seguridad o sospecha de éste. No únicamente porque constituya una obligación legal del Reglamento General de Protección de Datos (RGPD) su comunicación a la Agencia Española de Protección de Datos y a los interesados cuando concurran los requisitos, atendiendo que el RGPD sigue vigente en el Estado de alarma, sino también porque permitirá conocer las incidencias e intentar resolverlas para evitar que, en el futuro, vuelvan a ocurrir.

A partir de cualquier incidente de seguridad, cabrá analizar nuevamente los equipos, recursos, aplicaciones o softwares, redefinir las medidas de seguridad y explicarlas nuevamente al personal teletrabajador, convirtiendo esta práctica en una rueda del teletrabajo en continuo movimiento.

 

Facebooktwittergoogle_pluslinkedinmail

La AEPD publica un análisis de riesgos inicial, recomendaciones y reflexiones sobre la tecnología 5G

La implantación de la red móvil de quinta generación (5G) ya está aquí, cambiará la manera de comunicarnos y generará un gran impacto en la sociedad digital. El 5G aumentará la velocidad de conexión, reducirá al mínimo la latencia y multiplicará el número de dispositivos conectados. Permitirá la puesta en funcionamiento de muchos productos y servicios que podrán conectarse y compartir información en tiempo real, como por ejemplo: permitirá el trabajo especializado en remoto, sería el caso de cirugías remotas asistidas; impulsará la internet de las cosas (IoT), como puede ser cualquier dispositivo electrónico que tengamos en casa o en la oficina (lavadora, la alarma, el aspirador, la impresora, etc.), promoverá la automatización industrial; el impulso de la realidad virtual; la realidad aumentada; la creación de servicios basados ​​en decisiones automatizadas, muchas veces utilizando inteligencia artificial, entre otros.

El pasado 13 de mayo, la Agencia Española de Protección de Datos (AEPD) publicó una nota técnica titulada «Introducción a las tecnologías 5G y sus riesgos para la privacidad«, donde realiza un primer estudio de los riesgos para la privacidad que puede conllevar la quinta generación de comunicaciones móviles (5G).

La AEPD es consciente de que el 5G tendrá un alto e impredecible impacto sobre la privacidad de las personas, y es por este motivo que identifica de manera no exhaustiva, posibles riesgos en la privacidad, que deberán tenerse en cuenta desde las primeras fases de diseño, para que se integren en la naturaleza de los productos y servicios conforme las previsiones del artículo 25RGPD. Y que, en muchos casos, la implementación del servicio o producto requerirá la necesidad de realizar una previa Evaluación de Impacto en Materia de Protección de Datos (AIPD). Incluso si el riesgo residual resultante sigue siendo elevado, exigirá realizar una consulta previa a la autoridad de control. A continuación, recogemos algunos de los riesgos en la privacidad que la AEPD lista en la nota técnica publicada:

  • Geolocalización precisa del usuario. Una de las características de la red 5G es el uso de más estaciones base y menos distancia entre ellas, que permitirá localizar el terminal del usuario con mayor precisión.
  • Perfilado y decisiones automatizadas. A través de la inteligencia artificial y los servicios en tiempo real permitirán la toma de decisiones automatizada de forma individual.
  • No definir correctamente los roles e intereses en el tratamiento de datos de los agentes implicados; fabricantes, operadores de red y proveedores de servicios. Así como, la falta de disponer de un modelo homogéneo de seguridad.
  • Al aumentar la superficie de exposición, se incrementan las oportunidades que se materialicen amenazas de seguridad.
  • Posible pérdida de control del usuario sobre el flujo de datos que puede imposibilitar el ejercicio de derechos. Habrá proporcionar una información clara de las transferencias internacionales que puede comportar el tratamiento de los datos por parte de los diferentes agentes implicados.

Con el fin de crear un marco de confianza, la AEPD propone tener en cuenta un conjunto de recomendaciones. Entre ellas:

  • Proporcionar una información particularmente clara y comprensible, especialmente, identificando los responsables del tratamiento, los fines, la toma de decisiones automatizadas y la elaboración de perfiles, el acceso y el uso de control por parte de los usuarios. En este punto añadiríamos la importancia de informar sobre las transferencias internacionales, y que éstas dispongan de las garantías adecuadas.
  • Definir claramente los roles y ámbitos de responsabilidad de los desarrolladores, fabricantes, operadores y agentes en materia de protección de datos.
  • Garantizar comunicaciones cifradas de extremo a extremo.
  • Cumplir con los principios en materia de protección de datos desde la fase de diseño del servicio o producto.
  • Aplicar criterios homogéneos de seguridad en los diferentes agentes y segmentos de red basados ​​en los resultados del análisis de riesgos, y en aquellos casos, evaluaciones de impacto en materia de protección de datos, enfocados a gestionar amenazas de la red 5G y no de una operación singular.
  • Gestión proactiva para verificar y poder demostrar el cumplimiento de la norma. Realizar auditorías de infraestructura y servicios, incluida la adhesión a mecanismos de certificación en protección de datos.

Podéis acceder a la nota técnica completa en el siguiente enlace.

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies