Jurídico

2ª edición de los Premios Código Tipo

El 24 de mayo tuvo lugar en la Unió Catalana d’Hospitals la jornada de la 2ª edición de los Premios Código Tipo, que pretenden ser un modesto reconocimiento a las buenas prácticas y a las iniciativas que llevan a cabo las entidades del sector para promover esencialmente la cultura y el cumplimiento de la protección de datos. El equipo de Servicios Jurídicos de Faura-Casas ha participado como parte del jurado que ha reconocido:

  • el 1r premio, a la iniciativa presentada por Jaime Sánchez de Hermanas Hospitalarias con el título «Protección de datos personales en la gestión de proveedores: innovando para el futuro«,
  • el 2º premio, a la iniciativa presentada por Gemma Boix Arbós, Claudia Gómez Zaragoza, y Mauricio Trilla Hernández de la Asociación Centro de Higiene Mental Les Corts con el título «Cápsulas informativas en protección de datos y ciberseguridad», y
  • el 3r premio, a la iniciativa presentada por Paula Martín del Clínic Barcelona con el título «Proyecto de Gobernanza de Datos en ámbito investigación».

Felicitamos a los premiados, a los finalistas, y a todos los participantes, por las iniciativas que reflejan el esfuerzo, ¡el compromiso y el liderazgo de las personas delegadas de protección de datos!

Facebooktwittergoogle_pluslinkedinmail

La Agencia Española de Protección de Datos publica la memoria de 2023

La Agencia Española de Protección de Datos (AEPD) ha publicado la memoria del año 2023. En el documento se detallan las diferentes campañas de concienciación, difusión, colaboración e inspección que se han realizado por parte de la AEPD, también hay un extracto de los informes, dictámenes, recomendaciones, decisiones vinculantes , declaraciones y procedimientos más relevantes del año 2023. Asimismo, se ha publicado la Memoria de Responsabilidad Social 2023.

Según las cifras de la AEPD, este año 2023 se han registrado  un 43% más de reclamaciones que el año anterior. Ha habido un incremento de un 114% respecto al año 2022 de las reclamaciones relacionadas a la recepción de publicidad no deseada. De ellas, la mayoría hace referencia a las llamadas telefónicas comerciales no deseadas. También se dan casos de recepción de publicidad a través de SMS, la obtención de datos personales sin consentimiento o la contratación fraudulenta.

En cuanto a los procedimientos sancionadores, el área de videovigilancia ha sido el grupo de actividad con un mayor número de procedimientos resueltos durante este año 2023. Entre otros, ha habido el caso del procedimiento de instalación de una videocámara dentro de la vivienda alquilada a diferentes inquilinos o la colocación de una cámara de videovigilancia en el hall de un piso de alquiler por habitaciones individuales de estudiantes.

[1]A continuación, en la imagen se puede observar cuál ha sido el TOP 10 de procedimientos sancionadores más habituales según los grupos de actividades: 

 

[1] Tabla 13: Procedimientos sancionadores más frecuentes de la Memoria 2013 AEPD memoria-aepd-2023.pdf

De los procedimientos sancionadores no todos han acabado en sanción. Un 11% se han resuelto con el archivo de actuaciones por parte de la AEPD.

La sanción más cuantiosa del año 2023 corresponde a un procedimiento del sector de las entidades financieras, en el que se impone a Caixabank, S.A. una sanción de 5 millones de euros, por la infracción de los artículos 5.1f), 25 y 32 del RGPD.

Para más información o consultar la Memoria de 2023 de la AEPD completa, aquí.

Facebooktwittergoogle_pluslinkedinmail

Nuevo reglamento europeo sobre inteligencia artificial (IA)

Tras duras negociaciones, el Parlamento europeo ha aprobado finalmente este pasado día 13 de marzo con abrumadora mayoría un Reglamento europeo sobre inteligencia artificial (IA), el cual pretende ser un marco de regulación referente con vocación internacional. Pendiente aún de varios trámites, se prevé que entre en aplicación a los dos años a partir de su próxima publicación.

Entre otras cuestiones, el Reglamento prohíbe y regula una serie de conductas que podrían llevarse a cabo mediante una IA, contempla un régimen sancionador específico y contiene también la previsión de la creación de una agencia de supervisión en cada uno de los Estados miembros. Sin embargo, en el caso del Estado español ya se ha creado la Agencia Española de Supervisión de la IA.

A partir de la entrada en aplicación de este Reglamento, muchos dispositivos de vigilancia biométrica sólo podrán utilizarse de forma temporal y en casos específicos bajo autorización judicial y supervisión de la autoridad de protección de datos.

Algunas de las conductas que el nuevo Reglamento prohíbe de forma general y que podría llevar a cabo una IA son las siguientes:

  • Categorización biométrica de personas.
  • Captura indiscriminada de imágenes faciales de internet.
  • Grabación con cámaras de videovigilancia que permita crear bases de datos de reconocimiento facial.
  • Reconocimiento de emociones en el puesto de trabajo o en las escuelas.
  • Establecer sistemas de puntuación ciudadana.
  • Actuación policial prospectiva.
  • IA que manipule el comportamiento humano o explote vulnerabilidades de personas.

Todas estas conductas que se plantean prohibir no son evidentemente supuestos de ciencia ficción en una sociedad futura y distópica, sino que son posibilidades reales que la tecnología de la IA ya permite actualmente. En cualquier caso, tal y como comentábamos anteriormente, todavía tendremos que esperar al menos dos años a que el Reglamento entre en aplicación. Como siempre la tecnología corre más que el legislador, y en dos años todavía pueden ocurrir muchas cosas; en cualquier caso, el Reglamento sobre la IA es una buena noticia de alcance internacional.

Facebooktwittergoogle_pluslinkedinmail

Acción europea coordinada sobre la designación y la posición de delegados/das de protección de datos

En la sesión plenaria de 16 de enero el Comité Europeo de Protección de Datos (CEPD) adoptó el informe con las conclusiones de la segunda acción coordinada a nivel europeo centrada en la designación y la posición de delegados y delegadas de protección de datos (DPO).

Este informe es fruto del trabajo efectuado durante el 2023 por las 25 autoridades de control de protección de datos del Espacio Económico Europeo, incluyendo el Supervisor Europeo de Protección de Datos (SEPD). En este informe se ilustra cuáles son hoy en día los principales obstáculos de la figura del DPO, y también se citan algunas recomendaciones para reforzar su estatus. El informe ha sido publicado juntamente con los 2 apéndices: uno estadístico, y el otro, con el análisis y observaciones hechas a nivel nacional por parte de cada autoridad participante.

Los puntos de atención que se destacan en el informe son:

  • Ausencia de designación de DPO, incluso en aquellos casos en los cuales es obligatorio.
  • Insuficiencia de recursos del DPO.
  • Falta de conocimientos y experiencia del DPO.
  • No tener confiadas en el DPO total o explícitamente las funciones definidas en el RGPD.
  • Situaciones de conflicto de interés o de falta de independencia del DPO.
  • Ausencia de reporting del DPO al más alto nivel de la entidad.
  • Solicitud de orientación adicional por parte de las autoridades de control para tener mayor seguridad y eficiencia en sus actuaciones.

A pesar de que se han encontrado grandes coincidencias en aspectos generales, son de gran interés las apreciaciones particulares que describen las autoridades de control en cada país. Destacamos las 3 siguientes a modo de ejemplo:

  • La Agencia Española de Protección de Datos alerta sobre la externalización de DPO. En concreto, se informa que en muchos casos esa práctica puede mostrar debilidad desde el punto de vista de que sea un mismo DPO el que pueda desarrollar plenamente su actuación en varias organizaciones. Asimismo, ello puede también incrementar el riesgo de que la figura del DPO sea considerada una mera formalidad en vez de que el DPO tenga una implicación real y proactiva en los tratamientos de datos efectuados por las organizaciones.
  • La autoridad francesa advierte que a menudo los DPOs no tienen suficiente información sobre ciertos tratamientos de datos de la entidad porque no se los hace participar desde momentos iniciales en la toma de decisiones estratégicas.
  • La autoridad portuguesa describe funciones que de forma equivocada se asocian al DPO cuando en realidad son obligaciones propias del responsable del tratamiento o encargado del tratamiento. En la misma línea, también se identifican tareas que de forma equivocada se atribuyen al DPO cuando no son su función, por ejemplo, en el caso de las evaluaciones de impacto que lleva a cabo directamente a pesar de que su función sea de asesoramiento.

Después de más de 5 años de plena aplicación del RGPD y con éste, de la figura del DPO, se constata que se han hecho avances pero que queda mucho camino pendiente de recorrer. Es por ello por lo que es necesario tener presentes las irregularidades detectadas y adecuarlas a las indicaciones dadas, más aún cuando en estos momentos hay numerosa normativa del sector digital que está siendo desarrollada o recién aprobada y ante la cual el DPO tendrá un rol significativo. Estos nuevos roles pueden reforzar algunas de las preocupaciones detectadas en el informe, en especial, aquellas relativas al conflicto de interés o la insuficiencia de recursos del DPO.

Para más información:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

 

 

 

Facebooktwittergoogle_pluslinkedinmail

Nuevas directrices sobre el uso de las cookies

Hoy en día, las cookies son una herramienta esencial de la sociedad de la información, ya que permiten a los prestadores de servicios obtener datos de los usuarios y utilizarlos con diferentes finalidades, como puede ser, por ejemplo, para prestarle un servicio en concreto o facilitarle publicidad ajustada a sus gustos y costumbres de navegación.

Dada la afectación de las cookies en la privacidad de las personas, resulta ineludible la implementación de un sistema de información que permita a los usuarios ser plenamente conocedores de los usos que se dará a sus datos y decidir sobre los mismos. otorgamiento de su consentimiento.

A fin de garantizar estos parámetros, el pasado mes de febrero de 2023, el Comité Europeo de Protección de Datos (CEPD), emitió las Directrices 03/2023 sobre patrones engañosos en las redes sociales. Y, a fin de ayudar a los prestadores de servicios a seguir las indicaciones de las citadas directrices, la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies. Estos nuevos criterios deben implementarse antes del 11 de enero de 2024.

La guía incluye un conjunto de recomendaciones que resultarán de aplicación en aquellos casos en los que la utilización de las cookies implique el tratamiento de datos personales. Y, por tanto, los responsables del tratamiento tendrán que asegurarse de cumplir tanto con las exigencias propias que regula la LSSI, así como también la normativa vigente en materia de protección de datos.

Uno de los primeros aspectos a los que hace referencia la guía, es la necesidad de identificar cuáles son las cookies utilizadas en el sitio web y cuál es su finalidad. Se trata de un paso esencial para poder cumplir con las principales obligaciones de cookies, que son la obligación de transparencia y la obligación de obtención del consentimiento.

También será necesario tener presente que estas obligaciones no aplicarán a todas las cookies, sino que algunas quedan exceptuadas. Por ejemplo, en el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas como puede ser la opción del idioma, son cookies técnicas que no precisan de consentimiento, sin que puedan ser utilizadas para otros fines.

Cuando hablamos de la obligación de transparencia, estamos haciendo referencia a la necesidad de informar a los usuarios de forma clara y completa sobre el uso de sus datos. Es por ello que habrá que informar sobre cuál es la función genérica de las cookies, qué tipo de cookies se recogen y cuál es su finalidad, quién las utiliza, cómo aceptar, denegar o revocar el consentimiento por el uso de las cookies, cómo se transferirán a terceros países, si implica la elaboración de perfiles, el período de conservación y el resto de información relativa al tratamiento de datos que nos determina el artículo 13 del RGPD, como por ejemplo el ejercicio de derechos de los interesados.

No sólo es importante la información que debe trasladarse al usuario, sino que hay que prestar especial atención también a cómo se facilita. Por eso es necesario asegurarse de que la información sea concisa, transparente e inteligible, mediante el uso de un lenguaje claro y sencillo que pueda ser entendido por el usuario.

Otro aspecto a tener en cuenta es la forma de acceso a la información, puesto que debe ser claramente visible por el usuario sin que implique un esfuerzo por él. Con el objetivo de evitar la fatiga informativa, puede ofrecerse la información mediante capas. De modo que, desde la primera capa informativa se pueda acceder a un enlace o acceder a la información completa de las cookies.

Toda esta información debe ser facilitada para que el usuario otorgue su consentimiento siendo plenamente conocedor sobre cómo se utilizarán sus datos personales.

Para la obtención del consentimiento será necesario tener presente que se lleve a cabo mediante fórmulas que impliquen una inequívoca acción afirmativa por parte del usuario. De modo que habrá que presentarle las acciones de aceptar o rechazar las cookies en lugar y formato destacados, fácilmente visibles.

Otro aspecto relevante es que el acceso al servicio web y sus funcionalidades, no podrán condicionarse a que el usuario consienta el uso de cookies. Pudiéndose presentar situaciones en las que la no aceptación de la utilización de cookies puede impedir el acceso al sitio web oa la utilización total o parcial del servicio, siempre que se informe al usuario y se ofrezca por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, la cual no debe ser necesariamente gratuita.

Se trata de un conjunto de directrices que permiten ayudar a trasladar la información sobre el uso de cookies a los usuarios, pero huyan de la estandarización de textos, ya que debe ser plenamente adecuado a las características particulares de cada página web. Y, de acuerdo con todo lo anterior, tendrán que ser revistas los textos web.

Se puede consultar el texto completo del informe del Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos en el siguiente enlace: https://www.aepd.es/guias/guia-cookies.pdf

Y, las Directrices 03/2023 sobre patrones engañosos en las redes sociales, del Comité Europeo de Protección de datos (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

 

Facebooktwittergoogle_pluslinkedinmail

Biometría en control de presencia

Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía sobre tratamiento de control de presencia mediante sistemas biométricos. Esta nueva guía viene en parte motivada por el hecho de que los sistemas biométricos y el tratamiento de datos obtenidos a partir de ellos están evolucionando muy rápidamente y en parte, como consecuencia de cambios que se han producido en el contexto normativo, social y tecnológico. Además, se subraya que, en ocasiones, mediante el análisis biométrico, se pueden inferir y recoger más  categorías especiales de datos, en particular, datos relativos a la salud, o datos que revelen el origen racial o étnico, entre otros.

En un tratamiento de control de presencia que emplee sistemas biométricos, ya sea para el registro de jornada como para el control de acceso, podrían existir diferentes alternativas en la implementación: que esté basada en dos operaciones de identificación, en una de autenticación y otra de identificación, o en una única operación de autenticación. Sea como sea, en esta guía se reafirma que el dato biométrico constituye en todo caso una categoría especial de dato, según interpretación de las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), de 26 de abril de 2023, lo cual modifica el criterio sostenido hasta la fecha por la AEPD en varios informes jurídicos y en la guía La Protección de Datos en las Relaciones Laborales de 2021. (más…)

Facebooktwittergoogle_pluslinkedinmail

El sistema interno de información, una obligación exigible a cualquier entidad con 50 trabajadores

Las principales novedades de la Ley 2/2023, de 20 de febrero, reguladora de la protección de personas que informen sobre infracciones normativas y de lucha contra la corrupción ya fueron resumidas en un artículo de Alba Torres publicado en la newsletter del pasado mes de febrero. Ahora volvemos a pronunciarnos sobre esta ley por un doble motivo: el primero, debido a que desde este mes de diciembre cualquier entidad que tenga 50 trabajadores o más, así como todo municipio con menos de 10.000 habitantes, ya tiene obligación de tener implementado un sistema interno de información (SII). (más…)

Facebooktwittergoogle_pluslinkedinmail

Regulación del DPD en el sector público en Catalunya

 

La Autoridad Catalana de Protección de Datos (APDCAT) ya constató en su Memoria de 2022 que la gran mayoría de delegados de protección de datos (DPD) nombrados en el sector público son externos, lo que implica que, en muchos casos, han sido contratados a través de procesos de contratación pública. Ahora, a través de la Recomendación 2/2023, publicada recientemente, la APDCAT recuerda que el DPD es una figura de obligatorio nombramiento en la administración pública y que dicho nombramiento debe tener en cuenta ciertos aspectos cualitativos, como la necesidad de tener conocimientos jurídicos, especialmente en relación con la protección de datos, o la capacidad para llevar a cabo determinadas funciones de información, asesoramiento, supervisión y cooperación.

Esta recomendación surge debido a la constatación de que en muchos procesos de licitación pública de un contrato de servicios de DPD externo, solo se ha tenido en cuenta el factor precio o se ha estimado un valor de precio muy bajo, sin considerar la dedicación real y los aspectos cualitativos que debe tener necesariamente la figura del DPD y su trabajo. (más…)

Facebooktwittergoogle_pluslinkedinmail

La digitalización de actuaciones notariales y registrales

El pasado 9 de mayo de 2023 se publicó en el BOE la Ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea que regula, entre otras materias, la digitalización de actuaciones notariales y registrales.

La ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales, y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre la responsabilidad civil por daños nucleares o producidos por materiales radiactivos, contiene modificaciones de diferentes normativas en el ámbito mercantil: la Ley del Notariado; el Código de Comercio; la Ley de Sociedades de Capital; la Ley Hipotecaria y las Leyes de medidas fiscales, administrativas y del orden social. (más…)

Facebooktwittergoogle_pluslinkedinmail

Whistleblowing – Ley para proteger a los informantes de conductas delictivas

El 16 de febrero de 2023 el Congreso de los Diputados aprobó la denominada “Ley reguladora de la protección de las personas que informan sobre infracciones normativas y la lucha contra la corrupción” publicada en el BOE de 21 de febrero. Con la aprobación de la Ley se incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. La normativa entrará en vigor 20 días después de su publicación en el BOE . En la normativa se incorporan los dos claros objetivos de la Directiva europea: proteger a los informantes y establecer las normas mínimas de los canales de información. A continuación, identificamos los principales aspectos de la normativa: (más…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies