L’Agència Espanyola de Protecció de Dades publica la memòria de 2023

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la memòria de l’any 2023. En el document es detallen les diferents campanyes de conscienciació, difusió, col·laboració i inspecció que s’han realitzat per part de l’AEPD, també hi ha un extracte dels informes, dictàmens, recomanacions, decisions vinculants , declaracions i procediments més rellevants de l’any 2023. Així mateix, s’ha publicat la Memòria de Responsabilitat Social 2023.

Segons les xifres de l’AEPD, aquest any 2023 s’han enregistrat  un 43% més de reclamacions que l’any anterior. Hi ha hagut un increment d’un 114% respecte a l’any 2022 de les reclamacions relacionades a la recepció de publicitat no desitjada. D’aquestes, la majoria fa referència a les trucades telefòniques comercials no desitjades. També es donen casos de recepció de publicitat a través d’SMS, l’obtenció de dades personals sense consentiment o la contractació fraudulenta.

Pel que fa als procediments sancionadors, l’àrea de videovigilància ha estat el grup d’activitat amb un major nombre de procediments resolts durant aquest any 2023. Entre d’altres, hi ha hagut el cas del procediment d’instal·lació d’una videocàmera dins de l’habitatge llogat a diferents inquilins o la col·locació d’una càmera de videovigilància en el hall d’un pis de lloguer per habitacions individuals d’estudiants.

[1]A continuació, en la imatge es pot observar quin ha estat el TOP 10 de procediments sancionadors més habituals segons els grups d’activitats: 

[1] Taula 13: Procediments sancionadors més freqüents de la Memòria 2013 AEPD memoria-aepd-2023.pdf

Dels procediments sancionadors no tots han acabat en sanció. Un 11% s’han resolt amb l’arxiu d’actuacions per part de l’AEPD.

La sanció més quantiosa de l’any 2023 correspon a un procediment del sector de les entitats financeres, en el que s’imposa a Caixabank, S.A. una sanció de 5 milions d’euros, per la infracció dels articles 5.1f), 25 i 32 del RGPD.

Per a més informació o consultar la Memòria de 2023 de l’AEPD completa, aquí.

Facebooktwittergoogle_pluslinkedinmail

Memòria 2021 de l’Agència Espanyola de Protecció de Dades

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la seva Memòria d’actuació corresponent a l’exercici 2021, en la que es recull de forma exhaustiva les activitats realitzades, les xifres de gestió, els informes i procediments més rellevants de l’any, i una anàlisi dels reptes presents i futurs. (more…)

Facebooktwittergoogle_pluslinkedinmail

L’AEPD imposa una sanció de 20.000€ a una empresa de Martorell per no haver realitzat una avaluació d’impacte

El passat mes d’octubre, l’Agència Española de Protecció de Dades (AEPD) va imposar una sanció de 20.000€ a una empresa de Martorell per la implementació d’un sistema de control horari de la jornada laboral mitjançant l’ús d’una dada biomètrica, com és l’empremta dactilar del treballador, sense haver realitzat prèviament una avaluació d’impacte. (more…)

Facebooktwittergoogle_pluslinkedinmail

Nous nomenaments a l’Agència Espanyola de Protecció de Dades

Fruit de l’acord entre el PSOE i PP, el  passat divendres 21 d’octubre es donaren a conèixer els noms de les persones que rellevaran la direcció de l’Agència Espanyola de Protecció de Dades (AEPD), així com la nova composició d’organismes com el Tribunal de Comptes, el Tribunal Constitucional i el Defensor del Poble.

La nova directora de l’AEPD serà Belén Cardona Rubert que rellevarà en el càrrec a Mar España Martí, que liderava l’entitat des de juliol de 2015. (more…)

Facebooktwittergoogle_pluslinkedinmail

La memòria de l’AEPD de l’any 2020

Ben entrat l’any 2021 arriba el moment en què l’Agència Espanyola de Protecció de Dades publica la seva memòria anual sobre l’any anterior, un any -no cal dir-ho- marcat per una pandèmia sense precedents que ho ha condicionat tot. Com no podia ser altrament, l’activitat de l’AEPD durant l’any 2020 s’ha centrat en bona part a garantir i compatibilitzar el dret a la protecció de dades amb les mesures destinades a minimitzar els estralls de la COVID-19. (more…)

Facebooktwittergoogle_pluslinkedinmail

Com complir la normativa de Cookies?

Mitjançant un nom tan aparentment inofensiu com el de cookies (galetetes) fem referència a aquells programes que permeten registrar i desar informació personal sobre els usuaris i preferències de navegació per internet, cosa que implica realitzar una petita instal·lació a l’equip de l’usuari. Tot i que les cookies serveixen sovint només per a registrar dades molt elementals que faciliten la navegació, com ara la llengua preferida o la moneda amb què volem pagar, no sempre estem parlant de dades banals, ja que, en molts casos, registren opcions i preferències de navegació i poden servir per a l’elaboració de perfils i la configuració de publicitat personalitzada. És el cas de les cookies anomenades de seguiment. En aquest cas, podem parlar de veritables afectacions a la privacitat de les persones i, en alguns casos, d’una recollida de dades personals. (more…)

Facebooktwittergoogle_pluslinkedinmail

L’AEPD publica la Guia de protecció de dades per defecte

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la guia de protecció de dades per defecte. La nova guia està dirigida als responsables del tractament, delegats de protecció de dades, encarregats del tractament, desenvolupadors i subministradors, que s’encarreguen de dissenyar, desenvolupar i explotar aplicacions i serveis que comporten el tractament de dades personals. (more…)

Facebooktwittergoogle_pluslinkedinmail

L’AEPD publica el Pla d’inspecció d’ofici de l’atenció sociosanitària

Dins del Pla Estratègic 2015-2019, l’Agència Espanyola de Protecció de Dades ha realitzat el Pla d’inspecció d’ofici de l’atenció sociosanitària amb l’objectiu principal d’analitzar els tractaments de dades personals que s’efectuen en aquest àmbit i investigar la seva adaptació a la normativa de protecció de dades amb caràcter preventiu.

L’atenció sociosanitària engloba la coordinació de l’assistència sanitària i social dirigida a col·lectius especialment vulnerables com, per exemple, la tercera edat, malalts crònics, persones amb alguna discapacitat física, psíquica o sensorial i en risc d’exclusió social. El pla d’inspecció es refereix a la prestació simultània intensiva, continuada i sinèrgica dels serveis socials i sanitaris. L’Agència considera que més d’un sector sociosanitari s’hauria de parlar del denominat “espai sociosanitari” en què es coordinen els serveis socials i els sanitaris per prestar una atenció integral, que no sigui fragmentada, a l’usuari que presenti simultàniament malalties cròniques i dependència amb serveis transversals i multidisciplinaris que atenen l’individu de forma més eficaç i d’acord amb les seves necessitats específiques.

L’AEPD va començar el seu pla d’inspecció al juny de 2018. Per a això, va realitzar la planificació de l’auditoria identificant els actors involucrats i va realitzar un estudi previ basat en la recerca documental a través d’Internet; en aquesta fase l’Agència es va reunir amb l’IMSERSO. En la següent fase, l’AEPD va procedir a sol·licitar informació i documentació als centres inspeccionats, excloent Catalunya i País Basc per raó de competències. L’Agència va realitzar inspeccions de setembre de 2018 a desembre del mateix any en centres d’Atenció sociosanitària de referència de caràcter públic estatal per a l’atenció a malalts amb una determinada malaltia, hospitals de mitja estada i convalescència públic d’una Comunitat Autònoma dependents de la seva Conselleria de Sanitat, residència de majors especialitzada en Alzheimer d’un Ajuntament gestionat per una empresa privada amb contracte de gestió indirecta i centres privats sociosanitaris d’atenció a malalts mentals amb places concertades, privades i d’asseguradores privades. El pla d’inspecció resulta en l’emissió de l’informe.

El capítol 7 de conclusions i recomanacions de l’informe explica les diferents deficiències detectades i aspectes susceptibles de millora i les recomanacions proposades per a l’esmena o millores d’aquestes.

L’assistència sociosanitària requereix el tractament de moltes dades personals, entre els que s’inclouen dades les categories especials. La prestació sanitària demanda l’ús de dades sanitàries, incloent la Història Clínica, diagnòstics, tractaments, etc.; dades de la Història Social com a informes socials, informació sociofamiliar i de l’entorn, situació econòmica personal, xarxes de suport, etc.; informes psicopedagògics; dades d’avaluació d’autonomia, etc.; registre d’incidències com a caigudes o alteracions conductuals de les persones usuàries, etc.; el denominat Pla d’Atenció Personalitzada/Individualitzada (PAP/PAI) de la persona usuària; dades de familiars o de persones responsables de la persona usuària; contracte de convivència; entre altres dades personals.

L’Agència ha detectat que aquestes dades personals s’utilitzen sovint en documentació en format paper que pot trobar-se dispersa en els diferents espais físics del centre sociosanitari, és el que l’AEPD ha anomenat “illes d’informació” i considera que, en determinades casuístiques, pot afectar la integritat i disponibilitat de les dades personals. També l’Agència detecta que les dades personals són tractades per diferents perfils professionals, per exemple, en les reunions interdisciplinàries mitjançant les quals es coordina l’atenció i es realitzen els seguiments de les persones usuàries. El sector sociosanitari requereix que treballin diferents perfils, personal mèdic, infermer, fisioterapeutes, terapèutic ocupacional, psicològic, psicopedagog, assistencial no diplomat (auxiliars), així com un altre personal gestor o de suport i, fins i tot, orientadors espirituals en els centres religiosos, tot el personal coordinat amb la finalitat d’atendre la persona usuària de manera integral i personalitzada. En aquest sentit, l’Agència relata l’exemple exprés d’una persona usuària que vocifera sense motiu aparent o causa coneguda i l’origen del seu malestar pot ser tant físic, com a psíquic o social, per la qual cosa es necessita tota la informació possible per a prestar la deguda atenció a la persona usuària.

Davant d’aquestes situacions detectades per l’Agència, la mateixa suggereix que una possible solució, dins dels recursos disponibles, és la digitalització total de la història sociosanitària del centre. Per a això, aplicant els principis de protecció des del disseny i per defecte, s’atorgarien als perfils professionals els diferents accessos a les dades personals que necessitin per a poder realitzar la deguda prestació sanitària. La informació s’estructura per diferents accessos i inicialment s’atorguen els privilegis d’accés mínim necessaris per a la prestació sociosanitària, depurant posterior i puntualment altres necessitats sobre la base dels nous requeriments que es presentin.

Tot això, haurà d’acompanyar-se del compromís de confidencialitat escrit i subscrit pel personal que, a més del personal propi, pot incloure persones becàries, estudiants en pràctiques, personal d’empreses externes.

El capítol 7 detecta altres situacions a esmenar i millorar com la informació del tractament de dades personals a les persones usuàries i famílies, licitud del tractament, els fluxos de dades entre administracions i altres actors públics i privats, anàlisis de contracte, plecs i convenis i altres adaptacions al Reglament General de Protecció de Dades. Entre altres esmenes i millores proposades per l’Agència s’esmenta el procediment d’identificació i gestió de les fallides de seguretat, la realització d’una Anàlisi de Riscos per a determinar les mesures tècniques i organitzatives apropiades al nivell de riscos detectat a fi de garantir la seguretat dels tractaments de dades personals, les corresponents Avaluacions d’Impacte relatives a la Protecció de Dades.

És en el capítol 8 de l’informe on es troba el decàleg de recomanacions que pot resumir-se de la següent manera:

  1. Informació a la persona usuària preferentment en capes, concisa i amb un llenguatge clar adequat a la capacitat de comprensió de la persona destinatària de la informació. La primera capa haurien de ser cartells informatius senzills situats en zones d’accés als centres juntament amb les llegendes informatives en tots els formularis de recollida de dades personals.
  2. Licitud de cada activitat de tractament.
  3. Minimitzar la compartició de dades personals entre el personal aplicant els principis de protecció de dades des del disseny i per defecte. Esmenta exprés l’Agència el deure de realitzar auditories dels accessos.
  4. El personal amb accessos a dades personals ha de subscriure el compromís de confidencialitat. Han d’incloure’s en els contractes d’encarregat de tractament com a obligatori la signatura del compromís per part dels empleats i a poder ser incloent el model de compromís com a annex al contracte per encàrrec.
  5. Evitar la dispersió dels documents en paper amb dades personals en diferents ubicacions del centre i establir les mesures de seguretat per al trasllat i emmagatzematge de la documentació amb mecanismes que impedeixin el seu accés a persones no autoritzades.
  6. No s’han d’usar usuaris genèrics.
  7. Per a facilitar informació als familiars de la persona usuària sobre la seva estada, ubicació en el centre i estat de salut ha de recollir-se el consentiment de la persona usuària.
  8. No usar el fax ni el correu electrònic sense xifrar per a l’enviament de documentació que contingui dades personals de categories especials.
  9. Els contractes d’encarregat de tractament han de ser conformes al RGPD. En els contractes de prestació de serveis sense accés a dades personals s’ha de prohibir expressament l’accés a les mateixes i informar el personal treballador. També han d’incloure’s els possibles accessos accidentals o fortuïts amb un compromís de confidencialitat.
  10. Les mesures de seguretat s’estableixen sobre la base de l’Anàlisi de Riscos. L’Avaluació d’Impacte relativa a la Protecció de Dades és obligatòria per als nous tractaments dels centres sociosanitaris.

L’informe recull en el capítol 9 algunes preguntes freqüents que resulten d’utilitat pràctica com, per exemple, que no es poden cancel·lar determinades dades personals d’una persona usuària a petició seva perquè cal mantenir l’autenticitat de la història sociosanitària.

Facebooktwittergoogle_pluslinkedinmail

El teletreball: una roda de continu moviment

El teletreball està possibilitant la continuïtat de diferents negocis durant l’estat d’alarma, el manteniment de molts llocs de treballs i que determinats productes i serveis, dins de les restriccions de l’estat d’alarma i les seves fases, puguin seguir oferint-se als clients i consumidors. No obstant això, el teletreball no es troba exempt de riscos sinó més aviat tot el contrari, amb la implantació d’aquest ha canviat el perímetre de les dades personals, secrets empresarials i la resta d’informació intangible de valor per a la continuïtat de determinats negocis, donant lloc a noves situacions de riscs.

Actualment, les dades personals i informació intangible per realitzar el teletreball poden ser accessibles mitjançant diferents equips, recursos, aplicacions i programaris. Per exemple, és factible que una persona teletreballadora tracti dades personals, els quals l’ocupador és responsable o encarregat del tractament, des del seu Smart TV personal donant ordres per veu per dictar un document mitjançant l’ús d’una aplicació d’una companyia tercera, situada fins i tot fora de la Unió Europea i els territoris equiparables a la mateixa, i sense coneixement de l’ocupador dels riscos.

Davant els riscos del teletreball, en primer lloc, l’ocupador ha de disposar del perímetre de les dades personals i informació intangible a custodiar i vigilar. Per això, l’ocupador ha de realitzar el denominat mapa del perímetre consistent en la identificació dels equips, recursos, aplicacions, programaris necessaris per a la realització del teletreball. Haurà de conèixer l’ús de cada equip, recurs, aplicació o programari que es faci servir. El mapa del perímetre permetrà conèixer amb més detall els possibles riscos de cada equip, recurs, aplicació i programari que s’empri. No són els mateixos riscos utilitzar un ordinador professional facilitat per la companyia amb connexió remota segura i mesures de seguretat implementades que els riscos d’utilitzar un ordinador personal de la persona treballadora sense connexió remota, ni mesures de seguretat. Per això, resulta necessari que, primerament, l’ocupador conegui els equips, recursos, aplicacions i programaris que disposa per a la realització del teletreballador.

Un cop l’ocupador coneix els equips, recursos, aplicacions i programaris usats per a la realització del teletreball, podrà analitzar els riscos de cada un i definir les mesures de seguretat apropiades, entre les que pot donar-se la prohibició d’utilitzar els mateixos si no reuneixen els requisits de seguretat exigibles.

Les mesures de seguretat definides hauran explicar-se al personal teletreballador. Per això, és recomanable realitzar un esforç didàctic perquè cada persona teletreballadora comprengui les mesures de seguretat per al seu bon compliment. Hi ha una anècdota d’un nen que, durant unes colònies, pujava a jugar als gronxadors de metall prohibits prèviament pels riscos d’una caiguda o cop. La primera vegada que, quan el nen estava jugant al gronxador de metall, els monitors de les colònies li van cridar l’atenció i a l’infant li va estranyar perquè no havia entès la prohibició instruïda en llengua catalana ja que el nen no coneixia la paraula “gronxador”. Sense encara entendre el nen la prohibició de no jugar al gronxador de metall, va tornar a pujar a aquest, novament els monitors li van cridar l’atenció i, aquesta vegada, sí que es va resoldre el malentès i el nen no va pujar més al gronxador de metall. Aquesta anècdota pot servir per subratllar la importància que el personal teletreballador entengui les mesures de seguretat i la formació d’aquestes no es limiti a explicar-les únicament, sinó a assegurar que cada persona teletreballadora les ha entès.

Entre les mesures de seguretat cal incloure preceptivament la notificació per part de personal teletreballador de qualsevol incident de seguretat o sospita d’aquest. No únicament perquè constitueixi una obligació legal del Reglament General de Protecció de Dades (RGPD) la seva comunicació a l’Agència Espanyola de Protecció de Dades i als interessats quan concorrin els requisits, atenent que el RGPD segueix vigent a l’Estat d’alarma, sinó també perquè permetrà conèixer les incidències i intentar resoldre-les per evitar que, en el futur, tornin a ocórrer.

A partir de qualsevol incident de seguretat, es podrà analitzar novament els equips, recursos, aplicacions o programaris, redefinir les mesures de seguretat i explicar-les novament al personal teletreballador, convertint aquesta pràctica en una roda del teletreball en continu moviment.

Facebooktwittergoogle_pluslinkedinmail

L’AEPD publica una anàlisi de riscos inicial, recomanacions i reflexions sobre la tecnologia 5G

La implantació de la xarxa mòbil de cinquena generació (5G) ja està aquí, canviarà la manera de comunicar-nos i generarà un gran impacte en la societat digital. El 5G augmentarà la velocitat de connexió, reduirà al mínim la latència i multiplicarà el nombre de dispositius connectats. Permetrà la posada en funcionament de molts productes i serveis que podran connectar-se i compartir informació en temps real, com per exemple: permetrà el treball especialitzat en remot, seria el cas de cirurgies remotes assistides; impulsarà la internet de les coses (IoT), com pot ser qualsevol dispositiu electrònic que tinguem a casa o a l’oficina (rentadora, l’alarma, l’aspirador, la impressora, etc.), promourà l’automatització industrial; l’impuls de la realitat virtual; la realitat augmentada; la creació de serveis basats en decisions automatitzades, moltes vegades utilitzant intel·ligència artificial, entre d’altres.

El passat 13 de maig, l’Agència Espanyola de Protecció de Dades (AEPD) va publicar una nota tècnica titulada “Introducción a las tecnologías 5G y sus riesgos para la privacidad”, on realitza un primer estudi dels riscos per a la privacitat que pot comportar la cinquena generació de comunicacions mòbils (5G).

L’AEPD és conscient que el 5G tindrà un alt i impredictible impacte sobre la privacitat de les persones, i és per aquest motiu que identifica de manera no exhaustiva, possibles riscos en la privacitat, que hauran de tenir-se en compte des de les primeres fases de disseny, per tal que s’integrin en la naturalesa dels productes i serveis conforme les previsions de l’article 25RGPD. I que en molts casos, la implementació del servei o producte requerirà la necessitat de realitzar una prèvia Avaluació d’Impacte en Matèria de Protecció de Dades (AIPD). Inclús si el risc residual resultant segueix sent elevat, exigirà realitzar una consulta prèvia a l’autoritat de control. A continuació, recollim alguns dels riscos en la privacitat que l’AEPD llista en la nota tècnica publicada:  

  • Geolocalització precisa de l’usuari. Una de les característiques de la xarxa 5G és l’ús de més estacions base i menys distància entre elles, que permetrà localitzar el terminal de l’usuari amb major precisió.
  • Perfilat i decisions automatitzades. A través de la intel·ligència artificial i els serveis en temps real permetran la presa de decisions automatitzada de forma individual.
  • No definir correctament els rols i interessos en el tractament de dades dels agents implicats; fabricants, operadors de xarxa i proveïdors de serveis. Així com, la manca de disposar d’un model homogeni de seguretat.
  • A l’augmentar la superfície d’exposició, s’incrementen les oportunitats que es materialitzin amenaces de seguretat.
  • Possible pèrdua de control de l’usuari sobre el flux de dades que pot impossibilitar l’exercici de drets. Caldrà proporcionar una informació clara de les transferències internacionals que pot comportar el tractament de les dades per part dels diferents agents implicats.

Per tal de crear un marc de confiança, l’AEPD proposa tenir en compte un conjunt de recomanacions. Entre elles:

  • Proporcionar una informació particularment clara i comprensible, especialment, identificant els responsables del tractament, les finalitats, la presa de decisions automatitzades i l’elaboració de perfils, l’accés i l’ús de control per part dels usuaris. En aquest punt afegiríem la importància d’informar sobre les transferències internacionals, i que aquestes disposin de les garanties adequades.
  • Definir clarament els rols i àmbits de responsabilitat dels desenvolupadors, fabricants, operadors i agents en matèria de protecció de dades.
  • Garantir comunicacions xifrades d’extrem a extrem.
  • Complir amb els principis en matèria de protecció de dades des de la fase de disseny del servei o producte.
  • Aplicar criteris homogenis de seguretat en els diferents agents i segments de xarxa basats en els resultats de l’anàlisi de riscos, i en aquells casos, avaluacions d’impacte en matèria de protecció de dades, enfocats a gestionar amenaces de la xarxa 5G i no d’una operació singular.
  • Gestió proactiva per verificar i poder demostrar el compliment de la norma. Realitzar auditories d’infraestructura i serveis, inclosa l’adhesió a mecanismes de certificació en protecció de dades.

     Podeu accedir a la nota tècnica completa al següent enllaç.

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies