protecciódades

La sol·licitud del DNI per a realitzar l’exercici de drets de protecció de dades

Cada cop més es sol·licita el DNI per a realitzar gestions que podem trobar en l’àmbit del nostre dia a dia, des d’una acció tan senzilla com rebre un paquet fins a l’exercici dels nostres drets de protecció de dades davant d’una entitat.

El DNI conté més informació de la que ens pensem, no és solament el codi identificador, la nostra fotografia o el nom complet, també conté la nostra firma, domicili, equip expedidor, el nom dels progenitors, etc. (AEPD PS/00413/2021). La problemàtica sorgida respecte a  aquesta informació rellevant del nostre DNI ha estat objecte d’anàlisis per part de l’Agència Espanyola de Protecció de Dades (AEPD) en multitud de processos: casos de missatgeria (0048/2023; PS/00413/2021),  de selecció de personal (PS/00003/2021), de reserva d’allotjaments… (PS/00499/2022).

Segons les resolucions de l’AEPD, l’ús indegut del DNI pot suposar la vulneració de principis rectors de la protecció de dades com són els de minimització de les dades, el de proporcionalitat del tractament, el de limitació de la finalitat, i el de la conservació de les dades.

Donat això, en el cas de voler exercir un dret de protecció de dades davant d’una entitat, és necessari plantejar-nos si aquest tractament de dades del nostre document d’identitat, pot considerar-se excessiu. Per això, fonamentat en l’article 5.1.c RGPD, referent al principi de minimització de dades, s’ha de determinar que la sol·licitud del DNI ha de ser estrictament necessària pel tractament que es vol realitzar, i en conseqüència, el responsable de tractament, ha d’assegurar-se de no recollir més dades personals de les necessàries per a realitzar la identificació de la persona sol·licitant. Cal tenir en compte que la base legitimadora d’aquest fet és l’article 12.6 RGPD: “quan el responsable del tractament tingui dubtes raonables en relació amb la identitat de la persona física que cursa la sol·licitud a què es refereixen els articles 15 a 21, podrà sol·licitar que es faciliti la informació addicional necessària per a confirmar la identitat de l’interessat.”

Els últims procediments sancionadors resolts per aquests fets són un indicatiu de la preocupació que  l’AEPD té sobre l’ús del DNI per a la identificació, així trobem imposicions de multes que van des de 3.000 euros (PS/00570/2023) fins a 250.000 euros (PS/00003/2021), basades en l’aplicació de l’article 5.1 del RGPD.

Tal com indica l’AEPD “l’ús indegut del DNI sense les garanties suficients pot tenir múltiples efectes desfavorables per al titular de les dades”. El mètode utilitzat per a la identificació d’una persona ha de ser pertinent, adequat, proporcionat i respectar el principi de minimització de dades.

Algunes mesures alternatives o solucions per a la realització de la identificació del sol·licitant poden ser mitjançant una identificació electrònica o realitzar l’enviament d’una sol·licitud a través d’un compte d’usuari juntament amb un factor d’autenticació addicional remès per un altre canal diferent. A través d’aquestes tècniques, s’evita l’ús de dades personals i es realitza la identificació mitjançant codis o contrasenyes que permetin assegurar que la persona que realitza l’exercici de drets és la correcta.

En definitiva, sol·licitar el DNI és una opció viable i legítima, però s’ha de limitar el seu tractament a l’estrictament necessari, i en paraules de l’AEPD “Només s’haurà de recollir la informació del DNI que sigui pertinent per a confirmar la identitat del subjecte, i si existeixen altres mesures menys greus que compleixen la finalitat de la identificació, el més recomanable és abstenir-se d’utilitzar-lo.” (AEPD 0048/2023)

 

Facebooktwittergoogle_pluslinkedinmail

L’Agència Espanyola de Protecció de Dades publica la memòria de 2023

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la memòria de l’any 2023. En el document es detallen les diferents campanyes de conscienciació, difusió, col·laboració i inspecció que s’han realitzat per part de l’AEPD, també hi ha un extracte dels informes, dictàmens, recomanacions, decisions vinculants , declaracions i procediments més rellevants de l’any 2023. Així mateix, s’ha publicat la Memòria de Responsabilitat Social 2023.

Segons les xifres de l’AEPD, aquest any 2023 s’han enregistrat  un 43% més de reclamacions que l’any anterior. Hi ha hagut un increment d’un 114% respecte a l’any 2022 de les reclamacions relacionades a la recepció de publicitat no desitjada. D’aquestes, la majoria fa referència a les trucades telefòniques comercials no desitjades. També es donen casos de recepció de publicitat a través d’SMS, l’obtenció de dades personals sense consentiment o la contractació fraudulenta.

Pel que fa als procediments sancionadors, l’àrea de videovigilància ha estat el grup d’activitat amb un major nombre de procediments resolts durant aquest any 2023. Entre d’altres, hi ha hagut el cas del procediment d’instal·lació d’una videocàmera dins de l’habitatge llogat a diferents inquilins o la col·locació d’una càmera de videovigilància en el hall d’un pis de lloguer per habitacions individuals d’estudiants.

[1]A continuació, en la imatge es pot observar quin ha estat el TOP 10 de procediments sancionadors més habituals segons els grups d’activitats: 

[1] Taula 13: Procediments sancionadors més freqüents de la Memòria 2013 AEPD memoria-aepd-2023.pdf

Dels procediments sancionadors no tots han acabat en sanció. Un 11% s’han resolt amb l’arxiu d’actuacions per part de l’AEPD.

La sanció més quantiosa de l’any 2023 correspon a un procediment del sector de les entitats financeres, en el que s’imposa a Caixabank, S.A. una sanció de 5 milions d’euros, per la infracció dels articles 5.1f), 25 i 32 del RGPD.

Per a més informació o consultar la Memòria de 2023 de l’AEPD completa, aquí.

Facebooktwittergoogle_pluslinkedinmail

Whistleblowing – Llei per protegir els informants de conductes delictives

El 16 de febrer de 2023 el Congrés dels Diputats, va aprovar la denominada “Llei reguladora de la protecció de les persones que informen sobre infraccions normatives i la lluita contra la corrupció” publicada en el BOE de 21 de febrer. Amb l’aprovació de la Llei s’incorpora al Dret espanyol la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell, de 23 d’octubre de 2019. La normativa entrarà en vigor 20 dies després de la seva publicació al BOE. En la normativa s’incorporen els dos objectius clars de la Directiva europea: protegir als informants i establir les normes mínimes dels canals d’informació. A continuació identifiquem els principals aspectes de la normativa: (more…)

Facebooktwittergoogle_pluslinkedinmail

Passos ferms en Protecció de Dades a Andorra

El Govern andorrà ha aprovat els dos reglaments que la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD) encomanava en la seva disposició addicional. D’aquesta manera, s’ha aprovat, d’una banda, el Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals i, per l’altra banda, el Reglament de l’Agència Andorrana de Protecció de Dades. (more…)

Facebooktwittergoogle_pluslinkedinmail

Memòria de l’APDCAT de l’exercici 2021

El passat 14 de juliol la nova directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, va comparèixer davant de la Comissió d’Afers Institucionals del Parlament de Catalunya per a presentar la memòria anual.

En la memòria 2021 s’hi recullen totes les actuacions dutes a terme, de les quals en destaquem les més rellevants referents a: l’atenció al públic i consultes, la funció inspectora, les notificacions de violacions de seguretat i els plans d’auditoria. (more…)

Facebooktwittergoogle_pluslinkedinmail

Protecció de dades com una obligació de mitjans i no com una obligació de resultat. Breu anàlisi de la STS 543/2022, en relació amb la sanció a un encarregat de tractament per manca de mesures de seguretat

La Sala contenciosa-administrativa del Tribunal Suprem, en la Sentència 188/2022, de 15 de febrer, va ratificar la sanció de 40.001 € a un encarregat de tractament per la falta d’adopció de les mesures tècniques necessàries per garantir la seguretat de les dades. (more…)

Facebooktwittergoogle_pluslinkedinmail

Protecció de Dades: un 1.000 % més de multes

L’any 2021, que hem deixat enrere, passarà a la història com l’any que ens vam vacunar (alguns) de la COVID-19, però també per altres canvis importants que afecten el nostre dia a dia. En l’àmbit del compliment normatiu, també és l’any que l’Agència Espanyola de Protecció de Dades (AEPD) ha desplegat de forma ostentosa tota la seva capacitat sancionadora, imposant multes per vulneracions del Reglament General de Protecció de Dades (RGPD). Si l’any 2020 l’AEPD va imposar multes per valor de 3 milions d’euros, l’any 2021 ho ha fet per l’astronòmica xifra de 32 milions, cosa que converteix l’Estat espanyol en el sisè país de la Unió Europea que més sanciona per aquest tipus d’infraccions. Del 2020 al 2021, la xifra total de multes, per tant, s’ha incrementat en un 1.000%. (more…)

Facebooktwittergoogle_pluslinkedinmail

Es prorroga durant el 2022 la possibilitat que les entitats jurídiques desenvolupin les reunions dels òrgans de govern per videotrucada o conferència telefònica

A finals del passat mes de desembre es va publicar al Diari Oficial de la Generalitat de Catalunya el Decret Llei 28/2021 de modificació del Decret Llei 10/2020, de 27 de març, pel qual s’estableixen noves mesures extraordinàries per fer front a l’impacte sanitari, econòmic i social de la COVID-19, en l’àmbit de les persones jurídiques de dret privat subjectes a les disposicions del dret civil català.

La disposició final primera del referit Decret Llei 28/2021, determina que es prorroga fins al 31 de desembre de 2022 la possibilitat que les entitats de dret privat regulades pel Codi Civil de Catalunya prevegin a la convocatòria de la junta general l’assistència dels seus membres a través de mitjans telemàtics com poden ser la videotrucada o la conferència telefònica múltiple encara que aquesta circumstància no es trobi expressament prevista als estatuts socials.

(more…)

Facebooktwittergoogle_pluslinkedinmail

Irregularitats en el procés de relleu a l’Agència Espanyola de Protecció de Dades

A la Newsletter d’octubre informàvem de l’acord al que havien arribat PSOE i PP en la renovació de la direcció de l’Agència Espanyola de Protecció de Dades. Aquest pacte polític està essent controvertit perquè no sembla ajustar-se amb el procediment per  al nomenament  de la direcció d’aquesta entitat. En efecte, fa dos anys que es va reformar el procediment de designació amb voluntat de ser un procediment obert i de lliure concurrència. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aprovada la Llei de serveis electrònics de confiança

Per fi, el legislador espanyol ha aprovat la Llei 6/2020, de 11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, que entra en vigor el 13 de novembre de 2020.

Cal recordar que aquesta norma té com a origen el Reglament (UE) nº 910/2014 del Parlament Europeu i de Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93 / CE, que és aplicable des de l’1 de juliol de 2016. L’objecte d’aquesta Llei és, per tant, adaptar el nostre ordenament jurídic al marc regulador de la Unió Europea, evitant així la existència de buits normatius susceptibles de donar lloc a situacions d’inseguretat jurídica en la prestació de serveis electrònics de confiança. Aquesta llei deroga la Llei 59/2003, de 19 de desembre, de signatura electrònica. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies