Instalación de cámaras en plazas de garaje

En anteriores artículos hablábamos de la obligatoriedad de cumplir con la normativa en protección de datos por parte de las Comunidades de Propietarios y, en su caso, cuando se procede a la instalación de cámaras de videovigilancia y seguridad. Es decir, cuando las cámaras son instaladas en elementos comunes, pero, ¿Qué ocurre con las plazas de garaje?

Hay que diferenciar varios supuestos. En primer lugar, si las plazas se encuentran cerradas, garantizando no grabar zonas comunes, ni a personas que pudieran acceder libremente, puesto que, si acceden violentando o forzando la entrada, cometerían un delito y la grabación estaría legitimada para la denuncia de los hechos. Y, en segundo lugar, si, por el contrario, al estar abiertas cabe la posibilidad de que por ellas transite o pueda acceder personas, las cuales podrían ser grabadas, independientemente de que hayan invadido una propiedad privada.

En el primero de los supuestos, las plazas cerradas, se podría decir que la plaza de garaje es considerada una zona privativa, entendida como ámbito doméstico, lo cual, supone la eximente de aplicación del RGPD, por lo que no estaríamos obligados a cumplirlo, siempre y cando, se garantice no grabar zonas comunes, pasillo o carril de tránsito y circulación entre plazas, por ejemplo, cuando la persiana esté abierta.

En el segundo de los supuestos, plazas abiertas, el cual es el supuesto más habitual, al limitarse actualmente el cerramiento de plazas de garaje, la colocación de videocámaras está sujeta a la autorización previa de la comunidad de propietarios (recordemos que se necesita el voto favorable de 3/5) y, además, estaríamos obligados al cumplimiento de la normativa en protección de datos, por lo que se deben de tener en cuenta las recomendaciones de la Agencia Española de Protección de Datos, AEPD:

Si por tu plaza de garaje pueden pasar vecinos u otras personas -por ejemplo, el portero de la finca- aunque se trate de un espacio privado y tengas reservado su uso para tu vehículo, se considera un lugar de libre acceso y se aplican los requisitos recogidos en la Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Pese a que tengas pensado instalar una videocámara dirigida exclusivamente a tu plaza de garaje es más que probable que captes, aunque sea tangencialmente, imágenes de espacios comunes o de las plazas colindantes, por lo que, en todo caso, deberás contar con el acuerdo de la comunidad de propietarios, recogido en acta, para poder efectuar dicha instalación.

Debes informar mediante carteles ubicados en una zona visible de que la zona está siendo videovigilada (la Agencia tiene un modelo de cartel que puedes utilizar). En el cartel debe indicarse claramente la identidad del responsable de la instalación. También debes informar de ante quién pueden ejercer sus derechos los afectados y dónde pueden hacerlo.

Las imágenes no se pueden conservar por más de un mes desde su captación. 

Fuente: Laregion

Intento de fraude por 'phishing' a los clientes de Correos Express

El Grupo de Delitos Telemáticos de la Guardia Civil (GDT) alerta de un fraude mediante phishing que intenta suplantar a Correos. A través de las redes sociales este departamento de la Benemérita, creado en 1996 y que investiga los delitos informáticos, se hace a su vez eco de una denuncia por parte de Correos Express.

Según esta algunos clientes reciben por correo electrónico un mensaje que persigue suplantar la identidad del servicio. Asegura que su pedido ha sido recibido y «está listo para su entrega, pero no hemos podido confirmar la dirección». A continuación se pide al usuario que verifique la identidad y dirección de entrega clicando en un enlace. Ese paso es justo lo peligroso y lo que deben evitar aquellos que reciban este mensaje.

Además, para presionar al cliente, se le dice que en caso contrario su paquete será remitido nuevamente al «enviador».

El anglicismo phishing remite a una fórmula bastante común y no necesariamente muy compleja de estafa electrónica. Literalmente los ciberdelincuentes que la utilizan buscan pescar información sensible del usuario, como datos personales, contraseñas o números de cuenta bancarios para poder obtener un beneficio ilícito.

Conllevan la instalación de programas dañinos para los terminales informáticos o teléfonos móviles que caen en sus garras, y es mediante un rastreo y seguimiento de esos dispositivos como se obtienen los datos útiles para sus espurios fines. Por tanto la recomendación de las autoridades para todos los que se encuentren con un mensaje sospechosos es borrarlo de inmediato, y jamás pinchar en los enlaces que contiene.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Ultimahora

La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".

Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade

En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".

"Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca

NI INFORMACIÓN NI CONSENTIMIENTO

El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".

Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.

En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

"Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.

#agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos

Fuente: Lavanguardia

.

La Agencia Española de Protección de Datos (AEPD) ha convocado la XIX edición de los Premios Protección de Datos Personales, en las categorías de 'Comunicación' e 'Investigación', según ha anunciado este organismo en un comunicado.

El Premio Protección de Datos Personales de Comunicación 2015, que incluye un premio de 3.000 euros y un accésit de 1.500 euros, tiene por objeto reconocer los trabajos periodísticos de medios y profesionales de la comunicación que supongan "una aportación destacada a la promoción de este derecho fundamental entre los ciudadanos".

Podrán optar a este premio tanto trabajos individuales --un editorial, noticia, reportaje, o programa de radio o televisión-- puntualmente dedicados a la materia objeto de la convocatoria, como proyectos periodísticos --tales como series de noticias o secciones especializadas-- que definan un compromiso editorial con la promoción de la protección de datos. Los trabajos deben haber sido difundidos entre el 16 de octubre de 2014 y el 15 de octubre de 2015.

El premio podrá otorgarse a uno o varios trabajos publicados o difundidos en un mismo medio de comunicación. En el caso de tratarse de varios, estos serán valorados de forma conjunta por parte del jurado. Las Bases del Premio de Comunicación, que pueden consultarse aquí, establecen que en caso de declararse desierto el premio, el jurado podrá otorgar un accésit adicional dotado con 1.500 euros.

Por su parte, el Premio Protección de Datos Personales de Investigación 2015 tiene por objeto premiar los trabajos de investigación de mayor mérito, tanto individuales como colectivos, que versen sobre protección de datos personales desde un plano jurídico, económico, social o técnico, "ya sea con un enfoque estrictamente teórico o a partir de experiencias concretas".

El premio de Investigación se convoca en dos modalidades --'Originales e inéditos' y 'Originales e inéditos sobre el derecho a la protección de datos en países iberoamericanos'-- y, al igual que en el Premio de Comunicación, comprende un premio de 3.000 euros y un accésit de 1.500 euros. En caso de declararse desierto el premio, el jurado podrá otorgar un accésit adicional dotado con 1.500 euros.

Tanto los trabajos destinados al Premio de 'Comunicación' como los de 'Investigación' deberán dirigirse a la Secretaría General de la Agencia Española de Protección de Datos, y podrán presentarse hasta el próximo 15 de octubre de 2015. Los premios serán concedidos por un jurado compuesto por el Consejo Consultivo de la AEPD.

Fuente: telecinco

Un vecino de la provincia de Guipúzcoa descubrió que su compañía eléctrica, Iberdrola, le había rebajado la potencia contratada sin que él lo solicitara. Cuando llamó para interesarse, le comunicaron que la rebaja había sido tramitada a través del portal web, a pesar de que el titular del contrato nunca se había conectado a dicho portal.

La compañía restauró la potencia contratada y anuló los importes incorrectos facturados por la rebaja, pero no aclaró por qué se había producido esa rebaja ni quién había tenido acceso al portal web, por lo que el cliente remitió sendos escritos en un periodo de una semana solicitando una explicación “seria sobre los hechos ocurridos y claridad en el uso de los datos como usuario debido a la inseguridad que le provoca que alguien pueda tener sus datos personales”.

No sería hasta siete meses después cuando la compañía eléctrica identificó al usuario que había cursado la solicitud de rebaja de la potencia. Tras hacer las correspondientes averiguaciones, se señaló a la inquilina del vecino agraviado como la persona que había hecho los cambios. El titular del contrato decidió interponer una denuncia a la compañía eléctrica ante la Agencia Española de Protección de Datos (AEPD) por haber permitido que a través de su web se rebajara la potencia contratada en su domicilio sin su consentimiento.

Durante el proceso, Iberdrola no acreditó que la persona que “realizó el acceso a través de la web y llevó a cabo los cambios en el contrato del denunciante estuviera habilitada y autenticada para realizarlo” y le reprocha su falta de diligencia. Además, la compañía aportó como documentación que acredita la autenticación del denunciante un registro de sus ficheros informáticos en el que constan cuatro contratos suscritos por este, que sin embargo parecen corresponder a su inquilina.

Es por esto que la Agencia considera que el sistema de gestión de accesos a la zona de usuarios de la web de Iberdrola “no impidió de manera fidedigna que un tercero pudiera acceder a los datos personales de otro cliente”, debido a una serie de deficiencias que “han quedado acreditadas por la documentación aportada al expediente”.

La AEPD estima que se ha cometido una infracción grave del artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD) e impone una multa a la compañía eléctrica de 40.0001 euros. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

En este caso, la Agencia entiende que la compañía eléctrica no adoptó medidas de seguridad de nivel básico destinadas a salvaguardar la confidencialidad y seguridad de los datos de carácter personal recabados por la entidad. De este modo, insta a la empresa a “adoptar de manera efectiva las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros”.

Fuente: eprivacidad

La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones

La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía Drones y Protección de Datos, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

La guía pone de manifiesto cómo se ha generalizado el uso de drones en el ámbito civil y el crecimiento exponencial que está experimentando la utilización de estas aeronaves no tripuladas. Estos equipos son susceptibles de incorporar no sólo GPS y cámaras de vídeo sino también escáner 3D o sistemas de detección de dispositivos móviles, y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La guía, publicada por la AEPD, proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente. En los tres casos, la AEPD ofrece recomendaciones para aficionados y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.

Consejos previos

La guía destina un apartado específico a ofrecer recomendaciones previas al manejo de un dron cuando sea de aplicación la normativa de protección de datos personales. Entre ellas, valorar la necesidad de evaluar los riesgos que pueda implicar el tratamiento para los derechos y libertades de las personas y, si fuera necesario, realizar una evaluación de impacto sobre la protección de datos (EIPD); llevar a cabo un análisis de riesgos si la EIPD no fuera precisa, o tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet de manera que sean accesibles indiscriminadamente cuando sea posible identificar a personas o se muestren espacios privados, como viviendas, jardines o terrazas.

Finalmente, recoge un apartado con preguntas frecuentes donde se plantean dudas prácticas relacionadas con los posibles tratamientos de datos personales captados desde un dispositivo de este tipo.

Fuente: Cuadernosdeseguridad

La AEPD tendrá listo "antes del verano" un servicio para borrar y denunciar vídeos de ciberacoso y 'sexting' en 24 horas

La Agencia Española de Protección de Datos (AEPD) presentará "antes del verano" un nuevo servicio que permita a las víctimas del ciberacoso y del sexting contar con un mecanismo para que los vídeos sean rápidamente intervenidos por la Policía antes de que se vuelvan virales.

La directora de la AEPD, Mar España, ha pedido a los ciudadanos que antes de reenviar sin consentimiento un vídeo de índole sexual, "sean conscientes de las responsabilidades penales" y del "destrozo de una vida o de una familia" que puede suponer esa acción. "Seremos mucho mejores como ciudadanos y como país", dijo España. El pasado mes de mayo una empleada de Iveco se suicidó tras difundirse un vídeo de contenido sexual suyo entre sus compañeros de trabajo.

Según ha recordado la directora de la AEPD, el organismo está trabajando con los Ministerios del Interior y Educación, la Delegación de Violencia de Género, la Fiscalía General del Estado y con el Consejo General de la Abogacía para que cuando una víctima acuda a pedir asesoramiento a un abogado o a denunciar ante las autoridades, sea informada de que pueden acudir a la AEPD para evitar que el vídeo se vuelva viral y se retire en 24 horas.

"Espero que antes del verano podamos presentar este nuevo servicio a la sociedad", ha detallado España, que ha adelantado que cuando la AEPD reciba la reclamación esta irá por un cauce "extraordinario y urgente".

Las empresas tendrán que cooperar

Por otro lado, la directora ha destacado que la AEPD también está trabajando con el Ministerio de Trabajo para intentar paliar los efectos que causan este tipo de vídeos. De esta forma, las empresas deberán mandar una notificación urgente para "intentar acotar y eliminar el vídeo antes de que el daño sea irreparable". "Afecta a la salud laboral", ha recalcado España.

La directora del organismo asegura que "todos" tienen la obligación de denunciar estos casos y que las empresas "no pueden decir" que es un tema personal. "No. En el momento en que el departamento de Recursos Humanos se entere o los propios compañeros tienen la obligación de denunciar", insistió.

Durante su intervención, España se ha felicitado por que "por fin" se ha logrado regular la obligación que las administraciones educativas tienen sobre implementar en el currículo el uso responsable de Internet y las nuevas tecnologías. Esto se hace a través de la inclusión del Artículo 83 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

"Podemos evitar muchísimos problemas de ciberacoso, de suicidios escolares, de violencia de género, responsabilidad de los menores cuando tengamos sistematizado ese uso curricular con absoluta normalidad", ha defendido España, quien ha añadido que los materiales catalogados por etapas pedagógicas llegarán a "8 millones de escolares".

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Eldiario

La Agencia Española de Protección de Datos (AEPD) ha avisado este jueves a los partidos políticos que "no se va a permitir el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, y no se va permitir el envío de información personalizada basada en perfiles ideológicos". La directora de este regulador independiente con capacidad sancionadora, Mar España, ha querido aclarar la interpretación que la Agencia hará de la nueva Ley Orgánica de Protección de Datos que se aprobó ayer en el Senado.

España ha asegurado en una reunión informativa que la aplicación de la norma por parte de la AEPD será "la más garantista posible" en lo referente a la posibilidad de generar bases de datos con información ideológica de los ciudadanos. El órgano, encargado de interpretar y aplicar la ley, entiende que esta no autoriza a los partidos a llevar a cabo esta práctica y anuncia que adoptará una actitud "extremadamente rigurosa y vigilante" para impedirla. En esta línea, ha advertido que puede sancionar a los partidos que la lleven a cabo con hasta 20 millones de euros.

"La Agencia no va a valorar si está bien redactado o no, aunque lo que sí trasladó la Agencia durante las negociaciones fue que quizá el marco más adecuado para una modificación de ese calado no era el marco de la protección de datos", ha revelado este jueves España.

La AEPD afirma que el rastreo de las redes sociales y páginas web por parte de los partidos solo podrá ser usado para "pulsar la opinión pública" de forma anónima, pero que estos no podrán utilizar esa información para enviar propaganda personalizada.

Los partidos podrán enviar propaganda al móvil aunque nunca les hayas dado tu número  

Lo que ha reconocido España es que ni la interpretación más garantista de la ley por parte de la AEPD podrá impedir que los partidos rastreen las redes hasta encontrar los datos de contacto de los ciudadanos, como el número de teléfono o email, y se pongan en contacto con ellos sin su consentimiento previo. 

Esta práctica esta prohibida para el resto de empresas y organizaciones, que no pueden enviar propaganda si no existe una relación contractual previa y el ciudadano está de acuerdo. Con la modificación de la ley electoral vía ley de protección de datos aprobada este miércoles en el Senado,  los partidos han añadido una excepción para sí mismos que les permite el envío de spam durante las campañas electorales a partir de datos que encuentren en Internet.

¿Cuál es la justificación de esta excepción? "Eso tendrán que preguntárselo a los partidos que han negociado la ley, a la Agencia solo le corresponde interpretarla", ha contestado España. La directora de la AEPD sí ha querido reseñar que los partidos tendrán la obligación de garantizar una manera sencilla y efectiva para oponerse al envío de esa publicidad electoral. 

Los Tribunales tendrán que decidir 

Sobre la posibilidad de que la Agencia lleve a cabo otra interpretación de la ley cuando cambie su dirección (el mandato de España concluye en 2019) y permita a los partidos llevar a cabo las actuaciones que ahora les negará, España ha opinado que "para entonces ya habrá un posiciamiento jurídico firme".

La directora de la AEPD confirma así la previsión de muchos juristas, que explican que la ley terminará en los tribunales. Unidos Podemos anunció este miércoles que recurrirá la ley al Tribunal Constitucional, mientras que hoy se han unido a esa voluntad organizaciones como la Asociación de Usuarios de Internet.

Fuente: eldiario

La Agencia de Protección de Datos sanciona con 5.000€ a un médico tras perder imágenes de una paciente en una operación

La Agencia Española de Protección de Datos ha sancionado con un importe de 5.000 euros a una facultativo por extraviar las imágenes grabadas durante una intervención quirúrgica a una paciente en un hospital privado de Madrid en 2014.

Así consta en una resolución, tras el recurso tramitado por la asociación 'El Defensor del Paciente' a través del letrado Carlos Sardinero en representación de la afectada.

"Se tiene en cuenta que en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que incurrió en una grave falta de diligencia", expone el órgano que ve acreditada la infracción sobre la ley de Protección de Datos.

También entiende que estas imágenes no suponían un volumen de datos de elevado volumen para justificar la pérdida y recalca que no se produjo ningún beneficio económico a través del extravío de esta información que se incluye en la historia clínica digital de los pacientes.

"En el presente caso ha quedado acreditado que el denunciado carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al no posibilitar el ejercicio del derecho de acceso de su paciente a los datos de la historia clínica", insiste la resolución.

Con esta resolución por fin se reconoce que las imágenes grabadas de cualquier intervención forman parte de la historia clínica, aunque se recojan con fines docentes o de investigación. 

La paciente relató que fue sometida a una intervención quirúrgica por un traumatólogo de un centro privado que fue grabada en vídeo. Posteriormente, con el fin de contrastar distintas opiniones de facultativos sobre el resultado de la intervención, solicitó las imágenes grabadas pero el traumatólogo, mediante correo electrónico, le comunicó que no las encontraba porque sus hijos habían perdido varios pendrive donde posiblemente estuviera recogida la intervención.

Durante el procedimiento el médico denunciado manifestó que la sanción había prescrito y que la grabación de una operación no forma parte de la historia clínica, más si las imágenes se toman con fines docentes y científicos.

"No puede aceptarse por tanto lo alegado por el denunciante sobre que las grabaciones no se entregan al paciente ni se unen a su historia clínica, por el mero hecho de que no existe obligación de realizarlas", expone la Agencia de Protección de Datos.

El abogado Carlos Sardinero ha manifestado tras la resolución que los facultativos "deben conocer que cuando se pierde parte de la historia clínica es motivo de sanción por vía de Agencia de Protección de Datos, pero es preciso advertir de que, a la vez, también es motivo de responsabilidad civil por daños y perjuicios, como lo demuestran los últimos pronunciamientos judiciales estimados a su despacho".

Fuente:lavanguardia

La Agencia de Protección de Datos se pone seria: multa récord al BBVA de 5 millones de euros por el uso de datos sin consentimiento

La Agencia Española de Protección de Datos (AEPD) ha impuesto al BBVA una sanción de 5 millones de euros, la mayor multa de la agencia en su historia. Después de imponer multas como la de 600.000 euros a WhatsApp y la de 1,2 millones de euros a Facebook en 2017, la más alta hasta la fecha, ahora la AEPD da un salto importante con esta multa récord, dividida en dos infracciones.

En la resolución de la agencia se recogen cinco reclamaciones de distintos usuarios que recibieron llamadas telefónicas por parte del BBVA, pese a que habían denegado la cesión de sus datos con fines publicitarios.

Las agencias empiezan a ponerse serias con la aplicación del reglamento

La primera infracción del BBVA ha sido catalogado como “muy grave” por parte de la AEPD, por una infracción del artículo 6 del RGPD. La segunda de ellas, calificada como leve, se trata de una infracción de los artículos 13 y 14 del mismo reglamento. Respectivamente, estas infracciones han sido multadas con 3 y 2 millones de euros. Sanciones que por si solas representarían cantidades récord.

La sanción más grave está relacionada con el consentimiento del usuario, mientras que la segunda sanción está relacionada con que no se informó al usuario correctamente de cómo se recogerían sus datos.

Los argumentos esgrimidos por la AEPD son muy similares a los del procedimiento de la Agencia de Protección de Datos francesa, que esta misma semana multaba a Google y a Amazon por valor de 100 y 35 millones de euros en una resolución equivalente.

Para la AEPD, la política de privacidad del BBVA no ha sido suficiente clara. El banco daba por hecho que al no marcar una casilla, se ofrecía consentimiento para gestionar algunos datos personales. Algo que va en contra de lo establecido por el Reglamento General de Protección de Datos.

La sanción todavía puede ser recurrida por la vía judicial, algo que desde el BBVA ya han anunciado que realizarán. El banco considera que su actuación “ha sido correcta” y presentará recurso ante la Audiencia Nacional. Precisamente este mismo organismo anuló en mayo de 2019 una multa a Google por valor de 150.000 euros, en aquel caso por el derecho al olvido a los medios.

Fuente: Xataka

Una denuncia presentada por el Sindicato Profesional de Policías Locales y Bomberos (SPPLB) ante la Agencia Española de Protección de Datos por la gestión del Ayuntamiento de Xirivella ha acabado con «la apertura de un expediente por, entre otros, carecer de máquina destructora de papel, falta de información al ciudadano sobre a dónde van sus datos una vez obtenidos por los agentes a los efectos de las productividades, ficheros de datos de la empresa privada que lleva el trámite de multas o fichero de protección de imágenes de las cámaras».

Por todo ello, la Agencia Española de Protección de Datos «ha abierto expediente al Ayuntamiento y ha remitido un escrito dándole un mes para que comunique el resultado de las acciones llevadas a cabo para atender la reclamación». El Consistorio «está gestionando el requerimiento y ya ha adquirido una trituradora de papel que ha instalado en la central de la Policía Local» para no «volver a tirar ningún documentación y ser destruidos».

Fuente: lasprovincias

La Agencia Española de Protección de Datos (AEPD)  ha recibido 418 notificaciones por brechas de seguridad de organizaciones desde la aplicación del reglamento europeo de protección de datos el 25 de mayo que recoge multas millonarias para las empresas que no custodien la información personal que manejan.

De esas notificaciones, sólo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional. 

Las brechas de seguridad son definidas por el propio reglamento de protección de datos europeo como "violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales" que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

El objetivo de esta normativa es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

Las brechas de seguridad pueden producirse por fallos del sistema informático de las organizaciones, por incidentes inesperados o por el robo o extracción de información por parte de cibercriminales e incluso de los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

Precisamente en las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras conocerse que la cadena hotelera Marriott ha detectado "un acceso no autorizado" a su base de datos de clientes, que contiene información de 500 millones de personas.

Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

Para reforzar la protección de ese tipo de información al menos en Europa, el nuevo reglamento sobre privacidad ha extendido la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

Previamente esta exigencia se ceñía exclusivamente a los operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza, y de hecho, en el período del año pasado desde el 25 de mayo hasta el primero de diciembre fueron solo cuatro las notificaciones en España por quiebras de seguridad, según la AEPD.

La normativa europea exige a las empresas que gestionan información personal comunicar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo salvo si fuera improbable que la brecha de seguridad supone riesgo para los derechos y libertades de las personas físicas. Además el responsable del tratamiento de datos debe informar asimismo a los afectados con lenguaje claro y sencillo y de forma concisa y transparente en caso de que el incidente entrañe alto riesgo para los derechos y libertades de las personas -por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio. 

El hecho de notificar una brecha de seguridad no implica el inicio de un procedimiento sancionador para la compañía, ni tiene por qué acabar con una sanción. La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento. 

Fuente: lavanguardia

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción grave al Grupo Municipal Socialista de Noja, cuya cuantía no se especifica en el fallo, por la difusión de un vídeo a través de Facebook en el que se ve como un grupo de vecinos increpa al concejal de Medio Ambiente, Javier Martín (PSOE), tras personarse en su despacho municipal el 21 de junio de 2016 para pedirle explicaciones por la tala de unos árboles en el parque Marqués de Velasco.

En el vídeo se puede ver en un momento dado como el concejal se dirigió a la esposa de uno de los vecinos con las siguientes palabras : «Yo hago lo que me sale de los cojones, tú puedes hacer lo que te dé la puta gana», lo que provocó que el marido le amenazase al edil diciéndole «como vuelvas a hablar así a mi mujer, te parto la cara; te doy una así y te sacó por la ventana», al tiempo que levantaba el brazo con el puño cerrado.

Estos hechos llevaron al edil socialista a denunciar inicialmente a los seis vecinos presentes, lo que derivó en un juicio celebrado el 1 de marzo de 2017 sobre delitos leves. Durante el mismo, se retiró la denuncia contra cinco de los vecinos y se condenó al sexto a pagar una multa de 540 euros por una delito de amenazas leve. El problema estalló cuando el PP subió a las redes sociales extractos de la sentencia y el PSOE, al considerarlo una manipulación, publicó en su página de Facebook el vídeo íntegro durante tres días en el que se reconoce perfectamente a los protagonistas que participaron en la discusión.

El portavoz socialista en Noja alegó que las personas que aparecen son o han sido cargos del PP en el Ayuntamiento o, en su caso, miembros o simpatizantes del mismo o de otros partidos políticos como Vox. Sin embargo, Protección de Datos considera que ser afín a un partido político o haber ido en una candidatura en 2015, máxime cuando no se ha aprobado su elección, no es justificación para poder airear los datos personales sin su consentimiento previo. Además, no considera acreditado que cuatro de las cinco personas que aparecen hayan desempeñado ningún cargo en ninguna administración.

A pesar de ello, el Grupo Socialista denunciado entiende que frente al derecho fundamental de la protección de datos de los denunciantes, que se recoge en el artículo 18.4 de la Constitución, prevalece la satisfacción del interés legítimo que ampara al portavoz para ejercer el derecho a la libertad de expresión, opinión e información como medio para relacionase con los cuidados en aras a conformar una opinión política y pública frente al uso torticero de una sentencia por parte del PP, y al que los denunciantes se encuentras vinculados por su militancia o simpatía.

Protección de Datos le reprende de nuevo al reiterar que la mayoría de las personas que aparecen no tiene relevancia pública «por lo que no están obligadas a soportar un recorte o intromisión ilegítima en su derecho como ciudadanos particulares a la protección de sus datos personales». Y, además, le recuerda que las amenazas no están relacionadas con la petición de explicaciones por la tala de eucaliptos que motivó la visita vecinal, sino con la actitud previa mostrada con la esposa del condenado. Por lo cual, la Agencia de Protección de Datos considera que no es necesario publicar el vídeo para demostrar a los nojeños un probado delito de amenazas. Y le reprende porque para responder al PP podía haber optado por una respuesta «menos intrusiva para los afectados que publicar sus imágenes en una red social».

Atendidas las circunstancias que concurren en el presente caso, «no resulta posible apreciar que la libertad de expresión justifique el tratamiento realizado sin consentimiento de los afectados». En este caso concreto, no se propone la adopción de medidas correctoras ya que el vídeo fue retirado del Facebook socialista.

Fuente: eldiariomontanes

La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

A vueltas con la privacidad del usuario y, en este caso, Android. La Agencia Española de Protección de Datos (AEPD) señala con el dedo al sistema operativo de Google por infracciones al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La AEPD ha publicado dos documentos técnicos, dirigidos tanto a usuarios como a desarrolladores, que analizan Android.

La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios estarían vulnerando la legislación europea. El primer informe analiza el control del usuario en la personalización de anuncios que hace Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.

El SO para móviles de Google ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", alerta la AEPD. Asimismo, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio. Además, señala el organismo, ocurre que al reiniciar los valores de fábrica de un teléfono móvil, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD".

La AEPD recomienda a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica. Aplicaciones que hacen capturas de pantalla sin avisar

El segundo informe de la Agencia Española de Protección de Datos se refiere a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop. Los investigadores de este organismo han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso". 

La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD. Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD. "Acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD", ha dicho Google en un comunicado.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #sistemadeseguridad  #ciberseguridad

Fuente: 20minutos

Sentencia a sentencia, la Audiencia Nacional perfila y da a conocer los límites del llamado " derecho al olvido". En esta ocasión los datos cuya difusión se ha restringido en Google son electorales.

En 1999, el Boletín Oficial de la Comunidad de Madrid publicó las candidaturas de las elecciones municipales de 1999 de San Sebastián de los Reyes (Madrid). Diez años más tarde, una de las personas que aparecía en ese listado solicitó a Google (y a la web del propio Boletín Oficial) que dejasen de mostrarse sus datos cada vez que buscase su nombre.

Como es habitual Google se negó a retirar los contenidos, y el Boletín Oficial de la Comunidad de Madrid ni siquiera contestó. La cuestión objeto de debate llegó a la Agencia Española de Protección de Datos (AEPD), que tras ocho meses de procedimiento concluyó que Google debería retirar la información. La AEPD no sólo obligó a Google: también dispuso que se haría llegar una recomendación a la web del Boletín Oficial, para que llevase a cabo la ocultación de los datos. La AEPD reseñó entonces un argumento que parecía determinante: existían motivos fundados y legítimos para que no se divulgase la ideología de la persona afectada.

Google, que no estaba de acuerdo con la decisión, recurrió el caso ante la Audiencia Nacional. Allí, Google expuso que si se censuraba esa información, se estaría llevando a cabo una vulneración de su libertad de información y expresión. Alegaba Google que la información era de " interés público" pues mostraba "listas electorales publicadas por imperativo legal, y a cuyo acceso y localización tienen derecho los usuarios del motor de búsqueda".

Sin embargo, la Audiencia Nacional ha desestimado el planteamiento de Google. En sentencia de 5 de febrero de 2015, se ha confirmado que Google debe retirar la información (únicamente para la búsqueda concreta del nombre de la reclamante). Afirma la Audiencia Nacional que:

    "…dicha información carece de relevancia que justificara que prevaleciera el interés del público general de dichos datos personales sobre los derechos reconocidos en los artículos 7 y 8 de la Carta Europea de Derechos Fundamentales. Estamos ante un tratamiento de datos inicialmente lícito por parte del buscador Google que dado el contenido de la información y el tiempo transcurrido no son necesarios en relación con los fines para los que se recogieron o trataron."

Cabe señalarse que hasta ahora se han dictado otras resoluciones que ponían en duda la viabilidad de las reclamaciones contra Google en el caso que los datos a retirar fuesen electorales y esta sentencia podría constituir un importante punto de inflexión interpretativo para el futuro en esta materia.

Así, por ejemplo, con fecha 18 de julio de 2011, la Agencia Española de Protección de Datos denegó la retirada (en Google), de las listas electorales de la Junta Electoral Central, y la desindexación (en el BOE), de las candidaturas presentadas y proclamadas, respectivamente, a las elecciones de Diputados al Parlamento Europeo, a celebrar el 13 de junio de 2004.

Igualmente, la Agencia Española de Protección de Datos, en Resolución de 17 de diciembre de 2014, denegó la retirada (en Google), de las listas electorales de las Elecciones Generales del año 2008. La Agencia, citó en su Resolución una Sentencia que afirma:

    "La adscripción política de un candidato es y debe ser un dato público en una sociedad democrática, y por ello no puede reclamarse sobre él ningún poder de disposición"

La Sentencia de la Audiencia Nacional, que es posterior a las Resoluciones de la Agencia Española de Protección de Datos, permite extraer una conclusión: que los datos electorales (a pesar de su carácter eminentemente público) pueden ser objeto de derecho al olvido, cuando hayan dejado de ser necesarios.

Fuente: eldiario

La nueva ley sobre protección de datos dispara las reclamaciones

La Agencia de Protección de Datos (AEPD) ha recibido un 33 por ciento más de reclamaciones desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) europeo, una subida que asociaciones de usuarios y consumidores valoran positivamente, aunque creen que todavía queda mucho por hacer. Desde el 25 de mayo, que entró en vigor la RGPD, al 3 de septiembre de este año, la AEPD ha recibido 3.740 reclamaciones por uso fraudulento de datos; en el mismo periodo de 2017 solo recibió 2.799.

El usuario tiene mucho más control sobre sus datos

La normativa europea otorga mayor control al usuario sobre sus datos: las empresas deben informar sobre su uso, el tiempo que los conservarán, con quién los compartirá y si serán transferidos fuera de la UE, entre otras cuestiones fundamentales.

Domingo está convencido de que las reclamaciones “aumentarán en el futuro”, la concienciación hasta ahora era precaria: “Partimos de cero. Las denuncias y la preocupación por este tipo de cosas por parte de los usuarios era una anécdota, bastante residual”.

Las principales reclamaciones que esta asociación de consumidores recibe en relación con un uso fraudulento de datos son relativas a falsa morosidad -consumidores que son incluidos en ficheros de morosos por deudas falsas o infladas-, llamadas o correos no deseados (“spam”) y filtración de datos.

En lo que va de año, la asociación de consumidores ha interpuesto ante la AEPD tres denuncias contra Facebook y una contra Telefónica.

Facebook

Más presupuesto, más protección

La agencia “necesita aumentar su presupuesto”, para que haya más inspectores y su funcionamiento “sea más ágil”, subraya Gómez: “Queda mucho por hacer: la inmensa mayoría de las irregularidades no se detectan”.

La nueva normativa europea vino a armonizar la legislación entre los Estados miembros y a actualizar una anticuada directiva de la década de 1990, que nació en una Europa sin redes sociales ni teléfonos inteligentes, y con un uso de internet mucho más limitado que los 250 millones de europeos actuales. Este efecto llamada también ocurrió hace una década, cuando se aprobó la Ley Orgánica de Protección de Datos (diciembre 2007). Con esta nueva ley se pasó de 2.520 reclamaciones en 2007 a 4.049 en 2008.

Además, la agencia está siendo muy activa en las tareas de concienciación y difusión: tanto con entidades públicas y privadas para que conozcan cómo cumplir con la nueva normativa, como con los ciudadanos para que conozcan sus derechos.

Aunque la mayor parte del reglamento europeo que entró en vigor el 25 de mayo es intocable, la UE dejó margen a los países para adaptar algunas cuestiones. El Congreso español tramita ahora esta transposición del reglamento al ordenamiento jurídico español, que previsiblemente llegará a su fin en otoño -hasta entonces rige un real decreto aprobado en julio- y que ya cuenta con más de 300 enmiendas.

 Fuente: efefuturo

La Organización de Consumidores y Usuarios (OCU) ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra un proceso de investigación a Apple por el tratamiento de datos personales de sus aplicaciones con el objetivo de comprobar si cumple con la normativa en vigor.

Todo ello con el fin de que, en su caso, se le impongan las sanciones correspondientes si se demuestra que alguna de sus aplicaciones ha recopilado y utilizado información de sus usuarios sin su consentimiento.

Así lo exigió este viernes la OCU tras conocerse que algunas aplicaciones disponibles en App Store han estado utilizando una herramienta que permite registrar los movimientos y datos de los consumidores, incluyendo la captura de las pantallas de sus móviles, "sin el consentimiento de los usuarios", por lo que consideró que la compañía "debería revisar y controlar de manera más eficiente el cumplimiento de la política de privacidad por parte de estas aplicaciones".

"A pesar de que supuestamente todas las aplicaciones que se publican en la App Store deben seguir la política de privacidad de Apple, ninguna de las aplicaciones indicadas muestra claramente en sus políticas que grabaran la pantalla del usuario, ni contaban con el permiso explícito para hacer este tipo de registro", precisó la organización.

La OCU considera que Apple "debería revisar de manera más eficiente" el cumplimiento de la política de privacidad por parte de las aplicaciones que forman parte de su App Store, así como "controlar mejor su cumplimiento".

Para la organización de consumidores, los datos que las compañías utilizan "pertenecen a los consumidores". "Son ellos los que deben tener el control sobre los mismos en todo momento, saber exactamente para qué se usan y obtener una buena parte del valor creado por las compañías que los utilizan", abundó.

A través de la campaña 'Mis datos son míos', defiende el "papel central" de los consumidores en la economía de datos y reclama que estos reciban una "parte justa" de los beneficios que estos generan para las empresas, "que no solo los utilizan para su propio beneficio, sino para comercializar con terceros", concluyó la OCU.

Fuente: Ecodiario

• El documento alerta de que la utilización de estas aeronaves plantea riesgos para la privacidad derivados de su capacidad para captar y procesar datos personales y recoge las obligaciones que deben cumplirse

• Incluye recomendaciones a legisladores, reguladores del sector, fabricantes y operadores, así como a las autoridades que utilicen estas aeronaves en sus funciones de vigilancia y control

• El Dictamen destaca la posibilidad de establecer “miradores únicos” desde los que recoger fácilmente una amplia variedad de información, por largos períodos de tiempo y abarcando grandes áreas

• El uso de drones equipados con sensores en un entorno estrictamente personal y doméstico estaría excluido de los criterios del Dictamen

Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) han aprobado el primer Dictamen conjunto sobre drones, que analiza la incidencia y los riesgos que la utilización de estos vehículos no tripulados plantean para la privacidad y la protección de datos. El Dictamen evidencia los desafíos que supone el despliegue a gran escala de estas aeronaves equipadas con equipos de sensores, al tiempo que ofrece directrices para interpretar las normas de protección de datos en el contexto de los drones.

El marco jurídico aplicable en relación con las implicaciones de protección de datos derivadas del uso de drones en los Estados miembros es la Directiva 95/46, en conexión con la Directiva 2002/58 de Privacidad y Comunicaciones Electrónicas. Asimismo, existen aspectos en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión (CCTV, por sus siglas en inglés) que también son de aplicación al uso de drones, en particular en el caso de que estos se utilicen con fines de videovigilancia.

Las Autoridades ponen de manifiesto que hay actividades de los drones que estarían excluidas de la Directiva y, por tanto, de los criterios contenidos en este Dictamen. Entre ellas, el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos.

El Dictamen recoge las obligaciones que deben cumplirse antes de utilizar un dron, como verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan, entre otras.

El GT29 alerta de los riesgos que pueden surgir como consecuencia de la captación y  procesamiento de información -imágenes, sonido o datos de geolocalización relacionados con una persona identificada o identificable- llevados a cabo por un dron. Entre ellos, destaca la potencial falta de transparencia de ese tipo de tratamiento debido a la dificultad tanto para divisar estos aparatos desde el suelo como para conocer si el dron incorpora el equipo necesario para procesar datos, con qué propósito se están recogiendo y por quién. Teniendo en cuenta la amplia gama de servicios ofrecidos basados en drones, el documento considera de “máxima importancia” el hecho de que el responsable del tratamiento de datos y el encargado del mismo estén claramente identificados para cada tipo de operación efectuada.

Además, el documento destaca que la versatilidad de estos aparatos y la posibilidad de interconectarse entre sí facilitan la posibilidad de establecer “miradores únicos” que permiten recoger fácilmente una amplia variedad de información incluso sin visión directa, por largos períodos de tiempo y abarcando grandes áreas.

En cuanto al procesamiento de datos mediante drones por servicios gubernamentales, el Dictamen especifica que este debe llevarse a cabo dentro de los fines establecidos en la legislación y no deben ser utilizados para la vigilancia indiscriminada, el tratamiento masivo de datos, o la puesta en común de datos y perfiles.
Recomendaciones

El documento también incluye recomendaciones específicas dirigidas a legisladores, reguladores del sector, fabricantes y a quienes manejen drones, así como para las autoridades que utilicen estos dispositivos para el ejercicio de sus potestades. A juicio de las Autoridades, los legisladores y reguladores del sector aéreo deben promover tanto en el ámbito nacional como en el europeo un marco que garantice no sólo la seguridad en vuelo sino el respeto por todos los derechos fundamentales.

En relación con los fabricantes, incide en la necesidad de que estos adopten medidas de privacidad desde el diseño y por defecto, y sugiere realizar evaluaciones de impacto en la protección de datos como una herramienta adecuada para valorar el impacto de las aplicaciones de drones sobre este derecho fundamental. Para incrementar la concienciación entre los usuarios también aconseja que, en el caso de dispositivos de pequeñas dimensiones, se incluya información suficiente relativa al potencial intrusivo de estas tecnologías y, cuando sea posible, mapas que identifiquen claramente dónde está permitido su uso. En cuanto a los operadores de estos aparatos, las Autoridades aconsejan evitar en lo posible volar sobre zonas privadas y edificios, incluso cuando esté permitido su uso.

Finalmente, las Autoridades recuerdan que la recolección de datos personales de drones por parte de autoridades de orden público que utilicen estas aeronaves en sus funciones de vigilancia y control no debe permitir el rastreo constante y, en caso de que este fuera necesario, debe quedar restringido al marco de las investigaciones encaminadas a garantizar el cumplimiento de las normas legales.

Fuente: abogacia

Las polémicas 6.100 cámaras que instalará Madrid en clase: ¿pueden negarse los profesores?

“Se están comprando 70.000 dispositivos electrónicos y 6.100 cámaras para instalar en las aulas”. Así lo ha anunciado este martes Isabel Díaz Ayuso, presidenta del gobierno de la Comunidad de Madrid en la rueda de prensa ofrecida para explicar la vuelta al cole en este territorio. Se aplicará esta medida -junto a un nuevo paquete de preceptos- para que los alumnos de los centros públicos que den positivo en Covid-19 puedan seguir las clases desde casa en streaming. También, desde 3º de la ESO hasta 2º de Bachillerato los estudiantes tendrán régimen de semipresencialidad, por lo que estas cámaras pueden servir, además, para que sigan sus clases online.

Pese a ello, el Gobierno regional ha abierto un debate en el que hay voces discordantes: ¿Estas cámaras pueden atentar contra el derecho a la intimidad o a la protección de datos de los alumnos? De hecho, a este caldo de cultivo se añade que, salvo los profesores, por regla general, los estudiantes susceptibles a ser grabados son menores. De ahí que la abogada Noemí Brito, especialista en derecho digital y de protección de datos del despacho Ceca Magán, haya explicado que “cuando el tratamiento de las imágenes está relacionado con fines educativos y académicos, la Agencia Española de Protección de Datos legitima el uso de estas herramientas si lo que está en juego es el derecho fundamental a educación”.

Pese a ello, la letrada puntualiza que eso no debe ser una “barra libre, ya que es una actividad intrusiva e invasiva” y que, jurídicamente, el gobierno de Díaz Ayuso tiene que desarrollar una normativa potente que “deje claro el fin educativo de la instalación de las cámaras; tiene que regular el tema de la conservación de las imágenes; o cómo se protegerán de los ataques digitales que pueda sufrir por parte de hackers”. De lo contrario, la aplicación de la medida podría volverse en contra de la Comunidad de Madrid.

Y es que la cuestión ya empieza a dejar preocupados a los padres. Elena Núñez, miembro del AMPA del CEIP Navas de Tolosa, situado en el madrileño distrito de Villavarde, comenta que “la sensación que tenemos los padres es que Educación está improvisando todo. No siento que la Comunidad Madrid tenga en tan poco tiempo un sistema de seguridad contra los ataques digitales”. “No me gustaría que grabasen a mis hijas de cinco y seis años sin que las cámaras sean 100% seguras, ya que hay mucho pederasta en Internet experto en informática”, asevera esta madre.

El choque padres-normativa

“Con la nueva normativa sobre protección de datos, no se requeriría un consentimiento paterno si la Comunidad de Madrid logra argumentar bien que la grabación en streaming se hace para salvaguardar el derecho fundamental a la educación. Quedaría legitimado, pero a la hora de lanzar un proyecto se tiene que evaluar el riesgo y que se aplique con seguridad”, continúa la abogada Brito. Una circunstancia que a Elena no le hace gracia. “Me gustaría que el centro al que llevo a mis hijas me consultase, aunque no se exija. De hecho, creo que no le daría mi permiso”.

Y es que el problema, de fondo, es la confrontación de dos derechos fundamentales. De ahí el difícil encaje legal que tiene que solucionar el gobierno madrileño. Por un lado, el derecho a la educación, que puede verse vulnerado si el niño contagiado da clases de manera intermitente. Y, por otro, el derecho a la protección de datos y a la intimidad.

Una solución que plantea la abogada es que la cámara del aula sólo enfoque y grabe al docente y que, además, no tenga que ser de gran resolución. “No hace falta una cámara de última generación para que el estudiante pueda seguir la lección desde casa”, opina la especialista en derecho digital.

¿Y los profesores?

Los otros damnificados de las grabaciones son los profesores, quienes se muestran “preocupados”, según desvela José Luis Carretero, docente del Instituto Escuela Superior de Hostelería y Turismo. “Muchos compañeros ven peligrar su libertad de cátedra, porque, al sentirse grabados pueden sentirse fiscalizados”, explica el profesor de Formación Profesional. En este sentido, cabría esperar que algunos docentes no vean con buenos ojos que los graben en streaming y que se nieguen a ello.

Una problemática que ya ha previsto la Comunidad de Madrid y que la propia Díaz Ayuso ha solucionado este martes. “Nuestra propuesta, además, es que, si un alumno de primaria se ve obligado a confinarse en casa, el profesor pueda activar la cámara para que el alumno asista a clase desde su casa. Esto, por supuesto, se debe negociar con cada profesor”, decía la presidenta autonómica a los medios.

Pero José Luis recela. “Lo que no ha explicado es que si un profesor se niega a dar clase en directo a un alumno confinado, tiene que tener luego un contacto con el estudiante y mandarle otras actividades. Son horas de trabajo que nadie cuenta”, explica el profesor.

“Además, grabar esas clases implica que pueda afectar a la intimidad de profesores y alumnos. Una clase es un espacio en el que se interactúa todo el rato entre alumnos y profesor durante muchos meses, como una familia, e implica que muchas veces se hacen públicos datos, asuntos relativos a la intimidad, datos familiares... todo. ¿Y cómo vigilarán que eso no se filtre?”, se pregunta el docente.

Cuatro cámaras por centro

Los docentes -como en la última semana- se mueven, vigilan y calculan cada paso que da Educación. La directora del IES Juan de Mairena, situado en el municipio madrileño de San Sebastián de los Reyes, ha revelado a este periódico que los grupos son un hervidero y que, según los cálculos de su gremio “si instalan 6.100 cámaras en los centro de la Comunidad de Madrid, habría menos de cuatro en cada institución”.

“Es algo totalmente insuficiente. Mira, no me parece mal si garantiza la educación de los alumnos, pero con tan pocas cámaras no se hace nada”, se queja la directora. “Ahora bien, a ver qué herramientas nos dan para garantizar la protección de datos y para garantizar el acceso a estas plataformas a todos los alumnos de la Comunidad”, sentencia. De momento, la Comunidad de Madrid ha anunciado sus medidas a los medios, pero a los centros no les ha indicado nada.

#agenciaespañoladeprotecciondedatos #grabacionesenlasaulas #alumnosgrabados #leyorganicadeprotecciondedatos #AEPD #polemicaenlasaulas

Fuente: Elespanol

Legislación aplicable en materia de protección de datos sobre borrado seguro de información

En primer lugar corresponde manifestar que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), instaura una serie de principios y garantías, respecto al derecho fundamental reconocido constitucionalmente a la protección de datos personales (artículo 18.4 de la Constitución Española). Dicha ley impone un mandato legal de seguridad (artículo 9 LOPD), a todas aquellas empresas o entidades que intervengan en el tratamiento de datos y les obliga a custodiar la información de modo que no pueda ser accedida por personas o terceros no autorizados debidamente. Hace referencia a la legislación aplicable en cuanto al tratamiento y revelación de datos personales de un tercero sin previa autorización de la persona afectada o interesada (por ejemplo, publicar fotografías de un cliente en la página web de la empresa o difundir datos personales de un empleado de la empresa sin previa autorización de éstos, entre otros muchos casos).

Es necesario asimismo resaltar la doctrina jurisprudencial contenida en la STC 292/2000, de 30 de noviembre, que fija con claridad, precisión y exactitud el derecho a la protección de datos de carácter personal contemplado en el artículo 18.4 de la Constitución como un derecho fundamental diferente y autónomo de los derechos al honor y a la intimidad personal amparados en el artículo 18.1 de la propia Carta Magna Española.

También, es importante tomar en consideración que las empresas y entidades ya sean de naturaleza pública o privada y con independencia de su tamaño o volumen de sus recursos humanos, son responsables del total de los datos informatizados almacenados en sus equipos informáticos. Cada vez es más frecuente, que los trabajadores almacenen enormes cantidades de información en los discos duros de sus equipos informáticos, que en la mayoría de los casos, contienen asimismo datos personales o de carácter privado que les atribuyen cualidades de naturaleza confidencial. La eliminación de forma no segura de la información puede acarrear una posterior recuperación no autorizada, originando enormes perjuicios comerciales, de imagen y, también como no responsabilidades de tipo legal.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD) se encarga de desarrollar de forma completa la LOPD.

En concreto en el artículo 92.4 (gestión de documentos y soportes informáticos) se estipula lo siguiente: “siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior”.

El artículo 44. 3. h) de la LOPD tipifica como infracción grave mantener los ficheros, locales, programas informáticos o equipos informáticos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Este precepto es reproducción literal del antiguo artículo 43.3.h) de la Ley Orgánica 5/1992 y debe ponerse en relación tanto con el artículo 9 de la LOPD (que recoge la vital necesidad de que de modo reglamentario se fije el catálogo de medidas de seguridad) como con el título VIII del Reglamento de la LOPD, en el cual se recogen las disposiciones generales sobre Medidas de Seguridad, como el catálogo de medidas aplicables a ficheros y tratamientos en relación directa a cada uno de los distintos niveles de seguridad: básico, medio y alto.

Las sanciones o multas por el incumplimiento de obligaciones legales en materia de protección de datos sobre borrado seguro de información pueden variar entre 40.001 a 300.000 euros (infracción grave), siendo la Agencia Española de Protección de Datos la entidad pública encargada de su aplicación. Por las diversas razones expuestas anteriormente, es de gran importancia realizar un borrado seguro de datos, no solamente porque atente directamente contra la privacidad de las personas (interesados o afectados) y la seguridad interna de las empresas, sino que, además, constituye una medida de seguridad de obligatorio cumplimiento cuando hace referencia a datos de carácter personal, según lo estipulado en la LOPD y el RDLOPD.

Por último comentar que diversas sentencias de la Sala de lo Contencioso de la Audiencia Nacional han contemplado supuestos de aparición de documentación en distintos tipos de soportes de empresas en contenedores de basura, y se ha sancionado por la aplicación del artículo 44.3.h) de la LOPD sobre la base del siguiente argumento: “resulta evidente que si documentos de uso interno de la entidad recurrente conteniendo datos personales y a los que sólo ella podía tener acceso, fueron encontrados en la vía pública y en un contenedor al alcance de cualquier viandante, es porque no se prestó la diligencia necesaria en orden a la efectiva observancia de las medidas de seguridad que se pretenden haber tomado, con lo que la protección en orden a la seguridad de los datos no fue eficaz, vulnerándose el artículo 9 de la LOPD y en definitiva el bien jurídico protegido por la infracción apreciada que es la seguridad de los datos”.

Mencionar que los tres únicos métodos existentes de borrado seguro de información (documentos o soportes informáticos) son los siguientes:

• La destrucción física del soporte.
• La desmagnetización del soporte.
• La sobre-escritura de la información.

Fuente: elderecho