La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones

La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía Drones y Protección de Datos, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

La guía pone de manifiesto cómo se ha generalizado el uso de drones en el ámbito civil y el crecimiento exponencial que está experimentando la utilización de estas aeronaves no tripuladas. Estos equipos son susceptibles de incorporar no sólo GPS y cámaras de vídeo sino también escáner 3D o sistemas de detección de dispositivos móviles, y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La guía, publicada por la AEPD, proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente. En los tres casos, la AEPD ofrece recomendaciones para aficionados y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.

Consejos previos

La guía destina un apartado específico a ofrecer recomendaciones previas al manejo de un dron cuando sea de aplicación la normativa de protección de datos personales. Entre ellas, valorar la necesidad de evaluar los riesgos que pueda implicar el tratamiento para los derechos y libertades de las personas y, si fuera necesario, realizar una evaluación de impacto sobre la protección de datos (EIPD); llevar a cabo un análisis de riesgos si la EIPD no fuera precisa, o tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet de manera que sean accesibles indiscriminadamente cuando sea posible identificar a personas o se muestren espacios privados, como viviendas, jardines o terrazas.

Finalmente, recoge un apartado con preguntas frecuentes donde se plantean dudas prácticas relacionadas con los posibles tratamientos de datos personales captados desde un dispositivo de este tipo.

Fuente: Cuadernosdeseguridad

La Agencia de Protección de Datos sanciona con 5.000€ a un médico tras perder imágenes de una paciente en una operación

La Agencia Española de Protección de Datos ha sancionado con un importe de 5.000 euros a una facultativo por extraviar las imágenes grabadas durante una intervención quirúrgica a una paciente en un hospital privado de Madrid en 2014.

Así consta en una resolución, tras el recurso tramitado por la asociación 'El Defensor del Paciente' a través del letrado Carlos Sardinero en representación de la afectada.

"Se tiene en cuenta que en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que incurrió en una grave falta de diligencia", expone el órgano que ve acreditada la infracción sobre la ley de Protección de Datos.

También entiende que estas imágenes no suponían un volumen de datos de elevado volumen para justificar la pérdida y recalca que no se produjo ningún beneficio económico a través del extravío de esta información que se incluye en la historia clínica digital de los pacientes.

"En el presente caso ha quedado acreditado que el denunciado carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al no posibilitar el ejercicio del derecho de acceso de su paciente a los datos de la historia clínica", insiste la resolución.

Con esta resolución por fin se reconoce que las imágenes grabadas de cualquier intervención forman parte de la historia clínica, aunque se recojan con fines docentes o de investigación. 

La paciente relató que fue sometida a una intervención quirúrgica por un traumatólogo de un centro privado que fue grabada en vídeo. Posteriormente, con el fin de contrastar distintas opiniones de facultativos sobre el resultado de la intervención, solicitó las imágenes grabadas pero el traumatólogo, mediante correo electrónico, le comunicó que no las encontraba porque sus hijos habían perdido varios pendrive donde posiblemente estuviera recogida la intervención.

Durante el procedimiento el médico denunciado manifestó que la sanción había prescrito y que la grabación de una operación no forma parte de la historia clínica, más si las imágenes se toman con fines docentes y científicos.

"No puede aceptarse por tanto lo alegado por el denunciante sobre que las grabaciones no se entregan al paciente ni se unen a su historia clínica, por el mero hecho de que no existe obligación de realizarlas", expone la Agencia de Protección de Datos.

El abogado Carlos Sardinero ha manifestado tras la resolución que los facultativos "deben conocer que cuando se pierde parte de la historia clínica es motivo de sanción por vía de Agencia de Protección de Datos, pero es preciso advertir de que, a la vez, también es motivo de responsabilidad civil por daños y perjuicios, como lo demuestran los últimos pronunciamientos judiciales estimados a su despacho".

Fuente:lavanguardia

La Agencia de Protección de Datos se pone seria: multa récord al BBVA de 5 millones de euros por el uso de datos sin consentimiento

La Agencia Española de Protección de Datos (AEPD) ha impuesto al BBVA una sanción de 5 millones de euros, la mayor multa de la agencia en su historia. Después de imponer multas como la de 600.000 euros a WhatsApp y la de 1,2 millones de euros a Facebook en 2017, la más alta hasta la fecha, ahora la AEPD da un salto importante con esta multa récord, dividida en dos infracciones.

En la resolución de la agencia se recogen cinco reclamaciones de distintos usuarios que recibieron llamadas telefónicas por parte del BBVA, pese a que habían denegado la cesión de sus datos con fines publicitarios.

Las agencias empiezan a ponerse serias con la aplicación del reglamento

La primera infracción del BBVA ha sido catalogado como “muy grave” por parte de la AEPD, por una infracción del artículo 6 del RGPD. La segunda de ellas, calificada como leve, se trata de una infracción de los artículos 13 y 14 del mismo reglamento. Respectivamente, estas infracciones han sido multadas con 3 y 2 millones de euros. Sanciones que por si solas representarían cantidades récord.

La sanción más grave está relacionada con el consentimiento del usuario, mientras que la segunda sanción está relacionada con que no se informó al usuario correctamente de cómo se recogerían sus datos.

Los argumentos esgrimidos por la AEPD son muy similares a los del procedimiento de la Agencia de Protección de Datos francesa, que esta misma semana multaba a Google y a Amazon por valor de 100 y 35 millones de euros en una resolución equivalente.

Para la AEPD, la política de privacidad del BBVA no ha sido suficiente clara. El banco daba por hecho que al no marcar una casilla, se ofrecía consentimiento para gestionar algunos datos personales. Algo que va en contra de lo establecido por el Reglamento General de Protección de Datos.

La sanción todavía puede ser recurrida por la vía judicial, algo que desde el BBVA ya han anunciado que realizarán. El banco considera que su actuación “ha sido correcta” y presentará recurso ante la Audiencia Nacional. Precisamente este mismo organismo anuló en mayo de 2019 una multa a Google por valor de 150.000 euros, en aquel caso por el derecho al olvido a los medios.

Fuente: Xataka

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción grave al Grupo Municipal Socialista de Noja, cuya cuantía no se especifica en el fallo, por la difusión de un vídeo a través de Facebook en el que se ve como un grupo de vecinos increpa al concejal de Medio Ambiente, Javier Martín (PSOE), tras personarse en su despacho municipal el 21 de junio de 2016 para pedirle explicaciones por la tala de unos árboles en el parque Marqués de Velasco.

En el vídeo se puede ver en un momento dado como el concejal se dirigió a la esposa de uno de los vecinos con las siguientes palabras : «Yo hago lo que me sale de los cojones, tú puedes hacer lo que te dé la puta gana», lo que provocó que el marido le amenazase al edil diciéndole «como vuelvas a hablar así a mi mujer, te parto la cara; te doy una así y te sacó por la ventana», al tiempo que levantaba el brazo con el puño cerrado.

Estos hechos llevaron al edil socialista a denunciar inicialmente a los seis vecinos presentes, lo que derivó en un juicio celebrado el 1 de marzo de 2017 sobre delitos leves. Durante el mismo, se retiró la denuncia contra cinco de los vecinos y se condenó al sexto a pagar una multa de 540 euros por una delito de amenazas leve. El problema estalló cuando el PP subió a las redes sociales extractos de la sentencia y el PSOE, al considerarlo una manipulación, publicó en su página de Facebook el vídeo íntegro durante tres días en el que se reconoce perfectamente a los protagonistas que participaron en la discusión.

El portavoz socialista en Noja alegó que las personas que aparecen son o han sido cargos del PP en el Ayuntamiento o, en su caso, miembros o simpatizantes del mismo o de otros partidos políticos como Vox. Sin embargo, Protección de Datos considera que ser afín a un partido político o haber ido en una candidatura en 2015, máxime cuando no se ha aprobado su elección, no es justificación para poder airear los datos personales sin su consentimiento previo. Además, no considera acreditado que cuatro de las cinco personas que aparecen hayan desempeñado ningún cargo en ninguna administración.

A pesar de ello, el Grupo Socialista denunciado entiende que frente al derecho fundamental de la protección de datos de los denunciantes, que se recoge en el artículo 18.4 de la Constitución, prevalece la satisfacción del interés legítimo que ampara al portavoz para ejercer el derecho a la libertad de expresión, opinión e información como medio para relacionase con los cuidados en aras a conformar una opinión política y pública frente al uso torticero de una sentencia por parte del PP, y al que los denunciantes se encuentras vinculados por su militancia o simpatía.

Protección de Datos le reprende de nuevo al reiterar que la mayoría de las personas que aparecen no tiene relevancia pública «por lo que no están obligadas a soportar un recorte o intromisión ilegítima en su derecho como ciudadanos particulares a la protección de sus datos personales». Y, además, le recuerda que las amenazas no están relacionadas con la petición de explicaciones por la tala de eucaliptos que motivó la visita vecinal, sino con la actitud previa mostrada con la esposa del condenado. Por lo cual, la Agencia de Protección de Datos considera que no es necesario publicar el vídeo para demostrar a los nojeños un probado delito de amenazas. Y le reprende porque para responder al PP podía haber optado por una respuesta «menos intrusiva para los afectados que publicar sus imágenes en una red social».

Atendidas las circunstancias que concurren en el presente caso, «no resulta posible apreciar que la libertad de expresión justifique el tratamiento realizado sin consentimiento de los afectados». En este caso concreto, no se propone la adopción de medidas correctoras ya que el vídeo fue retirado del Facebook socialista.

Fuente: eldiariomontanes

La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

A vueltas con la privacidad del usuario y, en este caso, Android. La Agencia Española de Protección de Datos (AEPD) señala con el dedo al sistema operativo de Google por infracciones al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La AEPD ha publicado dos documentos técnicos, dirigidos tanto a usuarios como a desarrolladores, que analizan Android.

La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios estarían vulnerando la legislación europea. El primer informe analiza el control del usuario en la personalización de anuncios que hace Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.

El SO para móviles de Google ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", alerta la AEPD. Asimismo, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio. Además, señala el organismo, ocurre que al reiniciar los valores de fábrica de un teléfono móvil, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD".

La AEPD recomienda a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica. Aplicaciones que hacen capturas de pantalla sin avisar

El segundo informe de la Agencia Española de Protección de Datos se refiere a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop. Los investigadores de este organismo han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso". 

La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD. Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD. "Acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD", ha dicho Google en un comunicado.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #sistemadeseguridad  #ciberseguridad

Fuente: 20minutos

La Audiencia confirma la multa a la LaLiga por espiar a los bares con su app

La app oficial de La Liga Nacional de Fútbol Profesional espiaba de forma irregular a los bares para saber si pirateaban la retransmisión de los partidos. La Audiencia Nacional ha desestimado el recurso de apelación presentado por el organismo dirigido por Javier Tebas y confirma la multa de 250.000 euros que le impuso la Agencia Española de Protección de Datos (AEPD) en 2019.

La sanción de la AEPD se produjo después de que saliera a la luz que La Liga utilizaba su app oficial para espiar a los bares, sin habérselo comunicado debidamente a los millones de usuarios que la descargaron. La app era capaz de activar el micrófono del móvil en el que estuviera instalada y captar si el sonido ambiente coincide con el de un bar o establecimiento público.

Su objetivo era analizarlo para saber si se estaba proyectando un partido de fútbol sin pagar la tarifa establecida por las cadenas propietarias de los derechos de emisión. Posteriormente utilizaba los datos de geolocalización del teléfono para ubicar exactamente dónde se encuentra ese establecimiento.

“La señal que llega se convierte en un código binario que se compara con el código de la señal de la transmisión por un sistema automático que realiza la operación en menos de un segundo”, explicaron fuentes de LaLiga a este medio, que aseguraban que la señal no se graba ni se almacena: “Solo comprueba si el código coincide con el código original de la señal de emisión”.

La AEPD señaló que la gran recogida de datos personales que se producía cuando la app activa el micrófono y la ubicación del usuario requería que LaLiga contara con su consentimiento cada vez que lo hiciera. Es decir, la información sobre este uso no podría estar escondida en la política de privacidad que el propietario del teléfono debe aceptar para descargar la aplicación, sino que la app debía enviarle un aviso siempre que activara el micrófono para espiar a los bares.

LaLiga se quejó de que la AEPD no había “realizado el esfuerzo necesario para entender cómo funciona” el sistema y anunció que recurriría la sanción, que podía “provocar el temor del usuario de que estuviéramos escuchando algo, cuando esta tecnología no puede captar una conversación humana”. No obstante, la Audiencia Nacional ha desestimado su recurso.

Los magistrados zanjan que la AEPD tuvo en cuenta todas las explicaciones presentadas por LaLiga sobre su tecnología de escucha. “Analizan todas y cada una de las alegaciones de la demandante, similares a las formuladas en este recurso y, con base en las pruebas practicadas en el expediente, concluyen correctamente en la infracción del principio de transparencia en relación con la protección de los datos personales, tipificada y sancionada en el Reglamento General que ahora procede confirmar”, sentencian.

La Audiencia también ve correcto los 250.000 euros de multa que le impuso el organismo: “No concurren atenuantes y sí agravantes, la cifra de negocios de LaLiga en 2018 (1.754.301.000 euros) y el porcentaje que supone dentro de la horquilla de la cuantía que determina el RGPD (en torno a 1%), de modo que la cuantía impuesta se ajusta a los criterios legales y es proporcionada a la gravedad de la infracción por lo que procede confirmarla”.

La Audiencia ha decidido no imponer las costas judiciales a la organización que gestiona la principal competición futbolística española. LaLiga ha recurrido el fallo ante el Tribunal Supremo. Además, se muestra en desacuerdo con que este medio utilice “espiar” respecto a lo que podía hacer su app. La asociación dirigida por Tebas recalca que la falta de transparencia en la recogida de datos personales de los usuarios por la que ha sido sancionada por la AEPD y la Audiencia Nacional no puede asimilarse con una acción de espiar.

Fuente: Eldiario

Las polémicas 6.100 cámaras que instalará Madrid en clase: ¿pueden negarse los profesores?

“Se están comprando 70.000 dispositivos electrónicos y 6.100 cámaras para instalar en las aulas”. Así lo ha anunciado este martes Isabel Díaz Ayuso, presidenta del gobierno de la Comunidad de Madrid en la rueda de prensa ofrecida para explicar la vuelta al cole en este territorio. Se aplicará esta medida -junto a un nuevo paquete de preceptos- para que los alumnos de los centros públicos que den positivo en Covid-19 puedan seguir las clases desde casa en streaming. También, desde 3º de la ESO hasta 2º de Bachillerato los estudiantes tendrán régimen de semipresencialidad, por lo que estas cámaras pueden servir, además, para que sigan sus clases online.

Pese a ello, el Gobierno regional ha abierto un debate en el que hay voces discordantes: ¿Estas cámaras pueden atentar contra el derecho a la intimidad o a la protección de datos de los alumnos? De hecho, a este caldo de cultivo se añade que, salvo los profesores, por regla general, los estudiantes susceptibles a ser grabados son menores. De ahí que la abogada Noemí Brito, especialista en derecho digital y de protección de datos del despacho Ceca Magán, haya explicado que “cuando el tratamiento de las imágenes está relacionado con fines educativos y académicos, la Agencia Española de Protección de Datos legitima el uso de estas herramientas si lo que está en juego es el derecho fundamental a educación”.

Pese a ello, la letrada puntualiza que eso no debe ser una “barra libre, ya que es una actividad intrusiva e invasiva” y que, jurídicamente, el gobierno de Díaz Ayuso tiene que desarrollar una normativa potente que “deje claro el fin educativo de la instalación de las cámaras; tiene que regular el tema de la conservación de las imágenes; o cómo se protegerán de los ataques digitales que pueda sufrir por parte de hackers”. De lo contrario, la aplicación de la medida podría volverse en contra de la Comunidad de Madrid.

Y es que la cuestión ya empieza a dejar preocupados a los padres. Elena Núñez, miembro del AMPA del CEIP Navas de Tolosa, situado en el madrileño distrito de Villavarde, comenta que “la sensación que tenemos los padres es que Educación está improvisando todo. No siento que la Comunidad Madrid tenga en tan poco tiempo un sistema de seguridad contra los ataques digitales”. “No me gustaría que grabasen a mis hijas de cinco y seis años sin que las cámaras sean 100% seguras, ya que hay mucho pederasta en Internet experto en informática”, asevera esta madre.

El choque padres-normativa

“Con la nueva normativa sobre protección de datos, no se requeriría un consentimiento paterno si la Comunidad de Madrid logra argumentar bien que la grabación en streaming se hace para salvaguardar el derecho fundamental a la educación. Quedaría legitimado, pero a la hora de lanzar un proyecto se tiene que evaluar el riesgo y que se aplique con seguridad”, continúa la abogada Brito. Una circunstancia que a Elena no le hace gracia. “Me gustaría que el centro al que llevo a mis hijas me consultase, aunque no se exija. De hecho, creo que no le daría mi permiso”.

Y es que el problema, de fondo, es la confrontación de dos derechos fundamentales. De ahí el difícil encaje legal que tiene que solucionar el gobierno madrileño. Por un lado, el derecho a la educación, que puede verse vulnerado si el niño contagiado da clases de manera intermitente. Y, por otro, el derecho a la protección de datos y a la intimidad.

Una solución que plantea la abogada es que la cámara del aula sólo enfoque y grabe al docente y que, además, no tenga que ser de gran resolución. “No hace falta una cámara de última generación para que el estudiante pueda seguir la lección desde casa”, opina la especialista en derecho digital.

¿Y los profesores?

Los otros damnificados de las grabaciones son los profesores, quienes se muestran “preocupados”, según desvela José Luis Carretero, docente del Instituto Escuela Superior de Hostelería y Turismo. “Muchos compañeros ven peligrar su libertad de cátedra, porque, al sentirse grabados pueden sentirse fiscalizados”, explica el profesor de Formación Profesional. En este sentido, cabría esperar que algunos docentes no vean con buenos ojos que los graben en streaming y que se nieguen a ello.

Una problemática que ya ha previsto la Comunidad de Madrid y que la propia Díaz Ayuso ha solucionado este martes. “Nuestra propuesta, además, es que, si un alumno de primaria se ve obligado a confinarse en casa, el profesor pueda activar la cámara para que el alumno asista a clase desde su casa. Esto, por supuesto, se debe negociar con cada profesor”, decía la presidenta autonómica a los medios.

Pero José Luis recela. “Lo que no ha explicado es que si un profesor se niega a dar clase en directo a un alumno confinado, tiene que tener luego un contacto con el estudiante y mandarle otras actividades. Son horas de trabajo que nadie cuenta”, explica el profesor.

“Además, grabar esas clases implica que pueda afectar a la intimidad de profesores y alumnos. Una clase es un espacio en el que se interactúa todo el rato entre alumnos y profesor durante muchos meses, como una familia, e implica que muchas veces se hacen públicos datos, asuntos relativos a la intimidad, datos familiares... todo. ¿Y cómo vigilarán que eso no se filtre?”, se pregunta el docente.

Cuatro cámaras por centro

Los docentes -como en la última semana- se mueven, vigilan y calculan cada paso que da Educación. La directora del IES Juan de Mairena, situado en el municipio madrileño de San Sebastián de los Reyes, ha revelado a este periódico que los grupos son un hervidero y que, según los cálculos de su gremio “si instalan 6.100 cámaras en los centro de la Comunidad de Madrid, habría menos de cuatro en cada institución”.

“Es algo totalmente insuficiente. Mira, no me parece mal si garantiza la educación de los alumnos, pero con tan pocas cámaras no se hace nada”, se queja la directora. “Ahora bien, a ver qué herramientas nos dan para garantizar la protección de datos y para garantizar el acceso a estas plataformas a todos los alumnos de la Comunidad”, sentencia. De momento, la Comunidad de Madrid ha anunciado sus medidas a los medios, pero a los centros no les ha indicado nada.

#agenciaespañoladeprotecciondedatos #grabacionesenlasaulas #alumnosgrabados #leyorganicadeprotecciondedatos #AEPD #polemicaenlasaulas

Fuente: Elespanol

Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

La Agencia Española de Protección de Datos (AEPD) ha multado con 12.900 euros a un  salón de belleza por vulnerar la privacidad de sus trabajadoras. La Guardia Urbana de Barcelona denunció a un establecimiento hotelero, donde se constata la presunta “realización de actividades de naturaleza sexual”, por no disponer de carteles informativos sobre la presencia de cámaras de video-vigilancia en su interior. Las Fuerzas del orden público certificaron que estas cámaras obtenían imágenes de las zonas de descanso de las trabajadoras y carecían de formulario e inscripción de fichero en la AEPD.

La instalación de cámaras de vídeo-vigilancia en el lugar de trabajo no requiere del consentimiento por parte de los empleados, pero sí deben estar informados en todo momento de su presencia y de que éstas no invadan las zonas de descanso o reservadas a la intimidad.

El sistema de vídeo-vigilancia debe estar dado de alta (según la normativa vigente en aquel momento) en la Agencia de Protección de Datos y debe informarse mediante distintivos colocados, al menos, en el acceso a las zonas vigiladas. Además, el establecimiento debe disponer de un impreso que informe de la existencia de las grabaciones y disponible por si un afectado quiere ejercitar sus derechos. Las grabaciones solo podrán mantenerse por un periodo máximo de 30 días.

La empresa demandada reconoció su culpabilidad ante la ausencia de estos carteles informativos por motivos de obras en la instalación, aunque procedió a reinstalarlos y ubicarlos con posterioridad en las zonas de acceso.

La Ley Orgánica de Protección de Datos recoge como principio fundamental el deber de informar a las personas de las cuales se vaya a obtener cualquier tipo de datos personales. La AEPD señala que “la captación de imágenes de personas mediante cámaras de video vigilancia y su trasmisión a un monitor, donde es visionada, aun cuando el sistema se limite a posibilitar su visualización, y su grabación, mediante la reproducción de la imagen de los individuos, constituye un acto de tratamiento de datos de carácter personal que proporciona información de personas físicas identificables acerca de su imagen personal, lugar en que se encuentran y actividad que desempeñan”.

 Por lo tanto estos hechos, debido a la infracción de su artículo 5.1, la Agencia impone una sanción de 900€ al carecer de los preceptivos carteles informativos, de tal manera que no es posible ejercitar los derechos de la LOPD ni haber informado a los clientes del establecimiento.

En relación a la segunda infracción, desde la empresa alegaron que las cámaras se instalaron por motivos de seguridad para las trabajadoras y que las imágenes obtenidas no son de la zona de descanso de las empleadas, una zona con mesa y sillones desde donde pueden conectarse con sus ordenadores portátiles.

Sin embargo, tras las comprobaciones pertinentes, ha quedado demostrada la presencia de cámaras de video-vigilancia en espacios privativos de las empleadas sin causa justificada y con una intencionalidad de control excesiva, como las zonas de la cocina y el vestidor, y las entradas/salidas de las habitaciones donde la empleadora asegura que las trabajadoras desempeñan sus funciones calificadas como “masajes”.

El Tribunal Constitucional establece que el derecho a la propia imagen “pretende salvaguardar un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás; un ámbito necesario para poder decidir libremente el desarrollo de la propia personalidad y, en definitiva, un ámbito necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana”.

 En lo referente a la seguridad de las empleadas, la AEPD estima que ésta se cumple con la presencia de cámaras en los principales puntos de acceso al establecimiento, lo que permite la grabación de los clientes que acceden al local, por lo que la obtención de imágenes de las empleadas en sus zonas de descanso es excesiva.

De hecho, el control laboral de las trabajadoras se lleva a cabo mediante el fichaje que realizan ellas mismas tanto a la entrada como a la salida del establecimiento, en donde queda registrado el número de horas que dedican a su jornada laboral.

Por tanto, las pruebas aportadas concluyen la infracción del artículo 4.1 de la Ley Orgánica de Protección de Datos al haber instalado una cámara de vídeo-vigilancia en una zona de descanso, afectando así a la intimidad personal,  y se impone una multa de 12.000 euros.

Fuente: eprivacidad

Multa de 5,29 millones de euros contra España por no cumplir la directiva de protección de datos

La Comisión Europea ha propuesto este jueves al Tribunal de Justicia de la Unión Europea (TJUE) que imponga una multa de 5,29 millones de euros contra España por no incorporar a su ordenamiento jurídico una directiva europea de protección de datos.

La norma debería haberse incluido en la legislación nacional en mayo de 2018 por lo que nuestro país lleva más de un año de retraso. Y la multa puede ser aún más grande ya que la CE pide, además, una multa de 89.548,2 euros por cada día de retraso que acumule España después del día en el que el TJUE dicte sentencia.

Cuando el Consejo y el Parlamento Europeo llegaron a un acuerdo sobre la directiva, cerraron el 6 de mayo de 2018 como el último día para incorporar la nueva norma a la legislación nacional. España, que es un alumno aventajado de la UE en lo que a retrasos se refiere, vio cómo se abría expediente contra ella en julio de 2018, pero desde entonces no ha cumplido con los plazos.

España no está sola en este trance. La Comisión Europea también ha propuesto una multa, significativamente menor por el tamaño del Estado miembro, a Grecia, que es el otro país europeo que ha incumplido la transposición.

Fuente: Elconfidencial

Multa por dejar una cámara en el coche para pillar a los que se lo rayan

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1.000 euros a un residente de A Coruña por dejar una cámara encendida en el interior de su vehículo, desde la que estaba grabando una zona pública. El sancionado ha alegado que el propósito del dispositivo era registrar y disuadir a los autores de repetidos "actos vandálicos" que ha sufrido el coche, lo que no ha servido para que el regulador de privacidad le libre de la multa.

De hecho, en su resolución la AEPD considera probado que la cámara funcionaba y que grababa la vía pública debido a que la persona sancionada ha enviado al organismo las imágenes que supuestamente muestran a esos terceros atacando su coche. "Consta acreditada la operatividad del dispositivo de grabación, aspecto este confirmado por el propio reclamado al usar las imágenes (datos personales) para acreditar la presunta autoría de actos vandálicos contra el vehículo", refleja.

Además de las imágenes, el sancionado ha enviado "informes" que demostrarían "su intención de resolver dicho incidente en varias ocasiones", lo que tampoco ha servido de atenuante. "No se aporta denuncia o documento alguno que acredite los daños y perjuicios sufridos en el vehículo, más allá de las meras manifestaciones del reclamado", contesta la AEPD.

La sanción llega tras una denuncia de la Policía Local de A Coruña, que retiró el coche y lo trasladó al depósito municipal tras comprobar que se estaba realizando una grabación desde su interior. Poner cámaras en el interior del vehículo está permitido siempre que estas graben solo lo que ocurre en su interior y no pongan en peligro la seguridad vial. En cambio, las normas de protección de datos no permiten orientarlas hacia el exterior, puesto que las imágenes de los transeúntes forman parte de su información personal. No pueden recogerse sin su consentimiento y un motivo justificado.

La única excepción es que el vehículo se encuentre en movimiento y el objetivo de las imágenes sea utilizarlas "en caso de colisión o accidente", explica el organismo. "Su almacenamiento solo está permitido con el vehículo en movimiento y en el caso puntual de accidente, cuestión que no se produce en los hechos descritos pues el vehículo estaba estacionado sin el conductor en su interior, continuando con el tratamiento de datos personales en una zona de tránsito público".

Con el coche parado, ni siquiera la excusa de que las imágenes no se suben a Internet ni se comparten con terceros exime de la prohibición. "Es indiferente que las mismas no se almacenen, pues la operatividad del mismo ha sido constatada, realizando el dispositivo en cuestión un tratamiento de datos en tiempo real sin causa justificada", zanja la AEPD: "La presencia de un dispositivo en el interior del vehículo del reclamado que obtiene imágenes (datos personales) de espacio público se considera excesivo".

"Proliferación latente" de las cámaras que graban las calles

La AEPD recuerda que la grabación de la vía pública con motivos de vigilancia "está reservada en exclusiva a las Fuerzas y Cuerpos de seguridad del Estado", aunque reconoce que "en los últimos tiempos" se está produciendo una "proliferación latente" de distintos tipos de dispositivos que graban las calles. Buena parte de sus resoluciones giran en torno a cámaras que graban zonas que no deberían registrar o no están adecuadamente señalizadas. "Como norma general, la legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados", recuerda el organismo.

El principio que rige las normas de protección de datos es el de "minimizar" la información que se recoge. En el caso del multado de A Coruña, la AEPD recuerda que podría haber optado por "alguna medida de protección del vehículo menos restrictiva (vgr. alarma sonora, etc), dada la problemática que este tipo de dispositivos de obtención de imágenes pueden ocasionar, como lo acredita el hecho de la retirada del vehículo por las Fuerzas y Cuerpos de seguridad de la localidad".

Los 1.000 euros de sanción al residente de A Coruña se colocan en la parte inferior de la horquilla para este tipo de infracciones, explica el regulador, dado que este se comprometió a retirarla de inmediato y ha colaborado con la investigación de la Agencia.

Fuente: eldiario

Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle

Una vecina de La Línea de la Concepción (Cádiz) deberá pagar una multa de 4.000 euros por instalar dos cámaras de video-vigilancia en su vivienda que enfocaban a la calle y captaban imágenes de la vía pública.

La Ley Orgánica de Protección de Datos no permite que los sistemas de videovigilancia capten imágenes de las personas que se encuentren fuera del espacio privado. En lugares públicos es algo que sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado, según ha recordado la Policía Nacional.

Agentes de la Policía Nacional detectaron dos cámaras de vigilancia en una vivienda particular situada en la calle Pedreras. Estaban camufladas en dos salidas al exterior de unas falsas chimeneas y captaban imágenes de gran parte de la vía pública.

La Policía procedió a la proponer una sanción por infracción administrativa de la citada ley. El expediente fue elevado a la Agencia Española de Protección de Datos, que ha impuesto una sanción de 4.000 euros a la propietaria de la vivienda por vulnerar el derecho a la protección de datos de carácter personal al estar afectando un espacio público sin causa justificada. También se le obliga a que retire dichas cámaras.

La Ley Orgánica de Protección de Datos prohíbe la instalación de videocámaras en fachadas de propiedades particulares que capten imágenes de espacios públicos y/o privados, salvo excepciones contempladas en esa Ley, pudiendo ascender las sanciones por la realización de estas conductas hasta los 20 millones de euros como máximo o, tratándose de un negocio, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, según ha recordado la Policía Nacional.

 Refuerza la seguridad de tu negocio o vivienda con TTCS

Visita nuestro apartado de productos, para conocer todas las soluciones de seguridad que TTCSte ofrece. O puedes llamarnos al 971607952, o pedirnos información por correo electrónico a nuestro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..Tenemos soluciones de seguridad adaptadas para cada tipo de cliente.

 #videovigilanciamallorca #camarasdeseguridadmallorca #sistemadeseguridadmallorca #leyorganicadeprotecciondedatos #AEPD #instalacionseguradesistemasdeseguridad

 Fuente: Sevilla.abc

Nueva multa de la AEPD a Mercadona: 170.000 euros por no entregar a una clienta imágenes de las cámaras

Mercadona ha recibido una nueva multa de 170.000 euros de la Agencia Española de Protección de Datos (AEPD), que ya en julio de 2021 le impuso otra sanción de 2,5 millones. Si entonces fue por instalar aparatos de reconocimiento facial en algunos de sus establecimientos, esta vez ha sido por no entregarle a una clienta las imágenes de las cámaras de seguridad, que aquella había solicitado tras sufrir un accidente en uno de sus establecimientos.

Según informa El Confidencial Digital, una mujer que sufrió un accidente en una tienda de Mercadona, para reclamar por los daños sufridos, solicitó las imágenes de las cámaras de videovigilancia a los cuatro días del incidente, cumplimentando para ello un formulario situado en el apartado de Política de Privacidad de la página web de Mercadona. La mujer recibió un mensaje confirmando la recepción.

Tras más de un mes sin respuesta, la afectada remitió un correo al Delegado de Protección de Datos de Mercadona (DPD). Esta vez la respuesta era distinta: allí no habían recibido ninguna solicitud y, por tanto, las imágenes se habían eliminado.

Un fallo "involuntario"

Según la Instrucción 1/2006, que regula el plazo de conservación de las imágenes, los archivos se borran cuando pasa un mes desde su grabación si nadie los reclama.

Para entonces, la afectada ya había puesto en marcha una denuncia contra la firma, tenía en su posesión el número de referencia de la queja y las grabaciones eran la única prueba que ella tenía para presentar.

En su escrito de alegación, Mercadona se defendió explicando que, tras una investigación interna, se había detectado un "error humano" en la gestión de la reclamación civil presentada por la clienta. Un fallo "involuntario" que provocó que la gestión nunca llegara a conocimiento del DPD.

Dos multas por sendas infracciones

La empresa intentó llegar a un acuerdo por los daños y perjuicios sufridos y, también, por los derivados de no atender su derecho de acceder a sus datos personales. Además, Mercadona comunicó a la AEPD que se habían tomado medidas disciplinarias, técnicas y organizativas para evitar que este fallo volviera a ocurrir.

La AEPD, que considera insuficientes estos argumentos, precisa en la resolución sancionadora que la empresa no ha detallado cuál ha sido el error humano que condujo al borrado de las imágenes. Además, según el organismo, aunque la clienta hubiera desistido en su reclamación tras el acuerdo alcanzado, ello no implica el archivo del procedimiento sancionador porque, de hecho, se había vulnerado la normativa de protección de datos personales.

Por los motivos expuestos, la AEPD ha decidido sancionar a Mercadona con una multa de 170.000 euros por dos infracciones: una por vulnerar el artículo 12, relacionado con el número 15 del Reglamento General de Protección de Datos (RGPD), que se refiere a la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (70.000 euros). La otra (100.000 euros), por incumplir el el artículo 6 de dicho reglamento: la licitud del tratamiento de los datos del cliente.

No es la primera vez para Mercadona

El pasado 22 de febrero, el Boletín Oficial del Estado publicó una resolución de la AEPD en la que plasmó un listado de empresas que durante 2021 recibieron sanciones por más de un millón de euros.

Mercadona ocupa el cuarto lugar, por la ya citada multa de 2,5 millones impuesta por la AEPD a raíz de la colocación de cámaras de reconocimiento facial que, tras esa medida sancionadora, retiró de sus establecimientos. Junto a la empresa de distribución aparecen en el listado Vodafone, BBVA y EDP.

Fuente: Facua

Los tribunales amparan a una empresa que puso cámaras para detectar quién robaba material y se lo comunicó al comité, pero le rogó que no lo contara a la plantilla para que la medida tuviera éxito.

Las empresas pueden vigilar a sus empleados con cámaras sin advertirles de que están siendo grabados. Así lo ha establecido el Tribunal Supremo (TS) en una sentencia que añade esta novedad a los pronunciamientos de los tribunales sobre el uso de cámaras en el lugar de trabajo, que suelen ser favorables al empresario siempre que haya avisado a sus trabajadores.

El caso afectó a la empresa dedicada a la fabricación de envases y botellas de plástico Alción, que detectó la desaparición de material empleado en producción que se encontraba almacenado en el centro de trabajo. Ante esta situación, decidió establecer un sistema de videovigilancia en sus instalaciones, que fue inscrito en la Agencia Española de Protección de Datos con un fichero con el nombre de "Videovigilancia" y con la descripción "grabación de imágenes para seguridad".

La empresa comunicó al comité la instalación de cámaras en diversos lugares visibles de los almacenes, rogándole que no lo trasladara a la plantilla con el objeto de velar por el resultado de la vigilancia. La sentencia apunta que, a pesar de que no se comunicó a los empleados que se les grababa, en el juicio se evidenció que tenían conocimiento del hecho.

Dos palés

En las imágenes grabadas en la madrugada del sábado 11 de mayo de 2013, a las 5.49 horas, puede verse como uno de los trabajadores fichó la salida del turno al haber finalizado su jornada de trabajo. No obstante, el empleado permaneció en las dependencias de la empresa, cogió una carretilla elevadora y se dirigió a una de las naves para coger, en sendos viajes, dos palés cargados de sacos de material cuyo valor ascendía a 1.890 euros. Depositando los palés en el suelo, el trabajador retiró la etiqueta identificativa de Alción Plásticos. A continuación, mantuvo una conversación con una persona no identificada en su teléfono móvil. Tras ello, abrió la puerta de entrada y permitió el acceso de un camión. Una vez dentro, el trabajador cerró la puerta y comenzó a cargar en el vehículo los sacos apilados en los palés y abrió de nuevo la puerta de la nave para permitir que el camión saliera, dejó la carretilla elevadora en su sitio y abandonó el centro de trabajo a las 6:31 horas.

Al día siguiente, en que el trabajador no tenía asignada jornada laboral, accedió al centro de trabajo a las 8:20 horas, sin fichar. Entró a la nave y recolocó los materiales e instrumentos de trabajo para dejarlos como estaban el sábado de madrugada. Y salió por la puerta de acceso de personal, de nuevo sin fichar, alrededor de las 8:41 horas.

La actuación del trabajador determinó su despido disciplinario y el que se siguieran diligencias previas ante el Juzgado de Instrucción. Frente a la sentencia de instancia, que declaró procedente el despido, el trabajador interpuso recurso de suplicación denunciando la infracción del artículo 18 de la Constitución y de los artículos 4.7, 5.1 y 26.1 de la Ley de Protección de Datos. El Tribunal Superior de Justicia (TSJ)de la Comunidad Valenciana desestimó el recurso y declaró que la colocación de las cámaras de videovigilancia respetaba los requisitos de idoneidad, necesidad y proporcionalidad.

Contra esta sentencia, el trabajador interpuso recurso de casación para unificación de doctrina alegando que no se le había informado previamente y aportando, como sentencia de contraste, la del Tribunal Constitucional 29/2013, que anuló las sanciones impuestas a un trabajador de universidad por faltas reiteradas al trabajo y manipulación de las horas de entrada, al que se grabó sin su conocimiento en el acceso al recinto universitario.Sin embargo, el Supremo entiende que no concurre el requisito de contradicción entre las sentencias y confirma el fallo del TSJ favorable a la empresa.

Fuente: Expansión.com

Polémica: La toma de temperatura en los centros comerciales bajo sospecha

El problema surge con la legalidad de esta medida, que por algunos juristas es considerada una intromisión en la intimidad. De hecho hace unas semanas la Asociación Internacional de Miembros de Cuerpos de Seguridad y Emergencias (AIMCSE) envió una carta al ministerio de Sanidad preguntando "la conveniencia o no de la toma de temperatura en los controles de accesos y en el caso de verlo procedente, sobre qué parámetros de temperatura corporal consideran preocupantes a la hora de acceder un ciudadano al trabajo o a locales públicos".

La AIMCSE es una asociación que cuenta entre sus filas con miembros de Protección Civil, Seguridad Privada, Policias y Guardias Civiles, Militares, Funcionarios de Prisiones, Bomberos, Sanitarios de Emergencias, Formadores en Seguridad y Emergencias, Comunicadores en Seguridad y Emergencias y Técnicos del sector en Calidad, Legal y Prevención de Riesgos Laborales PRL.

La polémica se puso sobre la mesa después de que entre las medidas de desescalada se estimase como una posibilidad real que se tomase la temperatura a personal laboral y clientes que accedan a locales públicos, como ya ocurre en algunos países asiáticos.

Por eso el pasado 30 de abril la Agencia Española de Protección de Datos (AEPD) emitió un comunicado en el que mostraba su preocupación por "la paulatina retirada de las medidas de confinamiento y limitación de la actividad económica y social está determinando la implantación de medidas encaminadas a prevenir nuevos contagios de COVID–19".

Se refería la AEPD a "la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos".

La Agencia Española de Protección de Datos ha destacado "su preocupación por este tipo de actuaciones, que se están realizando sin el criterio previo y necesario de las autoridades sanitarias".

El problema es el tratamiento de los datos personales que debería ajustarse a la legislación en esta materia.  Desde la AEPD explican que "esta normativa contiene apartados específicos que contemplan situaciones como la actual, al tiempo que permiten seguir aplicando los principios y garantías que protegen el derecho fundamental a la protección de datos" y advierten de que la "toma de temperatura supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus".

Respecto al espacio de aplicación de la medida también hay controversia, ya que se llevaría a cabo en espacios públicos, "de forma que una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros que no tienen ninguna justificación para conocerlo que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus", dice la AEPD.

Además, la aplicación de esta medida y su posible denegación de acceso a un local en concreto "pueden tener un importante impacto para la persona afectada", añade la AEPD y continúa diciendo que "la aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados".

En ese sentido, debe tenerse en cuenta, entre otras cuestiones, que según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.

Unas declaraciones del abogado Rubén Herrero a elcierredigital.com daba las claves de este problema. Herrero, profesor asociado del Departamento de Derecho Procesal y Derecho Penal en la Universidad Complutense de Madrid, explicaba: "Pongamos un ejemplo. Imaginemos que un ciudadano quiere entrar en un comercio. Al realizársele la toma de temperatura obtiene un resultado positivo, y por ende, incompatible con el acceso autorizado por parte de dicho comercio, siendo una interpretación plausible que la persona se encuentra infectada. Dicha información, (habida cuenta de la existencia de terceras personas en la entrada), sería conocida por las mismas, y en este sentido, se vulneraría su derecho a la intimidad (datos y posible estado de salud), máxime cuando dichos terceros no poseen legitimidad para conocer dicho dato. Sin perjuicio de lo anterior, es importante no perder de vista que existen ciudadanos contagiados y asintomáticos, circunstancia esta que hace que el resultado e injerencia de esta medida sea inservible e insuficiente para el sacrificio de los derechos en conflicto".

Derechos del ciudadano

La Agencia Española de Protección de Datos (AEPD) sostiene que "debieran considerarse, entre otras, medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso".

Es igualmente importante establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.

Fuente: elcierredigital

Protección de Datos abre una investigación sobre las cámaras de vigilancia facial de Mercadona

La Agencia Española de Protección de Datos (AEPD) ha iniciado una investigación de oficio a Mercadona por implantar un sistema de reconocimiento facial en unos 40 supermercados de Mallorca, Zaragoza y Valencia. La AEPD ha explicado a EL PAÍS que la investigación se ha iniciado a raíz de las informaciones aparecidas en medios de comunicación, que han suscitado polémica por las implicaciones que pudiera haber sobre los datos biométricos, que tienen una protección especial. “El procedimiento se encuentra en fase de actuaciones previas de investigación, por lo que no podemos ofrecer detalles sobre el mismo dado que se encuentra abierto”, ha explicado la agencia.

“Si la AEPD decide que hay infracción legal, podría poner a Mercadona una sanción económica que puede ser bastante grande, ya que es un tratamiento que ya está en marcha”, afirma Alfonso Pacheco Cifuentes, abogado especializado en protección de datos y copropietario del blog Privacidad Lógica. Al ser datos considerados de categoría especial, explica que se aplicaría el artículo 83.5 del Reglamento General de Protección de datos. Este reglamento establece un régimen sancionador muy severo con multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.

“No tenemos constancia del expediente abierto por la Agencia pero desde Mercadona hemos estado en contacto con la Agencia Española de Protección de Datos, remitiendo toda la información sobre el proyecto y siguiendo las pautas que nos han dado, actuando con total transparencia. Y así vamos a seguir actuando ante cualquier información que nos sea solicitada”, aseguran desde la empresa.

La compañía valenciana pretende con este sistema detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra Mercadona o sus trabajadores que les prohíbe entrar a las tiendas. Pero la decisión de usar esta tecnología, recientemente abandonada por IBM y en parte por Amazon por las dudas éticas sobre su uso, y la falta de transparencia al respecto ha suscitado polémica entre múltiples usuarios. ¿Qué supone para un comprador el uso de este tipo de sistemas? ¿Qué dice la ley al respecto? ¿Hasta qué punto falla esta tecnología?

Las tiendas que utilizan este sistema tienen en su entrada un cartel informativo, según Mercadona. Ya hay usuarios que han compartido fotos del mismo en redes sociales. “Le informamos de que Mercadona S.A., con el fin de mejorar su seguridad, ha implementado un sistema de reconocimiento facial para detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga en vigor que puedan suponer un riesgo para su seguridad”, indica el cartel.

Mercadona insiste en que el sistema es absolutamente legal y no almacena las imágenes. Los datos, según explica, desaparecen en 0,3 segundos. Que el proceso sea rápido no significa que no haya un tratamiento de datos, según subraya Pacheco Cifuentes. “Mercadona recoge la imagen de la cara de todas las personas que pasan por delante de los dispositivos. Esas imágenes se vuelcan en el sistema informático de Mercadona o de la empresa contratada al efecto, donde se obtiene mediante el correspondiente software una plantilla o patrón biométrico de esa imagen facial, que se coteja con las plantillas biométricas de las personas con orden de prohibición de entrada en el establecimiento o con orden de alejamiento de empleado de la empresa”, afirma.

Una vez que el sistema detecta que una de estas personas quiere entrar en el supermercado tras cotejar su imagen con una base de datos, el sistema genera una alerta que será contrastada por un equipo de seguridad para después alertar a las Fuerzas y Cuerpos de Seguridad del Estado. El sistema, que será operado por personal propio de la compañía, se nutre con las imágenes generadas por las cámaras de videovigilancia “que han sido aportadas como prueba en el procedimiento judicial donde ha sido dictada la sentencia”, según la empresa. Mercadona descarta ofrecer información sobre cuántas personas hay con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la compañía o contra alguno de sus trabajadores por motivos de seguridad.

Los sesgos del reconocimiento facial

Nerea Luis Mingueza, doctora en inteligencia artificial en Sngular, no considera que “estemos aún preparados a nivel tecnológico, ético y legal como para implantar un sistema de ese estilo de forma generalizada”. Mercadona asegura que los datos no se almacenan y son eliminados en 0,3 segundos. “¿Quién audita que esto se cumple?”, pregunta Mingueza, que considera que la compañía pretende así evitar cualquier dilema sobre el almacenamiento de datos.

A ella le preocupa “que no seamos conscientes de las implicaciones en el medio y largo plazo”: “Académicos como Timnit Gebru o Anima Anandkumar y empresas referentes en tecnología han manifestado durante los últimos años la inmadurez de este tipo de sistemas”. San Francisco se convirtió el año pasado en la primera ciudad en Estados Unidos en prohibir el uso de la tecnología de reconocimiento facial. Hace tan solo unas semanas IBM anunció que dejaría de comercializar software propio de reconocimiento facial “de uso general” y Amazon decidió suspender temporalmente el uso policial de su software.

Esta tecnología es polémica porque es capaz de identificar a personas en cualquier contexto sin que se den cuenta y aplicar una serie de sesgos —especialmente con mujeres y negros—. Por ejemplo, en 2018 el reconocimiento facial de Amazon confundió a 28 congresistas con sospechosos de la policía. La Unión Estadounidense por las Libertades Civiles (ACLU) advirtió entonces en un comunicado del peligro de que los organismos oficiales usen este tipo de tecnología: "Que una identificación sea precisa o no puede costarle a una persona su libertad o incluso su vida".

En el caso de las cámaras instaladas en tiendas las consecuencias no serían tan graves, pero también existen. Pacheco pone como ejemplo la vulneración del derecho al honor: “Yo entro en el supermercado y el sistema erróneamente me identifica como una persona sobre la que pesa una prohibición de acceso. Mercadona llama a Policía, que acude y delante de todo el mundo procede a mi detención por quebrantamiento de la orden. Luego se descubre que yo no soy el malo, pero me han detenido delante de un montón de gente, buena parte de la cual me conoce, porque siempre compro en el súper de al lado de casa, donde coincido siempre con conocidos y amigos e incluso el personal también sabe quién soy”

 #videovigilanciamallorca #videovigilanciaMercadona #reconocimientofacialMercadona #AEDP #protecciondedatos

Fuente: Elpais

Protección de Datos amplía la investigación de la app Radar COVID tras admitir a trámite una denuncia

La Agencia Española de Protección de Datos (AEPD) ampliará la investigación de la aplicación Radar COVID, lanzada por el Gobierno para tratar de combatir la pandemia del coronavirus.

El organismo ha admitido a trámite la denuncia presentada por Pau Enseñat el pasado 8 de septiembre en nombre de Reclamadatos, empresa dedicada a desvelar qué datos personales están en manos de organizaciones y reclamarlos. En concreto, Enseñat denunció a la Secretaría General de Administración Digital (SGAD), ente encargado de implantar la app Radar COVID en nuestro país.

En la denuncia, Reclamadatos pedía un análisis para resolver si la Radar COVID cumplía con los principios de licitud, lealtad, transparencia y responsabilidad proactiva reflejados en el Artículo 5 del Reglamento General de Protección de Datos (RGPD), ya que la SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos. También se alega que la Política de Privacidad de la app no tiene definidas las funciones y responsabilidades de las autoridades sanitarias de las comunidades autónomas. "Además, no se dan detalles sobre los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, algo que exige Bruselas", explicaba Pau Enseñat tras presentar la denuncia.

La reclamación se ha integrado al expediente iniciado el pasado 23 de junio por el cual la AEPD anunciaba el comienzo de las investigaciones para saber si el tratamiento de los datos de los usuarios de la app desarrollada por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) se ajusta al Reglamento General de Protección de Datos.

Fuentes del sector jurídico explican que hay "indicios razonables de vulneración de la normativa. Protección de Datos tenía tres meses para pronunciarse respecto a la denuncia de Reclamadatos, pero han empleado menos de un mes en responder".

Desde el organismo encargado de velar por el buen tratamiento de los datos de los españoles no facilitan información respecto al estado del procedimiento, o si hay más empresas o corporaciones que hayan reclamado a la aplicación ante la AEPD. "Al estar en esa fase de actuaciones previas, la Agencia no puede puede facilitar información sobre las mismas", declara la Agencia.

La AEPD tendrá que mover de nuevo ficha tras concluir las investigaciones, un proceso que podría durar hasta doce meses. Las mismas fuentes jurídicas consideran que "atendiendo al problema y situación actual lo lógico es que esta fase del proceso se acelere lo máximo posible".

El antecedente noruego

Si tras la investigación se resuelve que hay evidencias de un mal tratamiento de los datos de los usuarios de Radar COVID, se deberá iniciar un expediente sancionador. Así las cosas, antes de que la sanción sea en firme la AEPD podría tomar medidas provisionales, como exigir el cambio del tratamiento de los datos o suspender temporalmente la aplicación para que no pueda ser utilizada.

Un supuesto que en Noruega ha sido una realidad. La app Smittestopp para reducir los contagios en el país nórdico cesó su actividad el pasado mes de junio. El organismo competente en el ámbito de Protección de Datos en la nación prohibió al Instituto Noruego de Salud Pública continuar recopilando datos de los ciudadanos a través de la app, cuyo uso quedó, por consiguiente, interrumpido.

El punto 'caliente' que provocó que la autoridad de datos noruega decidiera detener el uso de la app estaba en que la plataforma utilizaba el GPS de los teléfonos, algo que no sucede con Radar COVID. La aplicación española se sirve de la tecnología bluetooth para cruzar los datos de contagiados o posibles contagiados, pero en ningún caso accede al GPS.

#protecciondedatos #aepd #radarcovid #usoinapropiadodeinformacion #agenciaespañoladeprotecciondedatos #proteccionciudadana

Fuente: Vozpopuli

Protección de Datos investiga a la Comunidad de Madrid por la difusión de información personal de los docentes

La Agencia Española de Protección de Datos (AEPD) ha anunciado que va a  iniciar actuaciones de investigación a la Comunidad de Madrid para obtener información en relación con la difusión de datos personales de trabajadores de centros docentes para que asistieran este miércoles a realizarse pruebas serológicas ante el inicio de curso.

En concreto, la Comunidad convocó en la tarde de este martes a cientos de docentes en el IES Virgen de la Paloma para someterse a estos test. Sindicatos y docentes, además de Facua Madrid, han denunciado que este proceso se salta la ley de protección de datos.

Varios docentes han puesto de manifiesto que en la noche del martes recibieron un correo electrónico, en el que les citan para una PCR que les realizará Ribera Salud este miércoles por la mañana, acompañado de un documento adjunto con datos de casi 17.000 trabajadores del Área Territorial Madrid-Sur.

Protección de Datos multa con 12.000 euros a un comercio por publicar fotos de un sin techo

La Agencia Española de Protección de datos ha multado con 12.000 euros en total a Recambios Villalegre S.L., una empresa de Asturias, por difundir la fotografía de una persona sin hogar en su cuenta de Facebook. El comercio denunció que era él el responsable de un robo y, tras la publicación, el sin techo comenzó a sufrir acoso en la ciudad. 

No fue una carta, sino dos sucesivas, el 23 y el 25 de julio de este año, remitidas a Protección de Datos por un particular. “Me pongo en contacto con ustedes debido al acoso y amenazas que está sufriendo un pobre indigente”, decía la misiva. 

La empresa asturiana publicó en Facebook que la persona sin hogar había robado 480 euros de la caja registradora y adjuntaba una fotografía tomada de las cámaras de videovigilancia. “Algo totalmente ilegal, más aún cuando la empresa carece de cartel informativo de zona videovigilada en sus instalaciones”, explicaba la denuncia. 

La publicación tuvo repercusión en la ciudad de Avilés y fue compartida por un gran número de usuarios con comentarios vejatorios, insultantes e incluso amenazantes. “Puesto que esta persona carece de recurso alguno para tratar de solucionar el problema que le han causado de forma intencionada, y tras comunicarme su decisión de abandonar la ciudad (en el mejor de los casos) por todo lo que está sufriendo, me veo en la obligación de comunicarlo”, decía el denunciante.  

Un segundo escrito 

La empresa Recambios Villalegre puso una denuncia por lo que el sin techo fue detenido, pero puesto en libertad sin cargos por falta de pruebas tras un juicio rápido. Los medios de locales se hicieron eco del caso por lo que la repercusión de este hecho fue creciendo. Motivo por el que el particular envía una segunda carta a la Agencia de Protección de Datos.

 motivo alguno por el cual someter al acusado a semejante exposición social”, explicaba la segunda misiva.  

El denunciante exponía también que la empresa había hecho circular por grupos de Whatsapp otra fotografía de la persona tomada de frente y en la que era perfectamente reconocible la cara de la persona.

En la publicación de Facebook decía: “Este señor que se pasa los días pidiendo ayuda muy educadamente por el centro [...] y en especial, por las terrazas de los bares, hoy por la tarde nos ha entrado en nuestro negocio y en un momento que hemos tenido que estar en la parte de atrás de la tienda, ha entrado por dentro del mostrador y se llevó todo el dinero que teníamos en efectivo. Las cámaras lo han grabado perfectamente. Ruego máxima difusión para ayuda de todos”. 

En la resolución de la Agencia Española de Protección de Datos, se especifica que el tratamiento de las imágenes se ha utilizado y difundido sin el consentimiento del interesado, por lo que impone a la empresa una multa de 10.000 euros. Además, a esto se suman otros 2.000 porque la empresa tenía cámaras de videovigilancia sin estar señalizado en la puerta que se estaba grabando. 

#protecciondedatos #agenciaespañoladeprotecciondetdatos #AEPD #publicarfotossinpermiso #usoinapropiadodeinformacion

Fuente: Elconfidencialdigital

Hasta el 70% de las empresas viola la nueva protección de datos, según una encuesta

Las compañías de fuera de la UE que ofrecen sus servicios en Europa cumplen mejor la normativa que las propias empresas europeas

Las empresas extranjeras tienen más miedo a las sanciones del Reglamento General de Protección de Datos (RGPD) de la UE que las propias compañías europeas. Es uno de los resultados de una encuesta sobre la aplicación de la nueva normativa, que arroja que hasta un 65% las empresas de la UE no cumplen con la nueva normativa. En el caso de las empresas no europeas, la cifra es del 50%.

Los datos han sido proporcionados por Talend, empresa dedicada a ofrecer servicios de integración de datos en la nube. Su investigación se basa en las solicitudes de datos personales realizadas entre el 1 y el 3 de septiembre a 103 empresas con sede o que operan en Europa. La empresa  evaluó las respuestas a las solicitudes de los artículos 15 ("Derecho de acceso del interesado") y 20 ("Derecho a la portabilidad de los datos") del RGPD. "El 70% de las empresas no pudieron cumplir con las solicitudes de acceso y portabilidad de datos dentro del plazo marcado por el RGPD", señala la empresa. El Reglamento General de Protección de Datos entró en vigor el pasado 25 de mayo y es de directa aplicación para todos los países de la UE. 

Los sectores analizados fueron  el comercio minorista, los medios de comunicación, la tecnología, el sector público, las finanzas y los viajes. Las empresas peor puntuadas pertenecían al sector del comercio minorista: el 76% de las compañías de retail encuestadas no respondieron, mientras que el sector más cumplidor, Servicios Financieros, sólo logró una tasa de éxito del 50%. 

Datos muy preocupantes: solo el 63% de las pymes españolas conocen el Reglamento 

El sector de las pequeñas y medianas empresas es el que mostró más dificultades para adaptarse a la nueva protección de datos europea. Según otra encuesta de la Agencia Española de Protección de Datos (AEPD) cuyos resultados se hicieron públicos en julio, " casi cuatro de cada diez empresas, no tienen aún conocimiento de esta normativa".

El estudio de la AEPD también pone de relieve la falta de recursos de muchas pymes para poder afrontar las obligaciones de la normativa en materia de protección de datos, aunque también "manifiesta la actitud positiva de estas empresas para cumplir sus obligaciones en este ámbito", señaló la Agencia. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios.

Fuente: eldiario

Uber, en el punto de mira de la Agencia Española de Protección de Datos

Tras las denuncias presentadas en los últimos meses por FACUA-Consumidores en Acción contra Uber ante distintos organismos, la Agencia Española de Protección de Datos (AEPD) ha apreciado la existencia de «indicios racionales de una posible vulneración del artículo 7 del RGPD (Reglamento General de Protección de Datos)«.

La AEPD ha dado traslado del caso a la autoridad de control de Países Bajos, donde Uber tiene su sede en la Unión Europea. «Corresponde a la autoridad de protección de datos de ese Estado asumir la tramitación de esta reclamación, según lo previsto en el artículo 56 del RGPD», señala la Agencia en el acuerdo que ha remitido a FACUA.

Una de las cláusulas contractuales de Uber impone a los usuarios la recepción de «mensajes de texto informativos (SMS) como parte de la actividad comercial normal de su uso de los servicios». FACUA reclamó a Uber la modificación de la cláusula y advirtió de que su redacción no es clara, ya que no permite comprender si se refiere meramente a SMS informativos sobre el desarrollo de la ejecución del servicio de transporte que haya solicitado un usuario, a mensajes de texto con contenido publicitario o a ambos.

El pasado febrero, FACUA planteó una reclamación a Uber para pedirle que corrigiera ésta y otras prácticas que considera contrarias a la legislación. La compañía eludió hacerlo, por lo que la asociación interpuso una batería de denuncias contra la multinacional ante las autoridades de protección al consumidor de varias comunidades autónomas. Una de ellas, la andaluza, dio traslado a la AEPD de los hechos relacionados con la normativa en materia de protección de datos.

SMS y correos comerciales

Hasta la fecha, Uber no ha aclarado a FACUA cuál es el significado que pretende darle a la cláusula de su contrato en la que impone la recepción de SMS. Además, la compañía también envía a los usuarios mensajes de correo electrónicos comerciales a los que no alude en ninguna cláusula de su contrato, irregularidad que la asociación ha trasladado también a la AEPD.

FACUA advierte de que a día de hoy, Uber sigue sin modificar la cláusula contractual objeto de la controversia pese a que la solución a la irregularidad es tan simple como incorporar una casilla en la configuración del funcionamiento de su APP que el usuario debería marcar si acepta la recepción de mensajes de texto o correos electrónicos comerciales.

Qué dice la normativa

El artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su apartado tercero que «no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la redacción contractual».

Por otro lado, el artículo 7 del Reglamento General de Protección de Datos indica en su apartado segundo que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo». En el caso de Uber, en el contrato no hay una solicitud de consentimiento que permita al usuario aceptarla o rechazarla, sino que se impone a lo largo del clausulado y debe ser el afectado el que, posteriormente, envíe un correo electrónico para manifestar que quiere revocarla.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Diario16, Uber