¿La normativa de protección de datos se aplica a los videoporteros?
La normativa de protección de datos no es de aplicación cuando se trate de tratamientos mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, como ocurre, por ejemplo, cuando el tratamiento sea efectuado a través de videoporteros. Sin embargo, según la Agencia Española de Protección de Datos (AEPD @AEPD_es) si será de aplicación cuando el servicio se articule mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante.
En consecuencia, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, sujeto a la normativa de protección de datos.
Dicha normativa establece unas obligaciones a las comunidades de propietarios, que serán las responsables del tratamiento de sus datos personales. En el caso de que tengan contratado un administrador de fincas, éste actuará como encargado del tratamiento de los datos. Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos. Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:
- La creación del registro de actividades de tratamiento.
- Cumplir con el derecho de información.
- Atender los derechos de protección de datos.
- Determinar la legitimación de los tratamientos.
Además, el contrato entre la comunidad y el administrador deberá contener las respectivas cláusulas de protección de datos. Para ayudar a este cumplimiento, la AEPD dispone de la Guía Protección de Datos y Administradores de Fincas.
El Reglamento General de Protección de Datos (RGPD) en su artículo 37 establece una serie de supuestos en que en relación a determinados tratamientos debe nombrarse un delegado de protección de datos. Entre estos supuestos no se encuentran las comunidades de propietarios, por lo que no es obligatorio su nombramiento.
Además, con la aplicación del Reglamento General de Protección de Datos (RGPD) ha desaparecido la obligación de inscribir ficheros en la Agencia Española de Protección de Datos. No obstante, debe configurarse el registro de actividades de tratamiento tanto de la comunidad de propietarios como del administrador de fincas, con el contenido que dispone al respecto el artículo 30 del RGPD. Dicho registro es de carácter interno, no debe comunicarse a la Agencia, si bien ésta puede requerirlo en cualquier momento.
#agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #leyorganicadeprotecciondedatos #AEPD
Fuente: 65ymas
Coronavirus y protección de datos: cuando el interés público se impone a la privacidad
La detección precoz de los casos compatibles con covid-19 y la vigilancia epidemiológica para rastrear los sospechosos son claves para controlar la transmisión de la enfermedad, según el Ministerio de Sanidad. Y, por ello, la figura del rastreador se está revelando como primordial en la lucha contra la pandemia, ya que su labor, tirar del hilo, es esencial a la hora de contener la propagación del virus.
¿Cabe la posibilidad de que una autoridad sanitaria comunique a amigos, compañeros de trabajo o familiares que alguien está infectado del coronavirus? ¿Pueden los empresarios tratar la información de si sus trabajadores tienen, o han tenido, la enfermedad? ¿Tiene un empleado la obligación de informar a su empresa de que está en cuarentena preventiva o afectado por la covid-19? Ante la avalancha de preguntas y disparidad de opiniones, la propia Agencia Española de Protección de Datos (AEPD) publicó un informe hace unos meses para arrojar luz y total claridad en estos aspectos.
Cabe destacar que el derecho a la protección de datos tiene origen en el artículo 18 de la Constitución Española (“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito”). Este derecho se mantuvo en vigor durante el estado de alarma, y por supuesto sigue vigente hoy día, una vez superada esa situación excepcional.
En su informe, la AEPD afirma que el Reglamento General de Protección de Datos reconoce que, en situaciones excepcionales como la actual, “la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado y otra persona física”. Y es precisamente al reconocer la protección de esa “otra persona física” cuando se está legitimando el tratamiento de datos personales del individuo en aras de la protección al contagio de terceros. En consecuencia, el choque de derechos colectivos e individuales se resuelve en favor de la protección de la salud pública.
Conocimiento de una empresa
Así que sí, una empresa puede conocer de las autoridades sanitarias si uno de sus trabajadores está infectado o no, “para así diseñar los planes de contingencia necesarios” para salvaguardar la salud del resto. Dicha información “debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad” si de este modo es posible proteger al resto del personal. Solo en el caso de que dicha protección no pudiera garantizarse con una información parcial, “o la práctica sea desaconsejada por las autoridades competentes, en particular las sanitarias”, se proporcionará la identificación.
La empresa también puede preguntar directamente a sus trabajadores, aunque dichas preguntas “deben limitarse exclusivamente a indagar sobre la existencia de síntomas”, o sobre si el empleado “ha sido diagnosticado como contagiado o sujeto a cuarentena”. Cuestionarios de salud más extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad, sí contravendrían la protección de datos del empleado.
¿Y puede la empresa pedir a sus empleados o a visitantes ajenos datos sobre países que hayan visitado anteriormente, o si presentan síntomas relacionados con el coronavirus? “Sí, siempre que la información solicitada se limite a preguntar por visitas a países de alta prevalencia del virus, y en el marco de incubación de la enfermedad”, las dos semanas anteriores a dicha consulta.
Y sí, los trabajadores afectados por la cuarentena deben informar su empresa y al servicio de prevención o a los delegados de prevención de que se encuentran en esa situación. Y es que el derecho de no informar sobre el motivo de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en situaciones de pandemia y de la defensa de la salud de toda la población.
La toma de temperatura, a debate
Mención aparte merece para la Agencia Española de Protección de Datos la toma de temperatura en espacios y lugares públicos, ya que esta medida puede suponer un asalto injustificado a nuestros datos personales. La AEPD lo tiene claro: “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados”. En concreto, porque “afecta a datos relativos a la salud de las personas, no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino porque, a partir de él, se asume que una persona padece o no una concreta enfermedad”.
Según la agencia, “una eventual denegación de acceso a un espacio público estaría desvelando a terceros, que no tienen ninguna justificación por conocer esta información, que la persona afectada tiene una temperatura corporal por encima de lo que se considera no relevante y, sobre todo, porque puede haber sido contagiada por el virus”. Por ello, Protección de Datos recuerda que hay “un porcentaje de personas asintomáticas que no presentan fiebre, que la fiebre no siempre es un síntoma presente y que puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus”.
En el entorno laboral, la AEPD matiza que las pruebas de fiebre “podrían quedar amparadas en la obligación que tienen los empleadores de garantizar la seguridad y la salud de las personas trabajadoras a su servicio”.
¿Protegen nuestros datos las aplicaciones de rastreo de contagios?
En principio, sí. Radar Covid, por ejemplo, es una aplicación disponible ya en la tienda de aplicaciones de Google (App Store se sumará también) y está impulsada por el Gobierno. Notifica al usuario si ha estado en contacto con algún positivo diagnosticado, pero no recoge el nombre, correo electrónico, número de teléfono ni geolocalización de quien se la descarga. Dicho de otra forma, recoge los movimientos de forma anónima y alerta a quienes hayan estado próximos en caso de infección, sin indicarles en ningún momento la fecha, hora o lugar de exposición.
#agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion
Fuente: Heraldo
Protección de Datos abre una investigación sobre las cámaras de vigilancia facial de Mercadona
La Agencia Española de Protección de Datos (AEPD) ha iniciado una investigación de oficio a Mercadona por implantar un sistema de reconocimiento facial en unos 40 supermercados de Mallorca, Zaragoza y Valencia. La AEPD ha explicado a EL PAÍS que la investigación se ha iniciado a raíz de las informaciones aparecidas en medios de comunicación, que han suscitado polémica por las implicaciones que pudiera haber sobre los datos biométricos, que tienen una protección especial. “El procedimiento se encuentra en fase de actuaciones previas de investigación, por lo que no podemos ofrecer detalles sobre el mismo dado que se encuentra abierto”, ha explicado la agencia.
“Si la AEPD decide que hay infracción legal, podría poner a Mercadona una sanción económica que puede ser bastante grande, ya que es un tratamiento que ya está en marcha”, afirma Alfonso Pacheco Cifuentes, abogado especializado en protección de datos y copropietario del blog Privacidad Lógica. Al ser datos considerados de categoría especial, explica que se aplicaría el artículo 83.5 del Reglamento General de Protección de datos. Este reglamento establece un régimen sancionador muy severo con multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.
“No tenemos constancia del expediente abierto por la Agencia pero desde Mercadona hemos estado en contacto con la Agencia Española de Protección de Datos, remitiendo toda la información sobre el proyecto y siguiendo las pautas que nos han dado, actuando con total transparencia. Y así vamos a seguir actuando ante cualquier información que nos sea solicitada”, aseguran desde la empresa.
La compañía valenciana pretende con este sistema detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra Mercadona o sus trabajadores que les prohíbe entrar a las tiendas. Pero la decisión de usar esta tecnología, recientemente abandonada por IBM y en parte por Amazon por las dudas éticas sobre su uso, y la falta de transparencia al respecto ha suscitado polémica entre múltiples usuarios. ¿Qué supone para un comprador el uso de este tipo de sistemas? ¿Qué dice la ley al respecto? ¿Hasta qué punto falla esta tecnología?
Las tiendas que utilizan este sistema tienen en su entrada un cartel informativo, según Mercadona. Ya hay usuarios que han compartido fotos del mismo en redes sociales. “Le informamos de que Mercadona S.A., con el fin de mejorar su seguridad, ha implementado un sistema de reconocimiento facial para detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga en vigor que puedan suponer un riesgo para su seguridad”, indica el cartel.
Mercadona insiste en que el sistema es absolutamente legal y no almacena las imágenes. Los datos, según explica, desaparecen en 0,3 segundos. Que el proceso sea rápido no significa que no haya un tratamiento de datos, según subraya Pacheco Cifuentes. “Mercadona recoge la imagen de la cara de todas las personas que pasan por delante de los dispositivos. Esas imágenes se vuelcan en el sistema informático de Mercadona o de la empresa contratada al efecto, donde se obtiene mediante el correspondiente software una plantilla o patrón biométrico de esa imagen facial, que se coteja con las plantillas biométricas de las personas con orden de prohibición de entrada en el establecimiento o con orden de alejamiento de empleado de la empresa”, afirma.
Una vez que el sistema detecta que una de estas personas quiere entrar en el supermercado tras cotejar su imagen con una base de datos, el sistema genera una alerta que será contrastada por un equipo de seguridad para después alertar a las Fuerzas y Cuerpos de Seguridad del Estado. El sistema, que será operado por personal propio de la compañía, se nutre con las imágenes generadas por las cámaras de videovigilancia “que han sido aportadas como prueba en el procedimiento judicial donde ha sido dictada la sentencia”, según la empresa. Mercadona descarta ofrecer información sobre cuántas personas hay con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la compañía o contra alguno de sus trabajadores por motivos de seguridad.
Los sesgos del reconocimiento facial
Nerea Luis Mingueza, doctora en inteligencia artificial en Sngular, no considera que “estemos aún preparados a nivel tecnológico, ético y legal como para implantar un sistema de ese estilo de forma generalizada”. Mercadona asegura que los datos no se almacenan y son eliminados en 0,3 segundos. “¿Quién audita que esto se cumple?”, pregunta Mingueza, que considera que la compañía pretende así evitar cualquier dilema sobre el almacenamiento de datos.
A ella le preocupa “que no seamos conscientes de las implicaciones en el medio y largo plazo”: “Académicos como Timnit Gebru o Anima Anandkumar y empresas referentes en tecnología han manifestado durante los últimos años la inmadurez de este tipo de sistemas”. San Francisco se convirtió el año pasado en la primera ciudad en Estados Unidos en prohibir el uso de la tecnología de reconocimiento facial. Hace tan solo unas semanas IBM anunció que dejaría de comercializar software propio de reconocimiento facial “de uso general” y Amazon decidió suspender temporalmente el uso policial de su software.
Esta tecnología es polémica porque es capaz de identificar a personas en cualquier contexto sin que se den cuenta y aplicar una serie de sesgos —especialmente con mujeres y negros—. Por ejemplo, en 2018 el reconocimiento facial de Amazon confundió a 28 congresistas con sospechosos de la policía. La Unión Estadounidense por las Libertades Civiles (ACLU) advirtió entonces en un comunicado del peligro de que los organismos oficiales usen este tipo de tecnología: "Que una identificación sea precisa o no puede costarle a una persona su libertad o incluso su vida".
En el caso de las cámaras instaladas en tiendas las consecuencias no serían tan graves, pero también existen. Pacheco pone como ejemplo la vulneración del derecho al honor: “Yo entro en el supermercado y el sistema erróneamente me identifica como una persona sobre la que pesa una prohibición de acceso. Mercadona llama a Policía, que acude y delante de todo el mundo procede a mi detención por quebrantamiento de la orden. Luego se descubre que yo no soy el malo, pero me han detenido delante de un montón de gente, buena parte de la cual me conoce, porque siempre compro en el súper de al lado de casa, donde coincido siempre con conocidos y amigos e incluso el personal también sabe quién soy”
#videovigilanciamallorca #videovigilanciaMercadona #reconocimientofacialMercadona #AEDP #protecciondedatos
Fuente: Elpais
Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”
“22 millones de registros en total, de los cuales 1.060.000 son afectados de la Unión Europea y unos 17.792 de España”: son datos de un incidente de seguridad informática que afectó a Cafepress, una empresa dedicada a la venta de camisetas personalizadas en todo el mundo.
Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos, con la que se archivan las actuaciones referentes al ese incidente en el que fueron sustraídos, para ser puestos a la venta, datos personales de varios miles de españoles.
Datos de clientes a la venta en la “dark web”
Todo comenzó el 6 de agosto de 2019. Ese día Cafepress (que tiene su sede en Shelbyville Road, Lousville, Kentucky, Estados Unidos) descubrió que dos conjuntos de registros de datos de clientes estaban disponibles a la venta en la “dark web”.
Se denomina “dark web” aquella parte parte de la “deep web” o Internet profunda que está intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.
En estas redes de “dark web” se llevan a cabo transacciones ilegales: drogas, armas, pornografía infantil, órganos humanos... se venden a través de él.
Notificación a Protección de Datos
La Agencia Española de Protección de Datos recibió un escrito de notificación de quiebra de seguridad remitido por Jones Day, un bufete de abogados que representaba a Cafepress INC.
En el escrito se le informaba de que por fuentes externas habían tenido conocimiento de que Cafepress se había enterado “por fuentes externas que su base de datos de clientes había sido puesta a la venta en la ‘dark web’, un conjunto de un total de 22 millones de registros. Tras investigar el caso determinaron que una tercera persona no identificada obtuvo, sin autorización, la base de datos de clientes de Cafepress”.
De esos 22 millones de registros por todo el mundo, más de un millón pertenecían a ciudadanos de la Unión Europea, y a su vez 17.792 eran de España.
Al comprobar que había clientes de la empresa afectados, Cafepress notificó los hechos a la Agencia Española de Protección de Datos, que puso a la Subdirección General de Inspección de Datos a realizar unas actuaciones previas de investigación para el esclarecimiento de los hechos.
Contraseñas, tarjetas de crédito...
Uno de los problemas iniciales fue que tras recibir las notificaciones, algunas autoridades de control europeas se consideraron interesadas en el asunto. Pero otras, como la del Reino Unido, consideró que no había nada que investigar ya que Cafepress no cuenta con una sede física en la Unión Europea.
En principio, sobre los datos robados a esta web de personalización de camisetas y puestos a la venta en la “dark web” la Agencia Española de Protección de Datos indica que “las categorías de datos afectados por la brecha son datos básicos y de contacto, datos identificativos como nombres de usuario y contraseñas y, solo en algunos casos, datos económico-financieros tales como información de tarjetas de crédito (cuatro últimos números y fecha de caducidad)”.
Sí que hubo unos 15 afectados de la Unión Europea que vieron comprometidos datos más sensibles, como números de identificación fiscal o equivalentes, pero ninguno de ellos de España.
La empresa cuyos datos fueron sustraídos recibió unas 80 solicitudes de información de afectados de la Unión Europea relacionadas con el caso, pero ninguna en la que se manifieste haber sufrido daños por el incidente. Y concluyó que “la probabilidad de que los afectados experimenten consecuencias significativas es neutral para las 15 personas cuyos identificadores fiscales se vieron comprometidos, e improbable para el resto”.
Análisis forense
En su resolución, la Agencia Española de Protección de Datos analiza las medidas adoptadas por Cafepress. Entre las barreras que tenía antes de la “brecha” señala que “constaban medidas de seguridad como Hashing para las contraseñas de los usuarios, segmentación de red, cifrado de credenciales en tránsito, política de claves robustas para empleados, firewalls perimetrales, controles de acceso físicos, formación anual en seguridad para los empleados, y protección con software antivirus. Existe otro grupo de medidas adicionales implementadas para mitigar riesgos relacionadas la mayoría con la migración a otros servidores en julio de 2019 de las tablas de registros de clientes”.
Tras el robo de datos, Cafepress comunicó el suceso al Reino Unido (donde había una gran concentración de afectados) y al resto de las autoridades de control de la Unión Europea cuando determinó el número de afectados de cada país.
Esta empresa estadounidense inició sus propios análisis, con expertos forenses externos. Éstos no pudieron confirmar realmente si la información de los clientes había sido obtenida de su base de datos, “ya que los logs que registran el tráfico en tiempo real no reflejan el incidente”.
Ayuda del FBI
Además, denunció los hechos y comenzó a cooperar con el FBI de Estados Unidos (el país de su sede), y notificó el problema a todos los afectados mediante correo electrónico.
“En el presente caso, consta una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una posible brecha de confidencialidad, como consecuencia del acceso indebido por terceros ajenos a la base de datos del sistema de información de Cafepress”, establece la Agencia Española de Protección de Datos.
También concluye que la empresa “disponía de razonables medidas técnicas y organizativas preventivas a fin de evitar este tipo de incidencias y acordes con el nivel de riesgo”, así como de “protocolos de actuación para afrontar un incidente como el ahora analizado, lo que ha permitido de forma diligente la identificación, análisis y clasificación del supuesto incidente de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, minimizar el impacto e implementar nuevas medias razonables y oportunas para evitar que se repita la supuesta incidencia en el futuro a través de la puesta en marcha y ejecución efectiva de un plan de actuación”.
Como recomendación, Protección de Datos pide a Cafepress que realice un informe final sobre el incidente, que supondría “una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada causada previsiblemente por un error puntual”.
Al considerar que Cafepress no había infringido la normativa sobre protección de datos personales, la autoridad española ha terminado archivando las actuaciones sobre este robo de información que afectó a más de 17.000 españoles.
#robodeinformacion #usoinapropiadodeinformacion #ventadeinformacionprivada #AEPD #agenciaespañoladeprotecciondedatos #protecciondedatos
Fuente: Elconfidencialdigital
Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle
Una vecina de La Línea de la Concepción (Cádiz) deberá pagar una multa de 4.000 euros por instalar dos cámaras de video-vigilancia en su vivienda que enfocaban a la calle y captaban imágenes de la vía pública.
La Ley Orgánica de Protección de Datos no permite que los sistemas de videovigilancia capten imágenes de las personas que se encuentren fuera del espacio privado. En lugares públicos es algo que sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado, según ha recordado la Policía Nacional.
Agentes de la Policía Nacional detectaron dos cámaras de vigilancia en una vivienda particular situada en la calle Pedreras. Estaban camufladas en dos salidas al exterior de unas falsas chimeneas y captaban imágenes de gran parte de la vía pública.
La Policía procedió a la proponer una sanción por infracción administrativa de la citada ley. El expediente fue elevado a la Agencia Española de Protección de Datos, que ha impuesto una sanción de 4.000 euros a la propietaria de la vivienda por vulnerar el derecho a la protección de datos de carácter personal al estar afectando un espacio público sin causa justificada. También se le obliga a que retire dichas cámaras.
La Ley Orgánica de Protección de Datos prohíbe la instalación de videocámaras en fachadas de propiedades particulares que capten imágenes de espacios públicos y/o privados, salvo excepciones contempladas en esa Ley, pudiendo ascender las sanciones por la realización de estas conductas hasta los 20 millones de euros como máximo o, tratándose de un negocio, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, según ha recordado la Policía Nacional.
Refuerza la seguridad de tu negocio o vivienda con TTCS
Visita nuestro apartado de productos, para conocer todas las soluciones de seguridad que TTCS te ofrece. O puedes llamarnos al 971607952, o pedirnos información por correo electrónico a nuestro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..Tenemos soluciones de seguridad adaptadas para cada tipo de cliente.
#videovigilanciamallorca #camarasdeseguridadmallorca #sistemadeseguridadmallorca #leyorganicadeprotecciondedatos #AEPD #instalacionseguradesistemasdeseguridad
Fuente: Sevilla.abc