Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

  • La Agencia de Protección de Datos "no permitirá" que los partidos creen bases de datos con perfiles ideológicos de los ciudadanos

    La Agencia Española de Protección de Datos (AEPD) ha avisado este jueves a los partidos políticos que "no se va a permitir el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, y no se va permitir el envío de información personalizada basada en perfiles ideológicos". La directora de este regulador independiente con capacidad sancionadora, Mar España, ha querido aclarar la interpretación que la Agencia hará de la nueva Ley Orgánica de Protección de Datos que se aprobó ayer en el Senado.

    España ha asegurado en una reunión informativa que la aplicación de la norma por parte de la AEPD será "la más garantista posible" en lo referente a la posibilidad de generar bases de datos con información ideológica de los ciudadanos. El órgano, encargado de interpretar y aplicar la ley, entiende que esta no autoriza a los partidos a llevar a cabo esta práctica y anuncia que adoptará una actitud "extremadamente rigurosa y vigilante" para impedirla. En esta línea, ha advertido que puede sancionar a los partidos que la lleven a cabo con hasta 20 millones de euros.

    "La Agencia no va a valorar si está bien redactado o no, aunque lo que sí trasladó la Agencia durante las negociaciones fue que quizá el marco más adecuado para una modificación de ese calado no era el marco de la protección de datos", ha revelado este jueves España.

    La AEPD afirma que el rastreo de las redes sociales y páginas web por parte de los partidos solo podrá ser usado para "pulsar la opinión pública" de forma anónima, pero que estos no podrán utilizar esa información para enviar propaganda personalizada.

    Los partidos podrán enviar propaganda al móvil aunque nunca les hayas dado tu número  

    Lo que ha reconocido España es que ni la interpretación más garantista de la ley por parte de la AEPD podrá impedir que los partidos rastreen las redes hasta encontrar los datos de contacto de los ciudadanos, como el número de teléfono o email, y se pongan en contacto con ellos sin su consentimiento previo. 

    Esta práctica esta prohibida para el resto de empresas y organizaciones, que no pueden enviar propaganda si no existe una relación contractual previa y el ciudadano está de acuerdo. Con la modificación de la ley electoral vía ley de protección de datos aprobada este miércoles en el Senado,  los partidos han añadido una excepción para sí mismos que les permite el envío de spam durante las campañas electorales a partir de datos que encuentren en Internet.

    ¿Cuál es la justificación de esta excepción? "Eso tendrán que preguntárselo a los partidos que han negociado la ley, a la Agencia solo le corresponde interpretarla", ha contestado España. La directora de la AEPD sí ha querido reseñar que los partidos tendrán la obligación de garantizar una manera sencilla y efectiva para oponerse al envío de esa publicidad electoral. 

    Los Tribunales tendrán que decidir 

    Sobre la posibilidad de que la Agencia lleve a cabo otra interpretación de la ley cuando cambie su dirección (el mandato de España concluye en 2019) y permita a los partidos llevar a cabo las actuaciones que ahora les negará, España ha opinado que "para entonces ya habrá un posiciamiento jurídico firme".

    La directora de la AEPD confirma así la previsión de muchos juristas, que explican que la ley terminará en los tribunales. Unidos Podemos anunció este miércoles que recurrirá la ley al Tribunal Constitucional, mientras que hoy se han unido a esa voluntad organizaciones como la Asociación de Usuarios de Internet.

    AEPD Mar España

    Fuente: eldiario

  • La Agencia de Protección de Datos sanciona con 5.000€ a un médico tras perder imágenes de una paciente en una operación

    La Agencia de Protección de Datos sanciona con 5.000€ a un médico tras perder imágenes de una paciente en una operación

    La Agencia Española de Protección de Datos ha sancionado con un importe de 5.000 euros a una facultativo por extraviar las imágenes grabadas durante una intervención quirúrgica a una paciente en un hospital privado de Madrid en 2014.

    Así consta en una resolución, tras el recurso tramitado por la asociación 'El Defensor del Paciente' a través del letrado Carlos Sardinero en representación de la afectada.

    "Se tiene en cuenta que en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que incurrió en una grave falta de diligencia", expone el órgano que ve acreditada la infracción sobre la ley de Protección de Datos.

     

    También entiende que estas imágenes no suponían un volumen de datos de elevado volumen para justificar la pérdida y recalca que no se produjo ningún beneficio económico a través del extravío de esta información que se incluye en la historia clínica digital de los pacientes.

    "En el presente caso ha quedado acreditado que el denunciado carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al no posibilitar el ejercicio del derecho de acceso de su paciente a los datos de la historia clínica", insiste la resolución.

    Con esta resolución por fin se reconoce que las imágenes grabadas de cualquier intervención forman parte de la historia clínica, aunque se recojan con fines docentes o de investigación. 

    La paciente relató que fue sometida a una intervención quirúrgica por un traumatólogo de un centro privado que fue grabada en vídeo. Posteriormente, con el fin de contrastar distintas opiniones de facultativos sobre el resultado de la intervención, solicitó las imágenes grabadas pero el traumatólogo, mediante correo electrónico, le comunicó que no las encontraba porque sus hijos habían perdido varios pendrive donde posiblemente estuviera recogida la intervención.

    Durante el procedimiento el médico denunciado manifestó que la sanción había prescrito y que la grabación de una operación no forma parte de la historia clínica, más si las imágenes se toman con fines docentes y científicos.

     

    "No puede aceptarse por tanto lo alegado por el denunciante sobre que las grabaciones no se entregan al paciente ni se unen a su historia clínica, por el mero hecho de que no existe obligación de realizarlas", expone la Agencia de Protección de Datos.

    El abogado Carlos Sardinero ha manifestado tras la resolución que los facultativos "deben conocer que cuando se pierde parte de la historia clínica es motivo de sanción por vía de Agencia de Protección de Datos, pero es preciso advertir de que, a la vez, también es motivo de responsabilidad civil por daños y perjuicios, como lo demuestran los últimos pronunciamientos judiciales estimados a su despacho".

     

    dvb

     

    Fuente:lavanguardia

  • La Agencia Española de Protección de Datos abre un expediente al Ayuntamiento de Xirivella

    Una denuncia presentada por el Sindicato Profesional de Policías Locales y Bomberos (SPPLB) ante la Agencia Española de Protección de Datos por la gestión del Ayuntamiento de Xirivella ha acabado con «la apertura de un expediente por, entre otros, carecer de máquina destructora de papel, falta de información al ciudadano sobre a dónde van sus datos una vez obtenidos por los agentes a los efectos de las productividades, ficheros de datos de la empresa privada que lleva el trámite de multas o fichero de protección de imágenes de las cámaras».

    Por todo ello, la Agencia Española de Protección de Datos «ha abierto expediente al Ayuntamiento y ha remitido un escrito dándole un mes para que comunique el resultado de las acciones llevadas a cabo para atender la reclamación». El Consistorio «está gestionando el requerimiento y ya ha adquirido una trituradora de papel que ha instalado en la central de la Policía Local» para no «volver a tirar ningún documentación y ser destruidos».

    Mercado de Xirivella

     

    Fuente: lasprovincias

     

  • La Agencia Española de Protección de Datos ha recibido 418 notificaciones por brechas de seguridad

    La Agencia Española de Protección de Datos (AEPD)  ha recibido 418 notificaciones por brechas de seguridad de organizaciones desde la aplicación del reglamento europeo de protección de datos el 25 de mayo que recoge multas millonarias para las empresas que no custodien la información personal que manejan.

    De esas notificaciones, sólo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional. 

    Las brechas de seguridad son definidas por el propio reglamento de protección de datos europeo como "violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales" que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

     

    El objetivo de esta normativa es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

    Las brechas de seguridad pueden producirse por fallos del sistema informático de las organizaciones, por incidentes inesperados o por el robo o extracción de información por parte de cibercriminales e incluso de los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

    Precisamente en las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras conocerse que la cadena hotelera Marriott ha detectado "un acceso no autorizado" a su base de datos de clientes, que contiene información de 500 millones de personas.

    Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

     

    Para reforzar la protección de ese tipo de información al menos en Europa, el nuevo reglamento sobre privacidad ha extendido la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

    Previamente esta exigencia se ceñía exclusivamente a los operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza, y de hecho, en el período del año pasado desde el 25 de mayo hasta el primero de diciembre fueron solo cuatro las notificaciones en España por quiebras de seguridad, según la AEPD.

    La normativa europea exige a las empresas que gestionan información personal comunicar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo salvo si fuera improbable que la brecha de seguridad supone riesgo para los derechos y libertades de las personas físicas. Además el responsable del tratamiento de datos debe informar asimismo a los afectados con lenguaje claro y sencillo y de forma concisa y transparente en caso de que el incidente entrañe alto riesgo para los derechos y libertades de las personas -por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio. 

    El hecho de notificar una brecha de seguridad no implica el inicio de un procedimiento sancionador para la compañía, ni tiene por qué acabar con una sanción. La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento. 

     

    agencia de proteccion de datos

     

    Fuente: lavanguardia

  • La Agencia Española de Protección de Datos sanciona gravemente al grupo Municipal Socialista de Noja

    La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción grave al Grupo Municipal Socialista de Noja, cuya cuantía no se especifica en el fallo, por la difusión de un vídeo a través de Facebook en el que se ve como un grupo de vecinos increpa al concejal de Medio Ambiente, Javier Martín (PSOE), tras personarse en su despacho municipal el 21 de junio de 2016 para pedirle explicaciones por la tala de unos árboles en el parque Marqués de Velasco.

    En el vídeo se puede ver en un momento dado como el concejal se dirigió a la esposa de uno de los vecinos con las siguientes palabras : «Yo hago lo que me sale de los cojones, tú puedes hacer lo que te dé la puta gana», lo que provocó que el marido le amenazase al edil diciéndole «como vuelvas a hablar así a mi mujer, te parto la cara; te doy una así y te sacó por la ventana», al tiempo que levantaba el brazo con el puño cerrado.

    Estos hechos llevaron al edil socialista a denunciar inicialmente a los seis vecinos presentes, lo que derivó en un juicio celebrado el 1 de marzo de 2017 sobre delitos leves. Durante el mismo, se retiró la denuncia contra cinco de los vecinos y se condenó al sexto a pagar una multa de 540 euros por una delito de amenazas leve. El problema estalló cuando el PP subió a las redes sociales extractos de la sentencia y el PSOE, al considerarlo una manipulación, publicó en su página de Facebook el vídeo íntegro durante tres días en el que se reconoce perfectamente a los protagonistas que participaron en la discusión.

     

     agencia de proteccion de datos

     

    El portavoz socialista en Noja alegó que las personas que aparecen son o han sido cargos del PP en el Ayuntamiento o, en su caso, miembros o simpatizantes del mismo o de otros partidos políticos como Vox. Sin embargo, Protección de Datos considera que ser afín a un partido político o haber ido en una candidatura en 2015, máxime cuando no se ha aprobado su elección, no es justificación para poder airear los datos personales sin su consentimiento previo. Además, no considera acreditado que cuatro de las cinco personas que aparecen hayan desempeñado ningún cargo en ninguna administración.

    A pesar de ello, el Grupo Socialista denunciado entiende que frente al derecho fundamental de la protección de datos de los denunciantes, que se recoge en el artículo 18.4 de la Constitución, prevalece la satisfacción del interés legítimo que ampara al portavoz para ejercer el derecho a la libertad de expresión, opinión e información como medio para relacionase con los cuidados en aras a conformar una opinión política y pública frente al uso torticero de una sentencia por parte del PP, y al que los denunciantes se encuentras vinculados por su militancia o simpatía.

    Protección de Datos le reprende de nuevo al reiterar que la mayoría de las personas que aparecen no tiene relevancia pública «por lo que no están obligadas a soportar un recorte o intromisión ilegítima en su derecho como ciudadanos particulares a la protección de sus datos personales». Y, además, le recuerda que las amenazas no están relacionadas con la petición de explicaciones por la tala de eucaliptos que motivó la visita vecinal, sino con la actitud previa mostrada con la esposa del condenado. Por lo cual, la Agencia de Protección de Datos considera que no es necesario publicar el vídeo para demostrar a los nojeños un probado delito de amenazas. Y le reprende porque para responder al PP podía haber optado por una respuesta «menos intrusiva para los afectados que publicar sus imágenes en una red social».

    Atendidas las circunstancias que concurren en el presente caso, «no resulta posible apreciar que la libertad de expresión justifique el tratamiento realizado sin consentimiento de los afectados». En este caso concreto, no se propone la adopción de medidas correctoras ya que el vídeo fue retirado del Facebook socialista.

    Fuente: eldiariomontanes

  • La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

    La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

    A vueltas con la privacidad del usuario y, en este caso, Android. La Agencia Española de Protección de Datos (AEPD) señala con el dedo al sistema operativo de Google por infracciones al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La AEPD ha publicado dos documentos técnicos, dirigidos tanto a usuarios como a desarrolladores, que analizan Android.

    La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios estarían vulnerando la legislación europea. El primer informe analiza el control del usuario en la personalización de anuncios que hace Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.

    El SO para móviles de Google ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", alerta la AEPD. Asimismo, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio. Además, señala el organismo, ocurre que al reiniciar los valores de fábrica de un teléfono móvil, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD".

    La AEPD recomienda a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica. Aplicaciones que hacen capturas de pantalla sin avisar

    El segundo informe de la Agencia Española de Protección de Datos se refiere a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop. Los investigadores de este organismo han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso". 

    La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD. Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD. "Acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD", ha dicho Google en un comunicado.

    TTCS Android AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #sistemadeseguridad  #ciberseguridad

    Fuente: 20minutos

  • La Audiencia Nacional permite borrar de Google datos de candidaturas electorales

    AEPD

    Sentencia a sentencia, la Audiencia Nacional perfila y da a conocer los límites del llamado " derecho al olvido". En esta ocasión los datos cuya difusión se ha restringido en Google son electorales.

    En 1999, el Boletín Oficial de la Comunidad de Madrid publicó las candidaturas de las elecciones municipales de 1999 de San Sebastián de los Reyes (Madrid). Diez años más tarde, una de las personas que aparecía en ese listado solicitó a Google (y a la web del propio Boletín Oficial) que dejasen de mostrarse sus datos cada vez que buscase su nombre.

    Como es habitual Google se negó a retirar los contenidos, y el Boletín Oficial de la Comunidad de Madrid ni siquiera contestó. La cuestión objeto de debate llegó a la Agencia Española de Protección de Datos (AEPD), que tras ocho meses de procedimiento concluyó que Google debería retirar la información. La AEPD no sólo obligó a Google: también dispuso que se haría llegar una recomendación a la web del Boletín Oficial, para que llevase a cabo la ocultación de los datos. La AEPD reseñó entonces un argumento que parecía determinante: existían motivos fundados y legítimos para que no se divulgase la ideología de la persona afectada.

    Google, que no estaba de acuerdo con la decisión, recurrió el caso ante la Audiencia Nacional. Allí, Google expuso que si se censuraba esa información, se estaría llevando a cabo una vulneración de su libertad de información y expresión. Alegaba Google que la información era de " interés público" pues mostraba "listas electorales publicadas por imperativo legal, y a cuyo acceso y localización tienen derecho los usuarios del motor de búsqueda".

    Sin embargo, la Audiencia Nacional ha desestimado el planteamiento de Google. En sentencia de 5 de febrero de 2015, se ha confirmado que Google debe retirar la información (únicamente para la búsqueda concreta del nombre de la reclamante). Afirma la Audiencia Nacional que:

        "…dicha información carece de relevancia que justificara que prevaleciera el interés del público general de dichos datos personales sobre los derechos reconocidos en los artículos 7 y 8 de la Carta Europea de Derechos Fundamentales. Estamos ante un tratamiento de datos inicialmente lícito por parte del buscador Google que dado el contenido de la información y el tiempo transcurrido no son necesarios en relación con los fines para los que se recogieron o trataron."

    Cabe señalarse que hasta ahora se han dictado otras resoluciones que ponían en duda la viabilidad de las reclamaciones contra Google en el caso que los datos a retirar fuesen electorales y esta sentencia podría constituir un importante punto de inflexión interpretativo para el futuro en esta materia.

    Así, por ejemplo, con fecha 18 de julio de 2011, la Agencia Española de Protección de Datos denegó la retirada (en Google), de las listas electorales de la Junta Electoral Central, y la desindexación (en el BOE), de las candidaturas presentadas y proclamadas, respectivamente, a las elecciones de Diputados al Parlamento Europeo, a celebrar el 13 de junio de 2004.

    Igualmente, la Agencia Española de Protección de Datos, en Resolución de 17 de diciembre de 2014, denegó la retirada (en Google), de las listas electorales de las Elecciones Generales del año 2008. La Agencia, citó en su Resolución una Sentencia que afirma:

        "La adscripción política de un candidato es y debe ser un dato público en una sociedad democrática, y por ello no puede reclamarse sobre él ningún poder de disposición"

    La Sentencia de la Audiencia Nacional, que es posterior a las Resoluciones de la Agencia Española de Protección de Datos, permite extraer una conclusión: que los datos electorales (a pesar de su carácter eminentemente público) pueden ser objeto de derecho al olvido, cuando hayan dejado de ser necesarios.

     

    Fuente: eldiario

  • La nueva ley sobre protección de datos dispara las reclamaciones

     

    tttcs empresa seguridad y alarmas

    La nueva ley sobre protección de datos dispara las reclamaciones

    La Agencia de Protección de Datos (AEPD) ha recibido un 33 por ciento más de reclamaciones desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) europeo, una subida que asociaciones de usuarios y consumidores valoran positivamente, aunque creen que todavía queda mucho por hacer. Desde el 25 de mayo, que entró en vigor la RGPD, al 3 de septiembre de este año, la AEPD ha recibido 3.740 reclamaciones por uso fraudulento de datos; en el mismo periodo de 2017 solo recibió 2.799.

    El usuario tiene mucho más control sobre sus datos

    La normativa europea otorga mayor control al usuario sobre sus datos: las empresas deben informar sobre su uso, el tiempo que los conservarán, con quién los compartirá y si serán transferidos fuera de la UE, entre otras cuestiones fundamentales.

     “El reglamento ha supuesto un antes y después. Ha cambiado la percepción y el respeto por los datos personales, aunque todavía sigue siendo una asignatura pendiente”, subraya el presidente la Asociación de Internautas, Víctor Domingo.

    Domingo está convencido de que las reclamaciones “aumentarán en el futuro”, la concienciación hasta ahora era precaria: “Partimos de cero. Las denuncias y la preocupación por este tipo de cosas por parte de los usuarios era una anécdota, bastante residual”.

     Explica que, el incremento experimentado por las reclamaciones viene dado por una “mayor conciencia” del usuario, un mayor uso de datos por parte de las empresas y un “positivo efecto llamada” de la exposición mediática de la ley.

     

     

    Las principales reclamaciones que esta asociación de consumidores recibe en relación con un uso fraudulento de datos son relativas a falsa morosidad -consumidores que son incluidos en ficheros de morosos por deudas falsas o infladas-, llamadas o correos no deseados (“spam”) y filtración de datos.

    En lo que va de año, la asociación de consumidores ha interpuesto ante la AEPD tres denuncias contra Facebook y una contra Telefónica.

    servidor facebookFacebook

     

    Más presupuesto, más protección

    La agencia “necesita aumentar su presupuesto”, para que haya más inspectores y su funcionamiento “sea más ágil”, subraya Gómez: “Queda mucho por hacer: la inmensa mayoría de las irregularidades no se detectan”.

    La nueva normativa europea vino a armonizar la legislación entre los Estados miembros y a actualizar una anticuada directiva de la década de 1990, que nació en una Europa sin redes sociales ni teléfonos inteligentes, y con un uso de internet mucho más limitado que los 250 millones de europeos actuales. Este efecto llamada también ocurrió hace una década, cuando se aprobó la Ley Orgánica de Protección de Datos (diciembre 2007). Con esta nueva ley se pasó de 2.520 reclamaciones en 2007 a 4.049 en 2008.

    Además, la agencia está siendo muy activa en las tareas de concienciación y difusión: tanto con entidades públicas y privadas para que conozcan cómo cumplir con la nueva normativa, como con los ciudadanos para que conozcan sus derechos.

    Aunque la mayor parte del reglamento europeo que entró en vigor el 25 de mayo es intocable, la UE dejó margen a los países para adaptar algunas cuestiones. El Congreso español tramita ahora esta transposición del reglamento al ordenamiento jurídico español, que previsiblemente llegará a su fin en otoño -hasta entonces rige un real decreto aprobado en julio- y que ya cuenta con más de 300 enmiendas.

     Fuente: efefuturo

     

  • La OCU pide a la agencia de protección de datos que investigue a apple por el tratamiento de datos personales de sus aplicaciones

    La Organización de Consumidores y Usuarios (OCU) ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra un proceso de investigación a Apple por el tratamiento de datos personales de sus aplicaciones con el objetivo de comprobar si cumple con la normativa en vigor.

    Todo ello con el fin de que, en su caso, se le impongan las sanciones correspondientes si se demuestra que alguna de sus aplicaciones ha recopilado y utilizado información de sus usuarios sin su consentimiento.

    Así lo exigió este viernes la OCU tras conocerse que algunas aplicaciones disponibles en App Store han estado utilizando una herramienta que permite registrar los movimientos y datos de los consumidores, incluyendo la captura de las pantallas de sus móviles, "sin el consentimiento de los usuarios", por lo que consideró que la compañía "debería revisar y controlar de manera más eficiente el cumplimiento de la política de privacidad por parte de estas aplicaciones".

    "A pesar de que supuestamente todas las aplicaciones que se publican en la App Store deben seguir la política de privacidad de Apple, ninguna de las aplicaciones indicadas muestra claramente en sus políticas que grabaran la pantalla del usuario, ni contaban con el permiso explícito para hacer este tipo de registro", precisó la organización.

    La OCU considera que Apple "debería revisar de manera más eficiente" el cumplimiento de la política de privacidad por parte de las aplicaciones que forman parte de su App Store, así como "controlar mejor su cumplimiento".

    Para la organización de consumidores, los datos que las compañías utilizan "pertenecen a los consumidores". "Son ellos los que deben tener el control sobre los mismos en todo momento, saber exactamente para qué se usan y obtener una buena parte del valor creado por las compañías que los utilizan", abundó.

    A través de la campaña 'Mis datos son míos', defiende el "papel central" de los consumidores en la economía de datos y reclama que estos reciban una "parte justa" de los beneficios que estos generan para las empresas, "que no solo los utilizan para su propio beneficio, sino para comercializar con terceros", concluyó la OCU.

    TTCS - Agencia Española de Protección de datos

     

    Fuente: Ecodiario

  • Las Autoridades europeas de protección de datos aprueban el primer Dictamen conjunto sobre drones

     

    • El documento alerta de que la utilización de estas aeronaves plantea riesgos para la privacidad derivados de su capacidad para captar y procesar datos personales y recoge las obligaciones que deben cumplirse
    • Incluye recomendaciones a legisladores, reguladores del sector, fabricantes y operadores, así como a las autoridades que utilicen estas aeronaves en sus funciones de vigilancia y control
    • El Dictamen destaca la posibilidad de establecer “miradores únicos” desde los que recoger fácilmente una amplia variedad de información, por largos períodos de tiempo y abarcando grandes áreas
    • El uso de drones equipados con sensores en un entorno estrictamente personal y doméstico estaría excluido de los criterios del Dictamen

     

    Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) han aprobado el primer Dictamen conjunto sobre drones, que analiza la incidencia y los riesgos que la utilización de estos vehículos no tripulados plantean para la privacidad y la protección de datos. El Dictamen evidencia los desafíos que supone el despliegue a gran escala de estas aeronaves equipadas con equipos de sensores, al tiempo que ofrece directrices para interpretar las normas de protección de datos en el contexto de los drones.

    El marco jurídico aplicable en relación con las implicaciones de protección de datos derivadas del uso de drones en los Estados miembros es la Directiva 95/46, en conexión con la Directiva 2002/58 de Privacidad y Comunicaciones Electrónicas. Asimismo, existen aspectos en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión (CCTV, por sus siglas en inglés) que también son de aplicación al uso de drones, en particular en el caso de que estos se utilicen con fines de videovigilancia.

    Las Autoridades ponen de manifiesto que hay actividades de los drones que estarían excluidas de la Directiva y, por tanto, de los criterios contenidos en este Dictamen. Entre ellas, el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos.

    El Dictamen recoge las obligaciones que deben cumplirse antes de utilizar un dron, como verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan, entre otras.

    El GT29 alerta de los riesgos que pueden surgir como consecuencia de la captación y  procesamiento de información -imágenes, sonido o datos de geolocalización relacionados con una persona identificada o identificable- llevados a cabo por un dron. Entre ellos, destaca la potencial falta de transparencia de ese tipo de tratamiento debido a la dificultad tanto para divisar estos aparatos desde el suelo como para conocer si el dron incorpora el equipo necesario para procesar datos, con qué propósito se están recogiendo y por quién. Teniendo en cuenta la amplia gama de servicios ofrecidos basados en drones, el documento considera de “máxima importancia” el hecho de que el responsable del tratamiento de datos y el encargado del mismo estén claramente identificados para cada tipo de operación efectuada.

    Además, el documento destaca que la versatilidad de estos aparatos y la posibilidad de interconectarse entre sí facilitan la posibilidad de establecer “miradores únicos” que permiten recoger fácilmente una amplia variedad de información incluso sin visión directa, por largos períodos de tiempo y abarcando grandes áreas.

    En cuanto al procesamiento de datos mediante drones por servicios gubernamentales, el Dictamen especifica que este debe llevarse a cabo dentro de los fines establecidos en la legislación y no deben ser utilizados para la vigilancia indiscriminada, el tratamiento masivo de datos, o la puesta en común de datos y perfiles.
    Recomendaciones

    El documento también incluye recomendaciones específicas dirigidas a legisladores, reguladores del sector, fabricantes y a quienes manejen drones, así como para las autoridades que utilicen estos dispositivos para el ejercicio de sus potestades. A juicio de las Autoridades, los legisladores y reguladores del sector aéreo deben promover tanto en el ámbito nacional como en el europeo un marco que garantice no sólo la seguridad en vuelo sino el respeto por todos los derechos fundamentales.

    En relación con los fabricantes, incide en la necesidad de que estos adopten medidas de privacidad desde el diseño y por defecto, y sugiere realizar evaluaciones de impacto en la protección de datos como una herramienta adecuada para valorar el impacto de las aplicaciones de drones sobre este derecho fundamental. Para incrementar la concienciación entre los usuarios también aconseja que, en el caso de dispositivos de pequeñas dimensiones, se incluya información suficiente relativa al potencial intrusivo de estas tecnologías y, cuando sea posible, mapas que identifiquen claramente dónde está permitido su uso. En cuanto a los operadores de estos aparatos, las Autoridades aconsejan evitar en lo posible volar sobre zonas privadas y edificios, incluso cuando esté permitido su uso.

    Finalmente, las Autoridades recuerdan que la recolección de datos personales de drones por parte de autoridades de orden público que utilicen estas aeronaves en sus funciones de vigilancia y control no debe permitir el rastreo constante y, en caso de que este fuera necesario, debe quedar restringido al marco de las investigaciones encaminadas a garantizar el cumplimiento de las normas legales.

     

    Fuente: abogacia

  • Legislación aplicable en materia de protección de datos sobre borrado seguro de información

    Legislación aplicable en materia de protección de datos sobre borrado seguro de información

     

    Proteccion de datos

    En primer lugar corresponde manifestar que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), instaura una serie de principios y garantías, respecto al derecho fundamental reconocido constitucionalmente a la protección de datos personales (artículo 18.4 de la Constitución Española). Dicha ley impone un mandato legal de seguridad (artículo 9 LOPD), a todas aquellas empresas o entidades que intervengan en el tratamiento de datos y les obliga a custodiar la información de modo que no pueda ser accedida por personas o terceros no autorizados debidamente. Hace referencia a la legislación aplicable en cuanto al tratamiento y revelación de datos personales de un tercero sin previa autorización de la persona afectada o interesada (por ejemplo, publicar fotografías de un cliente en la página web de la empresa o difundir datos personales de un empleado de la empresa sin previa autorización de éstos, entre otros muchos casos).

    Es necesario asimismo resaltar la doctrina jurisprudencial contenida en la STC 292/2000, de 30 de noviembre, que fija con claridad, precisión y exactitud el derecho a la protección de datos de carácter personal contemplado en el artículo 18.4 de la Constitución como un derecho fundamental diferente y autónomo de los derechos al honor y a la intimidad personal amparados en el artículo 18.1 de la propia Carta Magna Española.

    También, es importante tomar en consideración que las empresas y entidades ya sean de naturaleza pública o privada y con independencia de su tamaño o volumen de sus recursos humanos, son responsables del total de los datos informatizados almacenados en sus equipos informáticos. Cada vez es más frecuente, que los trabajadores almacenen enormes cantidades de información en los discos duros de sus equipos informáticos, que en la mayoría de los casos, contienen asimismo datos personales o de carácter privado que les atribuyen cualidades de naturaleza confidencial. La eliminación de forma no segura de la información puede acarrear una posterior recuperación no autorizada, originando enormes perjuicios comerciales, de imagen y, también como no responsabilidades de tipo legal.

    El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD) se encarga de desarrollar de forma completa la LOPD.

    En concreto en el artículo 92.4 (gestión de documentos y soportes informáticos) se estipula lo siguiente: “siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior”.

    El artículo 44. 3. h) de la LOPD tipifica como infracción grave mantener los ficheros, locales, programas informáticos o equipos informáticos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

    Este precepto es reproducción literal del antiguo artículo 43.3.h) de la Ley Orgánica 5/1992 y debe ponerse en relación tanto con el artículo 9 de la LOPD (que recoge la vital necesidad de que de modo reglamentario se fije el catálogo de medidas de seguridad) como con el título VIII del Reglamento de la LOPD, en el cual se recogen las disposiciones generales sobre Medidas de Seguridad, como el catálogo de medidas aplicables a ficheros y tratamientos en relación directa a cada uno de los distintos niveles de seguridad: básico, medio y alto.

    Las sanciones o multas por el incumplimiento de obligaciones legales en materia de protección de datos sobre borrado seguro de información pueden variar entre 40.001 a 300.000 euros (infracción grave), siendo la Agencia Española de Protección de Datos la entidad pública encargada de su aplicación. Por las diversas razones expuestas anteriormente, es de gran importancia realizar un borrado seguro de datos, no solamente porque atente directamente contra la privacidad de las personas (interesados o afectados) y la seguridad interna de las empresas, sino que, además, constituye una medida de seguridad de obligatorio cumplimiento cuando hace referencia a datos de carácter personal, según lo estipulado en la LOPD y el RDLOPD.

    Por último comentar que diversas sentencias de la Sala de lo Contencioso de la Audiencia Nacional han contemplado supuestos de aparición de documentación en distintos tipos de soportes de empresas en contenedores de basura, y se ha sancionado por la aplicación del artículo 44.3.h) de la LOPD sobre la base del siguiente argumento: “resulta evidente que si documentos de uso interno de la entidad recurrente conteniendo datos personales y a los que sólo ella podía tener acceso, fueron encontrados en la vía pública y en un contenedor al alcance de cualquier viandante, es porque no se prestó la diligencia necesaria en orden a la efectiva observancia de las medidas de seguridad que se pretenden haber tomado, con lo que la protección en orden a la seguridad de los datos no fue eficaz, vulnerándose el artículo 9 de la LOPD y en definitiva el bien jurídico protegido por la infracción apreciada que es la seguridad de los datos”.

    Mencionar que los tres únicos métodos existentes de borrado seguro de información (documentos o soportes informáticos) son los siguientes:

    • La destrucción física del soporte.
    • La desmagnetización del soporte.
    • La sobre-escritura de la información.

     

    Fuente: elderecho

  • Los españoles son pioneros en el derecho al olvido, según la AEPD

    Los españoles son pioneros en el derecho al olvido, según la Agencia Española de Protección de Datos.

     

    El sector de actividad en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, según la Agencia Española de Protección de Datos.

    AEPD

    Según la Agencia Española de Protección de Datos (AEPD), en  2014 se incrementó, en un 15%, el número de reclamaciones y denuncias alcanzando las 12.173 peticiones. De ellas, 10.074, un 17,04% más, correspondieron a denuncias, y 2.099 (5,11% más) fueron reclamaciones. “El nuevo incremento producido en 2014, que se suma a los de años anteriores, supone la constatación de que los ciudadanos son cada vez más conscientes de sus derechos” afirma la AEPD. En los últimos cuatro años se ha producido un crecimiento del 81,6% en el número de reclamaciones presentadas.

    La videovigilancia, la contratación fraudulenta, la inclusión en ficheros de morosidad, las cuestiones relativas al recobro de deudas y las comunicaciones comerciales centran la mayor parte de las denuncias que se plantearon ante la Agencia en 2014. A su vez, de las casi 100.000 consultas que han realizado los ciudadanos a través de la web de la Agencia, más de un 12% han estado relacionadas con ficheros de solvencia y recobro de deudas.

    La AEPD destaca que los españoles “han sido pioneros” en ejercitar el derecho al olvido. De las 210 reclamaciones que se presentaron a la Agencia, el 83,33% (175) fueron presentadas tras la sentencia del Tribunal de Justicia de la Unión Europea.

    En cuanto a la resolución de las denuncias y reclamaciones interpuestas por los ciudadanos,  se ha producido un crecimiento de 4,48% (11.222 frente a 10.741 en 2013). El ejercicio de la potestad sancionadora se ha incrementado en un 10,92%, si bien el volumen total de las sanciones económicas impuestas en 2014 ha disminuido un 23,89% (17.002.622 euros) con respecto a 2013, a pesar del incremento (1,04%) en el número de sanciones económicas. Ello es consecuencia de una disminución  (5,37%) en el número de sanciones graves declaradas y de la aplicación de los criterios de moderación y atenuación previstos en la LOPD (66,50%).

    El sector de actividad en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, con un importe total de 10.750.502 euros, suponiendo más de un 63,23% del volumen total. El segundo lugar lo ocupan las entidades financieras (2.018.501 euros), seguidas de las empresas de suministro y comercialización de energía y agua (1.862.900 euros). El sector de la publicidad y las comunicaciones electrónicas comerciales (spam) ocupan el cuarto y quinto puesto respectivamente (751.411 y 645.506 euros) en los sectores más sancionados.

    En lo referente a las resoluciones de procedimientos de apercibimiento del sector privado (en los que se declara infracción pero no se impone sanción económica) estos han recaído mayoritariamente en la actividad de videovigilancia (55,87%). A gran distancia se encuentran los servicios de internet (10,79%).

    En el caso de las Administraciones Públicas, se ha producido una disminución de un 10,53% en el número de infracciones declaradas, si bien se ha producido un incremento del 3,45% en los procedimientos resueltos.

     

    Fuente: ituser

  • Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

    Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

     

     

    La Agencia Española de Protección de Datos (AEPD) ha multado con 12.900 euros a un  salón de belleza por vulnerar la privacidad de sus trabajadoras. La Guardia Urbana de Barcelona denunció a un establecimiento hotelero, donde se constata la presunta “realización de actividades de naturaleza sexual”, por no disponer de carteles informativos sobre la presencia de cámaras de video-vigilancia en su interior. Las Fuerzas del orden público certificaron que estas cámaras obtenían imágenes de las zonas de descanso de las trabajadoras y carecían de formulario e inscripción de fichero en la AEPD.

    TICBCN LOPD

    La instalación de cámaras de vídeo-vigilancia en el lugar de trabajo no requiere del consentimiento por parte de los empleados, pero sí deben estar informados en todo momento de su presencia y de que éstas no invadan las zonas de descanso o reservadas a la intimidad.

    El sistema de vídeo-vigilancia debe estar dado de alta (según la normativa vigente en aquel momento) en la Agencia de Protección de Datos y debe informarse mediante distintivos colocados, al menos, en el acceso a las zonas vigiladas. Además, el establecimiento debe disponer de un impreso que informe de la existencia de las grabaciones y disponible por si un afectado quiere ejercitar sus derechos. Las grabaciones solo podrán mantenerse por un periodo máximo de 30 días.

    La empresa demandada reconoció su culpabilidad ante la ausencia de estos carteles informativos por motivos de obras en la instalación, aunque procedió a reinstalarlos y ubicarlos con posterioridad en las zonas de acceso.


    La Ley Orgánica de Protección de Datos recoge como principio fundamental el deber de informar a las personas de las cuales se vaya a obtener cualquier tipo de datos personales. La AEPD señala que “la captación de imágenes de personas mediante cámaras de video vigilancia y su trasmisión a un monitor, donde es visionada, aun cuando el sistema se limite a posibilitar su visualización, y su grabación, mediante la reproducción de la imagen de los individuos, constituye un acto de tratamiento de datos de carácter personal que proporciona información de personas físicas identificables acerca de su imagen personal, lugar en que se encuentran y actividad que desempeñan”.


     Por lo tanto estos hechos, debido a la infracción de su artículo 5.1, la Agencia impone una sanción de 900€ al carecer de los preceptivos carteles informativos, de tal manera que no es posible ejercitar los derechos de la LOPD ni haber informado a los clientes del establecimiento.

    En relación a la segunda infracción, desde la empresa alegaron que las cámaras se instalaron por motivos de seguridad para las trabajadoras y que las imágenes obtenidas no son de la zona de descanso de las empleadas, una zona con mesa y sillones desde donde pueden conectarse con sus ordenadores portátiles.

    Sin embargo, tras las comprobaciones pertinentes, ha quedado demostrada la presencia de cámaras de video-vigilancia en espacios privativos de las empleadas sin causa justificada y con una intencionalidad de control excesiva, como las zonas de la cocina y el vestidor, y las entradas/salidas de las habitaciones donde la empleadora asegura que las trabajadoras desempeñan sus funciones calificadas como “masajes”.


    El Tribunal Constitucional establece que el derecho a la propia imagen “pretende salvaguardar un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás; un ámbito necesario para poder decidir libremente el desarrollo de la propia personalidad y, en definitiva, un ámbito necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana”.


     En lo referente a la seguridad de las empleadas, la AEPD estima que ésta se cumple con la presencia de cámaras en los principales puntos de acceso al establecimiento, lo que permite la grabación de los clientes que acceden al local, por lo que la obtención de imágenes de las empleadas en sus zonas de descanso es excesiva.

    De hecho, el control laboral de las trabajadoras se lleva a cabo mediante el fichaje que realizan ellas mismas tanto a la entrada como a la salida del establecimiento, en donde queda registrado el número de horas que dedican a su jornada laboral.

    Por tanto, las pruebas aportadas concluyen la infracción del artículo 4.1 de la Ley Orgánica de Protección de Datos al haber instalado una cámara de vídeo-vigilancia en una zona de descanso, afectando así a la intimidad personal,  y se impone una multa de 12.000 euros.

    Fuente: eprivacidad

  • Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle

    Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle

    Una vecina de La Línea de la Concepción (Cádiz) deberá pagar una multa de 4.000 euros por instalar dos cámaras de video-vigilancia en su vivienda que enfocaban a la calle y captaban imágenes de la vía pública.

    La Ley Orgánica de Protección de Datos no permite que los sistemas de videovigilancia capten imágenes de las personas que se encuentren fuera del espacio privado. En lugares públicos es algo que sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado, según ha recordado la Policía Nacional.

    Agentes de la Policía Nacional detectaron dos cámaras de vigilancia en una vivienda particular situada en la calle Pedreras. Estaban camufladas en dos salidas al exterior de unas falsas chimeneas y captaban imágenes de gran parte de la vía pública.

    La Policía procedió a la proponer una sanción por infracción administrativa de la citada ley. El expediente fue elevado a la Agencia Española de Protección de Datos, que ha impuesto una sanción de 4.000 euros a la propietaria de la vivienda por vulnerar el derecho a la protección de datos de carácter personal al estar afectando un espacio público sin causa justificada. También se le obliga a que retire dichas cámaras.

    La Ley Orgánica de Protección de Datos prohíbe la instalación de videocámaras en fachadas de propiedades particulares que capten imágenes de espacios públicos y/o privados, salvo excepciones contempladas en esa Ley, pudiendo ascender las sanciones por la realización de estas conductas hasta los 20 millones de euros como máximo o, tratándose de un negocio, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, según ha recordado la Policía Nacional.

     

    camaras de seguridad en fachadas

      

     Refuerza la seguridad de tu negocio o vivienda con TTCS

    Visita nuestro apartado de productos, para conocer todas las soluciones de seguridad que TTCSte ofrece. O puedes llamarnos al 971607952, o pedirnos información por correo electrónico a nuestro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..Tenemos soluciones de seguridad adaptadas para cada tipo de cliente.

     

     #videovigilanciamallorca #camarasdeseguridadmallorca #sistemadeseguridadmallorca #leyorganicadeprotecciondedatos #AEPD #instalacionseguradesistemasdeseguridad

     Fuente: Sevilla.abc

     

  • Protección de Datos abre una investigación sobre las cámaras de vigilancia facial de Mercadona

    Protección de Datos abre una investigación sobre las cámaras de vigilancia facial de Mercadona

     Mercadona Mallorca Videovigilancia

    La Agencia Española de Protección de Datos (AEPD) ha iniciado una investigación de oficio a Mercadona por implantar un sistema de reconocimiento facial en unos 40 supermercados de Mallorca, Zaragoza y Valencia. La AEPD ha explicado a EL PAÍS que la investigación se ha iniciado a raíz de las informaciones aparecidas en medios de comunicación, que han suscitado polémica por las implicaciones que pudiera haber sobre los datos biométricos, que tienen una protección especial. “El procedimiento se encuentra en fase de actuaciones previas de investigación, por lo que no podemos ofrecer detalles sobre el mismo dado que se encuentra abierto”, ha explicado la agencia.

    “Si la AEPD decide que hay infracción legal, podría poner a Mercadona una sanción económica que puede ser bastante grande, ya que es un tratamiento que ya está en marcha”, afirma Alfonso Pacheco Cifuentes, abogado especializado en protección de datos y copropietario del blog Privacidad Lógica. Al ser datos considerados de categoría especial, explica que se aplicaría el artículo 83.5 del Reglamento General de Protección de datos. Este reglamento establece un régimen sancionador muy severo con multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.

     Viedeovigilancia Mallorca Mercadona

    “No tenemos constancia del expediente abierto por la Agencia pero desde Mercadona hemos estado en contacto con la Agencia Española de Protección de Datos, remitiendo toda la información sobre el proyecto y siguiendo las pautas que nos han dado, actuando con total transparencia. Y así vamos a seguir actuando ante cualquier información que nos sea solicitada”, aseguran desde la empresa.

    La compañía valenciana pretende con este sistema detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra Mercadona o sus trabajadores que les prohíbe entrar a las tiendas. Pero la decisión de usar esta tecnología, recientemente abandonada por IBM y en parte por Amazon por las dudas éticas sobre su uso, y la falta de transparencia al respecto ha suscitado polémica entre múltiples usuarios. ¿Qué supone para un comprador el uso de este tipo de sistemas? ¿Qué dice la ley al respecto? ¿Hasta qué punto falla esta tecnología?

    Las tiendas que utilizan este sistema tienen en su entrada un cartel informativo, según Mercadona. Ya hay usuarios que han compartido fotos del mismo en redes sociales. “Le informamos de que Mercadona S.A., con el fin de mejorar su seguridad, ha implementado un sistema de reconocimiento facial para detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga en vigor que puedan suponer un riesgo para su seguridad”, indica el cartel.

     

    Videovigilancia Mercadona Palma de Mallorca

    Mercadona insiste en que el sistema es absolutamente legal y no almacena las imágenes. Los datos, según explica, desaparecen en 0,3 segundos. Que el proceso sea rápido no significa que no haya un tratamiento de datos, según subraya Pacheco Cifuentes. “Mercadona recoge la imagen de la cara de todas las personas que pasan por delante de los dispositivos. Esas imágenes se vuelcan en el sistema informático de Mercadona o de la empresa contratada al efecto, donde se obtiene mediante el correspondiente software una plantilla o patrón biométrico de esa imagen facial, que se coteja con las plantillas biométricas de las personas con orden de prohibición de entrada en el establecimiento o con orden de alejamiento de empleado de la empresa”, afirma.

    Una vez que el sistema detecta que una de estas personas quiere entrar en el supermercado tras cotejar su imagen con una base de datos, el sistema genera una alerta que será contrastada por un equipo de seguridad para después alertar a las Fuerzas y Cuerpos de Seguridad del Estado. El sistema, que será operado por personal propio de la compañía, se nutre con las imágenes generadas por las cámaras de videovigilancia “que han sido aportadas como prueba en el procedimiento judicial donde ha sido dictada la sentencia”, según la empresa. Mercadona descarta ofrecer información sobre cuántas personas hay con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la compañía o contra alguno de sus trabajadores por motivos de seguridad.

    Los sesgos del reconocimiento facial

    Nerea Luis Mingueza, doctora en inteligencia artificial en Sngular, no considera que “estemos aún preparados a nivel tecnológico, ético y legal como para implantar un sistema de ese estilo de forma generalizada”. Mercadona asegura que los datos no se almacenan y son eliminados en 0,3 segundos. “¿Quién audita que esto se cumple?”, pregunta Mingueza, que considera que la compañía pretende así evitar cualquier dilema sobre el almacenamiento de datos.

    A ella le preocupa “que no seamos conscientes de las implicaciones en el medio y largo plazo”: “Académicos como Timnit Gebru o Anima Anandkumar y empresas referentes en tecnología han manifestado durante los últimos años la inmadurez de este tipo de sistemas”. San Francisco se convirtió el año pasado en la primera ciudad en Estados Unidos en prohibir el uso de la tecnología de reconocimiento facial. Hace tan solo unas semanas IBM anunció que dejaría de comercializar software propio de reconocimiento facial “de uso general” y Amazon decidió suspender temporalmente el uso policial de su software.

    Esta tecnología es polémica porque es capaz de identificar a personas en cualquier contexto sin que se den cuenta y aplicar una serie de sesgos —especialmente con mujeres y negros—. Por ejemplo, en 2018 el reconocimiento facial de Amazon confundió a 28 congresistas con sospechosos de la policía. La Unión Estadounidense por las Libertades Civiles (ACLU) advirtió entonces en un comunicado del peligro de que los organismos oficiales usen este tipo de tecnología: "Que una identificación sea precisa o no puede costarle a una persona su libertad o incluso su vida".

    En el caso de las cámaras instaladas en tiendas las consecuencias no serían tan graves, pero también existen. Pacheco pone como ejemplo la vulneración del derecho al honor: “Yo entro en el supermercado y el sistema erróneamente me identifica como una persona sobre la que pesa una prohibición de acceso. Mercadona llama a Policía, que acude y delante de todo el mundo procede a mi detención por quebrantamiento de la orden. Luego se descubre que yo no soy el malo, pero me han detenido delante de un montón de gente, buena parte de la cual me conoce, porque siempre compro en el súper de al lado de casa, donde coincido siempre con conocidos y amigos e incluso el personal también sabe quién soy”

     #videovigilanciamallorca #videovigilanciaMercadona #reconocimientofacialMercadona #AEDP #protecciondedatos

    Fuente: Elpais

     

  • Protección de Datos acusa a Google de incumplir el ‘derecho al olvido’

     

    Protección de Datos acusa a Google de incumplir el ‘derecho al olvido’

    El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, ha denunciado este jueves en Santander que el buscador Google incumple las sentencias del Tribunal Superior de Justicia Europeo (TJUE) sobre el ‘derecho al olvido’ de los ciudadanos porque “no bloquea los datos” de las personas físicas en su servidor mundial (Google.com), aunque sí lo hace de los nacionales (Google.es, en el caso de España).

    Así, ha considerado “inaceptable” este comportamiento de Google, pero también ha aclarado que “no se trata de la extraterritorialización” del ‘derecho al olvido’ fuera de los países europeos, sino de que “no se pueda eludir” la obligación del cumplimiento de la sentencia del TJUE, tal y como ha asegurado esta tarde en el encuentro ‘Retos de protección de datos en las sociedades actuales’, que se está celebrando esta semana en la Universidad Internacional Menéndez Pelayo (UIMP).

    El ‘derecho al olvido’ es el derecho de cualquier persona física a solicitar a los buscadores de Internet que no indexen enlaces con información personal suya, siempre y cuando no tenga relevancia pública ni sea de interés.

    En este sentido, Rodríguez Álvarez ha reconocido que con esta medida “obviamente” no se impide el acceso a la información de las personas físicas desde cualquier punto del mundo, y que “incluso alguien con conocimientos especializados utilizando un proxy, podría acceder a la información”.

    “No es la solución perfecta, pero es la que más se aproxima. No tenemos otra, salvo borrar el original, pero borrar el original es una cuestión distinta. Esto afecta mucho a la libertad de expresión y afecta al derecho de acceso a la información”, ha relatado el director de la AEPD. A este respecto, ha reivindicado que la AEPD “siempre ha buscado la solución que suponga el menor impacto en el derecho a la información”.

    En este sentido, ha defendido que “no se deben tocar las fuentes” de la información, ya que “tienen que permanecer intactas salvo que por las razones que tradicionalmente venimos aplicando a los límites de la libertad de expresión, se hayan rebasado” estos límites. “Una cosa es la publicación y otra es la difusión de esa información”, ha sostenido.

    Por su parte, el presidente de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, Eduardo Méndez Rexach, ha asegurado que Google “tiene el monopolio de casi todos los buscadores, pero hay unos pocos” que no pertenecen a esta compañía. Durante su intervención en el encuentro ‘, Rexach ha aclarado que la jurisprudencia sobre el ‘derecho al olvido’ es reciente y que “se debe garantizar su cumplimiento en toda la Unión Europea”.

    “Ahora somos más conscientes de la repercusión de la gestión de los datos personales. Estamos reaccionando ante las consecuencias reales”, ha afirmado, al tiempo que ha incidido en que el “primer impulso” para que se cumpla este derecho –que, según ha matizado, se trata en realidad de la unión de los derechos de acceso, modificación, cancelación y oposición–, debe ser de los ciudadanos y que “después ya actuarán los tribunales”.

     

    Fuente: diariodeavisos

  • Según unos estudios, hasta el 70% de las empresas viola la nueva protección de datos

    Hasta el 70% de las empresas viola la nueva protección de datos, según una encuesta

    Las compañías de fuera de la UE que ofrecen sus servicios en Europa cumplen mejor la normativa que las propias empresas europeas

    Las empresas extranjeras tienen más miedo a las sanciones del Reglamento General de Protección de Datos (RGPD) de la UE que las propias compañías europeas. Es uno de los resultados de una encuesta sobre la aplicación de la nueva normativa, que arroja que hasta un 65% las empresas de la UE no cumplen con la nueva normativa. En el caso de las empresas no europeas, la cifra es del 50%.

    Los datos han sido proporcionados por Talend, empresa dedicada a ofrecer servicios de integración de datos en la nube. Su investigación se basa en las solicitudes de datos personales realizadas entre el 1 y el 3 de septiembre a 103 empresas con sede o que operan en Europa. La empresa  evaluó las respuestas a las solicitudes de los artículos 15 ("Derecho de acceso del interesado") y 20 ("Derecho a la portabilidad de los datos") del RGPD. "El 70% de las empresas no pudieron cumplir con las solicitudes de acceso y portabilidad de datos dentro del plazo marcado por el RGPD", señala la empresa. El Reglamento General de Protección de Datos entró en vigor el pasado 25 de mayo y es de directa aplicación para todos los países de la UE. 

    Los sectores analizados fueron  el comercio minorista, los medios de comunicación, la tecnología, el sector público, las finanzas y los viajes. Las empresas peor puntuadas pertenecían al sector del comercio minorista: el 76% de las compañías de retail encuestadas no respondieron, mientras que el sector más cumplidor, Servicios Financieros, sólo logró una tasa de éxito del 50%. 

    Aprobado proyecto ley proteccion datos

    Datos muy preocupantes: solo el 63% de las pymes españolas conocen el Reglamento 

    El sector de las pequeñas y medianas empresas es el que mostró más dificultades para adaptarse a la nueva protección de datos europea. Según otra encuesta de la Agencia Española de Protección de Datos (AEPD) cuyos resultados se hicieron públicos en julio, " casi cuatro de cada diez empresas, no tienen aún conocimiento de esta normativa".

    El estudio de la AEPD también pone de relieve la falta de recursos de muchas pymes para poder afrontar las obligaciones de la normativa en materia de protección de datos, aunque también "manifiesta la actitud positiva de estas empresas para cumplir sus obligaciones en este ámbito", señaló la Agencia. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios.

    Fuente: eldiario

     

  • Uber, en el punto de mira de la Agencia Española de Protección de Datos

    Uber, en el punto de mira de la Agencia Española de Protección de Datos

    Tras las denuncias presentadas en los últimos meses por FACUA-Consumidores en Acción contra Uber ante distintos organismos, la Agencia Española de Protección de Datos (AEPD) ha apreciado la existencia de «indicios racionales de una posible vulneración del artículo 7 del RGPD (Reglamento General de Protección de Datos)«.

    La AEPD ha dado traslado del caso a la autoridad de control de Países Bajos, donde Uber tiene su sede en la Unión Europea. «Corresponde a la autoridad de protección de datos de ese Estado asumir la tramitación de esta reclamación, según lo previsto en el artículo 56 del RGPD», señala la Agencia en el acuerdo que ha remitido a FACUA.

    Una de las cláusulas contractuales de Uber impone a los usuarios la recepción de «mensajes de texto informativos (SMS) como parte de la actividad comercial normal de su uso de los servicios». FACUA reclamó a Uber la modificación de la cláusula y advirtió de que su redacción no es clara, ya que no permite comprender si se refiere meramente a SMS informativos sobre el desarrollo de la ejecución del servicio de transporte que haya solicitado un usuario, a mensajes de texto con contenido publicitario o a ambos.

    El pasado febrero, FACUA planteó una reclamación a Uber para pedirle que corrigiera ésta y otras prácticas que considera contrarias a la legislación. La compañía eludió hacerlo, por lo que la asociación interpuso una batería de denuncias contra la multinacional ante las autoridades de protección al consumidor de varias comunidades autónomas. Una de ellas, la andaluza, dio traslado a la AEPD de los hechos relacionados con la normativa en materia de protección de datos.

    SMS y correos comerciales

    Hasta la fecha, Uber no ha aclarado a FACUA cuál es el significado que pretende darle a la cláusula de su contrato en la que impone la recepción de SMS. Además, la compañía también envía a los usuarios mensajes de correo electrónicos comerciales a los que no alude en ninguna cláusula de su contrato, irregularidad que la asociación ha trasladado también a la AEPD.

    FACUA advierte de que a día de hoy, Uber sigue sin modificar la cláusula contractual objeto de la controversia pese a que la solución a la irregularidad es tan simple como incorporar una casilla en la configuración del funcionamiento de su APP que el usuario debería marcar si acepta la recepción de mensajes de texto o correos electrónicos comerciales.

    Qué dice la normativa

    El artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su apartado tercero que «no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la redacción contractual».

    Por otro lado, el artículo 7 del Reglamento General de Protección de Datos indica en su apartado segundo que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo». En el caso de Uber, en el contrato no hay una solicitud de consentimiento que permita al usuario aceptarla o rechazarla, sino que se impone a lo largo del clausulado y debe ser el afectado el que, posteriormente, envíe un correo electrónico para manifestar que quiere revocarla.

     

    TTCS UBER proteccion de datos AEPD

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Diario16Uber