Lo que no tienes que hacer a WhatsApp: Multas de hasta 4.000 euros

La Agencia Española de Protección de Datos (AEPD) alerta sobre una multa de 4.000 euros. ¿El motivo? Poner a una persona en un grupo de WhatsApp sin su consentimiento, ya que se está vulnerando su privacidad.

WhatsApp se ha convertido en una de las aplicaciones de mensajería instantánea preferida de todo el mundo, ya que es gratuita y muy fácil de utilizar. No obstante, hacer un mal uso de esta aplicación puede salir muy caro, tal como alerta la Agencia Española de Protección de Datos.

Los grupos de WhatsApp son una buena herramienta para organizar quedadas con amigos y familiares, ya que permiten una comunicación global entre todos los miembros, un hecho que facilita mucho los acontecimientos. No obstante, según la AEPD explica que poner a alguien en un grupo sin su consentimiento podría ser un hecho sancionado económicamente.

De hecho, esto mismo es lo que le ha pasado a un club deportivo de Córdoba, que ha sido sancionado por haber puesto una exsocia en un grupo de WhatsApp sin el consentimiento de esta.

La AEPD explica que este club, ha incumplido tres artículos del Reglamento General de Protección de Datos, ya que han guardado el número de la mujer más de 10 años sin que esta formara ya parte del club, no haberle pedido permiso utilizar su número y, finalmente, no haber guardado sus datos personales de manera segura; unos hechos por los cuales les ha caído una sanción de 4.000 euros.

WhatsApp tiene un truco para saber si cuando te envían una ubicación esta es real o no, ya que a veces algunos usuarios pueden enviar una localización para hacerte creer que están en un punto en concreto aunque en realidad están en otro.

Fuente: elcaso

Los españoles son pioneros en el derecho al olvido, según la Agencia Española de Protección de Datos.

El sector de actividad en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, según la Agencia Española de Protección de Datos.

Según la Agencia Española de Protección de Datos (AEPD), en  2014 se incrementó, en un 15%, el número de reclamaciones y denuncias alcanzando las 12.173 peticiones. De ellas, 10.074, un 17,04% más, correspondieron a denuncias, y 2.099 (5,11% más) fueron reclamaciones. “El nuevo incremento producido en 2014, que se suma a los de años anteriores, supone la constatación de que los ciudadanos son cada vez más conscientes de sus derechos” afirma la AEPD. En los últimos cuatro años se ha producido un crecimiento del 81,6% en el número de reclamaciones presentadas.

La videovigilancia, la contratación fraudulenta, la inclusión en ficheros de morosidad, las cuestiones relativas al recobro de deudas y las comunicaciones comerciales centran la mayor parte de las denuncias que se plantearon ante la Agencia en 2014. A su vez, de las casi 100.000 consultas que han realizado los ciudadanos a través de la web de la Agencia, más de un 12% han estado relacionadas con ficheros de solvencia y recobro de deudas.

La AEPD destaca que los españoles “han sido pioneros” en ejercitar el derecho al olvido. De las 210 reclamaciones que se presentaron a la Agencia, el 83,33% (175) fueron presentadas tras la sentencia del Tribunal de Justicia de la Unión Europea.

En cuanto a la resolución de las denuncias y reclamaciones interpuestas por los ciudadanos,  se ha producido un crecimiento de 4,48% (11.222 frente a 10.741 en 2013). El ejercicio de la potestad sancionadora se ha incrementado en un 10,92%, si bien el volumen total de las sanciones económicas impuestas en 2014 ha disminuido un 23,89% (17.002.622 euros) con respecto a 2013, a pesar del incremento (1,04%) en el número de sanciones económicas. Ello es consecuencia de una disminución  (5,37%) en el número de sanciones graves declaradas y de la aplicación de los criterios de moderación y atenuación previstos en la LOPD (66,50%).

El sector de actividad en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, con un importe total de 10.750.502 euros, suponiendo más de un 63,23% del volumen total. El segundo lugar lo ocupan las entidades financieras (2.018.501 euros), seguidas de las empresas de suministro y comercialización de energía y agua (1.862.900 euros). El sector de la publicidad y las comunicaciones electrónicas comerciales (spam) ocupan el cuarto y quinto puesto respectivamente (751.411 y 645.506 euros) en los sectores más sancionados.

En lo referente a las resoluciones de procedimientos de apercibimiento del sector privado (en los que se declara infracción pero no se impone sanción económica) estos han recaído mayoritariamente en la actividad de videovigilancia (55,87%). A gran distancia se encuentran los servicios de internet (10,79%).

En el caso de las Administraciones Públicas, se ha producido una disminución de un 10,53% en el número de infracciones declaradas, si bien se ha producido un incremento del 3,45% en los procedimientos resueltos.

Fuente: ituser

Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

La Agencia Española de Protección de Datos (AEPD) ha multado con 12.900 euros a un  salón de belleza por vulnerar la privacidad de sus trabajadoras. La Guardia Urbana de Barcelona denunció a un establecimiento hotelero, donde se constata la presunta “realización de actividades de naturaleza sexual”, por no disponer de carteles informativos sobre la presencia de cámaras de video-vigilancia en su interior. Las Fuerzas del orden público certificaron que estas cámaras obtenían imágenes de las zonas de descanso de las trabajadoras y carecían de formulario e inscripción de fichero en la AEPD.

La instalación de cámaras de vídeo-vigilancia en el lugar de trabajo no requiere del consentimiento por parte de los empleados, pero sí deben estar informados en todo momento de su presencia y de que éstas no invadan las zonas de descanso o reservadas a la intimidad.

El sistema de vídeo-vigilancia debe estar dado de alta (según la normativa vigente en aquel momento) en la Agencia de Protección de Datos y debe informarse mediante distintivos colocados, al menos, en el acceso a las zonas vigiladas. Además, el establecimiento debe disponer de un impreso que informe de la existencia de las grabaciones y disponible por si un afectado quiere ejercitar sus derechos. Las grabaciones solo podrán mantenerse por un periodo máximo de 30 días.

La empresa demandada reconoció su culpabilidad ante la ausencia de estos carteles informativos por motivos de obras en la instalación, aunque procedió a reinstalarlos y ubicarlos con posterioridad en las zonas de acceso.

La Ley Orgánica de Protección de Datos recoge como principio fundamental el deber de informar a las personas de las cuales se vaya a obtener cualquier tipo de datos personales. La AEPD señala que “la captación de imágenes de personas mediante cámaras de video vigilancia y su trasmisión a un monitor, donde es visionada, aun cuando el sistema se limite a posibilitar su visualización, y su grabación, mediante la reproducción de la imagen de los individuos, constituye un acto de tratamiento de datos de carácter personal que proporciona información de personas físicas identificables acerca de su imagen personal, lugar en que se encuentran y actividad que desempeñan”.

 Por lo tanto estos hechos, debido a la infracción de su artículo 5.1, la Agencia impone una sanción de 900€ al carecer de los preceptivos carteles informativos, de tal manera que no es posible ejercitar los derechos de la LOPD ni haber informado a los clientes del establecimiento.

En relación a la segunda infracción, desde la empresa alegaron que las cámaras se instalaron por motivos de seguridad para las trabajadoras y que las imágenes obtenidas no son de la zona de descanso de las empleadas, una zona con mesa y sillones desde donde pueden conectarse con sus ordenadores portátiles.

Sin embargo, tras las comprobaciones pertinentes, ha quedado demostrada la presencia de cámaras de video-vigilancia en espacios privativos de las empleadas sin causa justificada y con una intencionalidad de control excesiva, como las zonas de la cocina y el vestidor, y las entradas/salidas de las habitaciones donde la empleadora asegura que las trabajadoras desempeñan sus funciones calificadas como “masajes”.

El Tribunal Constitucional establece que el derecho a la propia imagen “pretende salvaguardar un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás; un ámbito necesario para poder decidir libremente el desarrollo de la propia personalidad y, en definitiva, un ámbito necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana”.

 En lo referente a la seguridad de las empleadas, la AEPD estima que ésta se cumple con la presencia de cámaras en los principales puntos de acceso al establecimiento, lo que permite la grabación de los clientes que acceden al local, por lo que la obtención de imágenes de las empleadas en sus zonas de descanso es excesiva.

De hecho, el control laboral de las trabajadoras se lleva a cabo mediante el fichaje que realizan ellas mismas tanto a la entrada como a la salida del establecimiento, en donde queda registrado el número de horas que dedican a su jornada laboral.

Por tanto, las pruebas aportadas concluyen la infracción del artículo 4.1 de la Ley Orgánica de Protección de Datos al haber instalado una cámara de vídeo-vigilancia en una zona de descanso, afectando así a la intimidad personal,  y se impone una multa de 12.000 euros.

Fuente: eprivacidad

Multa importante para Google y Vodafone: la AEPD les sanciona con 10 y 3,94 millones de euros por violar el RGPD

La Agencia Española de Protección de Datos (APED) ha dictado resolución en el procedimiento que inició contra Google LLC, y ha determinado que esta empresa deberá pagar una multa de 10 millones de euros por violar el Reglamento General de Protección de Datos. Vodafone ha recibido una multa por este mismo motivo, aunque de menor cuantía.

Ceder datos a terceros. Según la AEPD, Google ha cometido dos violaciones del RGPD. La primera, cediendo datos a terceros sin legitimación para ello, que corresponde al artículo 6 de ese Reglamento. En concreto ha enviado al Proyecto Lumen información de solicitudes que realizan los ciudadanos. Ese proyecto recoge peticiones de retirada de contenido, y la AEPD considera que incluir esa información (correo, datos identificativos) en una base de datos accesible al público "frustra la finalidad del ejercicio de derecho de supresión".

Derecho al olvido. La segunda violación es según la AEPD la de "obstaculizar el derecho de supresión de los ciudadanos", que hace compleja completar los formularios y que no indica claramente "si la solicitud se formula invocando la normativa de protección de datos personales". El sistema diseñado por Google LLC, explican en la Agencia, "puede provocar que este termine marcando una opción que se adapte a los motivos que considera apropiados a su interés". Con ello, Google  obstaculiza ese derecho y viola el artículo 17 del RGPD. La empresa logró evitar una multa por un problema similar en 19.

Sanción importante. Esas dos violaciones han provocado la imposición de una multa de 10 millones de euros, una multa muy superior a aquella que en 2017 impuso Francia por motivos similares, y que fue de 150.000 euros. La resolución de la AEPD se ha publicado en el BOE del 9 de mayo.

En Xataka hemos contactado con los responsables de Google y desde allí un portavoz nos dirige a su Centro de Ayuda para acceder a detalles sobre su colaboración con el Proyecto Lumen. Además explica que están "revisando la decisión" y añade que "hemos empezado a reevaluar y rediseñar nuestras prácticas de intercambio de datos con Lumen a la luz de las consideraciones de la AEPD".

Vodafone también se lleva multa. En la misma resolución la APED ha impuesto una multa de 3,94 millones de euros a Vodafone por vulnerar los artículos 5.1 y 5.2 del RGPD, que regulan las garantías para la confidencialidad e integridad de los datos personales. El año pasado este mismo organismo impuso una multa récord de 8 millones de euros a Vodafone por telemárketing sin consentimiento.

Fuente: Xataka

Multa por dejar una cámara en el coche para pillar a los que se lo rayan

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1.000 euros a un residente de A Coruña por dejar una cámara encendida en el interior de su vehículo, desde la que estaba grabando una zona pública. El sancionado ha alegado que el propósito del dispositivo era registrar y disuadir a los autores de repetidos "actos vandálicos" que ha sufrido el coche, lo que no ha servido para que el regulador de privacidad le libre de la multa.

De hecho, en su resolución la AEPD considera probado que la cámara funcionaba y que grababa la vía pública debido a que la persona sancionada ha enviado al organismo las imágenes que supuestamente muestran a esos terceros atacando su coche. "Consta acreditada la operatividad del dispositivo de grabación, aspecto este confirmado por el propio reclamado al usar las imágenes (datos personales) para acreditar la presunta autoría de actos vandálicos contra el vehículo", refleja.

Además de las imágenes, el sancionado ha enviado "informes" que demostrarían "su intención de resolver dicho incidente en varias ocasiones", lo que tampoco ha servido de atenuante. "No se aporta denuncia o documento alguno que acredite los daños y perjuicios sufridos en el vehículo, más allá de las meras manifestaciones del reclamado", contesta la AEPD.

La sanción llega tras una denuncia de la Policía Local de A Coruña, que retiró el coche y lo trasladó al depósito municipal tras comprobar que se estaba realizando una grabación desde su interior. Poner cámaras en el interior del vehículo está permitido siempre que estas graben solo lo que ocurre en su interior y no pongan en peligro la seguridad vial. En cambio, las normas de protección de datos no permiten orientarlas hacia el exterior, puesto que las imágenes de los transeúntes forman parte de su información personal. No pueden recogerse sin su consentimiento y un motivo justificado.

La única excepción es que el vehículo se encuentre en movimiento y el objetivo de las imágenes sea utilizarlas "en caso de colisión o accidente", explica el organismo. "Su almacenamiento solo está permitido con el vehículo en movimiento y en el caso puntual de accidente, cuestión que no se produce en los hechos descritos pues el vehículo estaba estacionado sin el conductor en su interior, continuando con el tratamiento de datos personales en una zona de tránsito público".

Con el coche parado, ni siquiera la excusa de que las imágenes no se suben a Internet ni se comparten con terceros exime de la prohibición. "Es indiferente que las mismas no se almacenen, pues la operatividad del mismo ha sido constatada, realizando el dispositivo en cuestión un tratamiento de datos en tiempo real sin causa justificada", zanja la AEPD: "La presencia de un dispositivo en el interior del vehículo del reclamado que obtiene imágenes (datos personales) de espacio público se considera excesivo".

"Proliferación latente" de las cámaras que graban las calles

La AEPD recuerda que la grabación de la vía pública con motivos de vigilancia "está reservada en exclusiva a las Fuerzas y Cuerpos de seguridad del Estado", aunque reconoce que "en los últimos tiempos" se está produciendo una "proliferación latente" de distintos tipos de dispositivos que graban las calles. Buena parte de sus resoluciones giran en torno a cámaras que graban zonas que no deberían registrar o no están adecuadamente señalizadas. "Como norma general, la legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados", recuerda el organismo.

El principio que rige las normas de protección de datos es el de "minimizar" la información que se recoge. En el caso del multado de A Coruña, la AEPD recuerda que podría haber optado por "alguna medida de protección del vehículo menos restrictiva (vgr. alarma sonora, etc), dada la problemática que este tipo de dispositivos de obtención de imágenes pueden ocasionar, como lo acredita el hecho de la retirada del vehículo por las Fuerzas y Cuerpos de seguridad de la localidad".

Los 1.000 euros de sanción al residente de A Coruña se colocan en la parte inferior de la horquilla para este tipo de infracciones, explica el regulador, dado que este se comprometió a retirarla de inmediato y ha colaborado con la investigación de la Agencia.

Fuente: eldiario

Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle

Una vecina de La Línea de la Concepción (Cádiz) deberá pagar una multa de 4.000 euros por instalar dos cámaras de video-vigilancia en su vivienda que enfocaban a la calle y captaban imágenes de la vía pública.

La Ley Orgánica de Protección de Datos no permite que los sistemas de videovigilancia capten imágenes de las personas que se encuentren fuera del espacio privado. En lugares públicos es algo que sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado, según ha recordado la Policía Nacional.

Agentes de la Policía Nacional detectaron dos cámaras de vigilancia en una vivienda particular situada en la calle Pedreras. Estaban camufladas en dos salidas al exterior de unas falsas chimeneas y captaban imágenes de gran parte de la vía pública.

La Policía procedió a la proponer una sanción por infracción administrativa de la citada ley. El expediente fue elevado a la Agencia Española de Protección de Datos, que ha impuesto una sanción de 4.000 euros a la propietaria de la vivienda por vulnerar el derecho a la protección de datos de carácter personal al estar afectando un espacio público sin causa justificada. También se le obliga a que retire dichas cámaras.

La Ley Orgánica de Protección de Datos prohíbe la instalación de videocámaras en fachadas de propiedades particulares que capten imágenes de espacios públicos y/o privados, salvo excepciones contempladas en esa Ley, pudiendo ascender las sanciones por la realización de estas conductas hasta los 20 millones de euros como máximo o, tratándose de un negocio, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, según ha recordado la Policía Nacional.

 Refuerza la seguridad de tu negocio o vivienda con TTCS

Visita nuestro apartado de productos, para conocer todas las soluciones de seguridad que TTCSte ofrece. O puedes llamarnos al 971607952, o pedirnos información por correo electrónico a nuestro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..Tenemos soluciones de seguridad adaptadas para cada tipo de cliente.

 #videovigilanciamallorca #camarasdeseguridadmallorca #sistemadeseguridadmallorca #leyorganicadeprotecciondedatos #AEPD #instalacionseguradesistemasdeseguridad

 Fuente: Sevilla.abc

No se pueden instalar cámaras de videovigilancia para grabar a los trabajadores en vestuarios y zonas de ocio

La Agencia Española de Protección de Datos (en adelante AEPD) ha impuesto una sanción de 10.000 euros a una empresa por instalar cámaras de videovigilancia en una zona “reservada” en la que se cambiaban de ropa y almorzaban algunos trabajadores así como en el cuarto en el que el denunciante prestaba sus servicios como personal de seguridad.

Nueva multa de la AEPD a Mercadona: 170.000 euros por no entregar a una clienta imágenes de las cámaras

Mercadona ha recibido una nueva multa de 170.000 euros de la Agencia Española de Protección de Datos (AEPD), que ya en julio de 2021 le impuso otra sanción de 2,5 millones. Si entonces fue por instalar aparatos de reconocimiento facial en algunos de sus establecimientos, esta vez ha sido por no entregarle a una clienta las imágenes de las cámaras de seguridad, que aquella había solicitado tras sufrir un accidente en uno de sus establecimientos.

Según informa El Confidencial Digital, una mujer que sufrió un accidente en una tienda de Mercadona, para reclamar por los daños sufridos, solicitó las imágenes de las cámaras de videovigilancia a los cuatro días del incidente, cumplimentando para ello un formulario situado en el apartado de Política de Privacidad de la página web de Mercadona. La mujer recibió un mensaje confirmando la recepción.

Tras más de un mes sin respuesta, la afectada remitió un correo al Delegado de Protección de Datos de Mercadona (DPD). Esta vez la respuesta era distinta: allí no habían recibido ninguna solicitud y, por tanto, las imágenes se habían eliminado.

Un fallo "involuntario"

Según la Instrucción 1/2006, que regula el plazo de conservación de las imágenes, los archivos se borran cuando pasa un mes desde su grabación si nadie los reclama.

Para entonces, la afectada ya había puesto en marcha una denuncia contra la firma, tenía en su posesión el número de referencia de la queja y las grabaciones eran la única prueba que ella tenía para presentar.

En su escrito de alegación, Mercadona se defendió explicando que, tras una investigación interna, se había detectado un "error humano" en la gestión de la reclamación civil presentada por la clienta. Un fallo "involuntario" que provocó que la gestión nunca llegara a conocimiento del DPD.

Dos multas por sendas infracciones

La empresa intentó llegar a un acuerdo por los daños y perjuicios sufridos y, también, por los derivados de no atender su derecho de acceder a sus datos personales. Además, Mercadona comunicó a la AEPD que se habían tomado medidas disciplinarias, técnicas y organizativas para evitar que este fallo volviera a ocurrir.

La AEPD, que considera insuficientes estos argumentos, precisa en la resolución sancionadora que la empresa no ha detallado cuál ha sido el error humano que condujo al borrado de las imágenes. Además, según el organismo, aunque la clienta hubiera desistido en su reclamación tras el acuerdo alcanzado, ello no implica el archivo del procedimiento sancionador porque, de hecho, se había vulnerado la normativa de protección de datos personales.

Por los motivos expuestos, la AEPD ha decidido sancionar a Mercadona con una multa de 170.000 euros por dos infracciones: una por vulnerar el artículo 12, relacionado con el número 15 del Reglamento General de Protección de Datos (RGPD), que se refiere a la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (70.000 euros). La otra (100.000 euros), por incumplir el el artículo 6 de dicho reglamento: la licitud del tratamiento de los datos del cliente.

No es la primera vez para Mercadona

El pasado 22 de febrero, el Boletín Oficial del Estado publicó una resolución de la AEPD en la que plasmó un listado de empresas que durante 2021 recibieron sanciones por más de un millón de euros.

Mercadona ocupa el cuarto lugar, por la ya citada multa de 2,5 millones impuesta por la AEPD a raíz de la colocación de cámaras de reconocimiento facial que, tras esa medida sancionadora, retiró de sus establecimientos. Junto a la empresa de distribución aparecen en el listado Vodafone, BBVA y EDP.

Fuente: Facua

Protección de Datos abre una investigación sobre las cámaras de vigilancia facial de Mercadona

La Agencia Española de Protección de Datos (AEPD) ha iniciado una investigación de oficio a Mercadona por implantar un sistema de reconocimiento facial en unos 40 supermercados de Mallorca, Zaragoza y Valencia. La AEPD ha explicado a EL PAÍS que la investigación se ha iniciado a raíz de las informaciones aparecidas en medios de comunicación, que han suscitado polémica por las implicaciones que pudiera haber sobre los datos biométricos, que tienen una protección especial. “El procedimiento se encuentra en fase de actuaciones previas de investigación, por lo que no podemos ofrecer detalles sobre el mismo dado que se encuentra abierto”, ha explicado la agencia.

“Si la AEPD decide que hay infracción legal, podría poner a Mercadona una sanción económica que puede ser bastante grande, ya que es un tratamiento que ya está en marcha”, afirma Alfonso Pacheco Cifuentes, abogado especializado en protección de datos y copropietario del blog Privacidad Lógica. Al ser datos considerados de categoría especial, explica que se aplicaría el artículo 83.5 del Reglamento General de Protección de datos. Este reglamento establece un régimen sancionador muy severo con multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.

“No tenemos constancia del expediente abierto por la Agencia pero desde Mercadona hemos estado en contacto con la Agencia Española de Protección de Datos, remitiendo toda la información sobre el proyecto y siguiendo las pautas que nos han dado, actuando con total transparencia. Y así vamos a seguir actuando ante cualquier información que nos sea solicitada”, aseguran desde la empresa.

La compañía valenciana pretende con este sistema detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra Mercadona o sus trabajadores que les prohíbe entrar a las tiendas. Pero la decisión de usar esta tecnología, recientemente abandonada por IBM y en parte por Amazon por las dudas éticas sobre su uso, y la falta de transparencia al respecto ha suscitado polémica entre múltiples usuarios. ¿Qué supone para un comprador el uso de este tipo de sistemas? ¿Qué dice la ley al respecto? ¿Hasta qué punto falla esta tecnología?

Las tiendas que utilizan este sistema tienen en su entrada un cartel informativo, según Mercadona. Ya hay usuarios que han compartido fotos del mismo en redes sociales. “Le informamos de que Mercadona S.A., con el fin de mejorar su seguridad, ha implementado un sistema de reconocimiento facial para detectar únicamente a aquellas personas con una orden de alejamiento o medida judicial análoga en vigor que puedan suponer un riesgo para su seguridad”, indica el cartel.

Mercadona insiste en que el sistema es absolutamente legal y no almacena las imágenes. Los datos, según explica, desaparecen en 0,3 segundos. Que el proceso sea rápido no significa que no haya un tratamiento de datos, según subraya Pacheco Cifuentes. “Mercadona recoge la imagen de la cara de todas las personas que pasan por delante de los dispositivos. Esas imágenes se vuelcan en el sistema informático de Mercadona o de la empresa contratada al efecto, donde se obtiene mediante el correspondiente software una plantilla o patrón biométrico de esa imagen facial, que se coteja con las plantillas biométricas de las personas con orden de prohibición de entrada en el establecimiento o con orden de alejamiento de empleado de la empresa”, afirma.

Una vez que el sistema detecta que una de estas personas quiere entrar en el supermercado tras cotejar su imagen con una base de datos, el sistema genera una alerta que será contrastada por un equipo de seguridad para después alertar a las Fuerzas y Cuerpos de Seguridad del Estado. El sistema, que será operado por personal propio de la compañía, se nutre con las imágenes generadas por las cámaras de videovigilancia “que han sido aportadas como prueba en el procedimiento judicial donde ha sido dictada la sentencia”, según la empresa. Mercadona descarta ofrecer información sobre cuántas personas hay con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la compañía o contra alguno de sus trabajadores por motivos de seguridad.

Los sesgos del reconocimiento facial

Nerea Luis Mingueza, doctora en inteligencia artificial en Sngular, no considera que “estemos aún preparados a nivel tecnológico, ético y legal como para implantar un sistema de ese estilo de forma generalizada”. Mercadona asegura que los datos no se almacenan y son eliminados en 0,3 segundos. “¿Quién audita que esto se cumple?”, pregunta Mingueza, que considera que la compañía pretende así evitar cualquier dilema sobre el almacenamiento de datos.

A ella le preocupa “que no seamos conscientes de las implicaciones en el medio y largo plazo”: “Académicos como Timnit Gebru o Anima Anandkumar y empresas referentes en tecnología han manifestado durante los últimos años la inmadurez de este tipo de sistemas”. San Francisco se convirtió el año pasado en la primera ciudad en Estados Unidos en prohibir el uso de la tecnología de reconocimiento facial. Hace tan solo unas semanas IBM anunció que dejaría de comercializar software propio de reconocimiento facial “de uso general” y Amazon decidió suspender temporalmente el uso policial de su software.

Esta tecnología es polémica porque es capaz de identificar a personas en cualquier contexto sin que se den cuenta y aplicar una serie de sesgos —especialmente con mujeres y negros—. Por ejemplo, en 2018 el reconocimiento facial de Amazon confundió a 28 congresistas con sospechosos de la policía. La Unión Estadounidense por las Libertades Civiles (ACLU) advirtió entonces en un comunicado del peligro de que los organismos oficiales usen este tipo de tecnología: "Que una identificación sea precisa o no puede costarle a una persona su libertad o incluso su vida".

En el caso de las cámaras instaladas en tiendas las consecuencias no serían tan graves, pero también existen. Pacheco pone como ejemplo la vulneración del derecho al honor: “Yo entro en el supermercado y el sistema erróneamente me identifica como una persona sobre la que pesa una prohibición de acceso. Mercadona llama a Policía, que acude y delante de todo el mundo procede a mi detención por quebrantamiento de la orden. Luego se descubre que yo no soy el malo, pero me han detenido delante de un montón de gente, buena parte de la cual me conoce, porque siempre compro en el súper de al lado de casa, donde coincido siempre con conocidos y amigos e incluso el personal también sabe quién soy”

 #videovigilanciamallorca #videovigilanciaMercadona #reconocimientofacialMercadona #AEDP #protecciondedatos

Fuente: Elpais

Protección de Datos acusa a Google de incumplir el ‘derecho al olvido’

El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, ha denunciado este jueves en Santander que el buscador Google incumple las sentencias del Tribunal Superior de Justicia Europeo (TJUE) sobre el ‘derecho al olvido’ de los ciudadanos porque “no bloquea los datos” de las personas físicas en su servidor mundial (Google.com), aunque sí lo hace de los nacionales (Google.es, en el caso de España).

Así, ha considerado “inaceptable” este comportamiento de Google, pero también ha aclarado que “no se trata de la extraterritorialización” del ‘derecho al olvido’ fuera de los países europeos, sino de que “no se pueda eludir” la obligación del cumplimiento de la sentencia del TJUE, tal y como ha asegurado esta tarde en el encuentro ‘Retos de protección de datos en las sociedades actuales’, que se está celebrando esta semana en la Universidad Internacional Menéndez Pelayo (UIMP).

El ‘derecho al olvido’ es el derecho de cualquier persona física a solicitar a los buscadores de Internet que no indexen enlaces con información personal suya, siempre y cuando no tenga relevancia pública ni sea de interés.

En este sentido, Rodríguez Álvarez ha reconocido que con esta medida “obviamente” no se impide el acceso a la información de las personas físicas desde cualquier punto del mundo, y que “incluso alguien con conocimientos especializados utilizando un proxy, podría acceder a la información”.

“No es la solución perfecta, pero es la que más se aproxima. No tenemos otra, salvo borrar el original, pero borrar el original es una cuestión distinta. Esto afecta mucho a la libertad de expresión y afecta al derecho de acceso a la información”, ha relatado el director de la AEPD. A este respecto, ha reivindicado que la AEPD “siempre ha buscado la solución que suponga el menor impacto en el derecho a la información”.

En este sentido, ha defendido que “no se deben tocar las fuentes” de la información, ya que “tienen que permanecer intactas salvo que por las razones que tradicionalmente venimos aplicando a los límites de la libertad de expresión, se hayan rebasado” estos límites. “Una cosa es la publicación y otra es la difusión de esa información”, ha sostenido.

Por su parte, el presidente de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, Eduardo Méndez Rexach, ha asegurado que Google “tiene el monopolio de casi todos los buscadores, pero hay unos pocos” que no pertenecen a esta compañía. Durante su intervención en el encuentro ‘, Rexach ha aclarado que la jurisprudencia sobre el ‘derecho al olvido’ es reciente y que “se debe garantizar su cumplimiento en toda la Unión Europea”.

“Ahora somos más conscientes de la repercusión de la gestión de los datos personales. Estamos reaccionando ante las consecuencias reales”, ha afirmado, al tiempo que ha incidido en que el “primer impulso” para que se cumpla este derecho –que, según ha matizado, se trata en realidad de la unión de los derechos de acceso, modificación, cancelación y oposición–, debe ser de los ciudadanos y que “después ya actuarán los tribunales”.

Fuente: diariodeavisos

Protección de Datos amplía la investigación de la app Radar COVID tras admitir a trámite una denuncia

La Agencia Española de Protección de Datos (AEPD) ampliará la investigación de la aplicación Radar COVID, lanzada por el Gobierno para tratar de combatir la pandemia del coronavirus.

El organismo ha admitido a trámite la denuncia presentada por Pau Enseñat el pasado 8 de septiembre en nombre de Reclamadatos, empresa dedicada a desvelar qué datos personales están en manos de organizaciones y reclamarlos. En concreto, Enseñat denunció a la Secretaría General de Administración Digital (SGAD), ente encargado de implantar la app Radar COVID en nuestro país.

En la denuncia, Reclamadatos pedía un análisis para resolver si la Radar COVID cumplía con los principios de licitud, lealtad, transparencia y responsabilidad proactiva reflejados en el Artículo 5 del Reglamento General de Protección de Datos (RGPD), ya que la SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos. También se alega que la Política de Privacidad de la app no tiene definidas las funciones y responsabilidades de las autoridades sanitarias de las comunidades autónomas. "Además, no se dan detalles sobre los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, algo que exige Bruselas", explicaba Pau Enseñat tras presentar la denuncia.

La reclamación se ha integrado al expediente iniciado el pasado 23 de junio por el cual la AEPD anunciaba el comienzo de las investigaciones para saber si el tratamiento de los datos de los usuarios de la app desarrollada por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) se ajusta al Reglamento General de Protección de Datos.

Fuentes del sector jurídico explican que hay "indicios razonables de vulneración de la normativa. Protección de Datos tenía tres meses para pronunciarse respecto a la denuncia de Reclamadatos, pero han empleado menos de un mes en responder".

Desde el organismo encargado de velar por el buen tratamiento de los datos de los españoles no facilitan información respecto al estado del procedimiento, o si hay más empresas o corporaciones que hayan reclamado a la aplicación ante la AEPD. "Al estar en esa fase de actuaciones previas, la Agencia no puede puede facilitar información sobre las mismas", declara la Agencia.

La AEPD tendrá que mover de nuevo ficha tras concluir las investigaciones, un proceso que podría durar hasta doce meses. Las mismas fuentes jurídicas consideran que "atendiendo al problema y situación actual lo lógico es que esta fase del proceso se acelere lo máximo posible".

El antecedente noruego

Si tras la investigación se resuelve que hay evidencias de un mal tratamiento de los datos de los usuarios de Radar COVID, se deberá iniciar un expediente sancionador. Así las cosas, antes de que la sanción sea en firme la AEPD podría tomar medidas provisionales, como exigir el cambio del tratamiento de los datos o suspender temporalmente la aplicación para que no pueda ser utilizada.

Un supuesto que en Noruega ha sido una realidad. La app Smittestopp para reducir los contagios en el país nórdico cesó su actividad el pasado mes de junio. El organismo competente en el ámbito de Protección de Datos en la nación prohibió al Instituto Noruego de Salud Pública continuar recopilando datos de los ciudadanos a través de la app, cuyo uso quedó, por consiguiente, interrumpido.

El punto 'caliente' que provocó que la autoridad de datos noruega decidiera detener el uso de la app estaba en que la plataforma utilizaba el GPS de los teléfonos, algo que no sucede con Radar COVID. La aplicación española se sirve de la tecnología bluetooth para cruzar los datos de contagiados o posibles contagiados, pero en ningún caso accede al GPS.

#protecciondedatos #aepd #radarcovid #usoinapropiadodeinformacion #agenciaespañoladeprotecciondedatos #proteccionciudadana

Fuente: Vozpopuli

Protección de Datos multa con 12.000 euros a un comercio por publicar fotos de un sin techo

La Agencia Española de Protección de datos ha multado con 12.000 euros en total a Recambios Villalegre S.L., una empresa de Asturias, por difundir la fotografía de una persona sin hogar en su cuenta de Facebook. El comercio denunció que era él el responsable de un robo y, tras la publicación, el sin techo comenzó a sufrir acoso en la ciudad. 

No fue una carta, sino dos sucesivas, el 23 y el 25 de julio de este año, remitidas a Protección de Datos por un particular. “Me pongo en contacto con ustedes debido al acoso y amenazas que está sufriendo un pobre indigente”, decía la misiva. 

La empresa asturiana publicó en Facebook que la persona sin hogar había robado 480 euros de la caja registradora y adjuntaba una fotografía tomada de las cámaras de videovigilancia. “Algo totalmente ilegal, más aún cuando la empresa carece de cartel informativo de zona videovigilada en sus instalaciones”, explicaba la denuncia. 

La publicación tuvo repercusión en la ciudad de Avilés y fue compartida por un gran número de usuarios con comentarios vejatorios, insultantes e incluso amenazantes. “Puesto que esta persona carece de recurso alguno para tratar de solucionar el problema que le han causado de forma intencionada, y tras comunicarme su decisión de abandonar la ciudad (en el mejor de los casos) por todo lo que está sufriendo, me veo en la obligación de comunicarlo”, decía el denunciante.  

Un segundo escrito 

La empresa Recambios Villalegre puso una denuncia por lo que el sin techo fue detenido, pero puesto en libertad sin cargos por falta de pruebas tras un juicio rápido. Los medios de locales se hicieron eco del caso por lo que la repercusión de este hecho fue creciendo. Motivo por el que el particular envía una segunda carta a la Agencia de Protección de Datos.

 motivo alguno por el cual someter al acusado a semejante exposición social”, explicaba la segunda misiva.  

El denunciante exponía también que la empresa había hecho circular por grupos de Whatsapp otra fotografía de la persona tomada de frente y en la que era perfectamente reconocible la cara de la persona.

En la publicación de Facebook decía: “Este señor que se pasa los días pidiendo ayuda muy educadamente por el centro [...] y en especial, por las terrazas de los bares, hoy por la tarde nos ha entrado en nuestro negocio y en un momento que hemos tenido que estar en la parte de atrás de la tienda, ha entrado por dentro del mostrador y se llevó todo el dinero que teníamos en efectivo. Las cámaras lo han grabado perfectamente. Ruego máxima difusión para ayuda de todos”. 

En la resolución de la Agencia Española de Protección de Datos, se especifica que el tratamiento de las imágenes se ha utilizado y difundido sin el consentimiento del interesado, por lo que impone a la empresa una multa de 10.000 euros. Además, a esto se suman otros 2.000 porque la empresa tenía cámaras de videovigilancia sin estar señalizado en la puerta que se estaba grabando. 

#protecciondedatos #agenciaespañoladeprotecciondetdatos #AEPD #publicarfotossinpermiso #usoinapropiadodeinformacion

Fuente: Elconfidencialdigital

Hasta el 70% de las empresas viola la nueva protección de datos, según una encuesta

Las compañías de fuera de la UE que ofrecen sus servicios en Europa cumplen mejor la normativa que las propias empresas europeas

Las empresas extranjeras tienen más miedo a las sanciones del Reglamento General de Protección de Datos (RGPD) de la UE que las propias compañías europeas. Es uno de los resultados de una encuesta sobre la aplicación de la nueva normativa, que arroja que hasta un 65% las empresas de la UE no cumplen con la nueva normativa. En el caso de las empresas no europeas, la cifra es del 50%.

Los datos han sido proporcionados por Talend, empresa dedicada a ofrecer servicios de integración de datos en la nube. Su investigación se basa en las solicitudes de datos personales realizadas entre el 1 y el 3 de septiembre a 103 empresas con sede o que operan en Europa. La empresa  evaluó las respuestas a las solicitudes de los artículos 15 ("Derecho de acceso del interesado") y 20 ("Derecho a la portabilidad de los datos") del RGPD. "El 70% de las empresas no pudieron cumplir con las solicitudes de acceso y portabilidad de datos dentro del plazo marcado por el RGPD", señala la empresa. El Reglamento General de Protección de Datos entró en vigor el pasado 25 de mayo y es de directa aplicación para todos los países de la UE. 

Los sectores analizados fueron  el comercio minorista, los medios de comunicación, la tecnología, el sector público, las finanzas y los viajes. Las empresas peor puntuadas pertenecían al sector del comercio minorista: el 76% de las compañías de retail encuestadas no respondieron, mientras que el sector más cumplidor, Servicios Financieros, sólo logró una tasa de éxito del 50%. 

Datos muy preocupantes: solo el 63% de las pymes españolas conocen el Reglamento 

El sector de las pequeñas y medianas empresas es el que mostró más dificultades para adaptarse a la nueva protección de datos europea. Según otra encuesta de la Agencia Española de Protección de Datos (AEPD) cuyos resultados se hicieron públicos en julio, " casi cuatro de cada diez empresas, no tienen aún conocimiento de esta normativa".

El estudio de la AEPD también pone de relieve la falta de recursos de muchas pymes para poder afrontar las obligaciones de la normativa en materia de protección de datos, aunque también "manifiesta la actitud positiva de estas empresas para cumplir sus obligaciones en este ámbito", señaló la Agencia. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios.

Fuente: eldiario

Uber, en el punto de mira de la Agencia Española de Protección de Datos

Tras las denuncias presentadas en los últimos meses por FACUA-Consumidores en Acción contra Uber ante distintos organismos, la Agencia Española de Protección de Datos (AEPD) ha apreciado la existencia de «indicios racionales de una posible vulneración del artículo 7 del RGPD (Reglamento General de Protección de Datos)«.

La AEPD ha dado traslado del caso a la autoridad de control de Países Bajos, donde Uber tiene su sede en la Unión Europea. «Corresponde a la autoridad de protección de datos de ese Estado asumir la tramitación de esta reclamación, según lo previsto en el artículo 56 del RGPD», señala la Agencia en el acuerdo que ha remitido a FACUA.

Una de las cláusulas contractuales de Uber impone a los usuarios la recepción de «mensajes de texto informativos (SMS) como parte de la actividad comercial normal de su uso de los servicios». FACUA reclamó a Uber la modificación de la cláusula y advirtió de que su redacción no es clara, ya que no permite comprender si se refiere meramente a SMS informativos sobre el desarrollo de la ejecución del servicio de transporte que haya solicitado un usuario, a mensajes de texto con contenido publicitario o a ambos.

El pasado febrero, FACUA planteó una reclamación a Uber para pedirle que corrigiera ésta y otras prácticas que considera contrarias a la legislación. La compañía eludió hacerlo, por lo que la asociación interpuso una batería de denuncias contra la multinacional ante las autoridades de protección al consumidor de varias comunidades autónomas. Una de ellas, la andaluza, dio traslado a la AEPD de los hechos relacionados con la normativa en materia de protección de datos.

SMS y correos comerciales

Hasta la fecha, Uber no ha aclarado a FACUA cuál es el significado que pretende darle a la cláusula de su contrato en la que impone la recepción de SMS. Además, la compañía también envía a los usuarios mensajes de correo electrónicos comerciales a los que no alude en ninguna cláusula de su contrato, irregularidad que la asociación ha trasladado también a la AEPD.

FACUA advierte de que a día de hoy, Uber sigue sin modificar la cláusula contractual objeto de la controversia pese a que la solución a la irregularidad es tan simple como incorporar una casilla en la configuración del funcionamiento de su APP que el usuario debería marcar si acepta la recepción de mensajes de texto o correos electrónicos comerciales.

Qué dice la normativa

El artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su apartado tercero que «no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la redacción contractual».

Por otro lado, el artículo 7 del Reglamento General de Protección de Datos indica en su apartado segundo que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo». En el caso de Uber, en el contrato no hay una solicitud de consentimiento que permita al usuario aceptarla o rechazarla, sino que se impone a lo largo del clausulado y debe ser el afectado el que, posteriormente, envíe un correo electrónico para manifestar que quiere revocarla.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Diario16, Uber

Un ciberataque a Iberdrola compromete los datos personales de sus usuarios

Iberdrola sufrió la pasada semana un ciberataque, en el que los atacantes accedieron a datos como el DNI, el domicilio, el número de teléfono y la dirección de correo electrónico de 1,3 millones de clientes. La compañía ha informado que el ataque no logró acceder a los datos financieros de los clientes, como el número de cuenta corriente o de tarjeta de crédito, según asegura la empresa.

La empresa se puso en contacto con sus clientes a través su filial distribuidora I-DE Redes Eléctricas Inteligentes, que fue la que sufrió la intrusión, para comunicar que inmediatamente se pusieron en marcha las «medidas necesarias para detenerlo de inmediato y evitar su repetición«, además de poner en conocimiento de lo sucedido a la Brigada Central de Investigación Tecnológica de la Policía Nacional y a la Agencia Española de Protección de Datos (AEPD).

En el comunicado remitido a los clientes la energética recomienda extremar las precauciones y desconfiar de correos electrónicos o mensajes de telefonía móvil si no se identifica claramente el remitente.

Iberdrola ha revelado, a través de un comunicado que “la compañía fue advertida por las autoridades norteamericanas antes de sufrir el ataque. Iberdrola informó a las autoridades españolas de ello. El aviso estadounidense sirvió para reforzar la seguridad de nuestros sistemas, lo que impidió que [los atacantes] pudieran obtener información crítica”.

La compañía relaciona el incidente con una campaña de ciberataques que sufrieron otras empresas e instituciones hace varios días y que también afectó al congreso de los diputados.

Recomendaciones a los afectados

Desde el Instituto Nacional de Ciberseguridad (Incibe) se recomienda a los usuarios afectados comprobar si sus datos privados están siendo utilizados sin su consentimiento y recuerda la necesidad de cambiar las contraseñas de los servicios digitales periódicamente y mantener todos los programas y aplicaciones actualizados a su última versión.

Fuente: Cuadernosdeseguridad

Videovigilancia, una de las reclamaciones planteadas con mayor frecuencia ante la AEPD

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria 2021, que recoge de forma exhaustiva las actividades realizadas, las cifras de gestión, los informes y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La actividad de organismo en 2021 ha estado centrada de forma prioritaria en una doble vertiente: dar respuesta a los desafíos de protección de datos relacionados con la pandemia y seguir impulsando que aquellos que tratan datos se comprometan con la protección de la privacidad.

En el primer bloque, la Agencia ha continuado participando en articular garantías para proteger los datos personales en los tratamientos relacionados con las medidas contra la COVID-19, tanto en un plano nacional como en el europeo a través del Comité Europeo de Protección de Datos (CEPD). En el segundo, en 2021 se puso en marcha el Pacto Digital para la Protección de las Personas, una iniciativa que ya cuenta con casi 400 entidades adheridas y que promueve la privacidad y la ética digital como un activo que las organizaciones deben tener en cuenta a la hora de diseñar sus políticas y sus estrategias.

13.905 reclamaciones se presentaron ante AEPD en 2021

En cuanto a las cifras de gestión, en 2021 se han presentado ante la AEPD 13.905 reclamaciones, un aumento de un 35% respecto a 2020. Esta cifra asciende a las 14.571 incluyendo los casos transfronterizos, los casos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección.

En 2021 las reclamaciones resueltas han aumentado un 35% (14.098) respecto al año anterior (10.443), una cifra muy destacable que ha permitido resolver reclamaciones pendientes de ejercicios anteriores sin que hayan aumentado significativamente los tiempos medios de resolución.

En esos tiempos de tramitación de las reclamaciones hay que hacer una referencia a los traslados, una previsión recogida por la LOPDGDD para facilitar la resolución rápida de las reclamaciones y que ha permitido que estas se resuelvan en menos de dos meses.

Durante el año 2021 se ha seguido trabajando en el Canal Prioritario para solicitar la retirada urgente de contenido sexual o violento publicado en internet sin el permiso de las personas que aparecen en ellos. Así, se han recibido 377 peticiones a través del Canal Prioritario, de las cuales 215 han entrado a través del canal de menores.

En cuanto a las reclamaciones ordinarias, las planteadas con mayor frecuencia por los ciudadanos en 2021 corresponden a servicios de internet (16%), videovigilancia (12%), recepción de publicidad (excepto spam) (11%) e inserción indebida en ficheros de morosidad (9%). En cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).

Se han realizado 264 resoluciones que han finalizado con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros). Estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros.

En cuanto a los casos transfronterizos, la AEPD ha iniciado 16 en 2021 y se ha declarado autoridad interesada en más de 300. Asimismo, se han recibido 1.070 peticiones de otras autoridades europeas, solicitudes de asistencia y consulta, y proyectos de decisión.

En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 66 dictadas en 2021, 56 (el 85%) fueron desestimatorias o inadmitidas. Por su parte, el Tribunal Supremo ha dictado 4 sentencias, todas ellas favorables a la Agencia.

Ciberincidentes, filtrado de datos…

En cuanto a las notificaciones de brechas de datos personales realizadas ante la AEPD, estas son inicialmente recibidas por la División de Innovación Tecnológica (DIT), que realiza un primer análisis. La DIT ha recibido y analizado 1.647 notificaciones en 2021, de las que poco más del 4% (76) se han remitido a la Subdirección de Inspección por requerir de una investigación en profundidad. Las brechas de datos personales más frecuentes son las causadas por ciberincidentes de origen externo/malintencionado y, dentro de este tipo de incidentes, el ransomware es el más repetido. En paralelo, siguen en aumento los casos en los que el cifrado de los datos y/o los sistemas van precedidos de una filtración de información y su puesta a la venta en internet/darkweb.

En lo relativo a las cifras de delegados de protección de datos (DPD) notificados ante la Agencia, 2021 se cerró con 82.249 DPD frente a los 65.040 DPD de 2020. De la cifra del año pasado, 74.033 corresponden al sector privado y 8.396 al sector público. Por lo que respecta a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, se han recibido casi 670 consultas a través del Canal del DPD, que da respuesta a las consultas que plantean los Delegados de Protección de Datos previamente notificados a la Agencia.

Fuente: Cuadernosdeseguridad