Coronavirus y protección de datos: cuando el interés público se impone a la privacidad

La detección precoz de los casos compatibles con covid-19 y la vigilancia epidemiológica para rastrear los sospechosos son claves para controlar la transmisión de la enfermedad, según el Ministerio de Sanidad. Y, por ello, la figura del rastreador se está revelando como primordial en la lucha contra la pandemia, ya que su labor, tirar del hilo, es esencial a la hora de contener la propagación del virus.

¿Cabe la posibilidad de que una autoridad sanitaria comunique a amigos, compañeros de trabajo o familiares que alguien está infectado del coronavirus? ¿Pueden los empresarios tratar la información de si sus trabajadores tienen, o han tenido, la enfermedad? ¿Tiene un empleado la obligación de informar a su empresa de que está en cuarentena preventiva o afectado por la covid-19? Ante la avalancha de preguntas y disparidad de opiniones, la propia Agencia Española de Protección de Datos (AEPD) publicó un informe hace unos meses para arrojar luz y total claridad en estos aspectos.

Cabe destacar que el derecho a la protección de datos tiene origen en el artículo 18 de la Constitución Española (“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito”). Este derecho se mantuvo en vigor durante el estado de alarma, y por supuesto sigue vigente hoy día, una vez superada esa situación excepcional.

En su informe, la AEPD afirma que el Reglamento General de Protección de Datos reconoce que, en situaciones excepcionales como la actual, “la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado y otra persona física”. Y es precisamente al reconocer la protección de esa “otra persona física” cuando se está legitimando el tratamiento de datos personales del individuo en aras de la protección al contagio de terceros. En consecuencia, el choque de derechos colectivos e individuales se resuelve en favor de la protección de la salud pública.

Conocimiento de una empresa

Así que sí, una empresa puede conocer de las autoridades sanitarias si uno de sus trabajadores está infectado o no, “para así diseñar los planes de contingencia necesarios” para salvaguardar la salud del resto. Dicha información “debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad” si de este modo es posible proteger al resto del personal. Solo en el caso de que dicha protección no pudiera garantizarse con una información parcial, “o la práctica sea desaconsejada por las autoridades competentes, en particular las sanitarias”, se proporcionará la identificación.

La empresa también puede preguntar directamente a sus trabajadores, aunque dichas preguntas “deben limitarse exclusivamente a indagar sobre la existencia de síntomas”, o sobre si el empleado “ha sido diagnosticado como contagiado o sujeto a cuarentena”. Cuestionarios de salud más extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad, sí contravendrían la protección de datos del empleado.

¿Y puede la empresa pedir a sus empleados o a visitantes ajenos datos sobre países que hayan visitado anteriormente, o si presentan síntomas relacionados con el coronavirus? “Sí, siempre que la información solicitada se limite a preguntar por visitas a países de alta prevalencia del virus, y en el marco de incubación de la enfermedad”, las dos semanas anteriores a dicha consulta.

Y sí, los trabajadores afectados por la cuarentena deben informar su empresa y al servicio de prevención o a los delegados de prevención de que se encuentran en esa situación. Y es que el derecho de no informar sobre el motivo de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en situaciones de pandemia y de la defensa de la salud de toda la población.

La toma de temperatura, a debate

Mención aparte merece para la Agencia Española de Protección de Datos la toma de temperatura en espacios y lugares públicos, ya que esta medida puede suponer un asalto injustificado a nuestros datos personales. La AEPD lo tiene claro: “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados”. En concreto, porque “afecta a datos relativos a la salud de las personas, no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino porque, a partir de él, se asume que una persona padece o no una concreta enfermedad”.

Según la agencia, “una eventual denegación de acceso a un espacio público estaría desvelando a terceros, que no tienen ninguna justificación por conocer esta información, que la persona afectada tiene una temperatura corporal por encima de lo que se considera no relevante y, sobre todo, porque puede haber sido contagiada por el virus”. Por ello, Protección de Datos recuerda que hay “un porcentaje de personas asintomáticas que no presentan fiebre, que la fiebre no siempre es un síntoma presente y que puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus”.

En el entorno laboral, la AEPD matiza que las pruebas de fiebre “podrían quedar amparadas en la obligación que tienen los empleadores de garantizar la seguridad y la salud de las personas trabajadoras a su servicio”.

¿Protegen nuestros datos las aplicaciones de rastreo de contagios?

En principio, sí. Radar Covid, por ejemplo, es una aplicación disponible ya en la tienda de aplicaciones de Google (App Store se sumará también) y está impulsada por el Gobierno. Notifica al usuario si ha estado en contacto con algún positivo diagnosticado, pero no recoge el nombre, correo electrónico, número de teléfono ni geolocalización de quien se la descarga. Dicho de otra forma, recoge los movimientos de forma anónima y alerta a quienes hayan estado próximos en caso de infección, sin indicarles en ningún momento la fecha, hora o lugar de exposición.

#agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

Fuente: Heraldo

Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

“22 millones de registros en total, de los cuales 1.060.000 son afectados de la Unión Europea y unos 17.792 de España”: son datos de un incidente de seguridad informática que afectó a Cafepress, una empresa dedicada a la venta de camisetas personalizadas en todo el mundo.

Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos, con la que se archivan las actuaciones referentes al ese incidente en el que fueron sustraídos, para ser puestos a la venta, datos personales de varios miles de españoles.

Datos de clientes a la venta en la “dark web”

Todo comenzó el 6 de agosto de 2019. Ese día Cafepress (que tiene su sede en Shelbyville Road, Lousville, Kentucky, Estados Unidos) descubrió que dos conjuntos de registros de datos de clientes estaban disponibles a la venta en la “dark web”.

Se denomina “dark web” aquella parte parte de la “deep web” o Internet profunda que está intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.

En estas redes de “dark web” se llevan a cabo transacciones ilegales: drogas, armas, pornografía infantil, órganos humanos... se venden a través de él.

Notificación a Protección de Datos

La Agencia Española de Protección de Datos recibió un escrito de notificación de quiebra de seguridad remitido por Jones Day, un bufete de abogados que representaba a Cafepress INC.

En el escrito se le informaba de que por fuentes externas habían tenido conocimiento de que Cafepress se había enterado “por fuentes externas que su base de datos de clientes había sido puesta a la venta en la ‘dark web’, un conjunto de un total de 22 millones de registros. Tras investigar el caso determinaron que una tercera persona no identificada obtuvo, sin autorización, la base de datos de clientes de Cafepress”.

De esos 22 millones de registros por todo el mundo, más de un millón pertenecían a ciudadanos de la Unión Europea, y a su vez 17.792 eran de España.

Al comprobar que había clientes de la empresa afectados, Cafepress notificó los hechos a la Agencia Española de Protección de Datos, que puso a la Subdirección General de Inspección de Datos a realizar unas actuaciones previas de investigación para el esclarecimiento de los hechos.

Contraseñas, tarjetas de crédito...

Uno de los problemas iniciales fue que tras recibir las notificaciones, algunas autoridades de control europeas se consideraron interesadas en el asunto. Pero otras, como la del Reino Unido, consideró que no había nada que investigar ya que Cafepress no cuenta con una sede física en la Unión Europea.

En principio, sobre los datos robados a esta web de personalización de camisetas y puestos a la venta en la “dark web” la Agencia Española de Protección de Datos indica que “las categorías de datos afectados por la brecha son datos básicos y de contacto, datos identificativos como nombres de usuario y contraseñas y, solo en algunos casos, datos económico-financieros tales como información de tarjetas de crédito (cuatro últimos números y fecha de caducidad)”.

Sí que hubo unos 15 afectados de la Unión Europea que vieron comprometidos datos más sensibles, como números de identificación fiscal o equivalentes, pero ninguno de ellos de España.

La empresa cuyos datos fueron sustraídos recibió unas 80 solicitudes de información de afectados de la Unión Europea relacionadas con el caso, pero ninguna en la que se manifieste haber sufrido daños por el incidente. Y concluyó que “la probabilidad de que los afectados experimenten consecuencias significativas es neutral para las 15 personas cuyos identificadores fiscales se vieron comprometidos, e improbable para el resto”.

Análisis forense

En su resolución, la Agencia Española de Protección de Datos analiza las medidas adoptadas por Cafepress. Entre las barreras que tenía antes de la “brecha” señala que “constaban medidas de seguridad como Hashing para las contraseñas de los usuarios, segmentación de red, cifrado de credenciales en tránsito, política de claves robustas para empleados, firewalls perimetrales, controles de acceso físicos, formación anual en seguridad para los empleados, y protección con software antivirus. Existe otro grupo de medidas adicionales implementadas para mitigar riesgos relacionadas la mayoría con la migración a otros servidores en julio de 2019 de las tablas de registros de clientes”.

Tras el robo de datos, Cafepress comunicó el suceso al Reino Unido (donde había una gran concentración de afectados) y al resto de las autoridades de control de la Unión Europea cuando determinó el número de afectados de cada país.

Esta empresa estadounidense inició sus propios análisis, con expertos forenses externos. Éstos no pudieron confirmar realmente si la información de los clientes había sido obtenida de su base de datos, “ya que los logs que registran el tráfico en tiempo real no reflejan el incidente”.

Ayuda del FBI

Además, denunció los hechos y comenzó a cooperar con el FBI de Estados Unidos (el país de su sede), y notificó el problema a todos los afectados mediante correo electrónico.

“En el presente caso, consta una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una posible brecha de confidencialidad, como consecuencia del acceso indebido por terceros ajenos a la base de datos del sistema de información de Cafepress”, establece la Agencia Española de Protección de Datos.

También concluye que la empresa “disponía de razonables medidas técnicas y organizativas preventivas a fin de evitar este tipo de incidencias y acordes con el nivel de riesgo”, así como de “protocolos de actuación para afrontar un incidente como el ahora analizado, lo que ha permitido de forma diligente la identificación, análisis y clasificación del supuesto incidente de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, minimizar el impacto e implementar nuevas medias razonables y oportunas para evitar que se repita la supuesta incidencia en el futuro a través de la puesta en marcha y ejecución efectiva de un plan de actuación”.

Como recomendación, Protección de Datos pide a Cafepress que realice un informe final sobre el incidente, que supondría “una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada causada previsiblemente por un error puntual”.

Al considerar que Cafepress no había infringido la normativa sobre protección de datos personales, la autoridad española ha terminado archivando las actuaciones sobre este robo de información que afectó a más de 17.000 españoles.

#robodeinformacion  #usoinapropiadodeinformacion #ventadeinformacionprivada #AEPD #agenciaespañoladeprotecciondedatos #protecciondedatos

Fuente: Elconfidencialdigital

Uber y Cabify denunciadas (otra vez) ante la Agencia Española de Protección de Datos

La asociación para la defensa del sector del Taxi,Taxi Project ha presentado una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra las empresasUber y Cabify. La organización ha presentado varios informes en los que estudian y analizan el tratamiento de datos por parte de estas dos empresas. Según dichas investigaciones, Uber y Cabify incumplen variasinfracciones en cuanto a la legislación de protección de datos, así como sobre otros ámbitos que afectan a los derechos de los consumidores, como puedan ser normas para los Servicios de la Sociedad de la Información y el Comercio Electrónico, legislación de Consumidores y Usuarios o sobre la sentencia del TJUE del 20 de diciembre de 2017 en el que se reconocía a Uber como un servicio de transporte.

Según la organización de taxistas, los informes entregados a la Agencia demuestran que se incumplen sistemáticamente hasta ocho artículos diferentes entre normativas europeas y estatales sobre protección de datos. La excusa para eximirse de toda culpa, según explica Taxi Project, es seguir defendiendo que la empresa es un mero intermediario en el caso de Uber o una agencia de viajes en el caso de Cabify. Pero ya existe una sentencia del Tribunal de Justicia de la Unión Europea que especifica que prestan un servicio de transporte, por lo que se deben hacer responsables de las infracciones o los datos del consumidor cuando contrata sus servicios.

No es la primera vez que una denuncia de este tipo llega a la AEPD. La asociación FACUA-Consumidores en Acción presentó una denuncia similar en 2019. La Agencia dictaminó que había “indicios racionales” sobre la posibilidad de que Uber esté incumpliendo el artículo 7 del Reglamento General de Protección de Datos (RGPD).

Pero la ingeniería fiscal de Uber, que traslada todos sus beneficios en Europa a los Países Bajos, también le ha venido muy bien para esquivar la denuncia por parte de FACUA. La AEPD, tras anunciar que veía indicios de que se estuviera incumpliendo la ley, trasladó el caso a las autoridades holandesas, donde Uber tiene su sede, al entender que debe ser dicho país quien estudie y dictamine sobre este caso, aunque los afectados estén repartidos por toda la Unión Europea o la denuncia haya salido del Estado español.

#agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #leyorganicadeprotecciondedatos #AEPD #denunciaUBER #facua

Fuente: Elsaltodiario

Derecho al olvido, un derecho fundamental

Realmente no se llama derecho al olvido, si no derecho de supresión. Bajo ciertas condiciones tenemos derecho a suprimir enlaces que lleven a nuestros datos personales. De esta manera, estos datos no aparecerán si se busca nuestro nombre en Internet.

El Tribunal de Justicia de la Unión Europea hizo pública una sentencia el 13 de mayo de 2014 en la que se reconocía este derecho. Sin embargo hay que tener en cuenta que esto no significa que podamos simplemente «eliminarnos de google». Hay una serie de condiciones de adecuación y pertinencia previstos en la sentencia. Por lo tanto, este derecho sólo lo podemos ejercer cuando la información que hay sobre nosotros sea obsoleta y carente de relevancia o interés público. Esto incluye información nuestro en boletines oficiales e informaciones amparadas en el derecho a la información y libertad de expresión.

Pero, ¿ante quién acudir?

Podemos ejercerlo ante la fuente original (un periódico, un boletín o un blog) o ante el buscador. Ambas fuentes utilizan tratamientos de datos y protocolos diferentes. Puede darse el caso, por lo tanto, que el editor de la fuente original no tenga por qué borrarlo pero sí el buscador. Esto se debe a que es la difusión universal la que tiene implicaciones en la privacidad.

En el caso de tener que ejercerla ante el buscador, esto no significa que el artículo se tenga que eliminar ni que el editor tenga que desindexarlo. Simplemente significa que no aparecerán resultados al hacer la búsqueda del nombre del interesado. Es decir, que en caso de que la búsqueda que se haga sobre otro tema relacionado, puede aparecer el artículo con el nombre del interesado.

Ejerciendo el derecho al olvido

Desde hace cinco años de su existencia, sabemos que está pero no cómo ejercerla. Es imprescindible acudir a la entidad que gestiona dichos datos. Los buscadores tienen sus propios formularios (Google, Yahoo y Bing). En caso de que no se responda o la respuesta sea negativa, habría que abrir una reclamación ante la Agencia Española de Protección de Datos. La AEPD determinará si procede o no. En caso negativo, se puede apelar a los tribunales.

Hay que tener en cuenta que en caso de tener cierta relevancia para el público, prevalece el derecho a la información. Esto significa que no siempre se puede ejercer derecho al olvido en casos concretos, ya que siempre se estudia caso por caso.

#agenciaespañoladeprotecciondedatos #protecciondedatos #derechoalolvido

Fuente: medialabtoledo

Facebook mostrará a los usuarios los datos personales que cruza con otras webs

Facebook ha presentado una nueva funcionalidad que permitirá a sus usuarios conocer qué datos estaba recibiendo la red social de otras páginas y apps a las que accedía el usuario desde fuera de su entorno. Es decir, conocer qué información recopila Facebook de sus usuarios cuando navegan por páginas que no tienen nada que ver con su actividad en la red social, un extremo que la empresa en el pasado había negado que realizara y que ahora solo admite sobre web con las que "tiene acuerdos".

La implantación llega tras las multas de varios organismos europeos, entre ellas de la Agencia Española de Protección de Datos (AEPD), a la empresa de Mark Zuckerberg por realizar estos trasvases sin permiso. La recopilación fue demostrada por un estudio de la universidad de Lovaina, que extendía la recogida de datos de la red incluso a usuarios que no tenían cuenta en ella gracias al Facebook Login (un sistema para registrarte en una página usando la cuenta de Facebook) o el Social Sharing (compartir en redes sociales).

La AEPD demostró que la red social recopilaba, almacenaba y utilizaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación con fines publicitarios directamente, mediante la interacción con sus servicios o desde páginas de terceros, "sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos, y ni siquiera los cancela de modo adecuado cuando un usuario se da de baja". 

Ahora, bajo el epígrafe “Actividad fuera de Facebook”, la empresa de Mark Zuckerberg promete que el usuario podrá acceder a un resumen de las apps y web que envían información sobre su actividad y eliminar esta información de su cuenta, si quiere.

Según la compañía, se trata de "ofrecer a las personas más transparencia y control en Facebook junto con nuevas actualizaciones en la biblioteca de anuncios, las actualizaciones en 'por qué veo este anuncio' y el lanzamiento de la nueva funcionalidad '¿por qué veo esta publicación?”. Esto es, según el propio Facebook, que si un usuario ha estado viendo anuncios de zapatos en una web, Facebook puede saber que le interesan los zapatos y enseñarle anuncios sobre ello.

Implantación gradual

Según la red social, esta recopilación permitirá que el usuario pueda "desconectar esta información de su cuenta" y elegir que Facebook no la recopile.  La funcionalidad, sin embargo, no será inmediata sino que comenzará a implantarse gradualmente a usuarios y por países. España estará entre los primeros, junto con Corea del Sur e Irlanda.

La empresa asegura que esta nueva función se ha implantado por presión de usuarios y legisladores, y señala que han "realizado investigaciones durante meses para recibir opiniones y sugerencias de personas en Facebook, expertos en privacidad, legisladores, anunciantes y grupos del sector".  Y señala que han tenido que ir adaptando la herramienta.

"Por ejemplo, cuando la función ya llevaba varios meses desarrollándose, nos pidieron una opción para desconectar la actividad futura en internet solo en empresas concretas, no necesariamente en todas a la vez. También escuchamos de expertos en privacidad que era importante tener la posibilidad de reconectar con aplicaciones o sitios webs especificos al mismo tiempo que mantenemos la actividad futura desconectada", afirman en un artículo firmado por dos directivos de la compañía, Erin Egan, directora de políticas de privacidad, y David Baser, director de gestión de productos.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Elperiodico

INE rastreará millones de móviles españoles durante ocho días ¿Es legal o atenta contra la privacidad?

El Instituto Nacional de Estadística (INE) realizará un estudio pionero sobre la movilidad de los ciudadanos españoles en diferentes periodos del año. Para ello, ha llegado a un acuerdo con las principales operadoras que trabajan en España,Vodafone, Movistar y Orange, que serán, bajo cobro de medio milllón de euros, las que facilitarán los datos de posicionamiento de los teléfonos móviles que tienen registrados. El programa está siendo muy comentado por las repercusiones en torno a la privacidad.

INE es un organismo autónomo, pero oficial, encargado de la coordinación general de los servicios estadísticos de la Administración General del Estado y la vigilancia, control y supervisión de los procedimientos técnicos de los mismos. El objetivo del estudio es conocer los desplazamientos globales de población en España, para saber donde se deben reforzar las infraestructuras y servicios públicos por ejemplo en periodos vacacionales. Es decir, el objetivo será considerado de bien público.

El rastreo (o «vigilancia» que dicen algunos críticos) de los móviles se producirá en fechas programadas de distintos periodos. Los días laborables del 18, 19, 20 y 21 noviembre de 2019; el 24 de noviembre (domingo); el festivo navideño 25 de diciembre y los días habituales de salida o regreso de vacaciones de verano, 20 de julio y 15 de agosto de 2020.

Conviene recalcar que los datos facilitados por las operadoras al INE serán completamente anónimos y agregados, es decir,en ningún caso se podrá detallar el usuario al que pertenecen, ni ofrecerán otros datos personales, ni la ubicación concreta, sino que será un recuento de terminales en un lugar y en una hora determinada. Con estas premisas, la recopilación de datos y su traspaso al instituto no incumplirá la Ley de Protección de Datos, según el organismo.

Para crear la estadística, INE dividirá el territorio nacional en 3.500 celdas de 5.000 habitantes y cada cierto tiempo se registrará cuánta gente hay conectada a una misma antena. Procesada la información, se podrá saber los flujos de los ciudadanos de una celda a otra y con ello conocer los movimientos vacacionales; los de ciudades dormitorios; los de barrios de las grandes urbes o la realidad de la «España vacía». Incluso ayudará en un futuro a diseñar redes de transporte de mayor capacidad.

¿Es legal? ¿Es anónimo? ¿Cuenta con todas las garantías?

El informe es interesante. Pionero en Europa por la utilización del Big Data y mucho más barato que los realizados en el pasado mediante encuestas.

Sin embargo, no escapa a la polémica de la privacidad. y a la capacidad de «Gran hermano» de un estudio que «vigilará» sí o sí a decenas de millones de ciudadanos. Las múltiples violaciones a un derecho fundamental han escamado a los usuarios que no se fían ni en casos como este con un objetivo de bien público y efectuado por un organismo oficial que se presupone realizará con todas las garantías, incluyendo el «secreto estadístico» y la completa eliminación de los datos recopilados una vez realizado el informe.

Los datos son «oro» en la era del Big Data, la Inteligencia Artificial y el aprendizaje profundo y sería relativamente sencillo pasar de los datos «anónimos» a identificativos de cada ciudadano y utilizarlos para cualquier fin alejado del mencionado. Además, existe una «actividad comercial» por el pago del medio millón de euros del INE a las operadoras. Por si acaso, la Agencia Española de Protección de Datos ha solicitado al INE información sobre los protocolos establecidos con las operadoras para el procesamiento y traspaso-venta de los datos.

Si no estás de acuerdo en ceder tus datos, recuerda que tu operadora debe ofrecerte la posibilidad de no cederlos en ningún caso e incluso aunque sean datos anonimizados. Revisa la configuración de privacidad de tu conexión.

#agenciaespañoladeprotecciondedatos #protecciondedatos #rastreodemoviles #usofraudulentodedatos #proteccioneninternet #INE

Fuente: Muyseguridad

Instalación de cámaras en plazas de garaje

En anteriores artículos hablábamos de la obligatoriedad de cumplir con la normativa en protección de datos por parte de las Comunidades de Propietarios y, en su caso, cuando se procede a la instalación de cámaras de videovigilancia y seguridad. Es decir, cuando las cámaras son instaladas en elementos comunes, pero, ¿Qué ocurre con las plazas de garaje?

Hay que diferenciar varios supuestos. En primer lugar, si las plazas se encuentran cerradas, garantizando no grabar zonas comunes, ni a personas que pudieran acceder libremente, puesto que, si acceden violentando o forzando la entrada, cometerían un delito y la grabación estaría legitimada para la denuncia de los hechos. Y, en segundo lugar, si, por el contrario, al estar abiertas cabe la posibilidad de que por ellas transite o pueda acceder personas, las cuales podrían ser grabadas, independientemente de que hayan invadido una propiedad privada.

En el primero de los supuestos, las plazas cerradas, se podría decir que la plaza de garaje es considerada una zona privativa, entendida como ámbito doméstico, lo cual, supone la eximente de aplicación del RGPD, por lo que no estaríamos obligados a cumplirlo, siempre y cando, se garantice no grabar zonas comunes, pasillo o carril de tránsito y circulación entre plazas, por ejemplo, cuando la persiana esté abierta.

En el segundo de los supuestos, plazas abiertas, el cual es el supuesto más habitual, al limitarse actualmente el cerramiento de plazas de garaje, la colocación de videocámaras está sujeta a la autorización previa de la comunidad de propietarios (recordemos que se necesita el voto favorable de 3/5) y, además, estaríamos obligados al cumplimiento de la normativa en protección de datos, por lo que se deben de tener en cuenta las recomendaciones de la Agencia Española de Protección de Datos, AEPD:

Si por tu plaza de garaje pueden pasar vecinos u otras personas -por ejemplo, el portero de la finca- aunque se trate de un espacio privado y tengas reservado su uso para tu vehículo, se considera un lugar de libre acceso y se aplican los requisitos recogidos en la Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Pese a que tengas pensado instalar una videocámara dirigida exclusivamente a tu plaza de garaje es más que probable que captes, aunque sea tangencialmente, imágenes de espacios comunes o de las plazas colindantes, por lo que, en todo caso, deberás contar con el acuerdo de la comunidad de propietarios, recogido en acta, para poder efectuar dicha instalación.

Debes informar mediante carteles ubicados en una zona visible de que la zona está siendo videovigilada (la Agencia tiene un modelo de cartel que puedes utilizar). En el cartel debe indicarse claramente la identidad del responsable de la instalación. También debes informar de ante quién pueden ejercer sus derechos los afectados y dónde pueden hacerlo.

Las imágenes no se pueden conservar por más de un mes desde su captación. 

Fuente: Laregion

Intento de fraude por 'phishing' a los clientes de Correos Express

El Grupo de Delitos Telemáticos de la Guardia Civil (GDT) alerta de un fraude mediante phishing que intenta suplantar a Correos. A través de las redes sociales este departamento de la Benemérita, creado en 1996 y que investiga los delitos informáticos, se hace a su vez eco de una denuncia por parte de Correos Express.

Según esta algunos clientes reciben por correo electrónico un mensaje que persigue suplantar la identidad del servicio. Asegura que su pedido ha sido recibido y «está listo para su entrega, pero no hemos podido confirmar la dirección». A continuación se pide al usuario que verifique la identidad y dirección de entrega clicando en un enlace. Ese paso es justo lo peligroso y lo que deben evitar aquellos que reciban este mensaje.

Además, para presionar al cliente, se le dice que en caso contrario su paquete será remitido nuevamente al «enviador».

El anglicismo phishing remite a una fórmula bastante común y no necesariamente muy compleja de estafa electrónica. Literalmente los ciberdelincuentes que la utilizan buscan pescar información sensible del usuario, como datos personales, contraseñas o números de cuenta bancarios para poder obtener un beneficio ilícito.

Conllevan la instalación de programas dañinos para los terminales informáticos o teléfonos móviles que caen en sus garras, y es mediante un rastreo y seguimiento de esos dispositivos como se obtienen los datos útiles para sus espurios fines. Por tanto la recomendación de las autoridades para todos los que se encuentren con un mensaje sospechosos es borrarlo de inmediato, y jamás pinchar en los enlaces que contiene.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Ultimahora

La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".

Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade

En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".

"Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca

NI INFORMACIÓN NI CONSENTIMIENTO

El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".

Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.

En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

"Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.

#agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos

Fuente: Lavanguardia

.

La Agencia Española de Protección de Datos (AEPD) ha instado a las grandes empresas proveedoras de servicios de Internet a la aprobación de protocolos específicos de actuación con el fin de evitar la utilización o difusión de imágenes personales en la red de víctimas de violencia de género sin su consentimiento.

Esta es una de las medidas que figura en el Marco de Actuación de Responsabilidad Social 2019-2024 de la AEPD --elaborado con la colaboración de Pacto Mundial de Naciones Unidas y alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible-- que estructura el compromiso de este organismo en cuatro ejes: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medio Ambiente y Empleados.

Dentro del apartado de Compromiso con la Sociedad, la Agencia ha establecido a su vez tres grandes áreas de trabajo: la igualdad de género, el fomento de la prevención, y la innovación y el emprendimiento.

La AEPD dará prioridad a este tipo de reclamaciones, además de instar a las grandes empresas proveedoras de servicios de Internet a la aprobación de protocolos específicos de actuación, según ha destacado la institución.

En el área de prevención, destaca la colaboración con Ministerio de Educación para elaborar materiales curriculares sobre educación digital y uso responsable de Internet, con especial atención a las situaciones de violencia en la Red. En este sentido, la AEPD recuerda que, en aplicación de la nueva Ley de Protección de Datos, las CC.AA. tienen de plazo hasta finales de año para incluir formación específica en el uso seguro de los medios digitales en los currículums académicos.

También se colaborará con la Fiscalía para actuar frente a la difusión de imágenes o información personal de menores en Internet; se impulsarán protocolos contra el ciberacoso, en colaboración con el Ministerio de Educación; y se colaborará con la Policía Nacional en cursos sobre privacidad y seguridad.

Además de alinear con la Agenda 2030 los premios que anualmente concede la Agencia, la AEPD ha anunciado que va lanzar una nueva categoría en la que se van a reconocer proyectos y actuaciones innovadoras y respetuosas con la privacidad en el marco de las iniciativas empresariales noveles y las startups. El premio tendrá la denominación 'Ángela Ruiz Robles', precursora española del libro electrónico.

De otra parte, el Marco de Actuación recoge una apuesta firme por una política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público, lo que se va a traducir en la aprobación de un Código Ético y de Conducta para los empleados y directivos de la Agencia, y la implantación de un canal de denuncias anónimo, siempre con las debidas garantías en su aplicación.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Lavanguardia

La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones

La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía Drones y Protección de Datos, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

La guía pone de manifiesto cómo se ha generalizado el uso de drones en el ámbito civil y el crecimiento exponencial que está experimentando la utilización de estas aeronaves no tripuladas. Estos equipos son susceptibles de incorporar no sólo GPS y cámaras de vídeo sino también escáner 3D o sistemas de detección de dispositivos móviles, y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La guía, publicada por la AEPD, proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente. En los tres casos, la AEPD ofrece recomendaciones para aficionados y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.

Consejos previos

La guía destina un apartado específico a ofrecer recomendaciones previas al manejo de un dron cuando sea de aplicación la normativa de protección de datos personales. Entre ellas, valorar la necesidad de evaluar los riesgos que pueda implicar el tratamiento para los derechos y libertades de las personas y, si fuera necesario, realizar una evaluación de impacto sobre la protección de datos (EIPD); llevar a cabo un análisis de riesgos si la EIPD no fuera precisa, o tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet de manera que sean accesibles indiscriminadamente cuando sea posible identificar a personas o se muestren espacios privados, como viviendas, jardines o terrazas.

Finalmente, recoge un apartado con preguntas frecuentes donde se plantean dudas prácticas relacionadas con los posibles tratamientos de datos personales captados desde un dispositivo de este tipo.

Fuente: Cuadernosdeseguridad

La Agencia de Protección de Datos sanciona con 5.000€ a un médico tras perder imágenes de una paciente en una operación

La Agencia Española de Protección de Datos ha sancionado con un importe de 5.000 euros a una facultativo por extraviar las imágenes grabadas durante una intervención quirúrgica a una paciente en un hospital privado de Madrid en 2014.

Así consta en una resolución, tras el recurso tramitado por la asociación 'El Defensor del Paciente' a través del letrado Carlos Sardinero en representación de la afectada.

"Se tiene en cuenta que en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que incurrió en una grave falta de diligencia", expone el órgano que ve acreditada la infracción sobre la ley de Protección de Datos.

También entiende que estas imágenes no suponían un volumen de datos de elevado volumen para justificar la pérdida y recalca que no se produjo ningún beneficio económico a través del extravío de esta información que se incluye en la historia clínica digital de los pacientes.

"En el presente caso ha quedado acreditado que el denunciado carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al no posibilitar el ejercicio del derecho de acceso de su paciente a los datos de la historia clínica", insiste la resolución.

Con esta resolución por fin se reconoce que las imágenes grabadas de cualquier intervención forman parte de la historia clínica, aunque se recojan con fines docentes o de investigación. 

La paciente relató que fue sometida a una intervención quirúrgica por un traumatólogo de un centro privado que fue grabada en vídeo. Posteriormente, con el fin de contrastar distintas opiniones de facultativos sobre el resultado de la intervención, solicitó las imágenes grabadas pero el traumatólogo, mediante correo electrónico, le comunicó que no las encontraba porque sus hijos habían perdido varios pendrive donde posiblemente estuviera recogida la intervención.

Durante el procedimiento el médico denunciado manifestó que la sanción había prescrito y que la grabación de una operación no forma parte de la historia clínica, más si las imágenes se toman con fines docentes y científicos.

"No puede aceptarse por tanto lo alegado por el denunciante sobre que las grabaciones no se entregan al paciente ni se unen a su historia clínica, por el mero hecho de que no existe obligación de realizarlas", expone la Agencia de Protección de Datos.

El abogado Carlos Sardinero ha manifestado tras la resolución que los facultativos "deben conocer que cuando se pierde parte de la historia clínica es motivo de sanción por vía de Agencia de Protección de Datos, pero es preciso advertir de que, a la vez, también es motivo de responsabilidad civil por daños y perjuicios, como lo demuestran los últimos pronunciamientos judiciales estimados a su despacho".

Fuente:lavanguardia

La Agencia de Protección de Datos se pone seria: multa récord al BBVA de 5 millones de euros por el uso de datos sin consentimiento

La Agencia Española de Protección de Datos (AEPD) ha impuesto al BBVA una sanción de 5 millones de euros, la mayor multa de la agencia en su historia. Después de imponer multas como la de 600.000 euros a WhatsApp y la de 1,2 millones de euros a Facebook en 2017, la más alta hasta la fecha, ahora la AEPD da un salto importante con esta multa récord, dividida en dos infracciones.

En la resolución de la agencia se recogen cinco reclamaciones de distintos usuarios que recibieron llamadas telefónicas por parte del BBVA, pese a que habían denegado la cesión de sus datos con fines publicitarios.

Las agencias empiezan a ponerse serias con la aplicación del reglamento

La primera infracción del BBVA ha sido catalogado como “muy grave” por parte de la AEPD, por una infracción del artículo 6 del RGPD. La segunda de ellas, calificada como leve, se trata de una infracción de los artículos 13 y 14 del mismo reglamento. Respectivamente, estas infracciones han sido multadas con 3 y 2 millones de euros. Sanciones que por si solas representarían cantidades récord.

La sanción más grave está relacionada con el consentimiento del usuario, mientras que la segunda sanción está relacionada con que no se informó al usuario correctamente de cómo se recogerían sus datos.

Los argumentos esgrimidos por la AEPD son muy similares a los del procedimiento de la Agencia de Protección de Datos francesa, que esta misma semana multaba a Google y a Amazon por valor de 100 y 35 millones de euros en una resolución equivalente.

Para la AEPD, la política de privacidad del BBVA no ha sido suficiente clara. El banco daba por hecho que al no marcar una casilla, se ofrecía consentimiento para gestionar algunos datos personales. Algo que va en contra de lo establecido por el Reglamento General de Protección de Datos.

La sanción todavía puede ser recurrida por la vía judicial, algo que desde el BBVA ya han anunciado que realizarán. El banco considera que su actuación “ha sido correcta” y presentará recurso ante la Audiencia Nacional. Precisamente este mismo organismo anuló en mayo de 2019 una multa a Google por valor de 150.000 euros, en aquel caso por el derecho al olvido a los medios.

Fuente: Xataka

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción grave al Grupo Municipal Socialista de Noja, cuya cuantía no se especifica en el fallo, por la difusión de un vídeo a través de Facebook en el que se ve como un grupo de vecinos increpa al concejal de Medio Ambiente, Javier Martín (PSOE), tras personarse en su despacho municipal el 21 de junio de 2016 para pedirle explicaciones por la tala de unos árboles en el parque Marqués de Velasco.

En el vídeo se puede ver en un momento dado como el concejal se dirigió a la esposa de uno de los vecinos con las siguientes palabras : «Yo hago lo que me sale de los cojones, tú puedes hacer lo que te dé la puta gana», lo que provocó que el marido le amenazase al edil diciéndole «como vuelvas a hablar así a mi mujer, te parto la cara; te doy una así y te sacó por la ventana», al tiempo que levantaba el brazo con el puño cerrado.

Estos hechos llevaron al edil socialista a denunciar inicialmente a los seis vecinos presentes, lo que derivó en un juicio celebrado el 1 de marzo de 2017 sobre delitos leves. Durante el mismo, se retiró la denuncia contra cinco de los vecinos y se condenó al sexto a pagar una multa de 540 euros por una delito de amenazas leve. El problema estalló cuando el PP subió a las redes sociales extractos de la sentencia y el PSOE, al considerarlo una manipulación, publicó en su página de Facebook el vídeo íntegro durante tres días en el que se reconoce perfectamente a los protagonistas que participaron en la discusión.

El portavoz socialista en Noja alegó que las personas que aparecen son o han sido cargos del PP en el Ayuntamiento o, en su caso, miembros o simpatizantes del mismo o de otros partidos políticos como Vox. Sin embargo, Protección de Datos considera que ser afín a un partido político o haber ido en una candidatura en 2015, máxime cuando no se ha aprobado su elección, no es justificación para poder airear los datos personales sin su consentimiento previo. Además, no considera acreditado que cuatro de las cinco personas que aparecen hayan desempeñado ningún cargo en ninguna administración.

A pesar de ello, el Grupo Socialista denunciado entiende que frente al derecho fundamental de la protección de datos de los denunciantes, que se recoge en el artículo 18.4 de la Constitución, prevalece la satisfacción del interés legítimo que ampara al portavoz para ejercer el derecho a la libertad de expresión, opinión e información como medio para relacionase con los cuidados en aras a conformar una opinión política y pública frente al uso torticero de una sentencia por parte del PP, y al que los denunciantes se encuentras vinculados por su militancia o simpatía.

Protección de Datos le reprende de nuevo al reiterar que la mayoría de las personas que aparecen no tiene relevancia pública «por lo que no están obligadas a soportar un recorte o intromisión ilegítima en su derecho como ciudadanos particulares a la protección de sus datos personales». Y, además, le recuerda que las amenazas no están relacionadas con la petición de explicaciones por la tala de eucaliptos que motivó la visita vecinal, sino con la actitud previa mostrada con la esposa del condenado. Por lo cual, la Agencia de Protección de Datos considera que no es necesario publicar el vídeo para demostrar a los nojeños un probado delito de amenazas. Y le reprende porque para responder al PP podía haber optado por una respuesta «menos intrusiva para los afectados que publicar sus imágenes en una red social».

Atendidas las circunstancias que concurren en el presente caso, «no resulta posible apreciar que la libertad de expresión justifique el tratamiento realizado sin consentimiento de los afectados». En este caso concreto, no se propone la adopción de medidas correctoras ya que el vídeo fue retirado del Facebook socialista.

Fuente: eldiariomontanes

La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

A vueltas con la privacidad del usuario y, en este caso, Android. La Agencia Española de Protección de Datos (AEPD) señala con el dedo al sistema operativo de Google por infracciones al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La AEPD ha publicado dos documentos técnicos, dirigidos tanto a usuarios como a desarrolladores, que analizan Android.

La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios estarían vulnerando la legislación europea. El primer informe analiza el control del usuario en la personalización de anuncios que hace Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.

El SO para móviles de Google ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", alerta la AEPD. Asimismo, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio. Además, señala el organismo, ocurre que al reiniciar los valores de fábrica de un teléfono móvil, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD".

La AEPD recomienda a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica. Aplicaciones que hacen capturas de pantalla sin avisar

El segundo informe de la Agencia Española de Protección de Datos se refiere a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop. Los investigadores de este organismo han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso". 

La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD. Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD. "Acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD", ha dicho Google en un comunicado.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #sistemadeseguridad  #ciberseguridad

Fuente: 20minutos

La Audiencia confirma la multa a la LaLiga por espiar a los bares con su app

La app oficial de La Liga Nacional de Fútbol Profesional espiaba de forma irregular a los bares para saber si pirateaban la retransmisión de los partidos. La Audiencia Nacional ha desestimado el recurso de apelación presentado por el organismo dirigido por Javier Tebas y confirma la multa de 250.000 euros que le impuso la Agencia Española de Protección de Datos (AEPD) en 2019.

La sanción de la AEPD se produjo después de que saliera a la luz que La Liga utilizaba su app oficial para espiar a los bares, sin habérselo comunicado debidamente a los millones de usuarios que la descargaron. La app era capaz de activar el micrófono del móvil en el que estuviera instalada y captar si el sonido ambiente coincide con el de un bar o establecimiento público.

Su objetivo era analizarlo para saber si se estaba proyectando un partido de fútbol sin pagar la tarifa establecida por las cadenas propietarias de los derechos de emisión. Posteriormente utilizaba los datos de geolocalización del teléfono para ubicar exactamente dónde se encuentra ese establecimiento.

“La señal que llega se convierte en un código binario que se compara con el código de la señal de la transmisión por un sistema automático que realiza la operación en menos de un segundo”, explicaron fuentes de LaLiga a este medio, que aseguraban que la señal no se graba ni se almacena: “Solo comprueba si el código coincide con el código original de la señal de emisión”.

La AEPD señaló que la gran recogida de datos personales que se producía cuando la app activa el micrófono y la ubicación del usuario requería que LaLiga contara con su consentimiento cada vez que lo hiciera. Es decir, la información sobre este uso no podría estar escondida en la política de privacidad que el propietario del teléfono debe aceptar para descargar la aplicación, sino que la app debía enviarle un aviso siempre que activara el micrófono para espiar a los bares.

LaLiga se quejó de que la AEPD no había “realizado el esfuerzo necesario para entender cómo funciona” el sistema y anunció que recurriría la sanción, que podía “provocar el temor del usuario de que estuviéramos escuchando algo, cuando esta tecnología no puede captar una conversación humana”. No obstante, la Audiencia Nacional ha desestimado su recurso.

Los magistrados zanjan que la AEPD tuvo en cuenta todas las explicaciones presentadas por LaLiga sobre su tecnología de escucha. “Analizan todas y cada una de las alegaciones de la demandante, similares a las formuladas en este recurso y, con base en las pruebas practicadas en el expediente, concluyen correctamente en la infracción del principio de transparencia en relación con la protección de los datos personales, tipificada y sancionada en el Reglamento General que ahora procede confirmar”, sentencian.

La Audiencia también ve correcto los 250.000 euros de multa que le impuso el organismo: “No concurren atenuantes y sí agravantes, la cifra de negocios de LaLiga en 2018 (1.754.301.000 euros) y el porcentaje que supone dentro de la horquilla de la cuantía que determina el RGPD (en torno a 1%), de modo que la cuantía impuesta se ajusta a los criterios legales y es proporcionada a la gravedad de la infracción por lo que procede confirmarla”.

La Audiencia ha decidido no imponer las costas judiciales a la organización que gestiona la principal competición futbolística española. LaLiga ha recurrido el fallo ante el Tribunal Supremo. Además, se muestra en desacuerdo con que este medio utilice “espiar” respecto a lo que podía hacer su app. La asociación dirigida por Tebas recalca que la falta de transparencia en la recogida de datos personales de los usuarios por la que ha sido sancionada por la AEPD y la Audiencia Nacional no puede asimilarse con una acción de espiar.

Fuente: Eldiario

Las polémicas 6.100 cámaras que instalará Madrid en clase: ¿pueden negarse los profesores?

“Se están comprando 70.000 dispositivos electrónicos y 6.100 cámaras para instalar en las aulas”. Así lo ha anunciado este martes Isabel Díaz Ayuso, presidenta del gobierno de la Comunidad de Madrid en la rueda de prensa ofrecida para explicar la vuelta al cole en este territorio. Se aplicará esta medida -junto a un nuevo paquete de preceptos- para que los alumnos de los centros públicos que den positivo en Covid-19 puedan seguir las clases desde casa en streaming. También, desde 3º de la ESO hasta 2º de Bachillerato los estudiantes tendrán régimen de semipresencialidad, por lo que estas cámaras pueden servir, además, para que sigan sus clases online.

Pese a ello, el Gobierno regional ha abierto un debate en el que hay voces discordantes: ¿Estas cámaras pueden atentar contra el derecho a la intimidad o a la protección de datos de los alumnos? De hecho, a este caldo de cultivo se añade que, salvo los profesores, por regla general, los estudiantes susceptibles a ser grabados son menores. De ahí que la abogada Noemí Brito, especialista en derecho digital y de protección de datos del despacho Ceca Magán, haya explicado que “cuando el tratamiento de las imágenes está relacionado con fines educativos y académicos, la Agencia Española de Protección de Datos legitima el uso de estas herramientas si lo que está en juego es el derecho fundamental a educación”.

Pese a ello, la letrada puntualiza que eso no debe ser una “barra libre, ya que es una actividad intrusiva e invasiva” y que, jurídicamente, el gobierno de Díaz Ayuso tiene que desarrollar una normativa potente que “deje claro el fin educativo de la instalación de las cámaras; tiene que regular el tema de la conservación de las imágenes; o cómo se protegerán de los ataques digitales que pueda sufrir por parte de hackers”. De lo contrario, la aplicación de la medida podría volverse en contra de la Comunidad de Madrid.

Y es que la cuestión ya empieza a dejar preocupados a los padres. Elena Núñez, miembro del AMPA del CEIP Navas de Tolosa, situado en el madrileño distrito de Villavarde, comenta que “la sensación que tenemos los padres es que Educación está improvisando todo. No siento que la Comunidad Madrid tenga en tan poco tiempo un sistema de seguridad contra los ataques digitales”. “No me gustaría que grabasen a mis hijas de cinco y seis años sin que las cámaras sean 100% seguras, ya que hay mucho pederasta en Internet experto en informática”, asevera esta madre.

El choque padres-normativa

“Con la nueva normativa sobre protección de datos, no se requeriría un consentimiento paterno si la Comunidad de Madrid logra argumentar bien que la grabación en streaming se hace para salvaguardar el derecho fundamental a la educación. Quedaría legitimado, pero a la hora de lanzar un proyecto se tiene que evaluar el riesgo y que se aplique con seguridad”, continúa la abogada Brito. Una circunstancia que a Elena no le hace gracia. “Me gustaría que el centro al que llevo a mis hijas me consultase, aunque no se exija. De hecho, creo que no le daría mi permiso”.

Y es que el problema, de fondo, es la confrontación de dos derechos fundamentales. De ahí el difícil encaje legal que tiene que solucionar el gobierno madrileño. Por un lado, el derecho a la educación, que puede verse vulnerado si el niño contagiado da clases de manera intermitente. Y, por otro, el derecho a la protección de datos y a la intimidad.

Una solución que plantea la abogada es que la cámara del aula sólo enfoque y grabe al docente y que, además, no tenga que ser de gran resolución. “No hace falta una cámara de última generación para que el estudiante pueda seguir la lección desde casa”, opina la especialista en derecho digital.

¿Y los profesores?

Los otros damnificados de las grabaciones son los profesores, quienes se muestran “preocupados”, según desvela José Luis Carretero, docente del Instituto Escuela Superior de Hostelería y Turismo. “Muchos compañeros ven peligrar su libertad de cátedra, porque, al sentirse grabados pueden sentirse fiscalizados”, explica el profesor de Formación Profesional. En este sentido, cabría esperar que algunos docentes no vean con buenos ojos que los graben en streaming y que se nieguen a ello.

Una problemática que ya ha previsto la Comunidad de Madrid y que la propia Díaz Ayuso ha solucionado este martes. “Nuestra propuesta, además, es que, si un alumno de primaria se ve obligado a confinarse en casa, el profesor pueda activar la cámara para que el alumno asista a clase desde su casa. Esto, por supuesto, se debe negociar con cada profesor”, decía la presidenta autonómica a los medios.

Pero José Luis recela. “Lo que no ha explicado es que si un profesor se niega a dar clase en directo a un alumno confinado, tiene que tener luego un contacto con el estudiante y mandarle otras actividades. Son horas de trabajo que nadie cuenta”, explica el profesor.

“Además, grabar esas clases implica que pueda afectar a la intimidad de profesores y alumnos. Una clase es un espacio en el que se interactúa todo el rato entre alumnos y profesor durante muchos meses, como una familia, e implica que muchas veces se hacen públicos datos, asuntos relativos a la intimidad, datos familiares... todo. ¿Y cómo vigilarán que eso no se filtre?”, se pregunta el docente.

Cuatro cámaras por centro

Los docentes -como en la última semana- se mueven, vigilan y calculan cada paso que da Educación. La directora del IES Juan de Mairena, situado en el municipio madrileño de San Sebastián de los Reyes, ha revelado a este periódico que los grupos son un hervidero y que, según los cálculos de su gremio “si instalan 6.100 cámaras en los centro de la Comunidad de Madrid, habría menos de cuatro en cada institución”.

“Es algo totalmente insuficiente. Mira, no me parece mal si garantiza la educación de los alumnos, pero con tan pocas cámaras no se hace nada”, se queja la directora. “Ahora bien, a ver qué herramientas nos dan para garantizar la protección de datos y para garantizar el acceso a estas plataformas a todos los alumnos de la Comunidad”, sentencia. De momento, la Comunidad de Madrid ha anunciado sus medidas a los medios, pero a los centros no les ha indicado nada.

#agenciaespañoladeprotecciondedatos #grabacionesenlasaulas #alumnosgrabados #leyorganicadeprotecciondedatos #AEPD #polemicaenlasaulas

Fuente: Elespanol

Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

La Agencia Española de Protección de Datos (AEPD) ha multado con 12.900 euros a un  salón de belleza por vulnerar la privacidad de sus trabajadoras. La Guardia Urbana de Barcelona denunció a un establecimiento hotelero, donde se constata la presunta “realización de actividades de naturaleza sexual”, por no disponer de carteles informativos sobre la presencia de cámaras de video-vigilancia en su interior. Las Fuerzas del orden público certificaron que estas cámaras obtenían imágenes de las zonas de descanso de las trabajadoras y carecían de formulario e inscripción de fichero en la AEPD.

La instalación de cámaras de vídeo-vigilancia en el lugar de trabajo no requiere del consentimiento por parte de los empleados, pero sí deben estar informados en todo momento de su presencia y de que éstas no invadan las zonas de descanso o reservadas a la intimidad.

El sistema de vídeo-vigilancia debe estar dado de alta (según la normativa vigente en aquel momento) en la Agencia de Protección de Datos y debe informarse mediante distintivos colocados, al menos, en el acceso a las zonas vigiladas. Además, el establecimiento debe disponer de un impreso que informe de la existencia de las grabaciones y disponible por si un afectado quiere ejercitar sus derechos. Las grabaciones solo podrán mantenerse por un periodo máximo de 30 días.

La empresa demandada reconoció su culpabilidad ante la ausencia de estos carteles informativos por motivos de obras en la instalación, aunque procedió a reinstalarlos y ubicarlos con posterioridad en las zonas de acceso.

La Ley Orgánica de Protección de Datos recoge como principio fundamental el deber de informar a las personas de las cuales se vaya a obtener cualquier tipo de datos personales. La AEPD señala que “la captación de imágenes de personas mediante cámaras de video vigilancia y su trasmisión a un monitor, donde es visionada, aun cuando el sistema se limite a posibilitar su visualización, y su grabación, mediante la reproducción de la imagen de los individuos, constituye un acto de tratamiento de datos de carácter personal que proporciona información de personas físicas identificables acerca de su imagen personal, lugar en que se encuentran y actividad que desempeñan”.

 Por lo tanto estos hechos, debido a la infracción de su artículo 5.1, la Agencia impone una sanción de 900€ al carecer de los preceptivos carteles informativos, de tal manera que no es posible ejercitar los derechos de la LOPD ni haber informado a los clientes del establecimiento.

En relación a la segunda infracción, desde la empresa alegaron que las cámaras se instalaron por motivos de seguridad para las trabajadoras y que las imágenes obtenidas no son de la zona de descanso de las empleadas, una zona con mesa y sillones desde donde pueden conectarse con sus ordenadores portátiles.

Sin embargo, tras las comprobaciones pertinentes, ha quedado demostrada la presencia de cámaras de video-vigilancia en espacios privativos de las empleadas sin causa justificada y con una intencionalidad de control excesiva, como las zonas de la cocina y el vestidor, y las entradas/salidas de las habitaciones donde la empleadora asegura que las trabajadoras desempeñan sus funciones calificadas como “masajes”.

El Tribunal Constitucional establece que el derecho a la propia imagen “pretende salvaguardar un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás; un ámbito necesario para poder decidir libremente el desarrollo de la propia personalidad y, en definitiva, un ámbito necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana”.

 En lo referente a la seguridad de las empleadas, la AEPD estima que ésta se cumple con la presencia de cámaras en los principales puntos de acceso al establecimiento, lo que permite la grabación de los clientes que acceden al local, por lo que la obtención de imágenes de las empleadas en sus zonas de descanso es excesiva.

De hecho, el control laboral de las trabajadoras se lleva a cabo mediante el fichaje que realizan ellas mismas tanto a la entrada como a la salida del establecimiento, en donde queda registrado el número de horas que dedican a su jornada laboral.

Por tanto, las pruebas aportadas concluyen la infracción del artículo 4.1 de la Ley Orgánica de Protección de Datos al haber instalado una cámara de vídeo-vigilancia en una zona de descanso, afectando así a la intimidad personal,  y se impone una multa de 12.000 euros.

Fuente: eprivacidad

Multa de 5,29 millones de euros contra España por no cumplir la directiva de protección de datos

La Comisión Europea ha propuesto este jueves al Tribunal de Justicia de la Unión Europea (TJUE) que imponga una multa de 5,29 millones de euros contra España por no incorporar a su ordenamiento jurídico una directiva europea de protección de datos.

La norma debería haberse incluido en la legislación nacional en mayo de 2018 por lo que nuestro país lleva más de un año de retraso. Y la multa puede ser aún más grande ya que la CE pide, además, una multa de 89.548,2 euros por cada día de retraso que acumule España después del día en el que el TJUE dicte sentencia.

Cuando el Consejo y el Parlamento Europeo llegaron a un acuerdo sobre la directiva, cerraron el 6 de mayo de 2018 como el último día para incorporar la nueva norma a la legislación nacional. España, que es un alumno aventajado de la UE en lo que a retrasos se refiere, vio cómo se abría expediente contra ella en julio de 2018, pero desde entonces no ha cumplido con los plazos.

España no está sola en este trance. La Comisión Europea también ha propuesto una multa, significativamente menor por el tamaño del Estado miembro, a Grecia, que es el otro país europeo que ha incumplido la transposición.

Fuente: Elconfidencial

Multa por dejar una cámara en el coche para pillar a los que se lo rayan

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1.000 euros a un residente de A Coruña por dejar una cámara encendida en el interior de su vehículo, desde la que estaba grabando una zona pública. El sancionado ha alegado que el propósito del dispositivo era registrar y disuadir a los autores de repetidos "actos vandálicos" que ha sufrido el coche, lo que no ha servido para que el regulador de privacidad le libre de la multa.

De hecho, en su resolución la AEPD considera probado que la cámara funcionaba y que grababa la vía pública debido a que la persona sancionada ha enviado al organismo las imágenes que supuestamente muestran a esos terceros atacando su coche. "Consta acreditada la operatividad del dispositivo de grabación, aspecto este confirmado por el propio reclamado al usar las imágenes (datos personales) para acreditar la presunta autoría de actos vandálicos contra el vehículo", refleja.

Además de las imágenes, el sancionado ha enviado "informes" que demostrarían "su intención de resolver dicho incidente en varias ocasiones", lo que tampoco ha servido de atenuante. "No se aporta denuncia o documento alguno que acredite los daños y perjuicios sufridos en el vehículo, más allá de las meras manifestaciones del reclamado", contesta la AEPD.

La sanción llega tras una denuncia de la Policía Local de A Coruña, que retiró el coche y lo trasladó al depósito municipal tras comprobar que se estaba realizando una grabación desde su interior. Poner cámaras en el interior del vehículo está permitido siempre que estas graben solo lo que ocurre en su interior y no pongan en peligro la seguridad vial. En cambio, las normas de protección de datos no permiten orientarlas hacia el exterior, puesto que las imágenes de los transeúntes forman parte de su información personal. No pueden recogerse sin su consentimiento y un motivo justificado.

La única excepción es que el vehículo se encuentre en movimiento y el objetivo de las imágenes sea utilizarlas "en caso de colisión o accidente", explica el organismo. "Su almacenamiento solo está permitido con el vehículo en movimiento y en el caso puntual de accidente, cuestión que no se produce en los hechos descritos pues el vehículo estaba estacionado sin el conductor en su interior, continuando con el tratamiento de datos personales en una zona de tránsito público".

Con el coche parado, ni siquiera la excusa de que las imágenes no se suben a Internet ni se comparten con terceros exime de la prohibición. "Es indiferente que las mismas no se almacenen, pues la operatividad del mismo ha sido constatada, realizando el dispositivo en cuestión un tratamiento de datos en tiempo real sin causa justificada", zanja la AEPD: "La presencia de un dispositivo en el interior del vehículo del reclamado que obtiene imágenes (datos personales) de espacio público se considera excesivo".

"Proliferación latente" de las cámaras que graban las calles

La AEPD recuerda que la grabación de la vía pública con motivos de vigilancia "está reservada en exclusiva a las Fuerzas y Cuerpos de seguridad del Estado", aunque reconoce que "en los últimos tiempos" se está produciendo una "proliferación latente" de distintos tipos de dispositivos que graban las calles. Buena parte de sus resoluciones giran en torno a cámaras que graban zonas que no deberían registrar o no están adecuadamente señalizadas. "Como norma general, la legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados", recuerda el organismo.

El principio que rige las normas de protección de datos es el de "minimizar" la información que se recoge. En el caso del multado de A Coruña, la AEPD recuerda que podría haber optado por "alguna medida de protección del vehículo menos restrictiva (vgr. alarma sonora, etc), dada la problemática que este tipo de dispositivos de obtención de imágenes pueden ocasionar, como lo acredita el hecho de la retirada del vehículo por las Fuerzas y Cuerpos de seguridad de la localidad".

Los 1.000 euros de sanción al residente de A Coruña se colocan en la parte inferior de la horquilla para este tipo de infracciones, explica el regulador, dado que este se comprometió a retirarla de inmediato y ha colaborado con la investigación de la Agencia.

Fuente: eldiario