Estrasburgo niega el derecho al olvido a dos alemanes condenados por asesinato

El TEDH niega el derecho de dos ciudadanos alemanes, que habían sido condenados en 1993 por el asesinato de un actor famoso, a desvincular su nombre de ciertas noticias en tres medios germanos.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL 

FUENTE ORIGINAL: PUBLICO.ES

La AEPD publica una guía para adaptar la utilización de videocámaras al Reglamento de Protección de Datos

La AEPD publica una guía para adaptar la utilización de videocámaras al Reglamento de Protección de Datos
dortega
Vie, 06/29/2018

29 de Junio de 2018
El documento analiza el uso de videocámaras tanto con fines de seguridad -incluyendo el análisis de supuestos específicos- como con otras finalidades
La guía también incluye un apartado que describe el tratamiento de imágenes mediante la utilización de cámaras ‘on board’ o drones

Madrid, 29 de junio de 2018. La Agencia Española de Protección de Datos (AEPD) ha publicado hoy ‘Protección de datos: Guía sobre el uso de videocámaras para seguridad y otras finalidades’, que analiza la utilización de estos dispositivos tanto con fines de seguridad de personas, bienes e instalaciones, como para usos diferentes como el control de la actividad laboral, las grabaciones de sesiones de órganos colegiados o la captación de imágenes en eventos escolares.

 La Guía recoge las previsiones del Reglamento General de Protección de Datos (RGPD) que afectan a los tratamientos realizados mediante cámaras. En este sentido, el Reglamento, aplicable desde el pasado 25 de mayo, incorpora un conjunto de obligaciones y principios que deben ser contemplados cuando se traten imágenes recogidas a través de videocámaras. Asimismo, el RGPD desplaza la mayor parte de la Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

 El documento se divide en dos bloques principales. El primero de ellos detalla los principios del RGPD que deben evaluarse al tratar imágenes captadas por videocámaras con fines de seguridad. Entre esos principios se encuentra el de responsabilidad proactiva, en virtud del cual deben realizarse una serie actuaciones, como valorar si las imágenes que se captan son proporcionales a la finalidad perseguida y adoptar medidas como, entre otras, llevar un registro de actividades de tratamiento o notificar las brechas de seguridad.

 Dentro de este bloque se enumeran supuestos específicos de tratamiento de imágenes con fines de seguridad como el que pueden llevar a cabo, entre otros, las Fuerzas y Cuerpos de Seguridad, entidades financieras, joyerías, detectives privados, comunidades de propietarios o ámbitos como el de las infraestructuras críticas, espectáculos deportivos o entornos escolares.

 En el segundo bloque, la Guía aborda el uso de videocámaras con fines diferentes a la seguridad. Dentro de este ámbito se encuentra el uso de cámaras para el control del tráfico, la grabación y toma de fotografías en eventos escolares, así como la grabación de reuniones que celebren los órganos colegiados de las Administraciones Públicas y las asambleas, entre otros.

 El documento dedica un apartado específico a uso de las llamadas tecnologías emergentes, como las camáras on board, distinguiendo entre aquellos casos en que la grabación de imágenes con esta tecnología se hace para uso doméstico de aquellos en que el fin es la obtención de pruebas para determinar posibles responsabilidades ante accidentes o incidencias de tráfico. Este apartado también aborda la captación y procesamiento de imágenes de cámaras incorporadas a drones.

 Finalmente, la Guía efectúa un repaso por los supuestos en que no resulta aplicable la normativa de protección de datos, como es el tratamiento de imágenes en el ámbito exclusivamente personal y doméstico o el uso de cámaras simuladas.

La AEPD presenta una guía para gestionar y notificar las quiebras de seguridad según el Reglamento

La AEPD presenta una guía para gestionar y notificar las quiebras de seguridad según el Reglamento
dortega
Mar, 06/19/2018

19 de Junio de 2018
El documento ofrece a las organizaciones recomendaciones preventivas y un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan
Desde el pasado 25 de mayo, es obligatorio notificar a la Agencia las brechas de seguridad que afecten a datos personales y constituyan un riesgo, cumpliendo unos plazos para ello
Además, si existe un alto riesgo para los derechos y libertades también será obligatorio notificarlas a las personas cuyos datos pudieran haberse visto afectados

 

(Madrid, 19 de junio de 2018). La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la ‘Guía para la gestión y notificación de brechas de seguridad’ junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE. El objetivo de este documento es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Con anterioridad a la aplicación del RGPD, la obligación de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales se ceñía exclusivamente a operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza. Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.

De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.

La ‘Guía para la gestión y notificación de brechas de seguridad’ va dirigida a responsables de tratamientos de datos personales con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar a la autoridad competente y, en su caso, a los afectados, de modo que la notificación a la autoridad competente se haga por el canal adecuado, contenga información útil y precisa, y se adecúe a las nuevas exigencias del RGPD. Para elaborar el documento también se ha contado con la participación de numerosos profesionales y expertos del sector, recogiendo la experiencia y conocimiento de empresas que tienen implantados procedimientos de gestión de incidentes de seguridad.

Esta guía pretende cubrir el amplio abanico del tejido empresarial español, tanto pymes como grandes empresas y, del mismo modo, puede ser de ayuda a los responsables y encargados de tratamientos de las Administraciones Públicas involucrados en las tareas de gestión de las brechas de seguridad.

El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

Por último, la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.

 

El lanzamiento de la ‘Guía para la gestión y notificación de brechas de seguridad’ completa los manuales de ayuda que la Agencia Española de Protección de Datos ha presentado para facilitar la adaptación de las organizaciones al RGPD, entre los que se encuentran el Listado de cumplimiento normativo y las guías para Responsables de tratamientos de datos personalesCumplimiento del deber de informar, Elaboración de contratos entre responsables y encargados, Análisis de riesgos y Evaluaciones de impacto, además de la herramientaFacilita_RGPD para empresas que traten datos de escaso riesgo.

La Agencia Española de Protección de Datos publica su Memoria 2017

La Agencia Española de Protección de Datos publica su Memoria 2017
dortega
Lun, 06/11/2018

11 de Junio de 2018

Crece la preocupación de los ciudadanos por el tratamiento en internet de sus datos personales

Las denuncias realizadas ante la Agencia en relación con el tratamiento de datos en internet se incrementan un 37% en los últimos dos años
También son numerosos los casos en los que la AEPD actúa a partir de la difusión de datos de terceros, intrusiones en sitios web o, en general, quiebras de seguridad en internet
La Agencia recibió en 2017 más de 10.500 denuncias y reclamaciones en todas sus áreas de actuación
La inclusión indebida en ficheros de morosidad y la contratación irregular suponen, respectivamente, casi un 30% y un 15% de las resoluciones sancionadoras
El derecho de ‘cancelación’ (supresión según el nuevo Reglamento) sigue siendo el más ejercido por los ciudadanos, con casi 750 reclamaciones planteadas ante la Agencia
En 2017 se atendieron más de 250.000 consultas planteadas por los ciudadanos a través de diferentes canales, un incremento de un 8% respecto al año anterior
Facilita_RGPD, la herramienta para ayudar a las empresas a adaptarse al Reglamento, se convierte en la sección a la que más se accede de la web de la Agencia

Madrid, 11 de junio de 2018. La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su 

Memoria 2017

, que recoge de forma exhaustiva las actividades realizadas por esta institución, las tendencias más destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros.

 Uno de los objetivos más importantes iniciado en 2017 y que se está manteniendo en 2018 es fomentar que empresas y organizaciones cumplan con los requerimientos del Reglamento General de Protección de Datos (RGPD). En este sentido, la Agencia presentó en 2017 Facilita_RGPD, una herramienta de ayuda para pymes que traten datos considerados de bajo riesgo y que se ha convertido en la sección más visitada de la página web. En tres meses de 2017 recibió casi 23.000 accesos, si bien en los días anteriores a aplicación del Reglamento la herramienta ha recibido una media de 5.000 accesos al día.

 Durante 2017 se plantearon ante la Agencia 10.651 denuncias y reclamaciones de tutela de derechos ( 7.997 denuncias y 2.654 reclamaciones), lo que supone un ligero incremento con respecto al año anterior. Asimismo, se ha producido un descenso de las denuncias y reclamaciones que se encuentran en tramitación, que disminuyen más de un 30% sobre los valores de 2016, y que se corresponde con una mayor eficacia administrativa.

 Hay que destacar el incremento considerable (+36,8%) en los últimos dos años de las denuncias planteadas ante la Agencia en relación con el tratamiento de datos en internet, que han pasado de 557 en 2015 a 762 en 2017. Además, son numerosos los casos de actuaciones previas iniciadas por la Agencia a partir de la difusión de datos de terceros, intrusiones en sitios web relevantes o, en general, quiebras de seguridad en internet, a las que se incorporan las denuncias posteriores de los afectados.

 Por otro lado, la inclusión indebida en ficheros de morosidad y la contratación irregular suponen, respectivamente, casi un 30 y un 15% de las resoluciones sancionadoras realizadas por la Agencia en 2017, con un incremento notable con respecto al año anterior. La experiencia de la AEPD en los últimos años pone de manifiesto que las principales reclamaciones de los ciudadanos son las relacionadas con la suplantación de la identidad en la contratacion de servicios de telecomunicaciones. Esa suplantación deriva en la facturación de servicios que no han contratado, el requerimiento del pago de los mismos y la inclusión en los denominados ficheros de morosidad en el supuesto de impago. La inserción indebida en ficheros de morosidad y la contratación irregular aglutinan más del 55% del importe global de sanciones impuestas por la Agencia. Por su parte, las resoluciones en las que se aplica la figura del apercibimiento -en su mayor parte pymes y particulares que no han sido sancionados o apercibidos con anterioridad y que implica la corrección de la conducta infractora y la adopción de medidas- se mantiene estable con respecto al año anterior.

 En lo relativo a las reclamaciones iniciadas a instancia de ciudadanos que acuden a la Agencia reclamando latutela de sus derechos –habiéndolos ejercitado previamente ante el responsable del tratamiento, que los ha denegado o no ha respondido- ocupan el primer lugar los procedimientos de cancelación/supresión (744) seguidos, por este orden, de los referentes al acceso (376), rectificación (37) y oposición (51). Estas cifras se complementan con las consultas sobre el ejercicio de derechos planteadas en el servicio de Atención al ciudadano. En este caso, casi el 50% (43,34%) fueron sobre el derecho de cancelación, y específicamente un 12,38% sobre el denominado ‘derecho al olvido’ respecto de los enlaces de servicios de búsqueda en internet.

 En 2017 se atendieron casi 256.000 consultas planteadas por los ciudadanos a través de diferentes canales (+8% respecto a 2016). Los temas más consultados en las preguntas frecuentes están relacionados con los ficheros de solvencia patrimonial, la videovigilancia y las obligaciones de aquellos que tratan datos. El área específica de la Agencia para potenciar la comunicación con los menores, padres y profesores (Canal Joven) ha atendido cerca de 900 consultas, en su mayor parte planteadas por la comunidad educativa.

 En el caso de las Administraciones Públicas, en 2017 la Agencia ha resuelto 69 procedimientos de infracción, correspondiendo 30 a la Administración Local, 20 a la Autonómica, 17 a la Administración General del Estado y 2 a otras entidades de derecho público. Estas declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos, incumplimiento de medidas de seguridad y por prestaciones de servicios que incumplen algunos requerimientos en materia de protección de datos. Ante la aplicación del Reglamento y teniendo en cuenta que la mayoría de las infracciones corresponden a AALL, la Agencia presentó el pasado abril una 

guia-proteccion-datos-administracion-local

 con ejemplos prácticos y preguntas frecuentes así como una hoja de ruta para Administraciones Públicas.

 En cuanto a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 166 sentencias dictadas en 2017 un 78% confirmaron los criterios de la AEPD en cuanto al fondo del asunto, el porcentaje más elevado desde 2005 junto con 2016. Por su parte, en el año 2017 se han dictado por el Tribunal Supremo dos inadmisiones de recursos planteados contra sentencias de la Audiencia Nacional que habían confirmado a su vez sendas resoluciones de la Agencia.

 Por último, respecto al segundo año de ejecución del Plan Estratégico de la Agencia, que contemplaba inicialmente 76 acciones programadas -a las que se incorporaron 9 acciones adicionales-, concluyó con un grado de ejecución del 92%. Algunas de las medidas más significativas puestas en marcha en 2017 fueron el diseño de herramientas y materiales para facilitar el cumplimiento del RGPD por parte de las empresas y AAPP; la aprobación del Esquema de certificación de Delegados de Protección de Datos; el impulso de procedimientos de mediación para la resolución de reclamaciones o el lanzamiento de guías y materiales para reforzar el ejercicio de los derechos de los ciudadanos.

El administrador de una página de fans de Facebook es responsable conjuntamente con Facebook del tratamiento de los datos de los visitantes de su página

La sociedad alemana Wirtschaftsakademie Schleswig-Holstein está especializada en el ámbito de la educación. Ofrece servicios de formación, entre otros, mediante una página de fans alojada en Facebook en la dirección www.facebook.com/wirtschaftsakademie.

Los administradores de páginas de fans, como la Wirtschaftsakademie, pueden obtener estadísticas anónimas sobre los visitantes de esas páginas mediante una herramienta denominada Facebook Insight, que Facebook pone gratuitamente a su disposición conforme a condiciones de uso no modificables. Estos datos se recogen gracias a ficheros testigo («cookies»), cada uno de los cuales contiene un código de usuario único; estos ficheros permanecen activos durante dos años y son almacenados por Facebook en el disco duro del ordenador o en cualquier otro soporte de los visitantes de la página de fans. El código de usuario, que puede vincularse a los datos de conexión de los usuarios registrados en Facebook, se recoge y trata en el momento en que se abren las páginas de fans.

Mediante resolución de 3 de noviembre de 2011 el Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autoridad regional independiente de protección de datos de SchleswigHolstein, Alemania), en su condición de autoridad de control encargada, en virtud de la Directiva 95/46 sobre protección de datos, de vigilar la aplicación en el territorio del Land de SchleswigHolstein de las disposiciones adoptadas por Alemania en aplicación de dicha Directiva, ordenó a la Wirtschaftsakademie que desactivara su página de fans. En efecto, según el Unabhängiges Landeszentrum, ni la Wirtschaftsakademie ni Facebook informaban a los visitantes de la página de fans de que Facebook recogía mediante cookies datos personales a su respecto y de que posteriormente trataban esos datos.

La Wirtschaftsakademie interpuso un recurso contra esta resolución ante los tribunales de lo contencioso-administrativo alemanes, alegando que no le era imputable el tratamiento de datos personales efectuado por Facebook y que tampoco había encargado a Facebook que realizara un tratamiento de datos bajo su control o en el que ella pudiera influir. En consecuencia, la Wirtschaftsakademie estimaba que el Unabhängiges Landeszentrum debería haberse dirigido directamente contra Facebook y no contra ella.

En este contexto, el Bundesverwaltungsgericht (Tribunal Supremo de lo ContenciosoAdministrativo, Alemania) solicitó al Tribunal de Justicia que interpretara la Directiva 95/46 sobre la protección de datos.

En su sentencia dictada hoy, el Tribunal de Justicia observa para empezar que en este caso no se pone en duda que la sociedad americana Facebook y, respecto a la Unión, su filial irlandesa Facebook Ireland, deben considerarse «responsables del tratamiento» de los datos personales de los usuarios de Facebook, así como de las personas que visitan las páginas de fans alojadas en Facebook. En efecto, estas sociedades determinan, con carácter principal, los fines y los medios del tratamiento de esos datos.

Seguidamente, el Tribunal de Justicia declara que un administrador como la Wirtschaftsakademie debe ser calificado de responsable, conjuntamente con Facebook Ireland, del tratamiento de los datos en cuestión en el seno de la Unión.

En efecto, dicho administrador participa, mediante su acción de configuración (en función, en particular, de su audiencia destinataria, así como de objetivos de gestión o de promoción de sus actividades), en la determinación de los fines y de los medios del tratamiento de los datos personales de los visitantes de su página de fans. En particular, el Tribunal de Justicia señala a este respecto que el administrador de la página de fans puede solicitar la obtención (de forma anonimizada) ―y, por tanto, el tratamiento― de datos demográficos relativos a su audiencia destinataria (especialmente, de las tendencias en materia de edad, sexo, situación sentimental y profesión), información sobre el estilo de vida y los intereses de su audiencia destinataria (incluyendo información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, así como a las categorías de productos o servicios que más les interesan), además de datos geográficos que permiten al administrador de la página de fans saber dónde efectuar promociones especiales u organizar eventos y, con carácter más general, dirigir de forma óptima su oferta de información.

Según el Tribunal de Justicia, el hecho de que un administrador de una página de fans utilice la plataforma ofrecida por Facebook para disfrutar de los servicios asociados a ésta no le exime de cumplir sus obligaciones en materia de protección de datos personales.

El Tribunal de Justicia subraya que el reconocimiento de una responsabilidad conjunta del operador de una red social y del administrador de una página de fans alojada en esa red en relación con el tratamiento de los datos personales de los visitantes de esa página de fans contribuye a garantizar una protección más completa de los derechos de que disponen las personas que visitan una página de fans, conforme a las exigencias de la Directiva 95/46 sobre la protección de datos.

Asimismo, el Tribunal de Justicia estima que, a fin de garantizar el cumplimiento en territorio alemán de las normas en materia de protección de datos personales, el Unabhängiges Landeszentrum es competente para hacer uso, no sólo frente a la Wirtschaftsakademie, sino también frente a Facebook Germany, de todos los poderes de que dispone en virtud de las disposiciones nacionales de transposición de la mencionada Directiva 95/46.

SENTENCIA COMPLETA

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: TRIBUNAL JUSTICIA UNION EUROPEA

La Agencia analiza la aplicación práctica del Reglamento en la UIMP

La Agencia analiza la aplicación práctica del Reglamento en la UIMP
dortega
Jue, 06/07/2018

7 de Junio de 2018
El curso ‘El Reglamento General de Protección de datos: orientaciones para su aplicación’ tendrá lugar del 2 al 4 de julio en el marco de las Actividades de Verano de la Universidad Internacional Menéndez Pelayo

7 de junio de 2018). La Agencia Española de Protección de Datos (AEPD) imparte durante los días 2, 3 y 4 de julio el curso ‘El Reglamento General de Protección de Datos: orientaciones para su aplicación’, que tiene lugar durante las Actividades de Verano 2018 de la Universidad Internacional Menéndez Pelayo (UIMP) en el Palacio de La Magdalena de Santander.

 

El encuentro analizará en profundidad la aplicación práctica del Reglamento General de Protección de Datos (RGPD), normativa aplicable desde el pasado 25 de mayo, e incluirá un programa de conferencias y mesas redondas en las que estarán presentes representantes del sector público y privado, tanto empresarial como profesional. En ellas se abordarán diversas experiencias prácticas de adaptación al RGPD así como las diferentes herramientas que la Agencia pone a disposición de las organizaciones para fomentar el cumplimiento de la normativa. 

 La figura del Delegado de Protección de Datos; los nuevos derechos que el RGPD otorga a los ciudadanos; el análisis de riesgos y las evaluaciones de impacto; los códigos de conducta o la figura del delegado de protección de datos son algunos de los temas que se tratarán durante el curso.

 Durante el mismo también se abordará el nuevo régimen sancionador y  el mecanismo de coherencia en el que deberán actuar las Autoridades de Supervisión y el Comité Europeo de Protección de Datos.

 El curso se dirige fundamentalmente a universitarios, abogados, consultores, expertos en protección de datos y tecnologías de la información, Administraciones Públicas, empresas y, en general, a todos los profesionales interesados en la protección de datos de carácter personal.

11 de junio de 2018- Conferencia “Las claves del Reglamento General de Protección de Datos para abogados” en el Ilustre Colegio de Abogados de Sevilla

Desde el pasado día 25 de mayo de 2018 es de aplicación el nuevo Reglamento General de Protección de Datos, normativa de aplicación directa que modifica el régimen actual y contiene nuevas obligaciones y deberes que los abogados deben conocer y cumplir.

Por ello, con el objetivo de ayudar en esta tarea, se ha organizado la conferencia “Las claves del Reglamento General de Protección de Datos para Abogados” que tendrá lugar el próximo día 11 de junio de 2018 a las 18:00 horas en la sede colegial.

Esta conferencia será emitida por streaming a través de la web: https://www.icas.es/rgpdPara verlo en streaming no es necesario inscribirse.

Ponente:  Pedro Rodríguez López de Lemus.

Programa:

  • 18:00-19:00: Conferencia “Las claves del RGPD para Abogados”.
  • 19:00-19:30: Ruegos y preguntas.

Inscripción:

El aforo está completo, si solicita su inscripción le avisaremos cuando haya una plaza libre para Usted.

Para verlo en streaming no es necesario inscribirse.

Error: Formulario de contacto no encontrado.

Puede ampliar esta información en el correo electrónico info@protecciondedatosenandalucia.es, o en el teléfono 954222534.

La AEPD entrega los Premios de Comunicación, Adaptación al Reglamento, Buenas prácticas en centros escolares e Investigación

La AEPD entrega los Premios de Comunicación, Adaptación al Reglamento, Buenas prácticas en centros escolares e Investigación
dortega
Lun, 06/04/2018

4 de Junio de 2018
El premio de Comunicación recae en Pedro del Rosal, por las noticias publicadas en El Economista, y el accésit en Carlos Fernández, por sus informaciones en el Diario La Ley
UNESPA obtiene el premio de buenas prácticas para adaptarse al RGPD en la modalidad de empresas, asociaciones y fundaciones, y la Gerencia de Informática de la Seguridad Social gana en el apartado de entidades del sector público
El IES Isaac Albéniz de Leganés recibe el Premio a las buenas prácticas educativas para un uso seguro de internet en el apartado de centros de enseñanza, mientras que Policía Nacional y Guardia Civil ganan en el que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones

(Madrid, 4 de junio de 2018). La Agencia Española de Protección de Datos (AEPD) ha entregado hoy a través de su directora, Mar España, durante la celebración de su 10ª Sesión Anual Abierta los ‘Premios Protección de Datos 2017’ en las categorías de Comunicación, Investigación, Adaptación al Reglamento y Buenas prácticas en centros escolares.

En la categoría de Comunicación, la Agencia Española de Protección de Datos ha entregado el premio principal al periodista Pedro del Rosal, por las noticias, reportajes y entrevistas publicadas en El Economista sobre la aplicación del RGPD y la adaptación al nuevo marco normativo, entre otros temas. Asimismo, ha otorgado un accésit a Carlos Fernández, del Diario La Ley, por las informaciones publicadas en referencia a, entre otros aspectos, el Reglamento, las obligaciones de las Administraciones Públicas ante la nueva normativa y las directrices de las Autoridades europeas para adaptarse al nuevo contexto.

 Respecto al Premio a las ‘Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos’, en la modalidad de empresas, asociaciones y fundaciones, el jurado ha concedido el premio a la Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA), por las acciones e iniciativas realizadas. En el apartado de entidades del sector público, se ha otorgado el premio a la Gerencia de Informática de la Seguridad Social, por su propuesta para la adecuación al RGPD desde el rol de encargado del tratamiento.

En la categoría ‘Premio a las ‘Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de internet’, el jurado ha concedido el premio en la modalidad dirigida a centros de enseñanza públicos, concertados y privados de Educación Primaria, Educación Secundaria Obligatoria, Bachillerato y Formación Profesional, al IES Isaac Albéniz de Leganés (Madrid), por su trabajo ‘Uso y Abuso de las redes sociales y su implicación en el entorno educativo’.

 En la modalidad que reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas y privadas que hayan destacado por el impulso y difusión entre los menores de edad de buenas prácticas para un uso seguro de internet, el jurado ha otorgado el premio a la Policía Nacional y la Guardia Civil, por la ejecución del ‘Plan director para la convivencia y mejora de la seguridad en los centros educativos y sus entornos’.

 Por último, en la categoría de ‘Investigación en protección de datos personales Emilio Aced’ el jurado ha otorgado el premio principal a Abel Lozoya de Diego por su trabajo ‘Modelo de atributos clínicos a anonimizar para el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal’. Asimismo, ha concedido el accésit a Santiago Saavedra, Sofía Prósper, Guidiana Landívar y Alba Martín –con la colaboración de Pablo Martín, Carla Tortul, Adolfo Antón y Medialab-Prado- por su trabajo ‘Trackula’.

La AEPD centra su 10ª Sesión Anual Abierta en facilitar a empresas y organizaciones la adaptación al RGPD

La AEPD centra su 10ª Sesión Anual Abierta en facilitar a empresas y organizaciones la adaptación al RGPD
dortega
Lun, 06/04/2018

4 de Junio de 2018

(Madrid, 4 de junio de 2018). La Agencia Española de Protección de Datos (AEPD) ha celebrado hoy su 10ª Sesión Anual Abierta, en la que se ha efectuado un repaso por las implicaciones prácticas del Reglamento General (RGPD) y las iniciativas de adaptación al mismo, haciendo especial hincapié en herramientas como Facilita_RGPD -para empresas que traten datos de bajo riesgo-, que ya ha recibido 180.000 visitas, y las guías de análisis de riesgos evaluación de impacto en la protección de datos.

En la Sesión también se ha analizado el gran volumen de comunicaciones enviadas a los ciudadanos en los días previos al 25 de mayo que, con carácter general, solicitan renovar el consentimiento con el argumento de que es necesario para cumplir con el Reglamento. La Agencia recuerda que el RGPD no obliga, en principio, a renovar el consentimiento que se prestó previamente si éste cumple con los requisitos del Reglamento, como tampoco es necesario obtener dicho consentimiento si la base jurídica para tratar los datos es una relación contractual previa.

Asimismo, la Agencia ha remarcado que la prestación de estos consentimientos no es necesaria salvo en los casos en los que el tratamiento anterior se justificara en un consentimiento tácito, o que al amparo de esa renovación del consentimiento se pretenda obtenerlo para nuevas finalidades.

Durante la apertura de la 10ª Sesión Anual, la directora de la AEPD, Mar España, se ha referido al amplio número de empresas y profesionales que en estos días están recibiendo ofertas de asesoramiento para la adaptación al RGPD. La Agencia ha alertado que en ocasiones únicamente se facilita documentación que crea una apariencia de cumplimiento sin incluir las actuaciones necesarias para verificar el mismo; en otras, se incluye la designación como Delegados de Protección de Datos (DPD) a quienes les han asesorado sin que sea obligatoria ni necesaria esta figura para dichas empresas, e incluso se genera una apariencia de estar actuando en colaboración con la autoridad de protección de datos sin que ello sea cierto.

En este sentido, la Agencia ha subrayado que en el caso de que la Agencia tenga conocimiento de prácticas de este tipo utilizará todos los medios a su alcance para erradicarlas. Estas actuaciones, se ha añadido durante la Sesión, pueden verse reforzadas con la inclusión en el Proyecto de Ley Orgánica de Protección de Datos en tramitación, de una enmienda que considera estas conductas como prácticas agresivas a los efectos de la Ley de Competencia Desleal.

Mar España también ha hecho referencia a los DPD y al volumen de notificaciones realizadas a la AEPD para comunicar la designación de esta figura. Esta cifra actualmente supera las 8.000 notificaciones.

La Agencia también ha analizado en una de sus ponencias el registro de actividades de tratamiento, una de las primeras medidas de cumplimiento que debe adoptarse y cuya elaboración puede ser considerada un primer paso de gran relevancia para acometer la adaptación a los requisitos del RGPD, ya que supone revisar los tratamientos que se están realizando dando lugar a una actualización de los mismos.

En el caso de pymes que traten datos de riesgo bajo, la AEPD recuerda que el registro de actividades de tratamiento es uno de los documentos que ofrece la herramienta FACILITA_RGPD. Para responsables o encargados con un nivel de riesgo más elevado se podría utilizar el registro de ficheros de datos personales elaborado durante la vigencia de la LOPD como punto de partida para la elaboración del citado registro. Por su parte, la AEPD ha publicado su propio Registro de actividades de tratamiento, facilitando criterios como los plazos de conservación, o las categorías de datos y de destinatarios.

Por otra parte, la 10ª Sesión Anual Abierta ha abordado los códigos de conducta, un mecanismo de autorregulación por el que las entidades se dotan de normas para regularse a sí mismas a partir de las estipulaciones del RGPD, lo que proporciona un valor añadido al sector de actividad correspondiente. La Agencia no sólo debe impulsar su elaboración, sino que se muestra convencida de que se trata de un instrumento que va a permitir un correcto cumplimiento del RGPD y que proporciona seguridad jurídica a las entidades adheridas.

El régimen sancionador ha sido otro de los aspectos que han sido objeto de análisis de la Sesión Anual Abierta. En este sentido, la Agencia ha incidido en que existen medidas, como la advertencia o un apercibimiento dotado de una mayor flexibilidad, que pueden adoptarse en lugar de una sanción económica cuando, pese a producirse un error, se aprecie y documente una adecuada diligencia en el cumplimiento del RGPD. Asimismo, ha señalado que las autoridades de control también pueden, en vez de imponer una multa, o además de imponerla, ordenar medidas como la limitación o la suspensión del tratamiento, que impedirían a un responsable continuar llevando a cabo esos tratamientos que constituyen un riesgo para los derechos y libertades de los ciudadanos, todo ello sin menoscabo de la facultad de ejercer la potestad sancionadora cuando el caso así lo requiera.