¿Puedo publicar en redes sociales el vídeo de la salida escolar de mis hijos/as?

/en /por

¿Puedo publicar en redes sociales el vídeo de la salida escolar de mis hijos/as?
dortega
Sáb, 12/29/2018

La difusión online de imágenes en las que aparecen otras personas requiere contar con su consentimiento o, si son menores de 14 años, el de los titulares de la patria potestad o tutela.

¿Puedo publicar en redes sociales el vídeo de la salida escolar de mis hijos/as?

9:45 de la mañana en la puerta de un colegio cualquiera. Hoy hay excursión y una pequeña multitud compuesta por madres, padres, abuelos, se arremolina discretamente en la acera esperando, teléfono en mano, a que sus pequeños aparezcan. Cuando lo hacen, la escena que transcurre entre que estos salen del colegio y alcanzan el autobús es captada desde distintos ángulos por varios teléfonos, mientras puede escucharse cómo saludan a los críos por su nombre. Minutos después las imágenes se encuentran disponibles en el grupo de madres y padres de WhatsApp, que se inunda de agradecimientos y emoticonos sonrientes y besucones. Estos grupos suelen constituirse en un entorno compuesto por aquellos que han consentido formar parte de él.

Esta práctica se repite habitualmente durante el curso escolar. Es muy común que los días en los que haysalida de excursión o función de fin de curso o navideña, los bienintencionados integrantes de este tipo de grupos compartan las imágenes de los vídeos vía WhatsApp u otro servicio de mensajería instantánea, aunque en la mayor parte de los casos el contenido que circula por estos grupos tiene que ver con chaquetas perdidas o intercambiadas, petición de deberes no anotados en clase, información sobre exámenes o trabajos, y otras dudas relacionadas con la buena marcha de la clase.

La percepción mayoritaria ante la difusión en WhatsApp de un vídeo del alumnado durante una salida escolar es que se trata de una forma de poner en común escenas tiernas. Sin embargo, en algunos casos, padres y madres van más allá y publican esos vídeos en su perfil de Facebook en abierto sin ningún tipo de limitación.

Este proceder puede originar problemas, porque la persona que publica ese vídeo difunde las imágenes, no sólo de sus hijos/as sino también de las de otros niños y niñas, a un número indeterminado de personas, para lo que se necesitaría la previa autorización de éstos, es decir, su consentimiento. Hay que recordar que la imagen es un dato personal, y que si es de terceros es necesario contar con su consentimiento o con alguna otra causa que legitime su difusión en internet.

Así, cuando una persona no esté de acuerdo con la publicación online por parte de otra persona de una foto o vídeo en la que resulte identificable puede ejercitar el derecho de supresión que el Reglamento General de Protección de Datos le reconoce. Para ello debe dirigirse al responsable para solicitar su eliminación a través de un medio que permita acreditarlo. Si dicho responsable no responde en el plazo establecido o la persona afectada considera que la respuesta no ha sido adecuada, puede presentar una reclamación a la AEPD para que ampare su derecho de supresión. La Agencia dispone de una sección en su página web en la que se explica cómo eliminar fotos y vídeos de internet.

Piensa antes de publicar

Aunque pensemos que nuestro perfil está protegido podemos llevarnos una sorpresa al comprobar cómo la información que compartimos en una red social puede ser vista por terceras personas sin que nosotros lo sepamos. La gente a la que damos permiso para ver nuestras publicaciones elige, a su vez, a las personas a las que da acceso a su perfil, ya sea amigos, amigos de amigos o todo el mundo.

Es aconsejable revisar las opciones de configuración de nuestra red social para cerciorarnos del nivel de privacidad y seguridad que tenemos. En este sentido, es importante tener claro saber quién puede tener acceso a nuestras publicaciones y si el perfil es accesible por los buscadores de internet, entre otros aspectos. Éstos y otros consejos se encuentran disponibles en la Guía de privacidad y seguridad en internet, elaborada por la AEPD y el INCIBE. Asimismo, en la web de la Agencia se pueden consultar una serie de vídeos realizados conjuntamente con la Oficina de Seguridad del Internauta (OSI) sobre seguridad en las redes sociales, donde podremos conocer cómo configurar la privacidad en Facebook, pero también en SnapchatInstagramWhatsAppTwitter o YouTube.

Riesgos a los que puede enfrentarse la labor del Delegado de Protección de Datos

/en /por

Riesgos a los que puede enfrentarse la labor del Delegado de Protección de Datos
dortega
Vie, 12/28/2018

El DPD es una figura obligatoria para organizaciones que traten datos personales de forma intensiva o datos sensibles a gran escala, así como para organismos públicos. Las empresas que no estén obligadas a designar un DPD pueden implantar esta figura en sus organizaciones como apoyo al cumplimiento

Riesgos a los que puede enfrentarse la labor del Delegado de Protección de Datos

En un artículo anterior abordamos la figura del Delegado de Protección de Datos (DPD) cuando se construyen sistemas de información en las organizaciones, centrándonos en la planificación. El Plan de Sistemas de Información de una organización tiene como propósito establecer un marco de referencia para los sistemas, para que su desarrollo y evolución sea coherente, y a la vez esté alineado con los objetivos estratégicos de la organización. Es, por tanto, una parte de la planificación estratégica que guiará la evolución del negocio a medio y largo plazo.

Como se comentaba entonces, el DPD debe participar en la elaboración de este Plan de Sistemas, asesorando e informando de las obligaciones que impone el Reglamento General de Protección de Datos (RGPD) en el tratamiento de datos personales. La propia organización debe promover esta participación a lo largo de toda la planificación estratégica para que el DPD se involucre desde las fases más tempranas, ayudando a crear también una cultura de la protección de datos en la organización. No hay que olvidar que el artículo 25 del RGPD incluye la protección de datos desde el diseño, y ese diseño se puede considerar que empieza desde la visión estratégica de la organización.

Entre los riesgos que puede haber para la labor de un DPD en la elaboración de una planificación estratégica de la organización, el más grave sería sin duda que esta no existiera. La ausencia de una planificación estratégica condenaría al DPD a moverse por todos los rincones de la organización sin saber exactamente dónde se puede presentar un problema o necesitar su asesoramiento.

Otro riesgo posible para un DPD es la invisibilidad: una organización en la que no haya sido designado oficialmente, no se le invite regularmente a las reuniones directivas, o no se consideren sus opiniones en éstas (por ejemplo, no recogiendo en las actas sus desacuerdos con las decisiones adoptadas). Un riesgo opuesto al anterior se presentaría en una organización en la que el DPD es conocido, invitado, y se le satura con información no relevante para el control de los datos personales, incluyendo información excesivamente técnica y con poco tiempo para su estudio.

Por otro lado, el DPD que participe en la elaboración de cualquier plan de esta naturaleza va a necesitar, además de conocimientos del derecho, de protección de datos y del negocio de la organización, de habilidades técnicas en la materia concreta del plan, y capacidad de comunicación. Las carencias en la preparación del DPD en cualquiera de estos aspectos deberían cubrirse con apoyo de otras personas.

Un último riesgo que se debe tener en cuenta es el conflicto de intereses. El DPD puede ser externo o no tener una dedicación exclusiva en la organización, pero si en un plan estratégico, o en alguno de los proyectos que se identifican en él, considera que su labor puede verse afectada por sus diferentes cometidos, es el momento de decirlo y que la organización pueda reaccionar a tiempo.

Medidas de seguridad en Facebook

/en /por

Medidas de seguridad en Facebook
dortega
Jue, 12/27/2018

Desde la Agencia te recomendamos que cierres las sesiones abiertas en todos tus dispositivos y vuelvas a introducir las credenciales si quieres volver a acceder

Medidas de seguridad en Facebook

El pasado viernes Facebook hizo pública una brecha de seguridad en su red social que podría haber dejado al descubierto información de 50 millones de usuarios. Según la información hecha pública por la compañía, los atacantes explotaron una vulnerabilidad en el código de Facebook para robar ‘tokens’ de acceso a Facebook, a través de los que podían acceder a las cuentas de las personas. 

Facebook ha anunciado que ha reiniciado los tokens de acceso de casi 50 millones de cuentas y restablecido los de otros 40 millones como medida de precaución. Los tokens de acceso son una herramienta que permiten no tener que identificarse cada vez que se accede a la red social desde el dispositivo, manteniendo las sesiones abiertas.

Es importante dejar claro que son aquellos que tratan los datos de los ciudadanos los encargados de velar por la privacidad y seguridad de los mismos. El ciudadano, por su parte, también puede tener un papel activo en su protección, por lo que no está de más recordar una serie de precauciones adicionales. Desde la Agencia recomendamos, en primer lugar y como medida básica en este caso de Facebook, cerrar la sesión que se tenía abierta en la red social y volver a introducir las credenciales si se desea volver a acceder.

La Oficina de Seguridad del Internauta (OSI) ha publicado una serie de consejos en caso de que el usuario tenga problemas para iniciar su sesión o que quiera revisar en qué dispositivos se ha iniciado sesión con nuestra cuenta. Por otro lado, y aunque se ha difundido que no es necesario cambiar la contraseña de acceso a la red social, aprovechamos para recordar las fichas 2 y 3 de la 

, elaborada por la Agencia e INCIBE, en las que se recogen consejos sobre la creación de contraseñas robustas. Además, en este vídeote explicamos cómo puedes configurar tu privacidad en Facebook y, si quieres saber cómo revisar la configuración de tu perfil para gestionar la información que Facebook sabe de ti, puedes seguir estos consejos.

En cuanto a las potestades de la Agencia Española de Protección de Datos como Autoridad de Control, ya hemos notificado a la autoridad competente a nivel europeo con relación a Facebook, la Comisión irlandesa, el interés en colaborar en la investigación de estos hechos para determinar las posibles responsabilidades y proteger los derechos de los ciudadanos españoles. De hecho, la AEPD ha sido la primera Autoridad europea en ofrecer su colaboración utilizando los procedimientos establecidos en el Reglamento General de Protección de Datos.

Diez consejos para certificarse como DPD según el esquema de la Agencia

/en , /por

Diez consejos para certificarse como DPD según el esquema de la Agencia
dortega
Mar, 12/25/2018

25 de Diciembre de 2018

La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar

1.     La AEPD ha aprobado un Esquema de certificación en colaboración con la Entidad Nacional de Acreditación (ENAC) y con el asesoramiento técnico de 23 entidades y organizaciones entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.

2.     La certificación no es una exigencia para poder ejercer como DPD y esta certificación no es la única posible, aunque la Agencia considera que reúne las exigencias y el rigor adecuados para ofrecer al mercado profesionales con los conocimientos y habilidades necesarias para desempeñar las funciones propias de un DPD con los estándares que exige el Reglamento.

3.     El Reglamento establece que el Delegado de Protección de Datos “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”. 

Recuerda:

Para ejercer las funciones de Delegado de Protección de Datos no se requiere estar en posesión de ningún certificado ni titulación específica.  

4.     La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar.

5.     Si estás interesado en certificarte como DPD con el Esquema de la AEPD, dirígete en primer lugar a alguna de las entidades de certificación designadas provisionalmente o acreditadas por ENAC que figuran en la web de la Agencia. Estas te informarán y asesorarán sobre el proceso y son las únicas autorizadas para verificar si cumples con los prerrequisitos exigidos (formación y/o experiencia profesional), convocar exámenes oficiales y expedir, mantener y renovar la certificación obtenida.

Recuerda:

Sólo las entidades de certificación acreditadas por ENAC pueden realizar convocatorias oficiales de exámenes y expedir certificaciones conforme al esquema AEPD-DPD.

6.     El documento Esquema de certificación de delegados de protección de datos incluye la información que necesitas para saber si estás en condiciones de presentarte al examen: prerrequisitos, tipo de preguntas, programa, temario, etc. 

7.     Para presentarte al examen necesitar justificar previamente ante alguna de las entidades de certificación acreditadas que reúnes las horas de formación y/o los años de experiencia que requiere el esquema, pudiendo completarlos mediante méritos adicionales, de acuerdo con la puntuación que figura en el anexo I del documento del esquema.

8.     Si, tienes cinco años de experiencia profesional y consideras que estás suficientemente preparado para presentarte al examen, puedes hacerlo sin necesidad de tener que superar previamente ningún curso o programa que te habilite para ello.

9.     Si consideras que necesitas formación adecuada para superar el examen, puedes recibirla en cualquier centro de formación que la esté ofertando, pero comprueba que el programa que imparte ha sido reconocido por alguna de las entidades de certificación acreditadas por la ENAC por ajustarse su contenido a la estructura y distribución exigida en el esquema AEPD-DPD.

Las entidades de certificación te informarán sobre el tipo de formación más adecuada a tus necesidades.

Recuerda:

Comprueba que el programa impartido por el centro de formación está reconocido por alguna de las entidades de certificación acreditadas.

10.     En esta sección de la web de la Agencia Española de Protección de Datos encontrarás toda la información disponible sobre el Esquema de certificación de la AEPD.

¿Cómo puedo evitar la publicidad no deseada? (gráfico)

/en , /por

¿Cómo puedo evitar la publicidad no deseada? (gráfico)
dortega
Lun, 12/24/2018

24 de Diciembre de 2018

La recepción de llamadas intempestivas para ofrecer la contratación de productos o servicios es una de las quejas que se repite con mayor frecuencia tanto en el servicio de atención al ciudadano de la Agencia como en su canal de Twitter 

Hay varios pasos que puedes dar para evitar esa publicidad no deseada. La AEPD dispone de un espacio en su página web estructurado en nueve secciones en el que te indica qué pasos seguir para impedir la recepción de publicidad que, en el caso de las llamadas telefónicas, son calificadas habitualmente por los ciudadanos como las más molestas.

Además, te ofrecemos también este gráfico, que recoge los aspectos fundamentales de forma más resumida:

 

Para evitar la recepción de publicidad, la Agencia recomienda en primer lugar inscribirse en la Lista Robinson, el único fichero común de exclusión publicitaria que existe en España y que está gestionado de forma independiente por la Asociación Española de Economía Digital. En este servicio, gratuito para el ciudadano, puedes seleccionar el medio o medios (teléfono, correo postal, correo electrónico y SMS/MMS) a través de los que no quieres recibir publicidad.

 

Puede darse el caso de que hayas autorizado a la empresa a enviarte publicidad, aunque quizás no hayas sido consciente. Si este es tu caso, también tienes otras opciones a tu disposición, como retirar el consentimiento o ejercer el derecho de oposición ante la empresa que está tratando tus datos. En el caso de la Lista Robinson, es importante que sepas que es eficaz a partir del tercer mes desde que te inscribes. 

Comunidades de propietarios y administradores de fincas ante el RGPD

/en , /por

Comunidades de propietarios y administradores de fincas ante el RGPD
dortega
Dom, 12/23/2018

23 de Diciembre de 2018

Las comunidades son responsables de sus tratamientos y, en caso tener un administrador de fincas, éste actuará como encargado

Desde el pasado 25 de mayo de 2018 es aplicable el Reglamento General de Protección de Datos (RGPD), que introduce numerosas novedades sobre el tratamiento de los datos personales tanto en lo referente a las obligaciones de responsables y encargados como en los derechos de los afectados.

Respecto a la incidencia del RGPD en las comunidades de propietarios, debemos partir, en primer lugar, de que las comunidades son responsables de sus tratamientos y, en caso de que exista un administrador de fincas, éste actuará como encargado de los mismos.

En este sentido, los tratamientos más comunes suelen ser:

Propietarios: en el que se tratarán todos los datos relativos de los propietarios en relación con la gestión de la propia comunidad, y atendiendo al contenido que recoge la Ley de Propiedad Horizontal
Videovigilancia: cuyo uso debe ser autorizado por la propia comunidad siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal
Trabajadores: en el supuesto de que la comunidad tenga contratado personal para la realización de trabajos, como puede ser la portería

Cuando existe una relación entre un responsable y un encargado, el Reglamento General de Protección de Datos establece en su artículo 28 que el tratamiento que lleve a cabo el encargado se debe regir por un contrato o acto jurídico con un determinado contenido que establece la citada norma.

Por ejemplo, se incluirá que tratará los datos únicamente siguiendo las instrucciones del responsable, o que adoptará las correspondientes medidas de seguridad.

Por tanto, un primer efecto de la aplicación del Reglamento General de Protección de Datos es que en los contratos firmados entre las comunidades de propietarios con los administradores de fincas que les prestan sus servicios, en lo relativo a la protección de datos, deben aparecer las cláusulas que contempla el artículo 28 anteriormente citado.

Esta adaptación se puede realizar de manera progresiva y, en la medida que sea posible, ya que en la nueva Ley Orgánica de Protección de Datos que se está tramitando en las Cortes Generales se ha introducido una disposición transitoria para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Por otra parte, con el RGPD ha desaparecido  esta obligación de inscribir ficheros en la Agencia. No obstante, lo que sí debe configurarse es el denominado Registro de Actividades de Tratamiento (aquí puede consultarse el de la AEPD), tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas. Se trata de un documento interno, que no debe ser enviado a la AEPD, pero que estará a disposición de la misma por si se requiriese.

En el Registro de Actividades de Tratamiento figurarán, en el caso de las comunidades, los tratamientos que lleven a cabo las mismas, como pueden ser los tratamientos de “propietarios” o “videovigilancia”, con un contenido muy similar al que anteriormente figuraban en los citados tratamientos a efectos de su inscripción en el registro de la Agencia. De esta forma, deben reflejarse, por ejemplo, los fines del tratamiento, las categorías de interesados y categorías de datos personales, o si existen cesiones a terceros.

En el supuesto de los administradores de fincas, también deberán contar con su respectivo registro de actividades, éstos en relación con las comunidades de propietarios a las que presten sus servicios.

Existen dos aspectos primordiales que atendiendo a la nueva regulación es necesario clarificar:

En primer lugar, el RGPD establece varios supuestos que legitiman el tratamiento de los datos personales: consentimiento (que debe ser mediante una acción afirmativa); ejecución de un contrato; cumplimiento de una obligación legal; misión de interés público o ejercicio de poderes públicos. 

En el caso de las comunidades de propietarios, la legitimación para el tratamiento de los mismos no deriva de la existencia de que hayan prestado el consentimiento previo, sino con base en el cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal). Es decir, con la aplicación del RGPD no hay que solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación deviene de ese cumplimiento legal que se ha citado anteriormente. Igual ocurrirá con el uso de la videovigilancia. Tampoco se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones.

O, en el caso de que existan tratamientos en relación a personal contratado por la comunidad (por ejemplo la portería), el tratamiento de los datos tampoco opera el consentimiento, sino la ejecución de un contrato.

En segundo lugar, el RGPD, en su artículo 13, ha ampliado el contenido del derecho de información en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos.

Si en la recogida de datos personales producida con anterioridad al RGPD se hubiese dado cumplimiento al derecho de información de la LOPD, no es necesario que ahora se vuelva a informar con el contenido que al respecto establece el Reglamento. Es decir, este precepto relativo al derecho de información en la recogida de datos personales no se aplica de forma retroactiva.

Sí deberá facilitarse el nuevo contenido del derecho de información acorde al RGPD, en la recogida de datos personales, a partir del 25 de mayo de 2018, que habían sido objeto de tratamiento hasta la fecha. También debe actualizarse el cartel de videovigilancia y el resto de información a facilitar.

Otra de las cuestiones que ha modificado el RGPD es la seguridad, ya que se parte de la realización inicial de un análisis de riesgos de los tratamientos, y en función de su resultado, adoptar las medidas de seguridad. Para ayudar a realizar este análisis, la Agencia ha publicado esta Guía.

Ver gua completa

Asimismo, la Agencia también ha puesto a disposición de las pymes que traten datos de bajo riesgo una herramienta llamada Facilita_RGPD con la finalidad de ayudar al cumplimiento. Aunque la herramienta Facilita está pensada actualmente para las pymes, y la documentación que va a generar está relacionada con sus tratamientos, como clientes o proveedores, se puede utilizar esta documentación por las comunidades y propietarios, ya que la herramienta genera un listado de medidas de seguridad que se pueden adoptar.

Entre las mismas se encuentran la realización de copias de seguridad, o si se utiliza una web para gestionar la comunidad de propietarios, entrar en la misma mediante un nombre de usuario y una contraseña.

Por último, indicar que en las comunidades de propietarios no es obligatoria la designación de un delegado de protección de datos.

Más información

Descarga aquí el cartel de aviso de videovigilancia

Consultas frecuentes (sección comunidades de propietarios)

Elaborar el registro de actividades de tratamiento

/en , /por

Elaborar el registro de actividades de tratamiento
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

La obligatoriedad de inscribir los ficheros en la Agencia será sustituida el 25 de mayo por la de contar con un registro de actividades.

La adaptación de una organización a las obligaciones del  Reglamento General de Protección de Datos (RGPD) incluye la revisión de los tratamientos de datos de carácter personal que realiza, con la que se puede dar comienzo al conjunto de actividades, u  hoja de ruta, que su cumplimiento va a requerir.

Tratamientos de datos personales, tanto de sus trabajadores como de aquellos colectivos de personas implicadas en la actividad, alumnos, clientes, pacientes, contribuyentes, proveedores,… y que debe plasmarse en construir y mantener actualizado  un registro con las actividades de tratamiento.

Así pues, cada organización deberá llevar un Registro de Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla. El artículo 30.1 dicta su contenido para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. La descripción del contenido de este Registro de Actividades recuerda bastante al de la Notificación de un fichero en el marco de la LOPD.

Corresponde a cada organización, de acuerdo al principio de responsabilidad proactiva (Accountability) que rige el RGPD, decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Deberá valorar hasta qué punto la segregación de sus tratamientos en elementos diferentes se corresponde con finalidades, bases jurídicas y categorías de afectados distintos.

Asimismo, le corresponde ponderar la optimización de la gestión de la protección de datos dentro de su organización para que resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue: que los individuos cuyos datos de carácter personal son objeto de tratamiento puedan tener, en su caso, un control efectivo de los mismos.

Para el sector privado la Agencia Española de Protección de Datos ha puesto a disposición de todos los responsables de tratamiento  la herramienta FACILITA_RGPD.

Podemos hablar de la construcción del Registro de actividades de tratamiento  en dos fases: la primera de ellas puede consistir en la revisión de los tratamientos de datos que la organización realiza; corresponderá a la segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades.

A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

Para facilitar esta tarea, la AEPD ha incluido, entre los servicios que se encuentran disponibles en su Sede Electrónica, la posibilidad de  obtener una copia en electrónico (fichero Excel o XML) del contenido completo de la declaración de sus ficheros.

Una vez incorporadas al Registro de Actividades todas aquellas que responden a su ámbito de actividad, la organización deberá fijarse en las nuevas obligaciones que el RGPD establece sobre los responsables y encargados del tratamiento.

El RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente debo incluir en mi Registro de Actividades de Tratamiento:

Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.

En cualquier caso, y en ejecución del principio de responsabilidad proactiva, corresponde a la organización decidir de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realizar la gestión de la misma.

Por último, la actual redacción del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (PLOPD), que se encuentra en tramitación parlamentaria, incluye la previsión de que todas las entidades incluidas en el artículo 77.1 deberán hacer público un inventario de sus tratamientos en el que constará la información establecida en el artículo 30 del RGPD y su base legal.

¿Qué derechos tengo a partir del 25 de mayo de 2018?

/en , /por

¿Qué derechos tengo a partir del 25 de mayo de 2018?
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

El Reglamento establece nuevos derechos para los ciudadanos, como el derecho a la portabilidad o a la limitación del tratamiento

El nuevo Reglamento General de Protección de Datos, aplicable desde el 25 de mayo de 2018, añade nuevos derechos a los ya existentes para mejorar la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.

Ejercer estos derechos es  gratuito para el ciudadano (al igual que sucedía anteriormente con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.

A continuación se recoge de manera esquemática qué derechos incluye el RGPD para el ciudadano y sus principales características.

¿Cuánto sabe Facebook sobre mí?

/en , /por

¿Cuánto sabe Facebook sobre mí?
dortega
Vie, 12/21/2018

21 de Diciembre de 2018

Te mostramos cómo revisar la configuración de tu perfil para gestionar la información que las redes sociales saben de ti

Las redes sociales ponen a tu disposición medios para divulgar y compartir información, y pueden ser de utilidad para relacionarte con otras personas, pero puede ocurrir que te resulte complicado saber 

Guía sobre la privacidad y la seguridad en internet

. Una práctica recomendable es revisar la configuración de tu perfil

Para ello, puedes utilizar los vídeos tutoriales que hemos realizado en la Agencia Española de Protección de Datos.

Además, es muy probable que en los últimos días hayas escuchado o leído noticias relacionadas con Facebook, y puede que tengas dudas sobre lo que esta red social sabe sobre ti. Esta información puede serte de utilidad para gestionar aquella información que Facebook conoce de ti.

Revisa tus opciones de configuración

Para revisar tus opciones de privacidad, consulta este vídeo de la Agencia en el que se muestran aspectos relacionados con la configuración de tu perfil de Facebook. Te recomendamos que revises esta configuración la primera vez que accedas a esta red social, aunque nunca es tarde para echar un vistazo y tomar medidas.

Lo que Facebook sabe sobre ti

Facebook almacena información obtenida de tu actividad para ofrecerte publicidad acorde a lo que la red social considera que son tus intereses. Si deseas saber la información que Facebook utiliza sobre ti, inicia tu sesión en la red social y accede a esta dirección:

https://www.facebook.com/ads/preferences/

Aquí se te mostrarán las categorías de información que Facebook utiliza cuando te sugiere productos o cualquier información publicitaria que ves mientras estás conectado, los anunciantes con quienes has interactuado, tu información personal (incluida tu situación sentimental, tu empresa, puesto o formación académica), tu configuración con relación a la publicidad que recibes y un pequeño tutorial sobre el funcionamiento con relación a la publicidad.

Recuerda que, como la mayor parte de las redes sociales, Facebook funciona gracias a los beneficios que obtiene de la publicidad orientada a los gustos y preferencias de sus usuarios y que, en realidad, la moneda de cambio con la que pagas a una red social es tu propia información personal.

Elimina en esta sección toda la información que no deseas que Facebook utilice para enviarte publicidad o contenidos.

El historial de tu actividad

Puedes también acceder al registro de tu actividad, donde Facebook recuerda toda tu actividad con el fin de llevar a cabo el perfilado de la publicidad que luego te muestra, y donde encontrarás cualquier información sobre tu actividad general en esta red social desde que la estás utilizando.

En este apartado puedes eliminar tus “me gusta” o cualquier comentario o publicación que hayas realizado a desde que eres usuario de esta red social.

Para obtener una información más exhaustiva sobre qué información se recopila y cómo descargarla, se puede acceder este enlace.

Si ya no quieres ser usuario de Facebook

Si no quieres seguir usando tu cuenta de Facebook, la red social te da dos opciones diferentes:

La desactivación de tu cuenta, que la vuelve invisible para todos tus usuarios pero que sigue conservando tus datos
La eliminación de la cuenta

El proceso de eliminación no es tan evidente como el de desactivación. Para borrar la cuenta de Facebook hay que acceder al siguiente enlace donde se pedirá Usuario y Password:

https://www.facebook.com/help/delete_account

Una vez autenticado el usuario se inicia el ciclo de confirmaciones con el siguiente mensaje:

cuanto-sabe-facebook-sobre-mi

Facebok informa de que:

“Si crees que no volverás a usar Facebook de nuevo, puedes solicitar que tu cuenta se elimine definitivamente. Recuerda que no podrás reactivar tu cuenta ni recuperar nada que hayas añadido. Antes de hacerlo, es recomendable que descargues una copia de tu información desde Facebook. Después, si quieres que tu cuenta se elimine permanentemente sin opción a recuperarla, inicia sesión en la cuenta y comunícanoslo. Cuando elimines tu cuenta, los usuarios no podrán verla en Facebook. Puede que sean necesarios hasta 90 días desde el comienzo del proceso para eliminar todo lo que has publicado, como tus fotos, actualizaciones de estado u otros datos almacenados en sistemas de copia de seguridad. Mientras eliminamos esta información, otros usuarios de Facebook no podrán acceder a ella. Algunas de las acciones que realizas en Facebook no se almacenan en tu cuenta. Por ejemplo, un amigo puede seguir teniendo mensajes tuyos incluso después de que hayas eliminado tu cuenta. Esta información no se borra al eliminar la cuenta».

Hay que pulsar el botón “Eliminar mi cuenta”, y se mostrarán unas ventanas de confirmación hasta que se obtenga el mensaje de cuenta desactivada, cuyo borrado efectivo se realizará por la red en unos días.

Recuerda que tu derecho a la protección de datos te permite decidir sobre tu información personal tanto si te identifica de forma directa o si es el resultado de tus “me gusta” o tus comentarios. Si necesitas más información relacionada con tu derecho a la protección de datos puedes consultar nuestra Guía para el Ciudadano, o si te preocupa tu privacidad y seguridad en internet puedes consultar nuestra 

.

Régimen sancionador

En los últimos siete meses la Agencia ha impuesto varias sanciones a la empresa Facebook por diferentes incumplimientos de la Ley Orgánica de Protección de Datos:

El PS 82/2017 se resolvió en agosto de 2017. Se impuso una sanción de 1.200.000 euros por infracciones de los artículos 6.1 (en relación al 4 y al 5), por no informar apropiadamente y, por tanto, no tener el consentimiento necesario para el tratamiento de datos; el artículo 7 (también en relación al 4 y al 5), por tratar datos especialmente protegidos sin obtener el consentimiento expreso, y el artículo 4.5 (en relación con el 16) por conservación excesiva de datos.
El PS 450/2016 se resolvió en octubre de 2017. Se impuso una sanción de 150.000 euros por una infracción del artículo 10 (Deber de Secreto), constatando que el servicio de Chat de Facebook permite que terceras personas puedan ver permanentemente el ritmo y acciones de conexión de cualquier usuario declarado como “amigo”, sin que el usuario pueda tomar ninguna acción al respecto.
El PS 219/2017 se ha resuelto este mismo mes,  imponiendo una sanción de 300.000 euros a Facebook y 300.000 a Whatsapp al declarar una infracción del artículo 6 a Facebook (por tratamiento sin consentimiento) y del artículo 11 (cesión de datos) a Whatsapp, por la comunicación de datos de usuarios de la última entidad a la primera.

Adaptación al Reglamento por parte de empresas y organizaciones

/en , /por

Adaptación al Reglamento por parte de empresas y organizaciones
dortega
Jue, 12/20/2018

20 de Diciembre de 2018

La Agencia publica una hoja de ruta para fomentar el cumplimiento de la nueva normativa, aplicable el 25 de mayo de este año 2018

La Agencia Española de Protección de Datos está apostando por el diseño de herramientas que faciliten el cumplimiento del nuevo Reglamento General de Protección de Datos, que se aplicará el 25 de mayo de este año. Son muchos y variados los materiales que estamos ofreciendo para que la transición al nuevo modelo de cumplimiento pueda realizarse con directrices y orientaciones.

Recientemente, la Agencia ha publicado una 

Adaptación al RGPD – Administraciones públicas

, a la que acaba de sumar otra que recoge las 

infografia-adaptacion-rgpd-sector-privado

, ya sean empresas u organizaciones.

En ella se recogen tanto los pasos necesarios como enlaces a las herramientas que ofrece la Agencia, en el caso de que sea necesario ampliar la información. Así, además de Facilita_RGPD, se recogen enlaces a:

Guía práctica de análisis de riesgos para el tratamiento de datos personales [feb 2018]

Guía práctica para las Evaluaciones de Impacto en la Protección de Datos

 

(que incluyen plantillas y anexos), así como a los documentos sobre el cumplimiento del deber de informar o la adaptación de los contratos entre responsables y encargados de tratamiento.

Igualmente, para aquellas entidades a las que Facilita_RGPD no resulte útil, hay que recordar que la Agencia ofrece un servicio de solicitud de copia de la inscripción que puede resultar útil como ayuda para elaborar el registro de actividades obligatorio a partir del 25 de mayo.