El administrador de un sitio de Internet equipado con el botón «me gusta» de Facebook puede ser responsable conjuntamente con Facebook de la recogida y la transmisión a Facebook de los datos personales de los visitantes de su sitio.

Fashion ID, una empresa alemana de comercio electrónico que se dedica a la venta de prendas de vestir, insertó en su sitio de Internet el botón «me gusta» de Facebook. Dicha inserción parece
tener como consecuencia que, cuando un visitante consulta el sitio de Internet de Fashion ID, se transmiten a Facebook Ireland datos personales de ese visitante. Parece ser que esa transmisión
se efectúa sin que dicho visitante sea consciente de ello y con independencia de si es miembro de la red social Facebook o de si clicó en el botón «me gusta».

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: TJUE

Protección de datos en vacaciones

Protección de datos en vacaciones
dortega
Mié, 07/24/2019

Durante las vacaciones de verano no podemos bajar la guardia y debemos seguir siendo activos en la protección de datos, afrontando las situaciones de riesgo que se presentan en la época estival.

Con la llegada de las vacaciones de verano cambiamos muchas de nuestras rutinas, viajamos, salimos más, visitamos lugares nuevos y disfrutamos de nuestro tiempo libre junto a familiares y amigos. En esta entrega de nuestro blog os presentamos algunos consejos sobre cómo afrontar situaciones de riesgo para la protección de nuestros datos personales en época estival.

Piensa dos veces antes de compartir una foto o vídeo

La actividad estival hace que la cámara de nuestro teléfono móvil tenga más trabajo del habitual: detalles de los lugares que hemos visitado, gente con la que hemos estado, fiestas a las que hemos asistido, etc. Compartir parte de esas fotografías (o todas) en una red social es algo habitual para algunas personas y entraña algunos riesgos.

Según datos del Centro de Investigaciones Sociológicas (CIS), una de cada cuatro personas (24.5%) se ha arrepentido alguna vez de haber colgado algo en una red social. Te recomendamos que pienses en quién podrá ver tus fotos antes de pulsar el botón de compartir en tus redes sociales. Si tu perfil es accesible para los buscadores, ten en cuenta que cualquiera podrá ver, por ejemplo, las fotos, vídeos o comentarios que publicas. La Agencia dispone de una serie de vídeo tutoriales explicativos elaborados junto a INCIBE en  los que explica cómo accceder a la configuración de privacidad y seguridad de algunos de los servicios más populares en Internet para que tu perfil no se muestre cuando, por ejemplo, introduzcan tu nombre en un buscador.

Una vez que tu perfil ya no sea accesible para los buscadores, piensa también en que las personas a las que das acceso a tu información eligen a su vez quien puede tener acceso a su perfil: amigos, amigos de amigos o todo el mundo. Si compartes una foto con tus seguidores o amigos en una red social y uno de ellos indica que algo le gusta, un amigo de amigo, al que no tienes por qué conocer, puede terminar viendo esa imagen. Y es posible que haya situaciones que quizás no quieres compartir con desconocidos.

Siguiendo con los datos del CIS, un 12.2% de los encuestados afirma haber tenido problemas por contenidos que otros han colgado en una red social. Debemos recordar que necesitamos consentimiento de las personas que aparecen en las fotos que tomamos antes de compartirlas en Internet o de sus padres o tutores en el caso en que aparezcan menores.

Evita decir dónde estás

Compartir en Internet fotografías de tus viajes o tu geolocalización a través de una aplicación puede dar información a los delincuentes para saber cuándo no estás en casa. Ten cuidado también con compartir imágenes de tus billetes o tarjetas de embarque, ya que sus códigos pueden ser utilizados para acceder a tus datos personales y conocer el destino y fechas de tu viaje.

Desconfía de las WiFis abiertas y ordenadores compartidos

En verano pasamos mucho tiempo lejos de la WiFi de nuestra casa o del trabajo. Esto hace que consumamos los datos contratados rápidamente y andemos a la caza de WiFi gratuito. Las redes abiertas en ocasiones pueden ser utilizadas por ciberdelincuentes para robarte tus datos personales y contraseñas. Si las utilizas, no introduzcas tus contraseñas, no intercambies información sensible, no te conectes a tu servicio de banca, y no compres por Internet con ellas.

Del mismo modo, cuando estamos de viaje, pueden surgir situaciones en las que nos vemos obligados a hacer un trámite y conectarnos desde un ordenador público de un hotel o un locutorio. En estos casos te recomendamos utilizar la opción de navegación privada del navegador, no guardar tus contraseñas en el dispositivo compartido y, después de utilizarlo, cerrar todas las sesiones que hayas abierto (correo electrónico, webs, chats, etcétera).

Adelántate al robo o pérdida de tus dispositivos

 Cuando viajas o realizas actividades veraniegas como ir a la piscina, la playa o visitar lugares turísticos, aumentan los riesgos de perder o que nos roben nuestro móvil o tableta. No solemos ser conscientes de la cantidad de datos e información personal que contienen. Te recomendamos que hagas una copia de seguridad de la información que almacenas y no olvides añadir un sistema de clave o patrón para bloquear los dispositivos.

Aquí encontrarás más información sobre cómo poner en práctica todos estos consejos y en nuestro Youtube puedes ver vídeos tutoriales para configurar la privacidad de tus cuentas en redes sociales.

Ante todo, disfruta de las vacaciones

Por último, si te pasas el día pegado a tu teléfono móvil, en Internet y compartiendo todo lo que haces en tus redes sociales, te perderás muchas cosas buenas de tus vacaciones. Si puedes, desconecta, mira a tu alrededor, comparte tiempo con tus seres queridos y disfruta de las vacaciones.

La aplicación práctica de la nueva Ley de Protección de Datos y el Reglamento centran el curso que la Agencia imparte en la UIMP

La aplicación práctica de la nueva Ley de Protección de Datos y el Reglamento centran el curso que la Agencia imparte en la UIMP
dortega
Mié, 07/17/2019

17 de Julio de 2019

El curso ‘La Ley Orgánica de protección de datos personales y garantía de derechos digitales: orientaciones para su aplicación’, bajo la dirección de Mar España, tendrá lugar del 17 al 19 de julio en el marco de las Actividad

El curso ‘La Ley Orgánica de protección de datos personales y garantía de derechos digitales: orientaciones para su aplicación’, bajo la dirección de Mar España, tendrá lugar del 17 al 19 de julio en el marco de las Actividades de Verano de la Universidad Internacional Menéndez Pelayo
Acceso al programa

(17 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) imparte durante los días 17, 18 y 19 de julio el curso ‘La Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales: orientaciones para su aplicación’ bajo la dirección de Mar España, directora de la Agencia.

El encuentro tiene lugar durante las Actividades de Verano 2019 de la Universidad Internacional Menéndez Pelayo (UIMP) en el Palacio de La Magdalena de Santander y en él se analiza en profundidad la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, así como la aplicación práctica del Reglamento General de Protección de Datos (RGPD) cuando acaba de cumplirse un año de su aplicación.

UIMP
El programa incluye conferencias en las que se abordan cuestiones generales como los principios de la protección de datos, las bases jurídicas, las disposiciones aplicables a tratamientos concretos, las medidas de responsabilidad activa o los procedimientos para la tramitación de reclamaciones.

 A ellas se suman mesas redondas de temáticas especializadas, como la que tratará la protección de datos personales y la investigación en salud, las tecnologías de seguimiento y perfilado o la experiencia práctica de los delegados de protección de datos.

 La experiencia práctica de los delegados de protección de datos, el tratamiento de datos personales en las Administraciones Públicas o el balance del trabajo realizado por el Comité Europeo de Protección de Datos completan los contenidos del encuentro.

 El curso se dirige fundamentalmente a empresas, Administraciones Públicas, expertos en protección de datos y tecnologías de la información y, en general, a todos los profesionales interesados en la protección de datos de carácter personal.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social a través de la Subsecretaría y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

 

La AEPD presenta su herramienta Gestiona como ayuda para realizar análisis de riesgos y evaluaciones de impacto en la protección de datos

La AEPD presenta su herramienta Gestiona como ayuda para realizar análisis de riesgos y evaluaciones de impacto en la protección de datos
dortega
Lun, 07/15/2019

15 de Julio de 2019

Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia El modelo ha sido elaborado en col

Se trata de un cuestionario online para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo
Gestiona se suma a otras herramientas desarrolladas por la AEPD para fomentar el cumplimiento de la normativa como Facilita, orientada a pymes y autónomos que tratan datos de escaso riesgo

(Madrid, 15 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha puesto hoy en funcionamiento Gestiona_EIPD, una herramienta para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo como, por ejemplo, aquellos que impliquen datos de salud o tratamientos masivos. Gestiona_EIPD puede resultar también útil para aquellas pymes que necesitan iniciarse en la realización de Evaluaciones de Impacto en Protección de Datos personales (EIPD).

El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el RGPD exige a esas organizaciones llevar a cabo una EIPD. La AEPD dispone de un 

listado de tratamientos de datos personales

 en los que es obligatorio hacer una EIPD, como establece el Reglamento en su artículo 35.4.

La herramienta gratuita Gestiona guía a los responsables y encargados del tratamiento de datos en los aspectos que se deben tener en cuenta en los análisis de riesgos y las evaluaciones de impacto, proporcionando una base inicial para llevar a cabo una adecuada gestión de los mismos, incluyendo los requisitos de cumplimiento normativo aplicables y posibles medidas encaminadas a reducir o mitigar los riesgos. La Agencia recuerda que, en ningún caso, estos requisitos de cumplimiento pueden ser reemplazados por medidas alternativas técnicas u organizativas. Para más información, en la página web de la Agencia puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD.

Gestiona está diseñada como un cuestionario online donde el responsable debe valorar si desea hacer un análisis de riesgos o una evaluación de impacto en la protección de datos. Los datos que los responsables y encargados aporten –y que la AEPD no conserva ni monitoriza de forma alguna– les permitirán obtener esta documentación básica. Ésta deberá ser completada por el responsable del tratamiento y, en su caso, el encargado para iniciar el análisis de riesgos o de EIPD siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, y analizada periódicamente de manera que en todo momento se pueda demostrar que los tratamientos se llevan a cabo de conformidad con los requisitos que establece la normativa de protección de datos.

Con Gestiona_EIPD, la AEPD aporta una nueva herramienta desarrollada para fomentar y ayudar al cumplimiento de la normativa de protección de datos, que se une a otras como Facilita, diseñada para ayudar a aquellas empresas y profesionales que traten datos personales de escaso riesgo y que ya ha sido completada en casi 180.000 ocasiones.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos
dortega
Mar, 07/09/2019

9 de Julio de 2019

 

Se trata de un cuestionario online para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo Gestiona se suma a otras herram

Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

(Madrid, 9 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un 

 con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la 

Guía práctica para las Evaluaciones de Impacto en la Protección de Datos

, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social a través de la Subsecretaría y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

 Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.     

 El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

 Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

La AEPD alerta a pymes y autónomos de los riesgos de contratar servicios de adecuación a la normativa a ‘coste cero’

La AEPD alerta a pymes y autónomos de los riesgos de contratar servicios de adecuación a la normativa a ‘coste cero’
dortega
Jue, 07/04/2019

4 de Julio de 2019

El conocido como ‘coste cero’ consiste en ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores La Agencia ha publicado un documento informat

El conocido como ‘coste cero’ consiste en ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores
La Agencia ha publicado un documento informativo, elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, que recoge las sanciones que pueden imponerse por las infracciones administrativas que puede entrañar la contratación de este tipo de servicios
La Agencia también previene de otras prácticas fraudulentas asociadas, como difundir que se está obligado a contratar un DPD en todos los casos o la oferta de servicios innecesarios, entre otras

(3 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un documento informativo en el que 

. El documento, que ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, también recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios.

 La adecuación a la normativa de protección de datos conocida como coste cero consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.

 La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

 Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

 La Agencia también advierte a pymes y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.

 Por otro lado, hacer creer a pymes y autónomos que están obligadas en cualquier caso a designar un delegado de protección de datos u ofrecer servicios innecesarios para los tratamientos que realiza la empresa son otros de los mensajes engañosos frecuentes.

 El documento también hace referencia a prácticas agresivas y que podrían incurrir en competencia desleal, como actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan, generar la apariencia de que se está actuando en colaboración con la AEPD, realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos, u ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento. En estos casos, los afectados podrán ejercer acciones ante los juzgados de lo mercantil o denunciarlo ante la Comisión Nacional de los Mercados y de la Competencia si se vulnera la Ley de Defensa de la Competencia.

 La Agencia recuerda la conveniencia de que las pymes y autónomos que quieran o tengan que contratar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas con anterioridad. Además, por lo que respecta al ámbito de actuación de la AEPD, existen varios canales de información a los responsables (Canal INFORMA) y a los ciudadanos (Atención al ciudadano) y una herramienta gratuita de ayuda (FACILITA_RGPD) dirigida a empresas que realicen un tratamiento de datos personales de escaso riesgo.