Se ha superado el límite de lo humanamente sano para la salud mental del equipo de la AEPD

Según ha publicado este verano el medio Business Insider, la responsable de la AEPD alerta de que se ha superado el límite de lo humanamente sano para la salud mental del equipo.

Mar España, directora de la AEPD, sobre la carga de trabajo del organismo: «Algo tendrá que hacer el nuevo Gobierno que salga del 23J, hay riesgos de colapso». «Y cuando hablamos de proteger un dato no hablamos de una cuestión aséptica: hablamos de proteger a personas en esferas tan importantes como la ideología o la sexualidad».

En ese sentido, la directora de la AEPD cree que el RGPD ha sido «transformador», aunque sí reconoce puntos a mejorar y que confía en que lo harán. El mes pasado, el Comité Europeo de Protección de Datos, el organismo comunitario que aúna a todos los organismos de control nacionales de la Unión, anunció el cambio de presidencia.

Anu Talus, la directora de la agencia de protección de datos finlandesa, asumió entonces el gobierno de esa institución sucediendo a Andrea Jelinek, de la que Mar España solo tiene buenas palabras. «Tengo mucha confianza en que la nueva presidenta finlandesa continuará esa saga de rigor, profesionalidad y seriedad que ha demostrado Andrea en estos años».

«Se han identificado casos estratégicos» con este RGPD, porque «seguramente donde puede darse un impulso es en el funcionamiento del mecanismo de ventanilla única». El mecanismo de ventanilla única es un principio rector de este reglamento que contempla que las autoridades nacionales son las encargadas de abordar las investigaciones de empresas afincadas en su territorio.

El desafío del cuello de botella en el mecanismo de ventanilla única

Lo que sucede en la Unión Europea es que las grandes tecnológicas concentran la sede social y fiscal de sus filiales continentales en países como Irlanda, provocando que la Comisión de Protección de Datos de ese país, organismo análogo a la AEPD de España, tengan que enfrentarse a un sinfín de casos. Organismos de derechos civiles han denunciado que se ha originado un «cuello de botella».

«Todo se mejora aprendiendo y desde los errores». España asegura entender y tener su respeto por «el desafío tan importante» que ha supuesto la aplicación del RGPD para la autoridad irlandesa. Al mismo tiempo, abunda en que muchas de las decisiones que se adoptan con estas grandes multinacionales tecnológicas acaban siendo, en realidad, colectivas.

«La reciente sanción a Meta de más de 1.200 millones de euros», recuerda España, nació de las objeciones de 3 autoridades nacionales —entre ellas, la española— después de que Irlanda propusiese una resolución sin multa económica.

«La presidenta anterior del Comité Europeo de Protección de Datos, Andrea Jelinek, nos reunió a todos los comisionados en Austria y decidimos por común acuerdo y unanimidad identificar los casos estratégicos para poder actuar de manera coordinada y prioritaria, y eso está empezando a dar sus frutos», apostilla la directora de la Agencia Española de Protección de Datos.

ChatGPT

Otro ejemplo concreto es el requerimiento que Garante, la autoridad italiana de protección de datos, remitió a OpenAI, la compañía detrás del popular ChatGPT. En consecuencia de aquel requerimiento de información, OpenAI bloqueó el acceso a ChatGPT en Italia durante unas semanas. Los medios aseguraron entonces que Italia había bloqueado el chatbot, una aseveración matizable.

La propia AEPD propuso en un plenario del Comité Europeo de Protección de Datos abordar esas pesquisas sobre ChatGPT de forma coordinada. En palabras de España, «es bueno que las tecnológicas sientan esa coherencia y esa presión global. Que no vaya una autoridad de protección de datos por delante, que vayamos todas».

Labor de la AEPD

A nivel comunitario, la agencia española ha demostrado músculo. Es la autoridad nacional que más sanciones ha propuesto. «Las resoluciones de la AEPD son el 40% del volumen total», corrobora España. «Eso no implica que representen el 40% del importe total de las multas. Si comparamos el importe con las que han puesto nuestros colegas europeos estamos entre el 2% y el 3%».

Nuevamente, esta variación se explica con el hecho de que las grandes tecnológicas se concentran en otros países como Irlanda, y muchas de las sanciones que estipula el RGPD son en función del volumen de facturación de las compañías que puedan haber vulnerado el reglamento.

Pero, ¿por qué España eleva más resoluciones? La respuesta podría estar en el derecho nacional, que obliga a la AEPD a estudiar el 100% de las reclamaciones que recibe. «Otras autoridades nacionales, por la información que tengo, tienen más capacidad de discriminar».

Con todo, y más allá de las resoluciones —que es una de las labores más visibles de la AEPD—, el organismo ya está «muy por encima del esfuerzo humano que se podría haber hecho». La propia directora de la AEPD abundó en la primera entrega de esta entrevista que el organismo corre el riesgo de colapsar de no recibir más recursos.

«En estos 8 años se han publicado más de 100 guías y herramientas a coste cero. Se puede dar de sí hasta donde se llega. Mi obligación es decir que se ha superado el límite de lo humanamente sano para la salud mental del equipo que trabaja en la AEPD».

De esta forma, Mar España defiende la gestión de la AEPD con estos 5 primeros años de Reglamento de Protección de Datos. Sin él, el mundo digital «seguramente sería mucho más invasivo, no habría ni límites ni garantías». «La AEPD protege a las personas en su individualidad, lo más esencial de nosotros es nuestra identidad ideológica, sexual o religiosa. Nuestras comunicaciones íntimas».

«Nunca hasta ahora en la historia de la humanidad habíamos estado tan conectados pero al mismo tiempo tan vulnerables e influenciables. Es esencial que existan organismos como este». Aunque España cree que no todo puede recaer en el peso de la AEPD y agencias análogas. «Deberían existir pactos de Estado en materia de protección a las personas en el mundo digital».

La directora de la AEPD pone énfasis en la protección de la infancia o de la salud mental. «Debería empezar a trabajarse sobre temas que ya superan un poco en competencias a la AEPD, como salud digital y sus efectos en la salud mental». «La tecnología es maravillosa, gracias al mundo digital conseguimos no sentir soledad durante el confinamiento que fue tan duro», reconoce.

Un organismo todavía pendiente de renovación

España llegó a la dirección de la AEPD en 2015 y su mandato se ha venido prorrogando, primero, por el adelanto y luego la repetición electoral de 2019. Después, por los desencuentros entre los candidatos a ocupar la nueva presidencia del organismo, cuyos nuevos estatutos ya publicó el BOE hace unos años.

Ante ello, la todavía directora de la AEPD asevera que no le corresponde juzgar y que por supuesto acataron la sentencia del Tribunal Supremo que declaró la nulidad del procedimiento. «La AEPD mantuvo una actitud imparcial, neutra y discreta» ante el debate que se generó en los medios.

Pero sí cree que «es bueno» que las instituciones se renueven. «Desde el minuto uno me puse a disposición. Mi mandato era de 4 años y pedí que no hubiera transitoria para que no se ampliara a 5. Por circunstancias lamentablemente ajenas a mi voluntad se ha acabado ampliando a 8, pero creo que la independencia de la AEPD está fuera de toda duda».

«Lo que sí puedo transmitir es un mensaje alto y claro. La AEPD sigue funcionando a pleno rendimiento, pero confiando en que su renovación se pueda producir en un plazo de tiempo relativamente corto».

Ver noticia completa en fuente original: https://www.businessinsider.es/aepd-limite-equipo-hace-humanamente-posible-rgpd-1256442

25.000 euros de multa por no contar con un DPD

La Audiencia Nacional ha confirmado la multa impuesta a la empresa de servicios de mensajería Glovo por la Agencia Española de Protección de Datos (AEPD) por no contar con un delegado de protección de datos (DPD). La sanción, de 25.000 euros, fue impuesta por la AEPD en agosto de 2020 por no disponer de una figura física o jurídica a la que dirigir las reclamaciones relacionadas con la protección de datos personales de los usuarios de la plataforma.

Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional en contra de esta resolución, alegando que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía a nadie nombrado en ese puesto. La empresa manifestó que de 2014 a 2018 la función de protección de datos la realizaba el servicio jurídico de la compañía y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.

La Audiencia Nacional ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos «son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia». Por tanto, se exige que la empresa efectúe un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en el ejercicio de su actividad.

Además, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos, y que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la aplicación. Por tanto, la falta de un delegado de protección de datos supone una infracción del RGPD y LOPDGDD.

Es importante recordar que la figura del DPD, que puede ser una persona física o jurídica, está establecida en el artículo 37 del RGPD y es una figura clave en la protección de datos personales, ya que es la encargada de garantizar que el tratamiento de los datos personales se realiza de forma adecuada y de recibir y atender las reclamaciones de los usuarios en relación con la protección de sus datos personales.

La AEPD examinará si las designaciones de los DPD en España se ajusta a lo requerido por el RGPD

El Comité Europeo de Protección de Datos (CEPD), un organismo europeo que aglutina a las autoridades de control de protección de datos en Europa, ha anunciado una acción coordinada a nivel europeo en la que participará la Agencia Española de Protección de Datos (AEPD) junto con otras 26 autoridades de control nacionales, el Supervisor Europeo de Protección de Datos (SEPD) y las autoridades de Islandia, Liechtenstein y Noruega.

El objetivo de esta acción es examinar el papel de los delegados de protección de datos (DPD) en organismos públicos y privados. La figura de DPD está amparada por la legislación nacional y europea, y miles de entidades están obligadas a nombrar a una persona que asuma sus tareas. Sin embargo, desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) en 2018, muchas empresas y administraciones han nombrado a un DPD solo para cumplir con el requisito legal, sin que en muchos casos las personas designadas sean profesionales competentes en la materia o con conocimientos suficientes en la misma, lo que se conoce popularmente como «encasquetamiento».

El CEPD ha destacado la importancia de los delegados de protección de datos como intermediarios entre autoridades de control, ciudadanos y negocios, y ha señalado que juegan un papel esencial en el cumplimiento de las leyes de protección de datos y en la promoción de los derechos de los usuarios sobre sus datos personales.

En el marco de esta acción coordinada, las autoridades de control nacionales enviarán cuestionarios a las entidades afectadas para evaluar si la situación de los delegados en sus organizaciones se ajusta a lo requerido en el RGPD. La AEPD, en concreto, analizará las prácticas de más de 30.000 entidades del sector público y privado, en distintos sectores de actividad como la educación, la banca y finanzas, la sanidad, la energía, la seguridad, las telecomunicaciones, los créditos, los juegos de azar y las apuestas.

Los cuestionarios buscarán determinar si estas empresas privadas u organismos públicos tienen conocimiento y experiencia al designar a sus delegados de protección de datos, y si conocen sus tareas y recursos, así como su papel y posición en sus organigramas. Los resultados de esta acción se analizarán de manera coordinada, y las autoridades de protección de datos podrán decidir acciones adicionales de supervisión y aplicación en función de esos resultados, que serán agregados, generando una visión más amplia y permitiendo un seguimiento específico del tema.

Fuente original: https://lopezdelemus.com/la-aepd-examinara-si-las-designaciones-de-los-dpd-en-espana-se-ajusta-a-lo-requerido-por-el-rgpd

La AEPD publica una lista de verificación para ayudar a los responsables a realizar evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) ha publicado una lista de verificación para ayudar a los responsables del tratamiento a identificar y determinar de una forma rápida si el proceso y la documentación que están siguiendo para llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD) contiene los elementos exigibles.

La AEPD cuenta con la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, que facilita la obligatoria gestión de riesgos en los procesos de gobernanza de las entidades y, cuando corresponda, la EIPD. Este listado de verificación complementa esa guía y permite, una vez desarrollada y documentada la Evaluación de Impacto, efectuar una comprobación final para cerciorarse de que se han tenido en cuenta todos los aspectos recogidos en la normativa de protección de datos…

Ver noticia completa en fuente original: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-lista-verificacion-para-ayudar-responsables-evaluaciones

 

La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público

La Agencia Española de Protección de Datos (AEPD) participa en la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés).

El objetivo de esta acción preventiva es obtener una visión integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube. La finalidad de esta iniciativa es conocer y, en su caso, contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Las 22 autoridades participantes analizarán más de 80 organismos e instituciones públicas europeas de un amplio abanico de sectores como la salud, las finanzas, la educación, las compras centralizadas o los proveedores de servicios informáticos. La AEPD analizará las prácticas de 12 de ellos correspondientes al sector público español.

NOTICIA COMPLETA EN SU FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales
rperezm
Lun, 05/24/2021

24 de Mayo de 2021
  • El documento tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y de comunicarlas a las personas cuyos datos se hayan visto afectados
  • Las notificaciones y comunicaciones de brechas que afectan a datos personales son parte de la responsabilidad proactiva establecida en el RGPD
  • La Agencia ha gestionado casi 700 brechas de datos notificadas en 2021, la mayoría producidas por ataques externos e intencionados, siendo el ransomware la amenaza más frecuente

(Madrid, 25 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados. Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos.

El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.

Cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada. Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales. La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.

Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.

La Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.

La Agencia ha gestionado más de 700 brechas de datos notificadas en los primeros cinco meses de 2021. La mayoría de ellas se han producido por un ataque externo e intencionado siendo el ransomware la amenaza más frecuente, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales.

Comunicación a los afectados

Como complemento a la presente Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. La decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta. En ningún caso la Agencia almacena los datos consignados durante el proceso.

 

La Agencia imparte el seminario ‘Privacidad, sostenibilidad e innovación’ durante los cursos de verano de la Universidad Menéndez Pelayo

La Agencia imparte el seminario ‘Privacidad, sostenibilidad e innovación’ durante los cursos de verano de la Universidad Menéndez Pelayo
scabellosp
Mié, 05/19/2021

19 de Mayo de 2021
  •   El seminario se celebra los días 7, 8 y 9 de julio
  •   Inscripción y programa

 

(Madrid, 19 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) imparte del 7 al 9 de julio el seminario ‘Privacidad, sostenibilidad e innovación’, que se enmarca en las Actividades de Verano 2021 de la Universidad Internacional Menéndez Pelayo (UIMP) de Santander.

El programa de Responsabilidad Social de la AEPD, alineado con los Objetivos de Desarrollo Sostenible de la Agenda 2030, implica la asunción por parte de la Agencia de un compromiso ético, especialmente dirigido a la ciudadanía, la educación y los menores y la igualdad de género, directamente relacionado con la tutela del derecho fundamental a la protección de datos.

El seminario analizará la aplicación práctica del modelo de cumplimiento y supervisión del Reglamento General de Protección de Datos, que ha generado importantes novedades en las bases jurídicas del tratamiento de datos, especialmente respecto del consentimiento y el interés legítimo; en la tramitación de reclamaciones, tanto mediante medidas correctivas como mediante la imposición de importantes sanciones económicas, así como en la promoción de sistemas de autorregulación a través de códigos de conducta. Y también en la aplicación del Reglamento a nuevas tecnologías, como la inteligencia artificial, el big data, las redes 5G, el internet de las cosas o el blockchain. Ello ha exigido una respuesta que garantice una aplicación coherente de la norma en el ámbito de la Unión por parte del Comité Europeo de Protección de Datos.

Asimismo, se abordará la sentencia del Tribunal de Justicia de la Unión Europea sobre el denominado caso Schrems 2, que ha marcado novedosos criterios con importantes consecuencias prácticas para la realización de transferencias internacionales de datos a terceros países sin nivel adecuado de protección. Por otro lado, la interrelación entre el Reglamento y la normativa reguladora de la publicidad online y de las cookies y otras tecnologías similares serán temas que también se tratarán durante el seminario.

En el ámbito de la pandemia de COVID-19, las iniciativas relacionadas con la emisión de certificados interoperables que garanticen la libre circulación dentro de la Unión Europea, la finalidad de dichos tratamientos a nivel europeo y sus posibles usos secundarios por parte de los Estados miembros complementan el contenido del curso.

Toda la información, incluida la referente a la matriculación, está disponible en la página web de la UIMP.

 

La AEPD publica una guía sobre protección de datos y relaciones laborales

La AEPD publica una guía sobre protección de datos y relaciones laborales
rperezm
Mar, 05/18/2021

18 de Mayo de 2021
  • La guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo como de la patronal y organizaciones sindicales
  • El documento aborda cuestiones que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales, los sistemas internos de denuncias, el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control

(Madrid, 18 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.

La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.

El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.

En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.

La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.

Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.

La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.

La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.

Acceso al webinario ‘Interfaz cerebro-computador y protección de datos cerebrales’ en el ciclo ‘Mujer y ciencia’

Acceso al webinario ‘Interfaz cerebro-computador y protección de datos cerebrales’ en el ciclo ‘Mujer y ciencia’
rperezm
Mié, 04/28/2021

28 de Abril de 2021

En el marco de los compromisos de la Agencia en materia de Responsabilidad Social y Sostenibilidad, especialmente en el ámbito de la tecnología y la protección de datos y de la igualdad de género, la AEPD inicia el ciclo 2021 sobre ‘Innovación y Protección de Datos. Mujer y Ciencia’, con el que pretende mantener un debate riguroso sobre temas de actualidad.

El jueves 6 de mayo, a las 17 horas, se iniciará el Ciclo 2021 de webinarios ‘Innovación y Protección de datos. Mujer y Ciencia’. El primero de ellos será impartido por Yasna Vanessa Bastidas, licenciada en ciencias jurídicas, Universidad San Sebastián de Valdivia (Chile) y abogada por la Excelentísima Corte Suprema de Chile. Además de Máster en propiedad intelectual y derecho de las nuevas tecnologías y Máster en protección de datos, Universidad Internacional de la Rioja, España y candidata a doctor en derecho, Universidad Carlos III de Madrid.

Ha participado como investigadora del Instituto de derecho informático de los Ríos, Valdivia (Chile) y en el Grupo de Investigación TRES-i “trabajo líquido y riesgos emergentes en la sociedad de la información” de la Universidad Internacional de la Rioja, España.

Galardonada con el premio Iberoamericano de Protección de datos “Valentín Carrascosa 2020”, Federación Iberoamericana de Asociaciones en Derecho e Informática (FIADI) y el premio de Investigación en protección de datos Emilio Aced 2020 de la Agencia Española de Protección de datos.

Su conferencia llevará por título ‘Innovación, protección de datos y transformación digital. Interfaz cerebro-computador y protección de datos cerebrales’. El acceso al webinario se llevará a cabo a través del siguiente enlace.

 
Acceso a los webinarios del ciclo Mujer y Ciencia 2020

Los webinarios realizados con anterioridad pueden verse aquí:

Materiales de difusión de la iniciativa ‘Lo paras o lo pasas’

Materiales de difusión de la iniciativa ‘Lo paras o lo pasas’
rperezm
Mar, 04/27/2021

27 de Abril de 2021

‘Lo paras o lo pasas’ pretende fomentar el uso del Canal Prioritario para denunciar la publicación en Internet de contenidos sexuales o violentos

La Agencia Española de Protección de Datos ha lanzado una serie de carteles para contribuir a la difusión del Canal prioritario de la Agencia a través de diferentes vías. El objetivo es que los más jóvenes conozcan que pueden denunciar la publicación en Internet de vídeos o fotos de contenido sexual o violento difundidos sin el consentimiento de las personas que aparecen en ellos.

Con esta iniciativa la Agencia se dirige a todas las personas que en algún momento pueden recibir un contenido de este tipo, aunque inicialmente no lo grabasen ellas. Al ver publicado ese vídeo o fotografía cada persona debe decidir qué hacer: si se convierte en cómplice o si va a actuar. El objetivo es transmitir que todas las personas pueden denunciar ante la Agencia la difusión de ese tipo de contenidos y que no sólo tiene una responsabilidad quien inicialmente decide publicar un contenido de carácter sexual o violento sin el permiso de la persona que aparece en las imágenes sino todos aquellos que contribuyen a su difusión a través de diferentes vías.