La AEPD sanciona a Google LLC con 10 millones de euros por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión

La Agencia Española de Protección de Datos (AEPD) ha dictado resolución del procedimiento iniciado contra la compañía Google LLC en la que declara la existencia de dos infracciones muy graves de la normativa de protección de datos e impone una sanción de 10 millones de euros por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos (artículos 6 y 17 del Reglamento General de Protección de Datos).

Google LLC es la responsable del tratamiento analizado y lo lleva a cabo en EEUU. En el caso de la comunicación de datos a terceros, la Agencia ha constatado que Google LLC envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluida su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada. La misión de ese proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido, por lo que la Agencia considera que, dado que se remite toda la información contenida en la solicitud del ciudadano para que se incluya en otra base de datos accesible al público y para que se divulgue a través de una web, “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”.

La resolución recoge que esta comunicación de datos por parte de Google LLC al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo. Establecer esta condición en el ejercicio de un derecho reconocido a los interesados no está amparado por el Reglamento General de Protección de Datos al generarse “un tratamiento adicional de los datos sobre los que versa la solicitud de supresión al comunicarlos a un tercero”. Además, en la política de privacidad de Google LLC, no se hace mención a este tratamiento de datos personales de los usuarios, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen.

La AEPD también recoge en su resolución que, presentada la solicitud de retirada de contenido y atendido el derecho, es decir, acordada la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.

En cuanto al ejercicio de derechos de los ciudadanos, la AEPD detalla en su resolución que “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado ‘Retirada en virtud de la ley de privacidad de la UE’, el único disponible que contiene una referencia expresa a esta normativa”.

NOTICIA COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica una lista de verificación para ayudar a los responsables a realizar evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) ha publicado una lista de verificación para ayudar a los responsables del tratamiento a identificar y determinar de una forma rápida si el proceso y la documentación que están siguiendo para llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD) contiene los elementos exigibles.

La AEPD cuenta con la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, que facilita la obligatoria gestión de riesgos en los procesos de gobernanza de las entidades y, cuando corresponda, la EIPD. Este listado de verificación complementa esa guía y permite, una vez desarrollada y documentada la Evaluación de Impacto, efectuar una comprobación final para cerciorarse de que se han tenido en cuenta todos los aspectos recogidos en la normativa de protección de datos…

Ver noticia completa en fuente original: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-lista-verificacion-para-ayudar-responsables-evaluaciones

 

La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público

La Agencia Española de Protección de Datos (AEPD) participa en la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés).

El objetivo de esta acción preventiva es obtener una visión integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube. La finalidad de esta iniciativa es conocer y, en su caso, contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Las 22 autoridades participantes analizarán más de 80 organismos e instituciones públicas europeas de un amplio abanico de sectores como la salud, las finanzas, la educación, las compras centralizadas o los proveedores de servicios informáticos. La AEPD analizará las prácticas de 12 de ellos correspondientes al sector público español.

NOTICIA COMPLETA EN SU FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Tribunal Supremo confirma la sanción a una empresa que concedió un microcrédito online a una persona que suplantó la identidad de un tercero

La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción.

El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en un fichero de morosos.

La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

Acceder a la sentencia

Fuente original: Consejo General de Poder Judicial

Multa de mil euros por tener dentro del coche una cámara grabando la calle

El pasado día 12 de noviembre la AEPD publicó una resolución donde se multa a un ciudadano por tener dentro del coche una cámara grabando la calle.

Enlace a la resolución: https://www.aepd.es/es/documento/ps-00351-2021.pdf

La AEPD multa a un Club Deportivo con 4.000 euros por agregar su número de teléfono a un grupo de WhatsApp sin pedirle su autorización

El pasado día 5 de octubre la AEPD publicó una resolución donde se multa con 4.000 € a un Club Deportivo por agregar un número de teléfono movil a un grupo de Whastapp sin pedir consentimiento al titular.

Enlace directo a la resolución: https://www.aepd.es/es/documento/ps-00260-2021.pdf

La Agencia Española de Protección de Datos se ha pronunciado sobre la mirilla digital.

El pasado día 25 de mayo de 2021 tuvo entrada en la AEPD la reclamación de un ciudadano cuyo motivo era la instalación de mirilla digital por parte de un vecino del inmueble con capacidad de grabación y toma de imágenes sin contar con el consentimiento informado de la junta de propietarios. La AEPD ha dictado resolución archivando las actuaciones aunque con ciertos matices y advertencias.

Acceso a la resolución: https://www.aepd.es/es/documento/e-08332-2021.pdf

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales
rperezm
Lun, 05/24/2021

24 de Mayo de 2021
  • El documento tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y de comunicarlas a las personas cuyos datos se hayan visto afectados
  • Las notificaciones y comunicaciones de brechas que afectan a datos personales son parte de la responsabilidad proactiva establecida en el RGPD
  • La Agencia ha gestionado casi 700 brechas de datos notificadas en 2021, la mayoría producidas por ataques externos e intencionados, siendo el ransomware la amenaza más frecuente

(Madrid, 25 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados. Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos.

El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.

Cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada. Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales. La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.

Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.

La Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.

La Agencia ha gestionado más de 700 brechas de datos notificadas en los primeros cinco meses de 2021. La mayoría de ellas se han producido por un ataque externo e intencionado siendo el ransomware la amenaza más frecuente, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales.

Comunicación a los afectados

Como complemento a la presente Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. La decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta. En ningún caso la Agencia almacena los datos consignados durante el proceso.

 

IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones

IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones
rperezm
Vie, 05/21/2021

21 de Mayo de 2021

Cada vez es más habitual encontrar elementos del hogar que se han transformado en dispositivos inteligentes con conectividad a Internet. Tanto es así, que es habitual ver este tipo de dispositivos en los catálogos de tiendas de muebles e incluso supermercados, incorporándose a los hogares rápidamente. Por ello, es necesario prestar atención y entender los riesgos para la privacidad que podrían implicar, y que se ven incrementados cuando se hace un uso inadecuado.

La gama de dispositivos IoT domóticos está evolucionando constantemente. De forma continua surgen nuevos productos orientados a proporcionar servicios más confortables en el hogar, que pueden manejarse desde Apps instalas en dispositivos móviles o integrados en asistentes de voz.

El IoT supone una evolución de la domótica tradicional, en la que los dispositivos incorporan una capa de inteligencia y conectividad que permite que se adapten mejor a las necesidades domésticas. Algunos ejemplos son persianas motorizadas, sensores de temperatura y humedad, controladores de climatización, bombillas inteligentes, cerraduras electrónicas, interruptores o centralitas de alarma.  

La mayoría de estos dispositivos están diseñados para que su gestión o uso precise conectividad a Internet y acceso a servicios en la nube. Los riesgos para la privacidad que se derivan van más allá de los problemas de seguridad. Este modelo de IoT supone la comunicación y gestión de datos personales por terceros, y el tratamiento de datos personales adicionales, como son metadatos de comunicación.

Un dispositivo IoT genera una gran cantidad de datos que son enviados y tratados por distintos servicios en Internet para satisfacer las solicitudes de los usuarios. Sin embargo, podrían utilizarse para muchas otras finalidades, como por ejemplo la elaboración de perfiles de comportamiento. De esta forma, el riesgo para los ciudadanos es mayor cuanto mayor es el número de servicios que tratan estos datos personales. Es más, la integración de dispositivos de distintos fabricantes podría aumentar dicho riesgo, por ejemplo, cuando se ha de utilizar una App distinta en la que hay que registrarse para cada fabricante.

Un ejemplo de materialización del riesgo, en este caso debido a una brecha de seguridad, ocurrió en 2016 cuando se produjo el ataque DDoS más dañino de la historia debido a la falta de actualizaciones de seguridad en estos dispositivos. Otros ejemplos podrían ser el secuestro de los dispositivos del hogar y su control por parte de terceros o las brechas de datos personales.

Dispositivos como mirillas o cerraduras que se controlan desde Apps instaladas en móviles implica el tratamiento de imágenes, vídeo, audio e información sobre los hábitos de las personas. Esta información, junto con otros datos de las personas, puede utilizarse para la generación de perfiles y diversas finalidades adicionales.

Los dispositivos inteligentes implementan distintas formas de conectividad. Las más habituales son:

  • Conexión distribuida: los dispositivos se conectan directamente a un router wifi, que realiza la función de gateway hacia la nube del fabricante, gestionado mediante su propia App. La conexión es individual, utilizando protocolos como HTTP o HTTPS. Ejemplos de estos dispositivos suelen ser las cámaras IP, algunos enchufes inteligentes o mirillas electrónicas.
  • Conexión centralizada: los dispositivos se conectan a través de un hub o gateway que centraliza las comunicaciones, siendo dicho hub el único dispositivo que se conecta a Internet directamente. En este caso las comunicaciones suelen utilizar protocolos inalámbricos específicos de domótica como Zigbee y Z-wave, y en menor medida Bluetooth.
IoT III (blog)- Conexión distribuida
IoT III (blog)- Conexión distribuida

 

IoT III (blog)- Conexión centralizada
IoT III (blog)- Conexión centralizada

Dada la diversidad de opciones disponibles, es habitual que en una misma vivienda se incorporen dispositivos de diferentes fabricantes, lo que produce una mezcla heterogénea de las configuraciones anteriores.

En un futuro inmediato se espera la adopción masiva de dispositivos IoT conectados, a través de 5G, a la nube del fabricante, y a la que se deberá acceder a través de una App. Esta nueva forma de conectar los dispositivos IoT podría suponer nuevos riesgos para la privacidad de las personas. Puede obtener más información sobre los riesgos de 5G en la Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad.

IoT III (blog)- Conexión IoT a través de 5G
IoT III (blog)- Conexión IoT a través de 5G

A nivel de comunicaciones internas en los dispositivos domóticos, tanto Zigbee como Z-Wave son los estándares más utilizados por los diferentes fabricantes, incluso algunos dispositivos incorporan ambas tecnologías. Estos protocolos también suelen estar incluidos como una funcionalidad en altavoces inteligentes o SmartTVs permitiendo su integración completa con el resto de dispositivos IoT del hogar. Zigbee y Zwave cuentan con bastantes años de uso y evolución, pero no están libres de vulnerabilidades, malas implementaciones o configuraciones.

Zigbee es un estándar abierto ideado para que los dispositivos consuman poca energía. Dicho estándar Minimiza los envíos de información, pasando la mayoría del tiempo en estado latente captando datos, y permite disponer de hasta 65.000 dispositivos como sensores de temperatura, de puertas o ventanas que con una simple pila de botón puede dar servicio durante años. También existen otros dispositivos como enchufes inteligentes, motores de puertas o bombillas que utilizan este protocolo a través de la red eléctrica. Los dispositivos de nuestro hogar conforman una red Zigbee. Opera a 2,4GHz intercambiando información con el gateway. La cobertura inalámbrica es de hasta 20 metros. Además, los dispositivos conectados a la red eléctrica funcionan como repetidores para los dispositivos de batería.

Z-Wave es un estándar propietario similar a Zigbee. Algunas diferencias son el número de dispositivos en una red que pasa a 232, la frecuencia para Europa es 868MHz y la cobertura inalámbrica es de hasta 100 metros de distancia. También cuenta con una arquitectura en la que los dispositivos enchufados a la red eléctrica dan servicio a los dispositivos de batería.

Es importante que las personas tomen conciencia de que los dispositivos inteligentes son algo más que un electrodoméstico tradicional. Van a interactuar en la realización de las labores cotidianas de las personas realizando un gran número de tratamientos de datos. A la hora de adquirirlos debe adoptarse una actitud crítica y exigente hacia las garantías de privacidad. El criterio de selección no solo ha de basarse en el precio o las características principales que se ofertan. El usuario debe comprobar que ofrezcan las suficientes garantías sobre sus datos personales.

Los fabricantes y desarrolladores deben aplicar medidas de protección de datos por defecto y desde el diseño. Los tratamientos que realicen deben ser de acuerdo con los principios del RGPD, prestando especial atención a la seguridad de los tratamientos, las posibles transferencias internacionales de datos, la transparencia en las finalidades para las que se tratarán los datos personales, la elaboración de perfiles y las decisiones automáticas individualizadas. En particular, debe evitarse el uso de protocolos que utilizan claves de cifrado por defecto, y que son públicas, o la posibilidad de añadir dispositivos a la red de forma automática, sin control del interesado.

Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

 

La Agencia imparte el seminario ‘Privacidad, sostenibilidad e innovación’ durante los cursos de verano de la Universidad Menéndez Pelayo

La Agencia imparte el seminario ‘Privacidad, sostenibilidad e innovación’ durante los cursos de verano de la Universidad Menéndez Pelayo
scabellosp
Mié, 05/19/2021

19 de Mayo de 2021
  •   El seminario se celebra los días 7, 8 y 9 de julio
  •   Inscripción y programa

 

(Madrid, 19 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) imparte del 7 al 9 de julio el seminario ‘Privacidad, sostenibilidad e innovación’, que se enmarca en las Actividades de Verano 2021 de la Universidad Internacional Menéndez Pelayo (UIMP) de Santander.

El programa de Responsabilidad Social de la AEPD, alineado con los Objetivos de Desarrollo Sostenible de la Agenda 2030, implica la asunción por parte de la Agencia de un compromiso ético, especialmente dirigido a la ciudadanía, la educación y los menores y la igualdad de género, directamente relacionado con la tutela del derecho fundamental a la protección de datos.

El seminario analizará la aplicación práctica del modelo de cumplimiento y supervisión del Reglamento General de Protección de Datos, que ha generado importantes novedades en las bases jurídicas del tratamiento de datos, especialmente respecto del consentimiento y el interés legítimo; en la tramitación de reclamaciones, tanto mediante medidas correctivas como mediante la imposición de importantes sanciones económicas, así como en la promoción de sistemas de autorregulación a través de códigos de conducta. Y también en la aplicación del Reglamento a nuevas tecnologías, como la inteligencia artificial, el big data, las redes 5G, el internet de las cosas o el blockchain. Ello ha exigido una respuesta que garantice una aplicación coherente de la norma en el ámbito de la Unión por parte del Comité Europeo de Protección de Datos.

Asimismo, se abordará la sentencia del Tribunal de Justicia de la Unión Europea sobre el denominado caso Schrems 2, que ha marcado novedosos criterios con importantes consecuencias prácticas para la realización de transferencias internacionales de datos a terceros países sin nivel adecuado de protección. Por otro lado, la interrelación entre el Reglamento y la normativa reguladora de la publicidad online y de las cookies y otras tecnologías similares serán temas que también se tratarán durante el seminario.

En el ámbito de la pandemia de COVID-19, las iniciativas relacionadas con la emisión de certificados interoperables que garanticen la libre circulación dentro de la Unión Europea, la finalidad de dichos tratamientos a nivel europeo y sus posibles usos secundarios por parte de los Estados miembros complementan el contenido del curso.

Toda la información, incluida la referente a la matriculación, está disponible en la página web de la UIMP.