La Audiencia Nacional confirma la sanción de 200.000 euros a Òmnium por tratar datos ideológicos para la encuesta del 9-N

/en /por

La Sala de lo Contencioso-administrativo de la Audiencia Nacional ha confirmado la multa de 200.000 euros que impuso la Agencia de Protección de Datos a la entidad Òmnium Cultural por vulnerar la Ley de Protección de Datos, al tratar datos ideológicos de los ciudadanos catalanes en una gran encuesta realizada los meses previos a la consulta del 9 de noviembre de 2014. El Tribunal rechaza el recurso presentado por Òmnium contra la sanción porque considera probado que trataron datos personales de ideología y que eran unos datos sensibles o especialmente cualificados que requieren un reforzamiento de la prestación del consentimiento de su titular para ser objeto de tratamiento.

Los hechos ahora analizados se remontan a los meses de octubre y noviembre de 2014, cuando las entidades ANC y Òmnium promovieron la campaña “Ara és l’ Hora” para realizar una encuesta que denominaron ‘gigaencuesta’ en todo el ámbito de Cataluña y que afectaba a 3 millones de domicilios.

Para realizar la encuesta se habilitó un formulario de 6 preguntas que comenzaba con “Si Cataluña fuera un estado tendría entre 8.000 y 16 .000 millones de euros más, ¿Cómo piensa que se debería gastar?”, la segunda pregunta empezaba declarando que “si construimos un país nuevo estará en nuestras manos decidir cómo deben ser los servicios públicos”; en la tercera, con carácter previo: “construir un nuevo país nos permitiría partir de cero y renovar la democracia”. Y la última pregunta, “¿Irá a votar el día 9 de noviembre?” con tres posibles respuestas: “A) iré a votar y ya tengo decidido mi voto; b) Iré a votar y ya decidiré mi voto y C) no iré a votar”.

30.000 voluntarios realizaron las encuestas “puerta a puerta”

La sentencia de la Sección Primera de la Sala de lo Contencioso recoge como la gigaencuesta se desarrolló por dos vías: por correo postal y a través de 30000 voluntarios que se dividieron por áreas geográficas, con visitas “casa a casa” organizadas por municipios, distritos y zonas. Los encuestadores, explican los jueces, “cumplimentaban los formularios de aquellos ciudadanos que así lo deseaban. Si los encuestados no abrían la puerta o no querían o no podían responder pero se apreciaba “receptividad”, se preveía la posibilidad de entregar el folleto o depositarlo en el marco de la puerta para que dichos encuestados lo remitieran por correo”.

Para efectuar el registro de los datos, Òmnium creó un fichero y era el destinatario de las respuestas recibidas tanto por correo como por los voluntarios, que se entregaban en los 20 locales que tenía la entidad repartida por toda Cataluña. Finalizada la encuesta en cada ámbito geográfico, la documentación se procedía a su mecanización a través de una aplicación facilitada por ANC.

La Agencia de Protección de Datos abrió una inspección y accedió a la aplicación informática desarrollada donde figuraban un total de 82.814 encuestas, que incluían tanto respuestas como datos personales de los encuestados. Las encuestas en papel almacenadas incluían un resumen, cumplimentado a mano, donde figuraba “el número de puertas que no abren, o que no quieren hacer la encuesta, además de la lista de edificios a visitar (calle, número y total de puertas). Figuran además una serie de anotaciones manuscritas referentes a cada una de las viviendas visitadas con indicaciones concretas (no irá a votar, no es legal, no interesa, no quiere atender, no abren, dejar a la encuesta, no quieren hacerla…)”.

La AEPD concluyó que se había producido una vulneración del artículo 7.2 de la LOPD, tipificada como muy grave en el artículo 44.4b) de la citada Ley.

Se trataron datos personales de ideología, con posibilidad de identificar a los encuestados

En línea con la Agencia de Protección de Datos y después de analizar la normativa nacional y europea el tribunal concluye que Òmnium sí hizo un tratamiento de datos de los encuestados que permitía asociar los datos a un domicilio concreto, “por lo que se puede llevar a cabo la identificación sin grandes esfuerzos y no es posible apreciar la disociación en los términos previstos”. Frente al argumento de los recurrentes de que no se realizó fichero alguno, el tribunal considera que sí se realizaron criterios de archivo que posibilitaban la localización de los datos personales, “información que además fue obtenida con la finalidad de ser conservada para permitir su utilización posterior, según se expone en el propio formulario/ encuesta”.

Òmnium en su recurso también planteaba la ausencia de datos de ideología. Un argumento que tampoco comparte LA Sala, al considerar acreditado que para rellenar el cuestionario había que partir previamente y aceptar implícitamente “el posicionamiento ideológico que deriva de tal formulario, que no es otro que el favorable a la independencia de Cataluña respecto del Estado español”
La encuesta, según la Sala, se inclina claramente a favor de una concreta posición ideológica, “cuál es la independencia de Cataluña, con la necesariamente ha de estarse conforme pues en otro caso no es posible contestar la misma, o al menos en su integridad”.

Por todo ello, el tribunal concluye que sí se podía conocer si el encuestado apoyaba o no el proceso independentista y por tanto, se ha realizado un tratamiento de datos personales de ideología por parte de Òmnium que por ser especialmente sensibles, la ley requiere un reforzamiento a la hora de prestar el consentimiento del titular para ser objeto de tratamiento.

La sanción correspondiente por infracción muy grave se encontraría comprendida entre los 300.001 euros y los 600.000 euros. La Sala considera proporcionada la cifra de 200.000 fijada por la Agencia de Protección de Datos que tuvo en cuenta que cuando Òmnium y ANC fueron requeridos para que dejaran de utilizar ilícitamente los datos recabados las dos entidades eliminaron la información y, además, tras el requerimiento de la Agencia, separaron en las encuestas la parte relativa a las respuestas y la referida a los datos personales del encuestado y su consentimiento.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: PODER JUDICIAL

Diez consejos para certificarse como DPD según el esquema de la Agencia

/en , /por

Diez consejos para certificarse como DPD según el esquema de la Agencia
dortega
Mar, 12/25/2018

25 de Diciembre de 2018

La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar

1.     La AEPD ha aprobado un Esquema de certificación en colaboración con la Entidad Nacional de Acreditación (ENAC) y con el asesoramiento técnico de 23 entidades y organizaciones entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.

2.     La certificación no es una exigencia para poder ejercer como DPD y esta certificación no es la única posible, aunque la Agencia considera que reúne las exigencias y el rigor adecuados para ofrecer al mercado profesionales con los conocimientos y habilidades necesarias para desempeñar las funciones propias de un DPD con los estándares que exige el Reglamento.

3.     El Reglamento establece que el Delegado de Protección de Datos “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”. 

Recuerda:

Para ejercer las funciones de Delegado de Protección de Datos no se requiere estar en posesión de ningún certificado ni titulación específica.  

4.     La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar.

5.     Si estás interesado en certificarte como DPD con el Esquema de la AEPD, dirígete en primer lugar a alguna de las entidades de certificación designadas provisionalmente o acreditadas por ENAC que figuran en la web de la Agencia. Estas te informarán y asesorarán sobre el proceso y son las únicas autorizadas para verificar si cumples con los prerrequisitos exigidos (formación y/o experiencia profesional), convocar exámenes oficiales y expedir, mantener y renovar la certificación obtenida.

Recuerda:

Sólo las entidades de certificación acreditadas por ENAC pueden realizar convocatorias oficiales de exámenes y expedir certificaciones conforme al esquema AEPD-DPD.

6.     El documento Esquema de certificación de delegados de protección de datos incluye la información que necesitas para saber si estás en condiciones de presentarte al examen: prerrequisitos, tipo de preguntas, programa, temario, etc. 

7.     Para presentarte al examen necesitar justificar previamente ante alguna de las entidades de certificación acreditadas que reúnes las horas de formación y/o los años de experiencia que requiere el esquema, pudiendo completarlos mediante méritos adicionales, de acuerdo con la puntuación que figura en el anexo I del documento del esquema.

8.     Si, tienes cinco años de experiencia profesional y consideras que estás suficientemente preparado para presentarte al examen, puedes hacerlo sin necesidad de tener que superar previamente ningún curso o programa que te habilite para ello.

9.     Si consideras que necesitas formación adecuada para superar el examen, puedes recibirla en cualquier centro de formación que la esté ofertando, pero comprueba que el programa que imparte ha sido reconocido por alguna de las entidades de certificación acreditadas por la ENAC por ajustarse su contenido a la estructura y distribución exigida en el esquema AEPD-DPD.

Las entidades de certificación te informarán sobre el tipo de formación más adecuada a tus necesidades.

Recuerda:

Comprueba que el programa impartido por el centro de formación está reconocido por alguna de las entidades de certificación acreditadas.

10.     En esta sección de la web de la Agencia Española de Protección de Datos encontrarás toda la información disponible sobre el Esquema de certificación de la AEPD.

¿Cómo puedo evitar la publicidad no deseada? (gráfico)

/en , /por

¿Cómo puedo evitar la publicidad no deseada? (gráfico)
dortega
Lun, 12/24/2018

24 de Diciembre de 2018

La recepción de llamadas intempestivas para ofrecer la contratación de productos o servicios es una de las quejas que se repite con mayor frecuencia tanto en el servicio de atención al ciudadano de la Agencia como en su canal de Twitter 

Hay varios pasos que puedes dar para evitar esa publicidad no deseada. La AEPD dispone de un espacio en su página web estructurado en nueve secciones en el que te indica qué pasos seguir para impedir la recepción de publicidad que, en el caso de las llamadas telefónicas, son calificadas habitualmente por los ciudadanos como las más molestas.

Además, te ofrecemos también este gráfico, que recoge los aspectos fundamentales de forma más resumida:

 

Para evitar la recepción de publicidad, la Agencia recomienda en primer lugar inscribirse en la Lista Robinson, el único fichero común de exclusión publicitaria que existe en España y que está gestionado de forma independiente por la Asociación Española de Economía Digital. En este servicio, gratuito para el ciudadano, puedes seleccionar el medio o medios (teléfono, correo postal, correo electrónico y SMS/MMS) a través de los que no quieres recibir publicidad.

 

Puede darse el caso de que hayas autorizado a la empresa a enviarte publicidad, aunque quizás no hayas sido consciente. Si este es tu caso, también tienes otras opciones a tu disposición, como retirar el consentimiento o ejercer el derecho de oposición ante la empresa que está tratando tus datos. En el caso de la Lista Robinson, es importante que sepas que es eficaz a partir del tercer mes desde que te inscribes. 

Comunidades de propietarios y administradores de fincas ante el RGPD

/en , /por

Comunidades de propietarios y administradores de fincas ante el RGPD
dortega
Dom, 12/23/2018

23 de Diciembre de 2018

Las comunidades son responsables de sus tratamientos y, en caso tener un administrador de fincas, éste actuará como encargado

Desde el pasado 25 de mayo de 2018 es aplicable el Reglamento General de Protección de Datos (RGPD), que introduce numerosas novedades sobre el tratamiento de los datos personales tanto en lo referente a las obligaciones de responsables y encargados como en los derechos de los afectados.

Respecto a la incidencia del RGPD en las comunidades de propietarios, debemos partir, en primer lugar, de que las comunidades son responsables de sus tratamientos y, en caso de que exista un administrador de fincas, éste actuará como encargado de los mismos.

En este sentido, los tratamientos más comunes suelen ser:

Propietarios: en el que se tratarán todos los datos relativos de los propietarios en relación con la gestión de la propia comunidad, y atendiendo al contenido que recoge la Ley de Propiedad Horizontal
Videovigilancia: cuyo uso debe ser autorizado por la propia comunidad siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal
Trabajadores: en el supuesto de que la comunidad tenga contratado personal para la realización de trabajos, como puede ser la portería

Cuando existe una relación entre un responsable y un encargado, el Reglamento General de Protección de Datos establece en su artículo 28 que el tratamiento que lleve a cabo el encargado se debe regir por un contrato o acto jurídico con un determinado contenido que establece la citada norma.

Por ejemplo, se incluirá que tratará los datos únicamente siguiendo las instrucciones del responsable, o que adoptará las correspondientes medidas de seguridad.

Por tanto, un primer efecto de la aplicación del Reglamento General de Protección de Datos es que en los contratos firmados entre las comunidades de propietarios con los administradores de fincas que les prestan sus servicios, en lo relativo a la protección de datos, deben aparecer las cláusulas que contempla el artículo 28 anteriormente citado.

Esta adaptación se puede realizar de manera progresiva y, en la medida que sea posible, ya que en la nueva Ley Orgánica de Protección de Datos que se está tramitando en las Cortes Generales se ha introducido una disposición transitoria para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Por otra parte, con el RGPD ha desaparecido  esta obligación de inscribir ficheros en la Agencia. No obstante, lo que sí debe configurarse es el denominado Registro de Actividades de Tratamiento (aquí puede consultarse el de la AEPD), tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas. Se trata de un documento interno, que no debe ser enviado a la AEPD, pero que estará a disposición de la misma por si se requiriese.

En el Registro de Actividades de Tratamiento figurarán, en el caso de las comunidades, los tratamientos que lleven a cabo las mismas, como pueden ser los tratamientos de “propietarios” o “videovigilancia”, con un contenido muy similar al que anteriormente figuraban en los citados tratamientos a efectos de su inscripción en el registro de la Agencia. De esta forma, deben reflejarse, por ejemplo, los fines del tratamiento, las categorías de interesados y categorías de datos personales, o si existen cesiones a terceros.

En el supuesto de los administradores de fincas, también deberán contar con su respectivo registro de actividades, éstos en relación con las comunidades de propietarios a las que presten sus servicios.

Existen dos aspectos primordiales que atendiendo a la nueva regulación es necesario clarificar:

En primer lugar, el RGPD establece varios supuestos que legitiman el tratamiento de los datos personales: consentimiento (que debe ser mediante una acción afirmativa); ejecución de un contrato; cumplimiento de una obligación legal; misión de interés público o ejercicio de poderes públicos. 

En el caso de las comunidades de propietarios, la legitimación para el tratamiento de los mismos no deriva de la existencia de que hayan prestado el consentimiento previo, sino con base en el cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal). Es decir, con la aplicación del RGPD no hay que solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación deviene de ese cumplimiento legal que se ha citado anteriormente. Igual ocurrirá con el uso de la videovigilancia. Tampoco se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones.

O, en el caso de que existan tratamientos en relación a personal contratado por la comunidad (por ejemplo la portería), el tratamiento de los datos tampoco opera el consentimiento, sino la ejecución de un contrato.

En segundo lugar, el RGPD, en su artículo 13, ha ampliado el contenido del derecho de información en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos.

Si en la recogida de datos personales producida con anterioridad al RGPD se hubiese dado cumplimiento al derecho de información de la LOPD, no es necesario que ahora se vuelva a informar con el contenido que al respecto establece el Reglamento. Es decir, este precepto relativo al derecho de información en la recogida de datos personales no se aplica de forma retroactiva.

Sí deberá facilitarse el nuevo contenido del derecho de información acorde al RGPD, en la recogida de datos personales, a partir del 25 de mayo de 2018, que habían sido objeto de tratamiento hasta la fecha. También debe actualizarse el cartel de videovigilancia y el resto de información a facilitar.

Otra de las cuestiones que ha modificado el RGPD es la seguridad, ya que se parte de la realización inicial de un análisis de riesgos de los tratamientos, y en función de su resultado, adoptar las medidas de seguridad. Para ayudar a realizar este análisis, la Agencia ha publicado esta Guía.

Ver gua completa

Asimismo, la Agencia también ha puesto a disposición de las pymes que traten datos de bajo riesgo una herramienta llamada Facilita_RGPD con la finalidad de ayudar al cumplimiento. Aunque la herramienta Facilita está pensada actualmente para las pymes, y la documentación que va a generar está relacionada con sus tratamientos, como clientes o proveedores, se puede utilizar esta documentación por las comunidades y propietarios, ya que la herramienta genera un listado de medidas de seguridad que se pueden adoptar.

Entre las mismas se encuentran la realización de copias de seguridad, o si se utiliza una web para gestionar la comunidad de propietarios, entrar en la misma mediante un nombre de usuario y una contraseña.

Por último, indicar que en las comunidades de propietarios no es obligatoria la designación de un delegado de protección de datos.

Más información

Descarga aquí el cartel de aviso de videovigilancia

Consultas frecuentes (sección comunidades de propietarios)

Elaborar el registro de actividades de tratamiento

/en , /por

Elaborar el registro de actividades de tratamiento
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

La obligatoriedad de inscribir los ficheros en la Agencia será sustituida el 25 de mayo por la de contar con un registro de actividades.

La adaptación de una organización a las obligaciones del  Reglamento General de Protección de Datos (RGPD) incluye la revisión de los tratamientos de datos de carácter personal que realiza, con la que se puede dar comienzo al conjunto de actividades, u  hoja de ruta, que su cumplimiento va a requerir.

Tratamientos de datos personales, tanto de sus trabajadores como de aquellos colectivos de personas implicadas en la actividad, alumnos, clientes, pacientes, contribuyentes, proveedores,… y que debe plasmarse en construir y mantener actualizado  un registro con las actividades de tratamiento.

Así pues, cada organización deberá llevar un Registro de Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla. El artículo 30.1 dicta su contenido para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. La descripción del contenido de este Registro de Actividades recuerda bastante al de la Notificación de un fichero en el marco de la LOPD.

Corresponde a cada organización, de acuerdo al principio de responsabilidad proactiva (Accountability) que rige el RGPD, decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Deberá valorar hasta qué punto la segregación de sus tratamientos en elementos diferentes se corresponde con finalidades, bases jurídicas y categorías de afectados distintos.

Asimismo, le corresponde ponderar la optimización de la gestión de la protección de datos dentro de su organización para que resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue: que los individuos cuyos datos de carácter personal son objeto de tratamiento puedan tener, en su caso, un control efectivo de los mismos.

Para el sector privado la Agencia Española de Protección de Datos ha puesto a disposición de todos los responsables de tratamiento  la herramienta FACILITA_RGPD.

Podemos hablar de la construcción del Registro de actividades de tratamiento  en dos fases: la primera de ellas puede consistir en la revisión de los tratamientos de datos que la organización realiza; corresponderá a la segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades.

A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

Para facilitar esta tarea, la AEPD ha incluido, entre los servicios que se encuentran disponibles en su Sede Electrónica, la posibilidad de  obtener una copia en electrónico (fichero Excel o XML) del contenido completo de la declaración de sus ficheros.

Una vez incorporadas al Registro de Actividades todas aquellas que responden a su ámbito de actividad, la organización deberá fijarse en las nuevas obligaciones que el RGPD establece sobre los responsables y encargados del tratamiento.

El RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente debo incluir en mi Registro de Actividades de Tratamiento:

Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.

En cualquier caso, y en ejecución del principio de responsabilidad proactiva, corresponde a la organización decidir de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realizar la gestión de la misma.

Por último, la actual redacción del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (PLOPD), que se encuentra en tramitación parlamentaria, incluye la previsión de que todas las entidades incluidas en el artículo 77.1 deberán hacer público un inventario de sus tratamientos en el que constará la información establecida en el artículo 30 del RGPD y su base legal.

¿Qué derechos tengo a partir del 25 de mayo de 2018?

/en , /por

¿Qué derechos tengo a partir del 25 de mayo de 2018?
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

El Reglamento establece nuevos derechos para los ciudadanos, como el derecho a la portabilidad o a la limitación del tratamiento

El nuevo Reglamento General de Protección de Datos, aplicable desde el 25 de mayo de 2018, añade nuevos derechos a los ya existentes para mejorar la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.

Ejercer estos derechos es  gratuito para el ciudadano (al igual que sucedía anteriormente con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.

A continuación se recoge de manera esquemática qué derechos incluye el RGPD para el ciudadano y sus principales características.

¿Cuánto sabe Facebook sobre mí?

/en , /por

¿Cuánto sabe Facebook sobre mí?
dortega
Vie, 12/21/2018

21 de Diciembre de 2018

Te mostramos cómo revisar la configuración de tu perfil para gestionar la información que las redes sociales saben de ti

Las redes sociales ponen a tu disposición medios para divulgar y compartir información, y pueden ser de utilidad para relacionarte con otras personas, pero puede ocurrir que te resulte complicado saber 

Guía sobre la privacidad y la seguridad en internet

. Una práctica recomendable es revisar la configuración de tu perfil

Para ello, puedes utilizar los vídeos tutoriales que hemos realizado en la Agencia Española de Protección de Datos.

Además, es muy probable que en los últimos días hayas escuchado o leído noticias relacionadas con Facebook, y puede que tengas dudas sobre lo que esta red social sabe sobre ti. Esta información puede serte de utilidad para gestionar aquella información que Facebook conoce de ti.

Revisa tus opciones de configuración

Para revisar tus opciones de privacidad, consulta este vídeo de la Agencia en el que se muestran aspectos relacionados con la configuración de tu perfil de Facebook. Te recomendamos que revises esta configuración la primera vez que accedas a esta red social, aunque nunca es tarde para echar un vistazo y tomar medidas.

Lo que Facebook sabe sobre ti

Facebook almacena información obtenida de tu actividad para ofrecerte publicidad acorde a lo que la red social considera que son tus intereses. Si deseas saber la información que Facebook utiliza sobre ti, inicia tu sesión en la red social y accede a esta dirección:

https://www.facebook.com/ads/preferences/

Aquí se te mostrarán las categorías de información que Facebook utiliza cuando te sugiere productos o cualquier información publicitaria que ves mientras estás conectado, los anunciantes con quienes has interactuado, tu información personal (incluida tu situación sentimental, tu empresa, puesto o formación académica), tu configuración con relación a la publicidad que recibes y un pequeño tutorial sobre el funcionamiento con relación a la publicidad.

Recuerda que, como la mayor parte de las redes sociales, Facebook funciona gracias a los beneficios que obtiene de la publicidad orientada a los gustos y preferencias de sus usuarios y que, en realidad, la moneda de cambio con la que pagas a una red social es tu propia información personal.

Elimina en esta sección toda la información que no deseas que Facebook utilice para enviarte publicidad o contenidos.

El historial de tu actividad

Puedes también acceder al registro de tu actividad, donde Facebook recuerda toda tu actividad con el fin de llevar a cabo el perfilado de la publicidad que luego te muestra, y donde encontrarás cualquier información sobre tu actividad general en esta red social desde que la estás utilizando.

En este apartado puedes eliminar tus “me gusta” o cualquier comentario o publicación que hayas realizado a desde que eres usuario de esta red social.

Para obtener una información más exhaustiva sobre qué información se recopila y cómo descargarla, se puede acceder este enlace.

Si ya no quieres ser usuario de Facebook

Si no quieres seguir usando tu cuenta de Facebook, la red social te da dos opciones diferentes:

La desactivación de tu cuenta, que la vuelve invisible para todos tus usuarios pero que sigue conservando tus datos
La eliminación de la cuenta

El proceso de eliminación no es tan evidente como el de desactivación. Para borrar la cuenta de Facebook hay que acceder al siguiente enlace donde se pedirá Usuario y Password:

https://www.facebook.com/help/delete_account

Una vez autenticado el usuario se inicia el ciclo de confirmaciones con el siguiente mensaje:

cuanto-sabe-facebook-sobre-mi

Facebok informa de que:

“Si crees que no volverás a usar Facebook de nuevo, puedes solicitar que tu cuenta se elimine definitivamente. Recuerda que no podrás reactivar tu cuenta ni recuperar nada que hayas añadido. Antes de hacerlo, es recomendable que descargues una copia de tu información desde Facebook. Después, si quieres que tu cuenta se elimine permanentemente sin opción a recuperarla, inicia sesión en la cuenta y comunícanoslo. Cuando elimines tu cuenta, los usuarios no podrán verla en Facebook. Puede que sean necesarios hasta 90 días desde el comienzo del proceso para eliminar todo lo que has publicado, como tus fotos, actualizaciones de estado u otros datos almacenados en sistemas de copia de seguridad. Mientras eliminamos esta información, otros usuarios de Facebook no podrán acceder a ella. Algunas de las acciones que realizas en Facebook no se almacenan en tu cuenta. Por ejemplo, un amigo puede seguir teniendo mensajes tuyos incluso después de que hayas eliminado tu cuenta. Esta información no se borra al eliminar la cuenta».

Hay que pulsar el botón “Eliminar mi cuenta”, y se mostrarán unas ventanas de confirmación hasta que se obtenga el mensaje de cuenta desactivada, cuyo borrado efectivo se realizará por la red en unos días.

Recuerda que tu derecho a la protección de datos te permite decidir sobre tu información personal tanto si te identifica de forma directa o si es el resultado de tus “me gusta” o tus comentarios. Si necesitas más información relacionada con tu derecho a la protección de datos puedes consultar nuestra Guía para el Ciudadano, o si te preocupa tu privacidad y seguridad en internet puedes consultar nuestra 

.

Régimen sancionador

En los últimos siete meses la Agencia ha impuesto varias sanciones a la empresa Facebook por diferentes incumplimientos de la Ley Orgánica de Protección de Datos:

El PS 82/2017 se resolvió en agosto de 2017. Se impuso una sanción de 1.200.000 euros por infracciones de los artículos 6.1 (en relación al 4 y al 5), por no informar apropiadamente y, por tanto, no tener el consentimiento necesario para el tratamiento de datos; el artículo 7 (también en relación al 4 y al 5), por tratar datos especialmente protegidos sin obtener el consentimiento expreso, y el artículo 4.5 (en relación con el 16) por conservación excesiva de datos.
El PS 450/2016 se resolvió en octubre de 2017. Se impuso una sanción de 150.000 euros por una infracción del artículo 10 (Deber de Secreto), constatando que el servicio de Chat de Facebook permite que terceras personas puedan ver permanentemente el ritmo y acciones de conexión de cualquier usuario declarado como “amigo”, sin que el usuario pueda tomar ninguna acción al respecto.
El PS 219/2017 se ha resuelto este mismo mes,  imponiendo una sanción de 300.000 euros a Facebook y 300.000 a Whatsapp al declarar una infracción del artículo 6 a Facebook (por tratamiento sin consentimiento) y del artículo 11 (cesión de datos) a Whatsapp, por la comunicación de datos de usuarios de la última entidad a la primera.

Adaptación al Reglamento por parte de empresas y organizaciones

/en , /por

Adaptación al Reglamento por parte de empresas y organizaciones
dortega
Jue, 12/20/2018

20 de Diciembre de 2018

La Agencia publica una hoja de ruta para fomentar el cumplimiento de la nueva normativa, aplicable el 25 de mayo de este año 2018

La Agencia Española de Protección de Datos está apostando por el diseño de herramientas que faciliten el cumplimiento del nuevo Reglamento General de Protección de Datos, que se aplicará el 25 de mayo de este año. Son muchos y variados los materiales que estamos ofreciendo para que la transición al nuevo modelo de cumplimiento pueda realizarse con directrices y orientaciones.

Recientemente, la Agencia ha publicado una 

Adaptación al RGPD – Administraciones públicas

, a la que acaba de sumar otra que recoge las 

infografia-adaptacion-rgpd-sector-privado

, ya sean empresas u organizaciones.

En ella se recogen tanto los pasos necesarios como enlaces a las herramientas que ofrece la Agencia, en el caso de que sea necesario ampliar la información. Así, además de Facilita_RGPD, se recogen enlaces a:

Guía práctica de análisis de riesgos para el tratamiento de datos personales [feb 2018]

Guía práctica para las Evaluaciones de Impacto en la Protección de Datos

 

(que incluyen plantillas y anexos), así como a los documentos sobre el cumplimiento del deber de informar o la adaptación de los contratos entre responsables y encargados de tratamiento.

Igualmente, para aquellas entidades a las que Facilita_RGPD no resulte útil, hay que recordar que la Agencia ofrece un servicio de solicitud de copia de la inscripción que puede resultar útil como ayuda para elaborar el registro de actividades obligatorio a partir del 25 de mayo.

La AEPD publica un informe sobre el tratamiento de datos relativos a opiniones políticas por los partidos

/en , /por

La AEPD publica un informe sobre el tratamiento de datos relativos a opiniones políticas por los partidos
dortega
Mié, 12/19/2018

19 de Diciembre de 2018

(Madrid, 19 de diciembre de 2018). La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la Disposición final tercera de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que modifica la Ley Orgánica 5/1985 del Régimen Electoral General (LOREG) añadiendo el artículo 58 bis. Esta modificación fue introducida durante la tramitación parlamentaria de la LOPD y, al no encontrarse en el Proyecto de Ley remitido por el Gobierno, no fue objeto de informe preceptivo por parte de la Agencia.

Ver informe

La AEPD considera que la modificación de la LOREG, que aborda el tratamiento de datos relativos a opiniones políticas por los partidos, debe ser objeto de una interpretación restrictiva, en primer lugar, porque se trata de una excepción a la regla general recogida en el artículo 9 del Reglamento General de Protección de Datos (RGPD) y en el 9.1 de la LOPD, que prohíbe el tratamiento de categorías especiales de datos personales −entre las que se encuentran las opiniones políticas−. Además, porque el artículo 58 bis debe ser interpretado conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales como la protección de datos, el derecho a la libertad ideológica, la libertad de expresión e información o el derecho a la participación política.

El informe recoge que los partidos políticos, federaciones, coaliciones y agrupaciones de electores sólo podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. Este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una vulneración de su derecho fundamental a no declarar su ideología.

En cuanto a la ausencia de definición en la Ley Orgánica 3/2018 de “fuentes de acceso público”, la Agencia considera que puede seguir aplicándose como criterio interpretativo la derogada LOPD 15/1999 pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado, ya sea como “amigo” u otro concepto similar.

En lo relativo a la finalidad del tratamiento, la AEPD recoge en su informe que el tratamiento que se realice deberá ser “proporcional al objetivo perseguido” (artículo 9.2 g RGPD), lo que no ampara tratamientos no proporcionales como el microtargeting, ni tener por finalidad forzar o desviar la voluntad de los electores. “Si bien el funcionamiento de un sistema democrático puede requerir la elaboración de perfiles generales, de modo que los partidos políticos puedan conocer las inquietudes políticas de la ciudadanía, incluso por categorías genéricas como la edad, sexo, población, etc., lo que no puede en ningún caso pretenderse es la realización de perfiles individuales o realizados atendiendo a categorías muy específicas que conculcarían los derechos fundamentales anteriormente citados”, añade. En todo caso, esos tratamientos deben, además, cumplir con todos los principios recogidos en el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación de plazo de conservación; integridad y confidencialidad y responsabilidad proactiva.

En cuanto al “envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes” (artículo 58 bis LOREG), los datos que vayan a ser utilizados para el envío de propaganda electoral (números de teléfono, correo electrónico, etc.) deben haberse obtenido lícitamente, amparados en alguna de las bases del artículo 6 del RGPD. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y facilitar el derecho de oposición por los destinatarios.

Garantías adecuadas

El texto del artículo 58 bis no detalla las garantías aplicables a este tipo de tratamientos. Por ello, la Agencia, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, debe identificar esas garantías, sin perjuicio de otras que pueda exigir la Junta Electoral Central de cara a garantizar la transparencia del proceso electoral.

1. Responsabilidad desde el diseño y por defecto. Los responsables deberán adoptar medidas técnicas y organizativas apropiadas, como la seudonimización e incluso la agregación y anonimización.

2. Designar un delegado de protección de datos.

3. Elaborar el registro de actividades de tratamiento, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia.

4. Realizar una evaluación de impacto relativa a la protección de datos, al realizar un tratamiento a gran escala de categorías especiales de datos.

5. Consultar a la AEPD antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entraña un alto riesgo. Si esa evaluación de impacto se realiza adecuadamente será obligatorio consultar a la AEPD, salvo que el responsable garantice que el riesgo puede mitigarse.

6. Adoptar medidas de seguridad, que deberán ser lo más rigurosas que permita el estado de la técnica, teniendo en cuenta que se trata de datos referentes a opiniones políticas cuyo tratamiento es excepcional y que suponen un importante riesgo para los derechos y libertades de las personas.

7. Cuando el tratamiento vaya a realizarlo un encargado del tratamiento, deberán seleccionar uno que ofrezca garantías suficientes y haber suscrito con él un contrato en el que deberá garantizarse que el encargado actuará sólo siguiendo instrucciones del responsable, debiendo contemplar dichas instrucciones las garantías definidas por la Agencia.

8. Facilitar el ejercicio de los derechos de acceso, rectificación, supresión y oposición.

9. En el caso de que se pretenda obtener los datos de terceros (que no actúen como encargados del tratamiento) el responsable deberá comprobar que esos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tenga una legitimación específica para obtener y tratar dichos datos y que haya informado expresamente a los afectados de la finalidad de cesión a los partidos políticos.

10. El responsable deberá cumplir con las garantías del artículo 22 del RGPD si se van a realizar decisiones automatizadas, incluida la elaboración de perfiles generales.

Además de estas garantías, adquiere una especial relevancia la obligación de informar sobre dichos tratamientos “teniendo en cuenta que nos encontramos ante un supuesto excepcional de legitimación de los datos relativos a la ideología política de los ciudadanos”. Ese deber de información deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que este ha cumplido con su obligación de informar sobre los mismos extremos a los afectados.

El informe detalla que, con anterioridad al inicio del periodo electoral, los sujetos legitimados y que vayan a presentar candidatura podrán desarrollar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones anteriormente señaladas, pero sin poder iniciarlos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos (si no lo hubiera designado con anterioridad) y la celebración, en su caso, del contrato de encargado del tratamiento. En periodo electoral podrán iniciar el tratamiento, debiendo en primer lugar cumplir con su obligación de información y velar por el cumplimiento de la normativa de protección de datos. Por último, finalizado el periodo electoral, deberán garantizar la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 y la Norma UNE- EN15713:2010, sin que en ningún caso puedan ser objeto de tratamiento ulterior por los partidos políticos ni por ninguna otra entidad.

En cuanto a las potestades de la AEPD, para garantizar el cumplimiento de la normativa de protección de datos y sin perjuicio de las competencias que puedan corresponder a otros órganos −singularmente a la Junta Electoral Central, al Ministerio del Interior, al Tribunal de Cuentas y, en su caso, al Tribunal Constitucional−, esta podrá ejercer las funciones que le atribuye el artículo 57 del RGPD y los poderes de investigación, correctivos y de autorización y consultivos del artículo 58.

Delegado de Protección de Datos según el esquema de la AEPD

/en , /por

Delegado de Protección de Datos según el esquema de la AEPD
dortega
Mar, 12/18/2018

18 de Diciembre de 2018

Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de utilidad

El próximo 25 de mayo de 2018 será aplicable el Reglamento General de Protección de Datos (RGPD) en el que la figura del Delegado de Protección de Datos (DPD) otorga un papel fundamental a los profesionales de la protección de datos. Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de útil.

Certificaciones en protección de datos

Existen en el mercado certificaciones relacionadas con la figura del DPD y la privacidad, pero ninguna de estas certificaciones es exigible para el desempeño del papel de DPD y, sin embargo, pueden añadir un valor al profesional de la privacidad y proporcionar seguridad a los responsables y encargados de los tratamientos de datos cuando tienen que seleccionar a su Delegado de Protección de Datos.

Si deseas trabajar como DPD debes de saber que no es necesaria una titulación específica y que el RGPD no exige que estos profesionales dispongan de ninguna certificación específica, tal y como se ha mencionado en el párrafo anterior. Al contrario de lo que se indica en algunas páginas web, no es necesaria certificación para ejercer como DPD, la designación de un DPD corresponde a los responsables y encargados de los tratamientos de datos personales y su selección se debe realizar con diligencia atendiendo a las cualidades profesionales y no a una titulación o certificación específica.

Las certificaciones para DPD ofrecen a los responsables y encargados de los tratamientos de datos personales un marco de referencia sobre la cualificación de los profesionales de la protección de datos, pero no son un requisito o una obligación para el ejercicio de sus funciones. Desde la AEPD somos conscientes de la necesidad de un marco de transparencia y confianza que oriente a responsables y encargados de tratamientos la elección de profesionales cualificados y, con este objetivo, la AEPD, en colaboración con ENAC y el Comité de Expertos, ha elaborado el Esquema de Certificación para DPD.

 

Si quieres ser Delegado de Protección de Datos según el esquema de la AEPD

Si deseas certificarte siguiendo el esquema de la AEPD debes de ponerte en contacto con una entidad de certificación. Para saber las entidades de certificación a las que puedes acudir debes de consultar la página web de la Agencia en el apartado Delegado de Protección de Datos – Certificación o la página web de ENAC (Entidad Nacional de Acreditación).

Ten en cuenta que las entidades que pueden certificarte deben haber pasado previamente por el proceso de acreditación llevado a cabo por ENAC y únicamente las entidades acreditadas por ENAC podrán convocar exámenes oficiales para certificarte como DPD de acuerdo con el esquema de la AEPD.

El proceso de acreditación se inicia cuando una entidad presenta su solicitud ante ENAC y es admitida superando la fase inicial de la revisión y análisis de los documentos que le han sido requeridos. Superada esta fase inicial, la futura entidad de certificación puede solicitar a la AEPD una designación o autorización provisional que le va a permitir emitir certificados de DPD que tendrán carácter de definitivos cuando dicha entidad haya superado el proceso de acreditación. Las autorizaciones provisionales emitidas por la AEPD tienen una vigencia máxima de un año.

Si te presentas a un examen para certificarte como DPD convocado por una entidad de certificación que ha sido designada provisionalmente, deberás ser informado por la entidad acerca del carácter de la certificación que obtendrás. Para acceder a un examen para certificarte como Delegado de Protección de Datos debes cumplir y acreditar ciertos prerrequisitos que se describen en el Anexo I del Esquema de Certificación de Delegados de Protección de Datos. Las entidades de certificación tendrán que valorar tu experiencia y formación antes de permitirte acceder al examen de certificación para DPD y, si no cumples los prerrequisitos exigidos, no podrás participar en las pruebas para certificarte.

Existen empresas que ofrecen cursos para certificarte como DPD según el Esquema de la AEPD, pero únicamente la formación reconocida por una entidad de certificación servirá para cumplir con los prerrequisitos de acceso al examen. Incluso existen entidades que han anunciado fechas de exámenes para certificaciones de DPD según el Esquema. Sin embargo, hasta que estas entidades no hayan presentado su solicitud ante ENAC, actúen con una designación provisional y finalmente hayan superado favorablemente su proceso de acreditación como entidad de certificación, los exámenes aprobados no tendrán valor para que puedas certificarte.

Es preciso que tengas en cuenta que el Esquema se puso en marcha en julio de 2017 y las futuras entidades de certificación están trabajando con el objeto de superar los procesos de acreditación necesarios, procesos que son complejos y que, en general, requieren meses de trabajo. En el momento actual únicamente existe una entidad que haya solicitado a la AEPD su designación provisional, pero a lo largo de los próximos meses cabe esperar que existan más entidades, ya que desde la puesta en marcha del Esquema han mostrado su interés en convertirse en entidades de certificación o en entidades de formación siguiendo el Esquema.

No olvides que puedes consultar las entidades de certificación con validez según el Esquema de la AEPD en la página web de la Agencia.