Catalá: “»El reto de asumir el Reglamento no debe hacer olvidar las nuevas oportunidades que ofrece»”

/en , /por

El ministro de Justicia en funciones ha inaugurado la 8ª Sesión Anual Abierta de la AEPD, que se ha consolidado como punto de encuentro con representantes de entidades, empresarios y profesionales de la protección de datos.

  • El titular de Justicia en funciones ha calificado el nuevo Reglamento General de Protección de Datos como “el principal hito en esta materia en los últimos años”
  • La directora de la AEPD, Mar España, ha recomendado a las entidades una “adaptación progresiva” al Reglamento antes de que sea aplicable
  • La Agencia está preparando herramientas sencillas que ayuden a las pymes a cumplir con la nueva normativa y ha puesto en marcha dos estudios sobre big data

El ministro de Justicia en funciones, Rafael Catalá, ha inaugurado la 8ª Sesión Anual Abierta de la Agencia Española de Protección de Datos, en cuya apertura también ha participado la directora de la AEPD, Mar España Martí. Este evento, que por primera vez se ha retransmitido en streaming, se ha consolidado como punto de encuentro entre el organismo público y representantes de entidades, empresarios y profesionales de la protección de datos, proporcionando una exposición y un análisis detallado de las novedades acaecidas en el último año en relación con este derecho fundamental.

El ministro de Justicia en funciones ha abordado los retos a los que se enfrenta la protección de datos en un contexto influido por circunstancias como el nuevo esquema para las transferencias internacionales de datos entre la UE y EEUU (Privacy Shield). En este sentido, ha confiado en que la Comisión Europea pueda adoptar a corto plazo una decisión que permita “dotar de mayor fluidez a las transferencias de datos a EEUU con suficientes garantías para los derechos de los ciudadanos europeos”. Para Catalá, el hecho de que los mecanismos de transferencia internacional de datos no contemplen un nivel equiparable de protección podría producir un efecto indeseado para las empresas europeas “que se situarían en una situación de desventaja competitiva” frente a las de terceros países. Por ello, mantener la continuidad en la garantía del derecho a la protección de datos no sólo es “una exigencia” sino también “un elemento necesario para garantizar la competitividad”.

El titular de Justicia en funciones también ha analizado la aprobación del nuevo Reglamento General de Protección de Datos (RGPD), al que ha calificado como “el principal hito en esta materia en los últimos años”. Ante la aplicación de la nueva normativa el 25 de mayo de 2018, Catalá ha instado a todos los agentes implicados en el proceso a “aprovechar al máximo” este periodo transitorio para preparar la plena aplicabilidad del Reglamento. En este contexto, el ministro ha señalado que “tenemos dos años de trabajo intenso por delante” y que “el reto de asumir el Reglamento no debe hacer olvidar las nuevas oportunidades de mejora que ofrece en la protección de los derechos de los ciudadanos”.

Por su parte, la directora de la AEPD, Mar España, se ha referido a que “la Agencia está comprometida con conseguir que la aplicación del Reglamento se produzca con pleno respeto a sus disposiciones” y, al mismo tiempo, “desde la flexibilidad que una operación de esta esta envergadura requiere y en una situación en la que las empresas y profesionales cuenten con todos los recursos teóricos y materiales necesarios para ponerlo en práctica”.

La transición desde el modelo de cumplimiento actual al que fija el nuevo Reglamento también ha sido objeto de análisis por parte de la directora de la AEPD, que ha puesto de manifiesto las implicaciones prácticas más importantes que conviene que las entidades conozcan para afrontar la aplicación del Reglamento. El consentimiento inequívoco, la información que debe ofrecerse a los ciudadanos antes de tratar sus datos, los esquemas de certificación o la realización de evaluaciones de impacto han sido algunos de los temas tratados.

En este sentido, la directora de la Agencia ha recomendado a las entidades una “adaptación progresiva” de sus procesos en materia de protección de datos, de forma que se puedan detectar las posibles dificultades en su aplicación y tomar medidas que permitan solucionarlas.

En cuanto al cumplimiento del RGPD por parte de las pymes, la Agencia ha anunciado que está preparando herramientas que sean útiles para cumplir con el Reglamento. Entre ellas, un recurso online orientado a aquellas que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo riesgo. Además, está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un riesgo algo mayor como consecuencia de alguna circunstancia concreta, como el manejo de datos sensibles.

Por otro lado, la directora de la Agencia ha repasado el grado de ejecución del Plan Estratégico 2015-2019 en los siete meses transcurridos desde su aprobación, subrayando que se han puesto en marcha un total de 67 iniciativas, entre las que se encuentra la creación de un canal de comunicación para atender las cuestiones planteadas en relación con la protección de datos de menores o la reciente convocatoria de un Premio a las Buenas Prácticas Educativas en Privacidad y Protección de Datos. Asimismo, la directora de la AEPD ha anunciado que se está ultimando la ‘Guía sobre los derechos de los ciudadanos’ así como los materiales que forman parte de la iniciativa ‘Privacidad y seguridad en internet. Guía esencial’, realizados junto al INCIBE.

Tras la apertura de la Sesión se ha presentado la Unidad de Evaluación y Estudios Tecnológicos, creada para evaluar las implicaciones que las nuevas tecnologías pueden tener para la privacidad. Estos estudios -cuyo fin es conocer las funcionalidades y la forma en que almacenan, tratan y comunican los datos personales que recogen estos productos y servicios- se centrarán en tecnologías como big data, internet de las cosas, aplicaciones móviles, datos biométricos o drones, entre otras.

Esta Unidad trabaja en dos estudios sobre big data: uno general, centrado en las soluciones que se aplican en el entorno empresarial y comercial, y otro sobre la reutilización de información clínica y análisis masivo de datos en el sector sanitario. Una vez examinados los resultados, la AEPD realizará un análisis de sus implicaciones en la protección de datos personales para promover la adopción de buenas prácticas y hacer recomendaciones.

Las últimas novedades sobre informes y sentencias relevantes del Gabinete Jurídico; la actualización de criterios de la Agencia; el enfoque de la prevención en el tratamiento de datos, y la aproximación al Reglamento Europeo de Protección de Datos desde diferentes perspectivas (principios y derechos; obligaciones de responsables y encargados; códigos de conducta, certificaciones y transferencias internacionales, o la supervisión y régimen sancionador) han sido otros de los temas abordados durante la Sesión.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición

/en , /por

La Agencia recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

La Agencia Española de Protección de Datos (AEPD), en su faceta preventiva, quiere fomentar que las entidades puedan conocer las posibles dificultades en su aplicación para tomar medidas que permitan solventarlas. A continuación se analizan algunas de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el Reglamento sea aplicable. La AEPD está comprometida con conseguir que la aplicación del RGPD se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible.

1. Consentimiento

El Reglamento requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

La Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.

2. Información

En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el Reglamento sea de aplicación.

Este periodo transitorio debería ser utilizado por las organizaciones para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación.

Al mismo tiempo, es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el Reglamento. Hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos. Esos datos no podrán trasladarse a los interesados hasta que ese Delegado no sea designado en los casos en que el Reglamento lo hace obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo pero otros elementos sí pueden ya anticiparse y, en la medida de lo posible, incorporarse sin dilación a las informaciones que se proporcionan a los interesados.

3. Evaluaciones de impacto sobre la protección de datos

La realización de Evaluaciones de Impacto sobre la protección de datos –aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. La realización de estas Evaluaciones tiene carácter previo a la puesta en marcha de los correspondientes tratamientos. Por ello, posiblemente no sería acorde con el espíritu del Reglamento exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.

La Agencia considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

Comenzar a incorporar este sistema a la actuación de las organizaciones no sólo va a permitirles estar en mejores condiciones en el momento en que resulte obligatorio para algunas de ellas, sino que también les permitirá asegurar el cumplimiento no ya del futuro Reglamento, sino incluso de la actual normativa.

4. Certificación

El Reglamento concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades de acreditación previstas en la normativa europea sobre normalización y certificación. En todo caso, en la elaboración de los criterios tanto para acreditar entidades como para certificar a las organizaciones tienen diferentes grados de participación las autoridades de supervisión y el Comité Europeo.

La AEPD entiende que, de entre estas posibilidades, la que mejor responderá a las necesidades de las entidades al tiempo que es compatible con la configuración y posibilidades de actuación de la Agencia es la de encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

5. Delegados de protección de datos. Certificación

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Sin embargo, no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura. De hecho, el Reglamento indica en uno de sus considerandos que la valoración de estas aptitudes y conocimientos deberá realizarse no tanto en función de criterios externos como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

La Agencia considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

En este momento, ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. Esas titulaciones están llamadas a jugar un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos en la medida en que pueden servir como un elemento más, aunque no sea necesariamente único, para que la organización que tiene que designar un DPD pueda tener constancia de la formación o cualificaciones de los posibles candidatos.

Para que la oferta de certificaciones y titulaciones funcione de manera rigurosa es necesario que estas reúnan unos requisitos que permitan que las entidades que los reciban puedan tener un razonable grado de certeza sobre lo que reflejan.

La Agencia está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.

El hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos.

La Agencia considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un DPD. No obstante, en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.

6. Relación entre responsables y encargados

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y en RGPD en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

La Agencia, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo. No se trata de los modelos de contrato a que se refiere el Reglamento debido a que esos modelos requieren de aprobación por parte del Comité Europeo de Protección de Datos -que aún no se ha establecido-, si bien tienen el objetivo de servir de orientación en esta primera etapa para que las organizaciones respondan a los nuevos requerimientos.

7. Herramientas para pymes y herramientas sectoriales

La Agencia está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del Reglamento. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo.

Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el Reglamento exige en la información.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Publicada la Memoria 2015 de la AEPD

/en , /por

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2015, que recoge de manera exhaustiva la actividad y el funcionamiento de las distintas áreas de la institución, las tendencias más destacadas, las decisiones y procedimientos más relevantes del año y un completo análisis de los desafíos presentes y futuros en materia de protección de datos.

El análisis de la actividad anual refleja un incremento en el número de denuncias y reclamaciones resueltas. Así, en 2015 se han resuelto 10.871 denuncias frente a las 9.404 resueltas en 2014 (+15,60%). En cuanto a las reclamaciones de los ciudadanos para ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO), se han resuelto 2.113 en 2015 frente a las 1.818 de 2014 (+16,23). De estos datos se desprende que ha habido un incremento medio en la resolución de reclamaciones y denuncias de un 15,70% respecto a 2014. En lo que respecta a denuncias y reclamaciones planteadas ante la AEPD por los ciudadanos en 2015, se han recibido un total 10.571, una cifra que supone una consolidación con respecto a años anteriores tras el repunte de 2014.

La inserción indebida en ficheros de morosidad y la contratación irregular se encuentran entre las principales reclamaciones planteadas ante la Agencia Española de Protección de Datos por los ciudadanos. Uno de cada tres afectados denunció ante la AEPD cuestiones relacionadas con el ámbito de la morosidad, en particular la inclusión en ficheros comunes, la reclamación de deudas impagadas o la contratación irregular en servicios ofrecidos por operadores de telecomunicaciones, entidades financieras o compañías energéticas. En relación con estas conductas es preciso incidir que la inclusión indebida en ficheros de morosidad produce unos efectos especialmente negativos para los afectados, por los que las empresas deben extremar su diligencia antes de comunicar una información inexacta.

En este sentido, el Plan Estratégico 2015-2019 de la Agencia, del que se recogen las líneas principales en la Memoria, incluye una serie de actuaciones centradas tanto en trabajar con las empresas para que mejoren sus políticas de protección de datos en este ámbito como en orientar al ciudadano sobre qué puede hacer para reclamar sus derechos. Estas medidas, sobre las que la AEPD ya está trabajando, incluyen, además de reuniones con los principales sectores infractores para resolver las deficiencias constatadas y auditar la implantación de soluciones, una actualización del plan sectorial de oficio sobre control de datos en contratación telefónica, la elaboración de una Guía para la presentación de quejas y reclamaciones en telecomunicaciones, la colaboración con Administraciones y organizaciones sociales orientadas a la protección de los consumidores y usuarios, y la elaboración de fichas prácticas para los ciudadanos.

En lo relativo a los procedimientos resueltos iniciados a instancia de ciudadanos que acuden a la Agencia reclamando la tutela de sus derechos –habiéndolo ejercitado previamente ante el responsable del tratamiento, que los ha denegado o no ha respondido- ocupan el primer lugar los procedimientos de cancelación (1.329) seguidos, por este orden, de los referentes al acceso (608), oposición (130) y rectificación (97). Estas cifras ponen de manifiesto, un año más, que los ciudadanos dan prioridad a que las entidades dejen de tratar sus datos personales cuando así lo solicitan. En el caso de los procedimientos de tutela por el denominado derecho al olvido frente a buscadores, desde la sentencia del Tribunal de Justicia de la Unión Europea de 2014, la Agencia ha dictado 371 resoluciones, en las que se ha estimado la petición del ciudadano en 157 ocasiones y desestimado en 82. En 131 casos la petición se ha inadmitido, ya que los reclamantes no se habían dirigido con anterioridad al buscador solicitando la cancelación de los datos tal y como exige la legislación.

En 2015 se atendieron casi 220.000 consultas planteadas por los ciudadanos a través de diferentes canales (+10,6 respecto a 2014), de las que hay que destacar el aumento de las preguntas realizadas a través de la Sede electrónica de la Agencia, con un incremento del 23,6% respecto al año anterior. Estos datos ponen de manifiesto la creciente aceptación de los ciudadanos por mantenerse en contac¬to con la Administración utilizando los servicios electrónicos. En este sentido hay que mencionar también que más del 90% de las notificaciones del Registro General de Protección de Datos se realizan a través de internet. Siguiendo con la inscripción de ficheros en el Registro por parte de los sujetos obligados, el año 2015 finalizó con más de 4,1 millones de ficheros inscritos, cifra que supone un incremento de casi un 10% respecto al cierre del año anterior. De ellos, 3.950.620 ficheros son de titularidad privada (96,17%) y 157.324 de titularidad pública (3,82%).

El gabinete jurídico de la AEPD emitió el pasado año 485 informes en los que dio respuesta a consultas planteadas tanto por órganos de Administraciones Públicas (305) como por entidades privadas (180). En cuanto a informes preceptivos, aquellos que tienen como finalidad integrar los principios y garantías del derecho fundamental a la protección de datos en las regulaciones sectoriales, la Agencia realizó en 2015 un total de 146. En cuanto a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la AEPD, del total de 201 sentencias dictadas en 2015, un 76% confirmaron los criterios de la Agencia en cuanto al fondo del asunto.

Las resoluciones declarativas de infracción han descendido un 5% y el total de las sanciones económicas impuestas en 2015 ha disminuido un 19,35% (13.712.621 euros) con respecto a 2014. Entre las principales causas de esa disminución se sitúa un descenso (-8,7%) en las infracciones declaradas con sanción económica y la utilización de la figura del apercibimiento (+26%) para casos en los que no se impone sanción económica al tratarse fundamentalmente de particulares y pymes a los que se aplican los criterios de disminución de culpabilidad y antijuridicidad exigidos en la LOPD, así como el requisito de no haber sido sancionados o apercibidos previamente.

Las sanciones de mayor cuantía han recaído en empresas de telecomunicaciones (51% del total), entidades financieras (17%) y empresas encargadas del suministro y comercialización de energía o agua (8,7%), seguidas de las infracciones declaradas por comunicaciones electrónicas comerciales –spam- (6,5%). De estas cifras, en comparación con 2014, hay que destacar la disminución de las sanciones impuestas a las empresas de telecomunicaciones (-34%) o a las de los citados suministros (-35%). Por otro lado, el volumen declarado de sanciones en 2015 sube un 18,7% con respecto a 2014 en el caso de entidades financieras y un 39% en el caso de infracciones por spam.

En el caso de las Administraciones Públicas, en 2015 se ha producido un ascenso del 11,7% en el número de infracciones declaradas, con un incremento del 30% en los procedimientos resueltos, es decir, 78 procedimientos resueltos han dado lugar a 57 declaraciones de infracción.

La Agencia presentó en noviembre de 2015 su Plan Estratégico 2015-2019, tras haber recibido en la fase de consulta pública casi 400 aportaciones de ciudadanos, responsables de tratamiento, expertos en protección de datos y organizaciones públicas y privadas. En las acciones llevadas a cabo durante 2015 y recogidas en la Memoria destacan las actuaciones de prevención en materia de educación y protección de los menores, con el lanzamiento de varios canales de comunicación dirigidos a jóvenes, padres y profesores; una nueva versión de la web Tú decides en internet; y materiales como las guías No te enredes en internet, orientada a menores, y Guíales en internet, para padres y profesores.

Asimismo, a finales de 2015, la Agencia creó una Unidad de admisión a trámite de las reclamaciones de los ciudadanos, encargada específicamente de analizar las denuncias recibidas para permitir, en un breve lapso temporal desde su presentación, indicar las evidencias en la que la colaboración del reclamante es necesaria para fundar la reclamación, ofreciendo información sobre cómo pueden obtenerlas. La creación de esta Unidad tiene como objetivo mejorar la gestión y la atención a los ciudadanos.

ACCESO A LA MEMORIA

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD y Clan fomentan el buen uso de internet y las redes sociales entre los jóvenes

/en , /por

La Agencia Española de Protección de Datos y Clan, el canal infantil de RTVE, colaboran en una campaña de educación digital para difundir un uso responsable de internet y las redes sociales entre los más jóvenes. Las piezas promueven la privacidad como un valor imprescindible a la hora de usar las nuevas tecnologías y están protagonizadas por los personajes de la serie de ficción ‘Big Band Clan’. Los vídeos se emitirán durante todo el verano y también serán accesibles tanto a través de la web de Clan como en la página de menores de la Agencia, que incorporará estos contenidos a su sección de vídeos para promover su difusión.

Temas como la huella digital, la importancia de cerrar la sesión cuando se utiliza un ordenador compartido, las consecuencias de publicar imágenes propias o de terceros o los riesgos de contactar con desconocidos a través de internet son abordados en estas piezas breves protagonizadas por los personajes de la ficción infantil ‘Big Band Clan’.

La colaboración entre la Agencia Española de Protección de Datos, Clan y el equipo de la serie sitúa la información, prevención y concienciación como elementos esenciales para proteger de forma eficaz a los menores, un colectivo especialmente vulnerable ante los riesgos de las nuevas tecnologías. La campaña tiene como objetivo reforzar su educación digital, para que sean conscientes de las ventajas y las posibilidades de los diferentes servicios de internet, pero también de los peligros que deben aprender a detectar para reaccionar de manera adecuada.

Contenido de las piezas

Ana, Leo, Sara, Marta, el profesor Einstein y el robot Frank protagonizan estas breves píldoras que salpicarán la parrilla de Clan. De una forma sencilla y entretenida advierten sobre los riesgos de publicar todo en redes sociales y después arrepentirse, aunque al principio pueda parecer divertido (Cuidado con lo que compartes); muestran la importancia de valorar los datos que se piden a través de internet y aprender a desconfiar ante determinadas promesas o regalos (Cuidado con la información personal que facilitas a desconocidos); o abordan la importancia de cerrar sesión cuando se utilicen servicios de internet en ordenadores compartidos (Ten precaución de cerrar siempre tu sesión en el ordenador). Estos y otros vídeos con consejos sobre protección de datos y uso responsable de internet están disponibles en la web de ‘Big Band Clan’.

Para profundizar en cada uno de los contenidos expuestos por los personajes de Big Band Clan, estas finalizan con Ana, la protagonista de la serie, emplazando a los jóvenes a que entren en la web Tú decides en internet, donde pueden consultar consejos para protegerse en la Red o aprender mientras se divierten con Pandijuegos. La web también incluye contenidos para padres y profesores, figuras imprescindibles para una adecuada educación de los menores.

La AEPD convoca el ‘‘Premio a las buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet’’

/en /por

La Agencia Española de Protección de Datos (AEPD) ha publicado las bases para presentarse a la 20ª edición de los Premios Protección de Datos Personales, que este año incluyen una nueva categoría para reconocer las‘‘Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet’’ y que se une a las ya existentes de ‘’Comunicación’’ e ‘‘Investigación’’.

Este nuevo galardón, contemplado como parte de las actuaciones previstas en el Plan Estratégico 2015-2019 de la AEPD, tiene por objeto premiar la adopción de buenas prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en internet, tanto propia como de terceros.

El premio −al que pueden presentarse proyectos técnicos, organizativos, métodos, acciones de promoción y concienciación, talleres, simulacros o materiales de difusión, entre otros− se convoca en dos modalidades:

  • Modalidad A. Tiene por objeto premiar las buenas prácticas llevadas a cabo por centros educativos públicos, concertados y privados de Educación Primaria, Secundaria, Bachillerato y Formación Profesional. Pueden concurrir al premio aquellos proyectos que los centros educativos hayan desarrollado durante el curso escolar 2015-2016 o que vayan a poner en marcha en el curso 2016-2017. El premio consistirá en una mención honorífica, la difusión de las buenas prácticas puestas en marcha o previstas y una dotación de material escolar por valor de 3.000 euros.
  • Modalidad B. El premio reconoce el compromiso de personas, instituciones, organizaciones y asociaciones, públicas y privadas, que se hayan distinguido de manera destacada en el impulso y la difusión entre los menores de edad del uso seguro de internet, relacionado fundamentalmente con la información personal y con el valor de la privacidad. Este galardón es honorífico y consiste en un trofeo así como, en su caso, la difusión de las iniciativas y proyectos premiados.

Plazo de presentación

Los trabajos deberán dirigirse a la Secretaría General de la Agencia Española de Protección de Datos, y podrán presentarse hasta el próximo 1 de noviembre de 2016 en el Registro General de la AEPD (C/ Jorge Juan, 6 – 28001, Madrid), o en cualquiera de los registros u oficinas previstos en el artículo 38.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, haciendo constar en el sobre la misma dirección.

Los Premios Protección de Datos Personales serán concedidos por un jurado compuesto por el Consejo Consultivo de la Agencia Española de Protección de Datos, bajo la presidencia de su directora, que podrá designar expertos del ámbito educativo y de la comunicación para evaluar las candidaturas.

Proyecto global de concienciación

La AEPD ha establecido la prevención y la concienciación como líneas prioritarias para difundir el derecho a la protección de datos entre los menores, un colectivo vulnerable que puede verse involucrado en situaciones de alto riesgo, especialmente en internet.

Con la intención de llegar a los más de ocho millones de alumnos escolarizados, la Agencia ha publicado en los últimos meses varias guías, fichas didácticas y materiales educativos que pueden utilizarse como referencia para formar y sensibilizar a los menores. Asimismo, para potenciar la comunicación con los jóvenes, padres y profesores, la AEPD dispone de varias vías de contacto para resolver las dudas de estos colectivos en materia de privacidad y protección de datos.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Reglamento de protección de datos en 12 preguntas

/en , /por

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016. La AEPD ha elaborado este documento simplificado, que sigue el formato pregunta-respuesta, para facilitar la comprensión del nuevo marco normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.

3. ¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

  • Protección de datos desde el diseño
  • Protección de datos por defecto
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Nombramiento de un delegado de protección de datos
  • Notificación de violaciones de la seguridad de los datos
  • Promoción de códigos de conducta y esquemas de certificación.

8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

9. ¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

10. ¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

11. ¿En qué consiste el sistema de ‘ventanilla única’?

Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en  lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.

12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.

Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.

Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.

En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El próximo 29 de junio se celebra la 8ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

/en , /por

La Agencia Española de Protección de Datos (AEPD) celebrará el próximo 29 de junio la 8ª Sesión Anual Abierta, un evento en el que se analizarán los temas más destacados relacionados con este derecho fundamental en el último año.

(Madrid, 20 de mayo de 2016). La AEPD invita a los representantes de instituciones, empresarios, profesionales de la protección de datos y ciudadanos interesados en la materia a acudir a esta sesión pública, abierta, gratuita y de carácter esencialmente práctico que también será retransmitida en streaming desde la web de la Agencia. La jornada tendrá lugar en el Gran Anfiteatro Ramón y Cajal, ubicado en la Facultad de Medicina de la Ciudad Universitaria (Avenida Complutense s/n, 28040 Madrid).

En la primera parte de la sesión se abordarán los retos a los que se enfrenta este derecho fundamental, así como cuestiones relacionadas con el enfoque de la protección de datos como factor de confianza y la creación de la nueva Unidad de evaluación y estudios tecnológicos.

En la segunda parte, se analizarán las principales novedades en materia de protección de datos personales acaecidas durante el último año, tanto en el ámbito nacional como internacional.

En la tercera parte, que será vespertina, se tratarán las novedades del recién aprobado Reglamento Europeo de Protección de Datos y su repercusión en la legislación interna actual. Se analizarán los principios y derechos de la nueva normativa, las obligaciones de responsables y encargados, así como los códigos de conducta, las certificaciones y las transferencias internacionales, para finalizar con la supervisión y el régimen sancionador establecidos por dicho Reglamento.

Durante el evento se entregarán los ‘Premios Protección de Datos 2015’. Estos galardones, que alcanzan su XIX edición, reconocen los trabajos que promueven en mayor medida la difusión y la investigación de este derecho.

Con el fin de organizar la Sesión y controlar el aforo, en la Sede electrónica de la Agencia encontrará un formulario de inscripción para asistir a la jornada.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Protección de Datos inspeccionará la contratación irregular de servicios de telecomunicaciones

/en /por

La directora de la Agencia de Protección de Datos señala que los planes de inspección sectoriales se están centrando actualmente en el sector sanitario y en el de las telecomunicaciones. Por otro lado, tanto desde el órgano de control como desde el Ministerio de Justicia apuntan la necesidad de aprobar una nueva ley orgánica de protección de datos, tras la aprobación del reglamento europeo sobre esta materia.

La Agencia Española de Protección de Datos (AEPD) ha iniciado una inspección sectorial de oficio en el ámbito sanitario y ha anunciado que tiene previsto realizar otra en el ámbito de la contratación irregular de servicios de telecomunicaciones mediante suplantación de identidad.

Así lo ha afirmado la directora de la Agencia, Mar España, aludiendo a las numerosas denuncias que llegan al órgano de control en relación con la contratación de servicios, por ejemplo de telefonía, de forma irregular y que, cuando el afectado se niega a pagar por ellos, desembocan en una inserción indebida en ficheros de morosidad, con todos los perjuicios que ello conlleva.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE: EXPANSION.COM

Nota informativa de la AEPD sobre suplantación de los requerimientos de la Agencia

/en /por

 

La AEPD advierte a quienes reciban este tipo de comunicaciones de la necesidad de analizar detenidamente la identificación del remitente para evitar confusiones.

(Madrid, 6 de mayo de 2016). La Agencia Española de Protección de Datos (AEPD) ha tenido conocimiento de que algunas entidades envían comunicaciones a organizaciones y empresas responsables de ficheros utilizando denominaciones similares a las de la propia Agencia, induciendo a confusión sobre el remitente del mensaje.

Las fórmulas utilizadas por dichas entidades son diversas: la utilización de escritos cuyos formatos son similares a los enviados por la Agencia Española de Protección de Datos, membretes que simulan requerimientos de la AEPD, uso indebido del logotipo o denominaciones similares a las de la Agencia.

Estas comunicaciones suelen presentarse como un requerimiento de la AEPD sobre el cumplimiento de la normativa de protección de datos, incluso con advertencias sobre el régimen sancionador aplicable, ofreciendo un asesoramiento posterior sobre cómo adaptarse a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD).

Ante estos hechos y con el fin de advertir a los responsables de ficheros de este tipo de prácticas, la Agencia recuerda que no realiza requerimientos en los términos que se han indicado y advierte a aquellos que los reciban para que analicen detenidamente la identificación del remitente a fin de evitar confusiones. En cualquier caso, ante la recepción comunicaciones como las especificadas, la Agencia recomienda a las organizaciones y empresas contactar con la AEPD para asegurarse del remitente.

La Agencia analizará las denuncias que reciba sobre estas conductas, reservándose el ejercicio de las acciones legales pertinentes para impedir que aquellos que tratan datos sean víctimas de este tipo de prácticas a través de la utilización engañosa de la imagen de la AEPD.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Protección de Datos expedienta a la Agencia Tributaria de Sevilla por el fallo en la web

/en , /por

Los datos personales de los usuarios quedaban al descubierto con tan sólo introducir el DNI en la web del organismo local. También abre procedimiento sancionador a Tecnocom, empresa gestora del portal en internet de la Agencia.

La Agencia Española de Protección de Datos (AEPD) ha iniciado un procedimiento de declaración de infracción de administraciones públicas a la Agencia Tributaria de Sevilla por no proteger los datos de los ciudadanos. El organismo ha iniciado estas actuaciones tras analizar una denuncia de FACUA Sevilla y otra en el mismo sentido del grupo municipal de Ciudadanos contra la Agencia Tributaria y la empresa que gestiona su web (Tecnocom) del pasado mes de septiembre.

Tras a investigación llevada a cabo sobre el caso, Protección de Datos considera que la entidad municipal ha cometido dos infracciones, una leve y otra grave. Sin embargo, el expediente no derivará en una sanción por tratarse de un organismo público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, que impide que una institución multe a otra.

En otra resolución sobre el mismo caso, la AEPD ha comunicado que inicia expediente sancionador a Tecnocom por una infracción grave de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esto podría suponer una multa para la empresa de entre 40.001 y 300.000 euros.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: SEVILLAACTUALIDAD.COM