(Madrid, 14 de septiembre de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su primera Memoria de Responsabilidad Social, en la que se abordan los avances y retos de sostenibilidad que tiene la Agencia desde las perspectivas económica, social y ambiental, con especial compromiso en garantizar este derecho fundamental.

El propósito de esta primera Memoria de Sostenibilidad es rendir cuentas sobre los compromisos establecidos en el Marco de Actuación de Responsabilidad Social que la Agencia presentó en marzo de 2019. En él se recogen los compromisos internos y externos alineados con los Objetivos de Desarrollo Sostenible (ODS) de Naciones Unidas para la Agenda 2030, identificando hasta 100 acciones para los próximos cinco años, de las que un 70% corresponde a compromisos con la sociedad, un 13% a compromisos con el personal trabajador, un 10% relacionadas con el respeto al medio ambiente y un 7% con el buen gobierno y la transparencia.

Dentro del eje de compromisos con la sociedad, la Memoria recoge el conjunto de medidas impulsadas por la Agencia en relación con la igualdad de género, como es la creación del Canal Prioritario de la AEPD, que permite informar de la difusión ilícita de contenido sexual o violento y solicitar su retirada de forma urgente. El Canal, orientado a dar una respuesta rápida a mujeres supervivientes a la violencia de género, abuso o agresión sexual o acoso, u otros colectivos especialmente vulnerables, ha posicionado a la AEPD como autoridad de referencia a nivel europeo y mundial a la hora de combatir la violencia de género, y, más ampliamente, la violencia digital, que afecta especialmente a las mujeres y a jóvenes en el entorno escolar.

Asimismo, se enumeran otras medidas en este ámbito, como la creación de un espacio web sobre violencia de género; la aprobación del Protocolo de acoso sexual de la AEPD; las recomendaciones a empresas sobre obligaciones en caso de violencia digital o la convocatoria de un premio sobre Protección de Datos contra la violencia de género, entre otras.

Dentro de este capítulo, la Memoria también incluye las iniciativas puestas en marcha para concienciar a las personas menores sobre el uso responsable de internet, colaborando en la puesta a disposición de materiales que ayuden en la prevención, detección y erradicación de conductas violentas en el entorno escolar. Entre ellas destaca AseguraTIC, una web dirigida a las personas educadoras, familias, alumnado y administraciones educativas, cuyo objetivo es contribuir a la protección de las personas menores en internet facilitando el acceso a una colección de materiales educativos digitales.

Por otra parte, recoge los compromisos de la Agencia con el establecimiento de medidas para reforzar la integridad, la ética, la transparencia y la rendición de cuentas. Un ejemplo de ello es la elaboración de su Código Ético, aprobado de enero de 2020, y en el que se recogen los valores, principios de actuación y normas de conducta que deben guiar la actuación de la plantilla y las personas que dirigen la AEPD.

El Código identifica los principales riesgos éticos y de cumplimiento normativo a los que se enfrenta la AEPD y su personal en el desarrollo de su actividad, estableciendo normas de actuación para su prevención y gestión. Para facilitar esta labor, la Agencia ha elaborado una Guía de aplicación práctica del Código Ético y ha impulsado también la puesta en marcha de un Canal Ético para consultas y alertas anónimas del personal trabajador y la ciudadanía, así como un Comité de Ética.

Entre las medidas llevadas a cabo dentro del eje vinculado al compromiso con el personal trabajador, el informe resalta el programa de teletrabajo de la AEPD, que se inició con un piloto en 2017 y al que antes de la pandemia estaba acogido el 80% de la plantilla, lo que facilitó el salto al 100% de la plantilla con normalidad. El teletrabajo constituye una herramienta de organización del trabajo que busca combinar el incremento de la flexibilidad y la productividad del tiempo de trabajo a la vez que una conciliación adecuada de la vida personal, familiar y laboral. Para la Agencia, el teletrabajo se ha convertido en un instrumento básico para organizar el trabajo durante la pandemia y ha situado a la institución como referente del sector público.

La Agencia se ha comprometido a seguir impulsando la mejora y ampliación, en su caso, del programa de teletrabajo, y, en general, de cualesquiera medidas que favorezcan la conciliación de la vida personal, familiar y laboral del personal trabajador. Otras medidas pasan por impulsar pautas de salud laboral en los empleados y empleadas de la Agencia o adoptar medidas que favorezcan una mayor representación femenina en los puestos de nivel 26 a 30 de la Agencia, hasta alcanzar el 50% en el 2024.

Respecto al eje que comprende el compromiso con el medio ambiente y la lucha contra el cambio climático, la Memoria recoge las acciones realizadas por la Agencia para calcular la huella de carbono de la institución, de forma que se pueda cuantificar y reportar las emisiones de Gases de Efecto Invernadero asociadas a su actividad.

Para identificar la huella de carbono de la AEPD se eligió 2016 como año base de estudio por contar con suficiente información trazable y verificable, analizando también los años 2017, 2018 y 2019 para establecer una comparativa y comprobar si hubo un ascenso o descenso de las emisiones en el tiempo. La huella total en el 2016 alcanzó 324,48 toneladas de dióxido de carbono, mientras que en 2017 aumentó un 19%, para ir disminuyendo en 2018 (un 7%) y 2019 (un 3%). Con esta medida, la Agencia persigue el objetivo de conseguir un nivel de emisiones 0.

Actualmente, la Agencia trabaja en una iniciativa para conseguir la adhesión de las principales fundaciones, asociaciones empresariales y entidades españolas a un gran pacto que promueva la convivencia ciudadana en el ámbito digital. Con este pacto, la AEPD pretende impulsar tanto la proactividad de las organizaciones en materia de protección de datos como la promoción de campañas de sensibilización digital a las personas menores para lograr que éstos hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, entre otros aspectos.

(Madrid, 31 de julio de 2020). La Agencia Española de Protección de Datos ha tenido constancia de la proliferación de diversas iniciativas públicas que tratan de fomentar una reacción rápida ante posibles nuevos brotes de COVID–19, como registrar determinados datos de los clientes que acuden a locales de ocio.

A este respecto, es necesario puntualizar que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.

Para poner en marcha el registro de clientes que acuden a locales de ocio, tratándose de una medida para la contención del coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Adicionalmente, si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.

Teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el 6.1.c) (“el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”).

En todo caso, debe señalarse que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD (“el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”).

A estos efectos, debe hacerse especial incidencia en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por ello deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas (no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos). A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.

Por otro lado, la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria. Cuestión que también tienen que valorar las autoridades sanitarias de las Comunidades Autónomas.

Adicionalmente, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes.

En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.

Asimismo, debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación.

De acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria.

Por su parte, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas.

Madrid, a 9 de Julio de 2020

Es comprensible que padres y madres quieran compartir con otras personas la imagen de sus hijos motivados por la ilusión, la alegría o singularidad del momento y, por qué no decirlo, el orgullo. Otras veces, por desgracia, las razones pueden tener matices más egoístas o, simplemente, no se ha reflexionado sobre lo que se está haciendo y ello puede significar para quienes identificamos con frecuencia como lo más importante de nuestras vidas.

Confinamiento y vacaciones, dos momentos con tendencia a los excesos

En estos meses de reclusión debido a la pandemia ha proliferado la práctica de compartir imágenes familiares de menores de edad, acelerada por el contexto que ponía en las tecnologías ligadas a Internet gran parte de las posibilidades para el ocio, el estudio, el trabajo o las relaciones personales. Por otro lado, las vacaciones son también un momento habitual en el que deseamos compartir nuestra alegría y experiencia con las demás personas, y muchas veces los pequeños de la casa son protagonistas necesarios.

Debido a esta situación, PantallasAmigas, con la colaboración de la Agencia Española de Protección de Datos, ha querido poner el foco en que se trata de una práctica no exenta de riesgos y que debe ser considerada y meditada con calma. El sharenting puede tener asociadas consecuencias negativas asociadas y por ello se debe realizar de manera responsable, valorando los pros y contras potenciales en cada ocasión.

El sharenting, una práctica extendida de forma exagerada

Según un estudio de la Universidad de Michigan, el 56% de los padres suben fotografías de sus hijos que podrían resultarles vergonzosas. Por otro lado, un estudio del Reino Unido revelaba que los padres habrían publicado en redes sociales un promedio de 13.000 vídeos o fotos de su hijo o hija antes de que cumpliera los 13 años. Parecen datos coherentes con este otro informe de AVG que cifraba en el 81% el porcentaje de bebés que está en Internet antes de cumplir 6 meses. Vemos, por lo tanto, que hay motivos para llamar la atención de las familias sobre una práctica no siempre resulta tan inocua como parece.

Diez razones para el sharenting responsable

1. Tienes la obligación de cuidar su imagen e intimidad, no el derecho de hacer uso arbitrario de ellas. Las personas menores de edad tienen derechos que deben ser protegidos de forma especial.
2. Tu hijo o hija no gana nada con la publicación de las imágenes. Aunque puede que tampoco le afecte negativamente, el saldo rara vez será positivo.
3. Puede haber distintos criterios sobre qué y cómo se comparten las imágenes de los menores por parte de sus progenitores. Cuando los progenitores no forman pareja, el sharenting puede ser motivo de conflicto.
4. Es posible que no seas consciente de cómo se están difundiendo esas imágenes. No siempre es fácil entender y gestionar la lógica y los cambios de gestión de privacidad de las redes sociales.
5. Existen otras formas más seguras para compartir imágenes. Es necesario limitar con quién compartir la información y elegir la plataforma adecuada.
6. Habitualmente se comparte más información que la que se aprecia a simple vista. Una imagen inocente puede contener detalles de contexto importantes e incluso geolocalización.
7. Al compartir las imágenes con otras personas, estas pueden asumir que eso significa que las pueden publicar y que las imágenes no son tan privadas. Sin mala intención, de forma directa o indirecta, pueden expandir el alcance e incluso hacerlas públicas.
8. Lo que publicas escapa de tu control para siempre. Cuando algo aparece en una pantalla, es susceptible de ser capturado y reutilizado.
9. Compartir imágenes de otras personas sin su consentimiento puede ser una infracción de la normativa de protección de datos. No es un buen ejemplo para nadie, menos aún para los menores de edad.
10. En ocasiones extremas puede comprometerse la seguridad de miembros de la familia. En casos de victimización de menores de edad se dan amenazas sobre terceros que pueden llegar a cumplirse.

La campaña será divulgada en las diferentes plataformas y redes sociales con diez ilustraciones a modo de viñetas que ejemplifican las cuestiones sensibles a considerar antes de realizar sharenting. El contenido se puede encontrar agrupado en www.pantallasamigas.net/sharenting y en la web de menores de la Agencia Española de Protección de Datos (www.tudecideseninternet.es).

(Madrid, 29 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado las bases para presentarse a los ‘Premios Protección de Datos Personales 2020’. Esta edición incluye las siguientes categorías: Emprendimiento en protección de datos ‘Ángela Ruiz Robles’; Buenas prácticas para una mayor protección en internet de la privacidad de las mujeres víctimas de violencia de género; Proactividad y buenas prácticas en el cumplimiento del RGPD y la LOPDGDD; Comunicación, Buenas Prácticas Educativas para el uso seguro de internet por los menores, e Investigación ‘Emilio Aced’.

La Agencia quiere reconocer con estos premios el trabajo realizado para difundir este derecho fundamental en ámbitos como el educativo, el empresarial, la investigación científico-técnica, el realizado por Administraciones Públicas y el efectuado por medios de comunicación, así como premiar las buenas prácticas en un área tan sensible como la protección de las mujeres supervivientes a la violencia de género. El plazo para la presentación de candidaturas finaliza el 15 de noviembre.

El Premio de Emprendimiento en protección de Datos Personales ‘Ángela Ruiz Robles’ tiene por objeto premiar el desarrollo una actividad empresarial, producto o servicio creativo, innovador y con impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas.  

En esta edición se han priorizado, entre otras, aquellas actividades relativas a la aplicación de la responsabilidad proactiva establecida en el RGPD y la gestión de los riesgos y soluciones cuando se utilizan tecnologías disruptivas; que traten sobre categorías especiales de datos; tratamientos considerados de alto riesgo o que afecten a una parte significativa de la sociedad o a colectivos vulnerables.

El Premio a las buenas prácticas en relación con iniciativas del ámbito público y privado dirigidas a una mayor protección en internet de la privacidad de las mujeres víctimas de violencia por razón de género premiará una actividad, producto o servicio del ámbito público o privado destinado a la sensibilización y prevención de las distintas formas de violencia de género en el entorno de internet.

A modo de ejemplo de buenas prácticas, se valorarán especialmente las apps, guías, herramientas o materiales que las entidades públicas o privadas desarrollen para prevenir la violencia de género en internet, tanto en el ámbito de los menores como de personas adultas.

El Premio a la proactividad y buenas prácticas en el cumplimiento del RGPD y la LOPDGDD reconoce las acciones llevadas a cabo para cumplir con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que contribuyan a reforzar las garantías de este derecho fundamental. A la hora de valorar candidaturas se tendrán en cuenta las propuestas que presenten una especial dificultad a los sujetos obligados para el cumplimiento del RGPD y la LOPDGDD por referirse a tratamientos de datos de alto riesgo para los derechos y las libertades de las personas. El premio, que consiste en una mención honorífica y la difusión de las buenas prácticas, se convoca en dos modalidades:

• A. Iniciativas puestas en marcha por empresas, asociaciones y fundaciones del sector privado para cumplir con el RGPD y a la LOPDGDD.
• B. Iniciativas para adaptarse al RGPD y a la LOPDGDD llevadas a cabo por instituciones, entidades, organismos, órganos y departamentos del sector público.

El Premio Protección de Datos de Comunicación 2020, que incluye un premio de 3.000 euros y un accésit de 1.500 euros, tiene por objeto reconocer los trabajos periodísticos de medios y profesionales de la comunicación que supongan una aportación destacada a la promoción de la privacidad entre los ciudadanos y las entidades que tratan información personal.

Podrán optar al mismo los trabajos individuales dedicados a la materia objeto de la convocatoria −como un editorial, noticia, reportaje, o programa de radio o televisión− o proyectos periodísticos y campañas audiovisuales que definan un compromiso con la promoción de la protección de datos −tales como series de noticias, secciones o piezas especializadas− que hayan sido difundidas entre el 16 de noviembre de 2019 y el 15 de noviembre de 2020.

En esta edición de los Premios de Comunicación se priorizarán los trabajos que hayan contribuido a difundir en mayor medida la protección de datos, tanto entre los ciudadanos como entre aquellos que tratan datos, así como a difundir tanto las acciones recogidas en el Plan de Sostenibilidad de la Agencia, como guías, materiales y herramientas realizadas por este organismo.

El Premio a las Buenas prácticas educativas en privacidad y protección de datos para un uso seguro de internet por los menores tiene por objeto premiar la adopción de buenas prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en internet, tanto propia como de terceros.

El galardón −al que pueden presentarse proyectos, acciones de promoción y concienciación, talleres o materiales de difusión, entre otros− se convoca en dos modalidades:

• A.    Buenas prácticas llevadas a cabo por centros educativos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional. El premio incluye una dotación de material escolar por valor de 3.000 euros.
• B.    Compromiso de personas, instituciones, organizaciones y asociaciones, públicas o privadas, que se hayan distinguido de manera destacada en el impulso y la difusión del uso seguro de internet entre los menores, relacionado fundamentalmente con la información personal y con el valor de la privacidad. Este galardón es honorífico.

El Premio de Investigación Emilio Aced reconoce trabajos y proyectos con un enfoque estrictamente práctico realizados en el ámbito de una Universidad o institución de la Unión Europea o Iberoamérica que promueva o financie estudios de investigación en el contexto de la investigación científico-técnica -así como los realizados por cualquier investigador individual o grupo de investigadores- en los que se analice la aplicación de los principios de protección de datos con el fin de garantizar los derechos y libertades de las personas. El premio de Investigación incluye una dotación económica de 3.000 euros y la difusión del trabajo premiado.

Se primarán los trabajos relativos a la aplicación de la responsabilidad activa establecida en el RGPD y la gestión de los riesgos para los derechos y libertades en soluciones relativas a tecnologías disruptivas; las soluciones para la lucha contra la pandemia de la COVID-19; aquellas que traten sobre categorías especiales de datos; sobre tratamientos considerados de alto riesgo o que afecten a una parte significativa de la sociedad o grupos más expuestos como situaciones de violencia de género u otras situaciones de acoso.