¿Es el correo “dpd” un dato personal?

Muchas personas se cuestionan si la dirección de correo electrónico de un delegado de protección de datos, que normalmente empiezan por “dpd” o “dpo”, es por sí sola un dato de carácter personal.

Aunque pueda pensarse que esta cuestión es irrelevante, en algunas ocasiones puede tener una gran importancia, ya que de la respuesta a esta cuestión dependerá si se aplica o no la normativa de protección de datos y su régimen sancionador.

Por ejemplo, si alguien se dedicara a recopilar direcciones de correo “dpd” para enviarles publicidad online, además de estar infringiendo el artículo 21 de la LSSI podría estar infringiendo el RGPD y la LOPDGDD, siempre que esta dirección sea considerada un dato personal.

Volviendo a la cuestión planteada; partiendo del criterio imperante de que una dirección de correo electrónico perteneciente a una persona física será un dato personal y una dirección de correo institucional, como las que comienzan por “info”, no será un dato personal, podría pensarse que la dirección “dpd” pertenece a un órgano de la entidad y que por tanto no es un dato personal.

Sin embargo, la respuesta correcta sería la contraria: una dirección de correo “dpd” sí es un dato de carácter personal. Con buen criterio, así lo ha declarado la AEPD en un procedimiento sancionador a Vodafone España, en la que se le ha impuesto una multa de 50.000 euros por la infracción del artículo de artículo 21 del RGPD, al no gestionar correctamente del derecho de oposición ejercido por el reclamante; y otra multa de 20.000 euros por la infracción del artículo de artículo 21 del LSSI, por su responsabilidad en el envío de correos electrónicos publicitarios sin el consentimiento preceptivo del destinatario, aunque lo hiciera a través de una empresa interpuesta.

Vodafone España alegó en este procedimiento que la dirección de correo electrónico “dpd” no podía ser considerada como dato personal, no aplicando por lo tanto el RGPD. En este sentido, indicó que la Comisión Europea, en su página web oficial informa de que una dirección de correo electrónico que cumpla el formato “info@empresa.com”, no debe de considerarse como dato personal. Además, señaló que este formato de dirección de correo electrónico que no es considerado como dato personal por parte de la Comisión Europea tiene una estructura idéntica a la del correo “dpd”.

Sin embargo, la AEPD ha aclarado que el formato “info” no identifica a ninguna persona o cargo de la empresa en particular, sino que hace referencia a una dirección de correo electrónico genérica donde, en principio, cualquier usuario o empleado de esta tiene acceso, como podría ser también formatos como “RRH”, “Contabilidad, o “repuestos”, pero cuando la dirección de correo electrónico de una entidad es utilizada por un solo empleado, pudiéndose identificar directa o indirectamente con el nombre, con determinados dígitos o con el cargo que ocupa, como en este caso que indica que pertenece al delegado de protección de datos, se considera dato personal a todos los efectos.

En definitiva, una dirección de correo electrónico del tipo “dpd” sí es un dato personal por sí misma, es decir, sin necesidad de tratar otros datos de ese delegado de protección de datos.

Fuente original: https://lopezdelemus.com/es-el-correo-dpd-un-dato-personal

Diez consejos para certificarse como DPD según el esquema de la Agencia

Diez consejos para certificarse como DPD según el esquema de la Agencia
dortega
Mar, 12/25/2018

25 de Diciembre de 2018

La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar

1.     La AEPD ha aprobado un Esquema de certificación en colaboración con la Entidad Nacional de Acreditación (ENAC) y con el asesoramiento técnico de 23 entidades y organizaciones entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.

2.     La certificación no es una exigencia para poder ejercer como DPD y esta certificación no es la única posible, aunque la Agencia considera que reúne las exigencias y el rigor adecuados para ofrecer al mercado profesionales con los conocimientos y habilidades necesarias para desempeñar las funciones propias de un DPD con los estándares que exige el Reglamento.

3.     El Reglamento establece que el Delegado de Protección de Datos “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”. 

Recuerda:

Para ejercer las funciones de Delegado de Protección de Datos no se requiere estar en posesión de ningún certificado ni titulación específica.  

4.     La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar.

5.     Si estás interesado en certificarte como DPD con el Esquema de la AEPD, dirígete en primer lugar a alguna de las entidades de certificación designadas provisionalmente o acreditadas por ENAC que figuran en la web de la Agencia. Estas te informarán y asesorarán sobre el proceso y son las únicas autorizadas para verificar si cumples con los prerrequisitos exigidos (formación y/o experiencia profesional), convocar exámenes oficiales y expedir, mantener y renovar la certificación obtenida.

Recuerda:

Sólo las entidades de certificación acreditadas por ENAC pueden realizar convocatorias oficiales de exámenes y expedir certificaciones conforme al esquema AEPD-DPD.

6.     El documento Esquema de certificación de delegados de protección de datos incluye la información que necesitas para saber si estás en condiciones de presentarte al examen: prerrequisitos, tipo de preguntas, programa, temario, etc. 

7.     Para presentarte al examen necesitar justificar previamente ante alguna de las entidades de certificación acreditadas que reúnes las horas de formación y/o los años de experiencia que requiere el esquema, pudiendo completarlos mediante méritos adicionales, de acuerdo con la puntuación que figura en el anexo I del documento del esquema.

8.     Si, tienes cinco años de experiencia profesional y consideras que estás suficientemente preparado para presentarte al examen, puedes hacerlo sin necesidad de tener que superar previamente ningún curso o programa que te habilite para ello.

9.     Si consideras que necesitas formación adecuada para superar el examen, puedes recibirla en cualquier centro de formación que la esté ofertando, pero comprueba que el programa que imparte ha sido reconocido por alguna de las entidades de certificación acreditadas por la ENAC por ajustarse su contenido a la estructura y distribución exigida en el esquema AEPD-DPD.

Las entidades de certificación te informarán sobre el tipo de formación más adecuada a tus necesidades.

Recuerda:

Comprueba que el programa impartido por el centro de formación está reconocido por alguna de las entidades de certificación acreditadas.

10.     En esta sección de la web de la Agencia Española de Protección de Datos encontrarás toda la información disponible sobre el Esquema de certificación de la AEPD.

¿Cómo puedo evitar la publicidad no deseada? (gráfico)

¿Cómo puedo evitar la publicidad no deseada? (gráfico)
dortega
Lun, 12/24/2018

24 de Diciembre de 2018

La recepción de llamadas intempestivas para ofrecer la contratación de productos o servicios es una de las quejas que se repite con mayor frecuencia tanto en el servicio de atención al ciudadano de la Agencia como en su canal de Twitter 

Hay varios pasos que puedes dar para evitar esa publicidad no deseada. La AEPD dispone de un espacio en su página web estructurado en nueve secciones en el que te indica qué pasos seguir para impedir la recepción de publicidad que, en el caso de las llamadas telefónicas, son calificadas habitualmente por los ciudadanos como las más molestas.

Además, te ofrecemos también este gráfico, que recoge los aspectos fundamentales de forma más resumida:

 

Para evitar la recepción de publicidad, la Agencia recomienda en primer lugar inscribirse en la Lista Robinson, el único fichero común de exclusión publicitaria que existe en España y que está gestionado de forma independiente por la Asociación Española de Economía Digital. En este servicio, gratuito para el ciudadano, puedes seleccionar el medio o medios (teléfono, correo postal, correo electrónico y SMS/MMS) a través de los que no quieres recibir publicidad.

 

Puede darse el caso de que hayas autorizado a la empresa a enviarte publicidad, aunque quizás no hayas sido consciente. Si este es tu caso, también tienes otras opciones a tu disposición, como retirar el consentimiento o ejercer el derecho de oposición ante la empresa que está tratando tus datos. En el caso de la Lista Robinson, es importante que sepas que es eficaz a partir del tercer mes desde que te inscribes. 

Comunidades de propietarios y administradores de fincas ante el RGPD

Comunidades de propietarios y administradores de fincas ante el RGPD
dortega
Dom, 12/23/2018

23 de Diciembre de 2018

Las comunidades son responsables de sus tratamientos y, en caso tener un administrador de fincas, éste actuará como encargado

Desde el pasado 25 de mayo de 2018 es aplicable el Reglamento General de Protección de Datos (RGPD), que introduce numerosas novedades sobre el tratamiento de los datos personales tanto en lo referente a las obligaciones de responsables y encargados como en los derechos de los afectados.

Respecto a la incidencia del RGPD en las comunidades de propietarios, debemos partir, en primer lugar, de que las comunidades son responsables de sus tratamientos y, en caso de que exista un administrador de fincas, éste actuará como encargado de los mismos.

En este sentido, los tratamientos más comunes suelen ser:

Propietarios: en el que se tratarán todos los datos relativos de los propietarios en relación con la gestión de la propia comunidad, y atendiendo al contenido que recoge la Ley de Propiedad Horizontal
Videovigilancia: cuyo uso debe ser autorizado por la propia comunidad siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal
Trabajadores: en el supuesto de que la comunidad tenga contratado personal para la realización de trabajos, como puede ser la portería

Cuando existe una relación entre un responsable y un encargado, el Reglamento General de Protección de Datos establece en su artículo 28 que el tratamiento que lleve a cabo el encargado se debe regir por un contrato o acto jurídico con un determinado contenido que establece la citada norma.

Por ejemplo, se incluirá que tratará los datos únicamente siguiendo las instrucciones del responsable, o que adoptará las correspondientes medidas de seguridad.

Por tanto, un primer efecto de la aplicación del Reglamento General de Protección de Datos es que en los contratos firmados entre las comunidades de propietarios con los administradores de fincas que les prestan sus servicios, en lo relativo a la protección de datos, deben aparecer las cláusulas que contempla el artículo 28 anteriormente citado.

Esta adaptación se puede realizar de manera progresiva y, en la medida que sea posible, ya que en la nueva Ley Orgánica de Protección de Datos que se está tramitando en las Cortes Generales se ha introducido una disposición transitoria para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Por otra parte, con el RGPD ha desaparecido  esta obligación de inscribir ficheros en la Agencia. No obstante, lo que sí debe configurarse es el denominado Registro de Actividades de Tratamiento (aquí puede consultarse el de la AEPD), tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas. Se trata de un documento interno, que no debe ser enviado a la AEPD, pero que estará a disposición de la misma por si se requiriese.

En el Registro de Actividades de Tratamiento figurarán, en el caso de las comunidades, los tratamientos que lleven a cabo las mismas, como pueden ser los tratamientos de “propietarios” o “videovigilancia”, con un contenido muy similar al que anteriormente figuraban en los citados tratamientos a efectos de su inscripción en el registro de la Agencia. De esta forma, deben reflejarse, por ejemplo, los fines del tratamiento, las categorías de interesados y categorías de datos personales, o si existen cesiones a terceros.

En el supuesto de los administradores de fincas, también deberán contar con su respectivo registro de actividades, éstos en relación con las comunidades de propietarios a las que presten sus servicios.

Existen dos aspectos primordiales que atendiendo a la nueva regulación es necesario clarificar:

En primer lugar, el RGPD establece varios supuestos que legitiman el tratamiento de los datos personales: consentimiento (que debe ser mediante una acción afirmativa); ejecución de un contrato; cumplimiento de una obligación legal; misión de interés público o ejercicio de poderes públicos. 

En el caso de las comunidades de propietarios, la legitimación para el tratamiento de los mismos no deriva de la existencia de que hayan prestado el consentimiento previo, sino con base en el cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal). Es decir, con la aplicación del RGPD no hay que solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación deviene de ese cumplimiento legal que se ha citado anteriormente. Igual ocurrirá con el uso de la videovigilancia. Tampoco se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones.

O, en el caso de que existan tratamientos en relación a personal contratado por la comunidad (por ejemplo la portería), el tratamiento de los datos tampoco opera el consentimiento, sino la ejecución de un contrato.

En segundo lugar, el RGPD, en su artículo 13, ha ampliado el contenido del derecho de información en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos.

Si en la recogida de datos personales producida con anterioridad al RGPD se hubiese dado cumplimiento al derecho de información de la LOPD, no es necesario que ahora se vuelva a informar con el contenido que al respecto establece el Reglamento. Es decir, este precepto relativo al derecho de información en la recogida de datos personales no se aplica de forma retroactiva.

Sí deberá facilitarse el nuevo contenido del derecho de información acorde al RGPD, en la recogida de datos personales, a partir del 25 de mayo de 2018, que habían sido objeto de tratamiento hasta la fecha. También debe actualizarse el cartel de videovigilancia y el resto de información a facilitar.

Otra de las cuestiones que ha modificado el RGPD es la seguridad, ya que se parte de la realización inicial de un análisis de riesgos de los tratamientos, y en función de su resultado, adoptar las medidas de seguridad. Para ayudar a realizar este análisis, la Agencia ha publicado esta Guía.

Ver gua completa

Asimismo, la Agencia también ha puesto a disposición de las pymes que traten datos de bajo riesgo una herramienta llamada Facilita_RGPD con la finalidad de ayudar al cumplimiento. Aunque la herramienta Facilita está pensada actualmente para las pymes, y la documentación que va a generar está relacionada con sus tratamientos, como clientes o proveedores, se puede utilizar esta documentación por las comunidades y propietarios, ya que la herramienta genera un listado de medidas de seguridad que se pueden adoptar.

Entre las mismas se encuentran la realización de copias de seguridad, o si se utiliza una web para gestionar la comunidad de propietarios, entrar en la misma mediante un nombre de usuario y una contraseña.

Por último, indicar que en las comunidades de propietarios no es obligatoria la designación de un delegado de protección de datos.

Más información

Descarga aquí el cartel de aviso de videovigilancia

Consultas frecuentes (sección comunidades de propietarios)

Elaborar el registro de actividades de tratamiento

Elaborar el registro de actividades de tratamiento
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

La obligatoriedad de inscribir los ficheros en la Agencia será sustituida el 25 de mayo por la de contar con un registro de actividades.

La adaptación de una organización a las obligaciones del  Reglamento General de Protección de Datos (RGPD) incluye la revisión de los tratamientos de datos de carácter personal que realiza, con la que se puede dar comienzo al conjunto de actividades, u  hoja de ruta, que su cumplimiento va a requerir.

Tratamientos de datos personales, tanto de sus trabajadores como de aquellos colectivos de personas implicadas en la actividad, alumnos, clientes, pacientes, contribuyentes, proveedores,… y que debe plasmarse en construir y mantener actualizado  un registro con las actividades de tratamiento.

Así pues, cada organización deberá llevar un Registro de Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla. El artículo 30.1 dicta su contenido para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. La descripción del contenido de este Registro de Actividades recuerda bastante al de la Notificación de un fichero en el marco de la LOPD.

Corresponde a cada organización, de acuerdo al principio de responsabilidad proactiva (Accountability) que rige el RGPD, decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Deberá valorar hasta qué punto la segregación de sus tratamientos en elementos diferentes se corresponde con finalidades, bases jurídicas y categorías de afectados distintos.

Asimismo, le corresponde ponderar la optimización de la gestión de la protección de datos dentro de su organización para que resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue: que los individuos cuyos datos de carácter personal son objeto de tratamiento puedan tener, en su caso, un control efectivo de los mismos.

Para el sector privado la Agencia Española de Protección de Datos ha puesto a disposición de todos los responsables de tratamiento  la herramienta FACILITA_RGPD.

Podemos hablar de la construcción del Registro de actividades de tratamiento  en dos fases: la primera de ellas puede consistir en la revisión de los tratamientos de datos que la organización realiza; corresponderá a la segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades.

A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

Para facilitar esta tarea, la AEPD ha incluido, entre los servicios que se encuentran disponibles en su Sede Electrónica, la posibilidad de  obtener una copia en electrónico (fichero Excel o XML) del contenido completo de la declaración de sus ficheros.

Una vez incorporadas al Registro de Actividades todas aquellas que responden a su ámbito de actividad, la organización deberá fijarse en las nuevas obligaciones que el RGPD establece sobre los responsables y encargados del tratamiento.

El RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente debo incluir en mi Registro de Actividades de Tratamiento:

Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.

En cualquier caso, y en ejecución del principio de responsabilidad proactiva, corresponde a la organización decidir de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realizar la gestión de la misma.

Por último, la actual redacción del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (PLOPD), que se encuentra en tramitación parlamentaria, incluye la previsión de que todas las entidades incluidas en el artículo 77.1 deberán hacer público un inventario de sus tratamientos en el que constará la información establecida en el artículo 30 del RGPD y su base legal.

¿Qué derechos tengo a partir del 25 de mayo de 2018?

¿Qué derechos tengo a partir del 25 de mayo de 2018?
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

El Reglamento establece nuevos derechos para los ciudadanos, como el derecho a la portabilidad o a la limitación del tratamiento

El nuevo Reglamento General de Protección de Datos, aplicable desde el 25 de mayo de 2018, añade nuevos derechos a los ya existentes para mejorar la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.

Ejercer estos derechos es  gratuito para el ciudadano (al igual que sucedía anteriormente con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.

A continuación se recoge de manera esquemática qué derechos incluye el RGPD para el ciudadano y sus principales características.

¿Cuánto sabe Facebook sobre mí?

¿Cuánto sabe Facebook sobre mí?
dortega
Vie, 12/21/2018

21 de Diciembre de 2018

Te mostramos cómo revisar la configuración de tu perfil para gestionar la información que las redes sociales saben de ti

Las redes sociales ponen a tu disposición medios para divulgar y compartir información, y pueden ser de utilidad para relacionarte con otras personas, pero puede ocurrir que te resulte complicado saber 

Guía sobre la privacidad y la seguridad en internet

. Una práctica recomendable es revisar la configuración de tu perfil

Para ello, puedes utilizar los vídeos tutoriales que hemos realizado en la Agencia Española de Protección de Datos.

Además, es muy probable que en los últimos días hayas escuchado o leído noticias relacionadas con Facebook, y puede que tengas dudas sobre lo que esta red social sabe sobre ti. Esta información puede serte de utilidad para gestionar aquella información que Facebook conoce de ti.

Revisa tus opciones de configuración

Para revisar tus opciones de privacidad, consulta este vídeo de la Agencia en el que se muestran aspectos relacionados con la configuración de tu perfil de Facebook. Te recomendamos que revises esta configuración la primera vez que accedas a esta red social, aunque nunca es tarde para echar un vistazo y tomar medidas.

Lo que Facebook sabe sobre ti

Facebook almacena información obtenida de tu actividad para ofrecerte publicidad acorde a lo que la red social considera que son tus intereses. Si deseas saber la información que Facebook utiliza sobre ti, inicia tu sesión en la red social y accede a esta dirección:

https://www.facebook.com/ads/preferences/

Aquí se te mostrarán las categorías de información que Facebook utiliza cuando te sugiere productos o cualquier información publicitaria que ves mientras estás conectado, los anunciantes con quienes has interactuado, tu información personal (incluida tu situación sentimental, tu empresa, puesto o formación académica), tu configuración con relación a la publicidad que recibes y un pequeño tutorial sobre el funcionamiento con relación a la publicidad.

Recuerda que, como la mayor parte de las redes sociales, Facebook funciona gracias a los beneficios que obtiene de la publicidad orientada a los gustos y preferencias de sus usuarios y que, en realidad, la moneda de cambio con la que pagas a una red social es tu propia información personal.

Elimina en esta sección toda la información que no deseas que Facebook utilice para enviarte publicidad o contenidos.

El historial de tu actividad

Puedes también acceder al registro de tu actividad, donde Facebook recuerda toda tu actividad con el fin de llevar a cabo el perfilado de la publicidad que luego te muestra, y donde encontrarás cualquier información sobre tu actividad general en esta red social desde que la estás utilizando.

En este apartado puedes eliminar tus “me gusta” o cualquier comentario o publicación que hayas realizado a desde que eres usuario de esta red social.

Para obtener una información más exhaustiva sobre qué información se recopila y cómo descargarla, se puede acceder este enlace.

Si ya no quieres ser usuario de Facebook

Si no quieres seguir usando tu cuenta de Facebook, la red social te da dos opciones diferentes:

La desactivación de tu cuenta, que la vuelve invisible para todos tus usuarios pero que sigue conservando tus datos
La eliminación de la cuenta

El proceso de eliminación no es tan evidente como el de desactivación. Para borrar la cuenta de Facebook hay que acceder al siguiente enlace donde se pedirá Usuario y Password:

https://www.facebook.com/help/delete_account

Una vez autenticado el usuario se inicia el ciclo de confirmaciones con el siguiente mensaje:

cuanto-sabe-facebook-sobre-mi

Facebok informa de que:

“Si crees que no volverás a usar Facebook de nuevo, puedes solicitar que tu cuenta se elimine definitivamente. Recuerda que no podrás reactivar tu cuenta ni recuperar nada que hayas añadido. Antes de hacerlo, es recomendable que descargues una copia de tu información desde Facebook. Después, si quieres que tu cuenta se elimine permanentemente sin opción a recuperarla, inicia sesión en la cuenta y comunícanoslo. Cuando elimines tu cuenta, los usuarios no podrán verla en Facebook. Puede que sean necesarios hasta 90 días desde el comienzo del proceso para eliminar todo lo que has publicado, como tus fotos, actualizaciones de estado u otros datos almacenados en sistemas de copia de seguridad. Mientras eliminamos esta información, otros usuarios de Facebook no podrán acceder a ella. Algunas de las acciones que realizas en Facebook no se almacenan en tu cuenta. Por ejemplo, un amigo puede seguir teniendo mensajes tuyos incluso después de que hayas eliminado tu cuenta. Esta información no se borra al eliminar la cuenta».

Hay que pulsar el botón “Eliminar mi cuenta”, y se mostrarán unas ventanas de confirmación hasta que se obtenga el mensaje de cuenta desactivada, cuyo borrado efectivo se realizará por la red en unos días.

Recuerda que tu derecho a la protección de datos te permite decidir sobre tu información personal tanto si te identifica de forma directa o si es el resultado de tus “me gusta” o tus comentarios. Si necesitas más información relacionada con tu derecho a la protección de datos puedes consultar nuestra Guía para el Ciudadano, o si te preocupa tu privacidad y seguridad en internet puedes consultar nuestra 

.

Régimen sancionador

En los últimos siete meses la Agencia ha impuesto varias sanciones a la empresa Facebook por diferentes incumplimientos de la Ley Orgánica de Protección de Datos:

El PS 82/2017 se resolvió en agosto de 2017. Se impuso una sanción de 1.200.000 euros por infracciones de los artículos 6.1 (en relación al 4 y al 5), por no informar apropiadamente y, por tanto, no tener el consentimiento necesario para el tratamiento de datos; el artículo 7 (también en relación al 4 y al 5), por tratar datos especialmente protegidos sin obtener el consentimiento expreso, y el artículo 4.5 (en relación con el 16) por conservación excesiva de datos.
El PS 450/2016 se resolvió en octubre de 2017. Se impuso una sanción de 150.000 euros por una infracción del artículo 10 (Deber de Secreto), constatando que el servicio de Chat de Facebook permite que terceras personas puedan ver permanentemente el ritmo y acciones de conexión de cualquier usuario declarado como “amigo”, sin que el usuario pueda tomar ninguna acción al respecto.
El PS 219/2017 se ha resuelto este mismo mes,  imponiendo una sanción de 300.000 euros a Facebook y 300.000 a Whatsapp al declarar una infracción del artículo 6 a Facebook (por tratamiento sin consentimiento) y del artículo 11 (cesión de datos) a Whatsapp, por la comunicación de datos de usuarios de la última entidad a la primera.

Adaptación al Reglamento por parte de empresas y organizaciones

Adaptación al Reglamento por parte de empresas y organizaciones
dortega
Jue, 12/20/2018

20 de Diciembre de 2018

La Agencia publica una hoja de ruta para fomentar el cumplimiento de la nueva normativa, aplicable el 25 de mayo de este año 2018

La Agencia Española de Protección de Datos está apostando por el diseño de herramientas que faciliten el cumplimiento del nuevo Reglamento General de Protección de Datos, que se aplicará el 25 de mayo de este año. Son muchos y variados los materiales que estamos ofreciendo para que la transición al nuevo modelo de cumplimiento pueda realizarse con directrices y orientaciones.

Recientemente, la Agencia ha publicado una 

Adaptación al RGPD – Administraciones públicas

, a la que acaba de sumar otra que recoge las 

infografia-adaptacion-rgpd-sector-privado

, ya sean empresas u organizaciones.

En ella se recogen tanto los pasos necesarios como enlaces a las herramientas que ofrece la Agencia, en el caso de que sea necesario ampliar la información. Así, además de Facilita_RGPD, se recogen enlaces a:

Guía práctica de análisis de riesgos para el tratamiento de datos personales [feb 2018]

Guía práctica para las Evaluaciones de Impacto en la Protección de Datos

 

(que incluyen plantillas y anexos), así como a los documentos sobre el cumplimiento del deber de informar o la adaptación de los contratos entre responsables y encargados de tratamiento.

Igualmente, para aquellas entidades a las que Facilita_RGPD no resulte útil, hay que recordar que la Agencia ofrece un servicio de solicitud de copia de la inscripción que puede resultar útil como ayuda para elaborar el registro de actividades obligatorio a partir del 25 de mayo.

Delegado de Protección de Datos según el esquema de la AEPD

Delegado de Protección de Datos según el esquema de la AEPD
dortega
Mar, 12/18/2018

18 de Diciembre de 2018

Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de utilidad

El próximo 25 de mayo de 2018 será aplicable el Reglamento General de Protección de Datos (RGPD) en el que la figura del Delegado de Protección de Datos (DPD) otorga un papel fundamental a los profesionales de la protección de datos. Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de útil.

Certificaciones en protección de datos

Existen en el mercado certificaciones relacionadas con la figura del DPD y la privacidad, pero ninguna de estas certificaciones es exigible para el desempeño del papel de DPD y, sin embargo, pueden añadir un valor al profesional de la privacidad y proporcionar seguridad a los responsables y encargados de los tratamientos de datos cuando tienen que seleccionar a su Delegado de Protección de Datos.

Si deseas trabajar como DPD debes de saber que no es necesaria una titulación específica y que el RGPD no exige que estos profesionales dispongan de ninguna certificación específica, tal y como se ha mencionado en el párrafo anterior. Al contrario de lo que se indica en algunas páginas web, no es necesaria certificación para ejercer como DPD, la designación de un DPD corresponde a los responsables y encargados de los tratamientos de datos personales y su selección se debe realizar con diligencia atendiendo a las cualidades profesionales y no a una titulación o certificación específica.

Las certificaciones para DPD ofrecen a los responsables y encargados de los tratamientos de datos personales un marco de referencia sobre la cualificación de los profesionales de la protección de datos, pero no son un requisito o una obligación para el ejercicio de sus funciones. Desde la AEPD somos conscientes de la necesidad de un marco de transparencia y confianza que oriente a responsables y encargados de tratamientos la elección de profesionales cualificados y, con este objetivo, la AEPD, en colaboración con ENAC y el Comité de Expertos, ha elaborado el Esquema de Certificación para DPD.

 

Si quieres ser Delegado de Protección de Datos según el esquema de la AEPD

Si deseas certificarte siguiendo el esquema de la AEPD debes de ponerte en contacto con una entidad de certificación. Para saber las entidades de certificación a las que puedes acudir debes de consultar la página web de la Agencia en el apartado Delegado de Protección de Datos – Certificación o la página web de ENAC (Entidad Nacional de Acreditación).

Ten en cuenta que las entidades que pueden certificarte deben haber pasado previamente por el proceso de acreditación llevado a cabo por ENAC y únicamente las entidades acreditadas por ENAC podrán convocar exámenes oficiales para certificarte como DPD de acuerdo con el esquema de la AEPD.

El proceso de acreditación se inicia cuando una entidad presenta su solicitud ante ENAC y es admitida superando la fase inicial de la revisión y análisis de los documentos que le han sido requeridos. Superada esta fase inicial, la futura entidad de certificación puede solicitar a la AEPD una designación o autorización provisional que le va a permitir emitir certificados de DPD que tendrán carácter de definitivos cuando dicha entidad haya superado el proceso de acreditación. Las autorizaciones provisionales emitidas por la AEPD tienen una vigencia máxima de un año.

Si te presentas a un examen para certificarte como DPD convocado por una entidad de certificación que ha sido designada provisionalmente, deberás ser informado por la entidad acerca del carácter de la certificación que obtendrás. Para acceder a un examen para certificarte como Delegado de Protección de Datos debes cumplir y acreditar ciertos prerrequisitos que se describen en el Anexo I del Esquema de Certificación de Delegados de Protección de Datos. Las entidades de certificación tendrán que valorar tu experiencia y formación antes de permitirte acceder al examen de certificación para DPD y, si no cumples los prerrequisitos exigidos, no podrás participar en las pruebas para certificarte.

Existen empresas que ofrecen cursos para certificarte como DPD según el Esquema de la AEPD, pero únicamente la formación reconocida por una entidad de certificación servirá para cumplir con los prerrequisitos de acceso al examen. Incluso existen entidades que han anunciado fechas de exámenes para certificaciones de DPD según el Esquema. Sin embargo, hasta que estas entidades no hayan presentado su solicitud ante ENAC, actúen con una designación provisional y finalmente hayan superado favorablemente su proceso de acreditación como entidad de certificación, los exámenes aprobados no tendrán valor para que puedas certificarte.

Es preciso que tengas en cuenta que el Esquema se puso en marcha en julio de 2017 y las futuras entidades de certificación están trabajando con el objeto de superar los procesos de acreditación necesarios, procesos que son complejos y que, en general, requieren meses de trabajo. En el momento actual únicamente existe una entidad que haya solicitado a la AEPD su designación provisional, pero a lo largo de los próximos meses cabe esperar que existan más entidades, ya que desde la puesta en marcha del Esquema han mostrado su interés en convertirse en entidades de certificación o en entidades de formación siguiendo el Esquema.

No olvides que puedes consultar las entidades de certificación con validez según el Esquema de la AEPD en la página web de la Agencia.

La época de los ‘regalos inteligentes’

La época de los ‘regalos inteligentes’
dortega
Lun, 12/17/2018

17 de Diciembre de 2018

Es necesario tener en cuenta la privacidad como uno de los factores al adquirir un producto o servicio, ya que pueden facilitar más información sobre ti de la que te imaginas

Practicas habitualmente deporte y llevas algún tiempo buscando un dispositivo para poder valorar tu rendimiento físico y mejorar en tus entrenamientos. Finalmente, has decidido adquirir un modelo de última generación que, además de medir tu actividad deportiva, te ofrece la posibilidad de medir tu actividad física general y tu actividad diaria. Cuando lo enciendes por primera vez, compruebas que apenas te facilita la hora, la fecha y algunas funciones básicas. Tienes que conectarlo a internet y registrarte en la web del fabricante para poder disponer de otras funcionalidades y, para registrarte en la web del fabricante, completas un formulario con tus datos personales añadiendo una dirección de email.

Así, sales a con tu nuevo dispositivo a montar en bicicleta por el campo, seleccionas la modalidad ciclismo de montaña para medir tu actividad y te pones en marcha. Durante el recorrido tienes un pequeño pinchazo que hace que uno de tus neumáticos pierda aire; paras a reponer aire en tres ocasiones a intervalos de unos diez minutos y finalmente llegas a casa. El dispositivo ha registrado tu actividad tal y como deseabas, lo sincronizas con tu teléfono móvil, y este refleja la información de tu actividad y también en la web del fabricante. Puedes ver tu recorrido, tus pulsaciones y todo tipo de información.

Han transcurrido unas horas desde el final de tu entrenamiento, te relajas y entras en un conocido portal de vídeos. Los primeros videos que observas te indican cómo reparar un pinchazo. Ojeas otras páginas web, que muestran publicidad sobre neumáticos para bicicletas de montaña.

Es la denominada Internet de las Cosas o IoT (acrónimo de Internet of Things). El fabricante de tu dispositivo tiene perfiladas las actividades que realizas y saca conclusiones sobre los posibles productos que vas a necesitar en función de determinados parámetros que registrados por el dispositivo. En este caso, el algoritmo utilizado determina que cuando practicas la modalidad deportiva “ciclismo de montaña” y realizas paradas breves a determinados intervalos es muy probable que hayas tenido un pinchazo y lógicamente estás interesado en buscar una solución. Durante unos días verás publicidad relacionada con tu problema cuando una web te identifica y, en este caso, los productos relacionados con tu actividad deportiva como neumáticos u otros componentes van a acompañarte durante algún tiempo mientras navegas.

Cada vez es mayor el número de dispositivos que nos rodea y que obtienen información sobre nuestra persona, sobre nuestros hábitos de vida y de consumo. Smartphones, pulseras de actividad, relojes, frigoríficos, televisores, dispositivos multimedia, vehículos conectados, viviendas conectadas, aspiradores, etc. Los fabricantes de estos dispositivos obtienen beneficios a cambio de la información personal que obtienen del usuario, y la publicidad es una de ellas. Puedes encontrar más información en esteDictamen del Grupo de Autoridades europeas de Protección de Datos sobre Internet de las cosas.

Si bien esta parece ser la tendencia del mercado y puede ser cada vez más complejo proteger nuestra información personal, existen algunas pautas que nos pueden ayudar a controlar el uso que se hace de la misma.

Sería bueno añadir la privacidad a los criterios con los que adquirimos un determinado producto o servicio; leer toda la información que nos facilita el fabricante antes de adquirir un producto, leer las cláusulas de privacidad antes de registrar nuestro producto y, en especial, prestar atención a la información que se nos facilita acerca de nuestros derechos y la manera en la que podemos ejercerlos.

También puede ocurrir que algunas de las funcionalidades de nuestro nuevo producto no sean necesarias para nosotros o, al menos, que no lo sean todo el tiempo. Finalmente, cuando nos registramos en la web de un fabricante, es recomendable tener en cuenta las opciones de configuración que nos ofrece, y en especial todas aquellas que permitan al fabricante hacer públicas o compartir con terceros nuestra información personal.