La AEPD multa a Amazon con dos millones de euros

La Agencia Española de Protección de Datos ha impuesto una multa de dos millones de euros a Amazon Road Transport Spain, filial de Amazon, por exigir el certificado de ausencia de penales como requisito para trabajar como repartidor en la compañía.

La denuncia parte de la demostración por parte de la UGT, de que la entidad exigía a todos los candidatos que se presentaban al puesto de repartidor, de presentar el certificado de penales como condición para formar parte del equipo.

Acceder a la resolución

El Tribunal Constitucional declara que la publicación en el BOE de una sanción administrativa constituye un tratamiento de datos personales constitucionalmente protegido

La Sala Segunda del Tribunal Constitucional, en sentencia cuyo ponente ha sido el magistrado Cándido Conde-Pumpido Tourón, ha desestimado el recurso de amparo por el que se cuestionaba la resolución dictada por la Comisión Nacional del Mercado de Valores (CNMV) que ordenó publicar en el Boletín Oficial del Estado la sanción de 30.000 euros impuesta al consejero y secretario del consejo de administración de una sociedad anónima, por la comisión de una infracción muy grave consistente en haber adquirido por cuenta de un tercero acciones de la sociedad disponiendo de información privilegiada sobre la misma. Dicha publicación recogía la cuantía de la sanción y la identidad del sancionado.

En un plano formal, la Sala -a partir del análisis de la normativa nacional y europea sobre el régimen jurídico de la protección de datos personales, sobre la normativa dirigida a supervisar y prevenir la manipulación de los mercados de servicios financieros y las operaciones con información privilegiada, y sobre el régimen jurídico de publicación en el BOE concluye que la decisión de la Comisión Nacional del Mercado de Valores cuestionada se adoptó con pleno respeto a las garantías que rigen el ejercicio de la potestad administrativa sancionadora (arts. 24.2 y 25 de la Constitución).

Fuente Original: Tribunal Constitucional

Enlace a la nota de prensa completa: https://www.tribunalconstitucional.es/NotasDePrensaDocumentos/NP_2022_011/NOTA%20INFORMATIVA%20N%C2%BA%2011-2022.pdf

Meta amenaza con retirar Facebook e Instagram de la UE si no se facilita la transferencia de datos con Estados Unidos

Órdago de Meta. En un documento presentado ante la Securities and Exchange Commission (SEC), de EE. UU., la compañía de Mark Zuckerberg advierte de las implicaciones que puede llegar a tener la conocida como decisión Schrems II, una sentencia emitida en 2020 por el Tribunal de Justicia de la Unión Europea (TJUE) que establece que el mecanismo de transferencia de datos personales entre la UE y los EE. UU. no es válido, y advierte: si no se logra un sistema para compartir información podría verse comprometido el futuro de Facebook e Instagram en Europa.

La advertencia de la compañía ante la SEC es clara. En su escrito subraya la importancia del Privacy Shield (Escudo Privacidad), el marco en el que se basa para los datos transferidos desde la UE a Estados Unidos, y recuerda que fue invalidado en julio de 2020 por el TJUE…

Ver noticia completa en fuente original: https://www.xataka.com/legislacion-y-derechos/meta-amenaza-retirar-facebook-e-instagram-ue-no-se-facilita-transferencia-datos-estados-unidos

El Tribunal Supremo confirma la sanción a una empresa que concedió un microcrédito online a una persona que suplantó la identidad de un tercero

La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción.

El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en un fichero de morosos.

La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

Acceder a la sentencia

Fuente original: Consejo General de Poder Judicial

La entidad ANF AC realiza convocatorias de exámenes mensuales en Madrid, Barcelona y Bilbao.

La entidad ANF AC realiza convocatorias de exámenes mensuales de certificado de Delegado de Protección de Datos en Madrid, Barcelona y Bilbao.

Las próximas convocatorias son el 21 de enero, 18 de febrero y 18 de marzo.

Toda la información en: https://anf.es/entidad-de-certificacion/

Multa de mil euros por tener dentro del coche una cámara grabando la calle

El pasado día 12 de noviembre la AEPD publicó una resolución donde se multa a un ciudadano por tener dentro del coche una cámara grabando la calle.

Enlace a la resolución: https://www.aepd.es/es/documento/ps-00351-2021.pdf

Publicada la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos

El pasado día 5 de noviembre salió publicada en el BOE la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

Enlace a la instrucción: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-18134

Encuentro «Acción Pública, prospectiva tecnológica, ética y datos personales: riesgos y garantías»

El Consejo de Transparencia y Protección de Datos de Andalucía celebra hoy 25 de octubre un encuentro bajo el título «Acción Pública, prospectiva tecnológica, ética y datos personales: riesgos y garantías», que contará con la participación del director de la Oficina del Supervisor Europeo de Protección de Datos, Leonardo Cervera Navas.

El Supervisor garantiza que las instituciones de la Unión Europea respeten el derecho a la intimidad de los ciudadanos en el tratamiento de los datos personales. En el ejercicio de sus funciones, los organismos de la UE manejan información personal de los ciudadanos en diversos formatos (electrónico, textos, imágenes). El tratamiento incluye las actividades de recogida, registro, almacenamiento, recuperación, envío, bloqueo y supresión de datos. La función del Supervisor es defender el cumplimiento de las estrictas normas de protección de la intimidad que regulan esas actividades.

Se puede seguir el encuentro desde el Canal Youtube del Consejo.

La Agencia Española de Protección de Datos se ha pronunciado sobre la mirilla digital.

El pasado día 25 de mayo de 2021 tuvo entrada en la AEPD la reclamación de un ciudadano cuyo motivo era la instalación de mirilla digital por parte de un vecino del inmueble con capacidad de grabación y toma de imágenes sin contar con el consentimiento informado de la junta de propietarios. La AEPD ha dictado resolución archivando las actuaciones aunque con ciertos matices y advertencias.

Acceso a la resolución: https://www.aepd.es/es/documento/e-08332-2021.pdf

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales
rperezm
Lun, 05/24/2021

24 de Mayo de 2021
  • El documento tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y de comunicarlas a las personas cuyos datos se hayan visto afectados
  • Las notificaciones y comunicaciones de brechas que afectan a datos personales son parte de la responsabilidad proactiva establecida en el RGPD
  • La Agencia ha gestionado casi 700 brechas de datos notificadas en 2021, la mayoría producidas por ataques externos e intencionados, siendo el ransomware la amenaza más frecuente

(Madrid, 25 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados. Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos.

El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.

Cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada. Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales. La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.

Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.

La Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.

La Agencia ha gestionado más de 700 brechas de datos notificadas en los primeros cinco meses de 2021. La mayoría de ellas se han producido por un ataque externo e intencionado siendo el ransomware la amenaza más frecuente, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales.

Comunicación a los afectados

Como complemento a la presente Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. La decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta. En ningún caso la Agencia almacena los datos consignados durante el proceso.