Se trata de un cuestionario online para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo
Gestiona se suma a otras herramientas desarrolladas por la AEPD para fomentar el cumplimiento de la normativa como Facilita, orientada a pymes y autónomos que tratan datos de escaso riesgo

(Madrid, 15 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha puesto hoy en funcionamiento Gestiona_EIPD, una herramienta para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo como, por ejemplo, aquellos que impliquen datos de salud o tratamientos masivos. Gestiona_EIPD puede resultar también útil para aquellas pymes que necesitan iniciarse en la realización de Evaluaciones de Impacto en Protección de Datos personales (EIPD).

El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el RGPD exige a esas organizaciones llevar a cabo una EIPD. La AEPD dispone de un 

listado de tratamientos de datos personales

 en los que es obligatorio hacer una EIPD, como establece el Reglamento en su artículo 35.4.

La herramienta gratuita Gestiona guía a los responsables y encargados del tratamiento de datos en los aspectos que se deben tener en cuenta en los análisis de riesgos y las evaluaciones de impacto, proporcionando una base inicial para llevar a cabo una adecuada gestión de los mismos, incluyendo los requisitos de cumplimiento normativo aplicables y posibles medidas encaminadas a reducir o mitigar los riesgos. La Agencia recuerda que, en ningún caso, estos requisitos de cumplimiento pueden ser reemplazados por medidas alternativas técnicas u organizativas. Para más información, en la página web de la Agencia puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD.

Gestiona está diseñada como un cuestionario online donde el responsable debe valorar si desea hacer un análisis de riesgos o una evaluación de impacto en la protección de datos. Los datos que los responsables y encargados aporten –y que la AEPD no conserva ni monitoriza de forma alguna– les permitirán obtener esta documentación básica. Ésta deberá ser completada por el responsable del tratamiento y, en su caso, el encargado para iniciar el análisis de riesgos o de EIPD siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, y analizada periódicamente de manera que en todo momento se pueda demostrar que los tratamientos se llevan a cabo de conformidad con los requisitos que establece la normativa de protección de datos.

Con Gestiona_EIPD, la AEPD aporta una nueva herramienta desarrollada para fomentar y ayudar al cumplimiento de la normativa de protección de datos, que se une a otras como Facilita, diseñada para ayudar a aquellas empresas y profesionales que traten datos personales de escaso riesgo y que ya ha sido completada en casi 180.000 ocasiones.

El conocido como ‘coste cero’ consiste en ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores
La Agencia ha publicado un documento informativo, elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, que recoge las sanciones que pueden imponerse por las infracciones administrativas que puede entrañar la contratación de este tipo de servicios
La Agencia también previene de otras prácticas fraudulentas asociadas, como difundir que se está obligado a contratar un DPD en todos los casos o la oferta de servicios innecesarios, entre otras

(3 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un documento informativo en el que 

. El documento, que ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, también recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios.

 La adecuación a la normativa de protección de datos conocida como coste cero consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.

 La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

 Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

 La Agencia también advierte a pymes y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.

 Por otro lado, hacer creer a pymes y autónomos que están obligadas en cualquier caso a designar un delegado de protección de datos u ofrecer servicios innecesarios para los tratamientos que realiza la empresa son otros de los mensajes engañosos frecuentes.

 El documento también hace referencia a prácticas agresivas y que podrían incurrir en competencia desleal, como actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan, generar la apariencia de que se está actuando en colaboración con la AEPD, realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos, u ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento. En estos casos, los afectados podrán ejercer acciones ante los juzgados de lo mercantil o denunciarlo ante la Comisión Nacional de los Mercados y de la Competencia si se vulnera la Ley de Defensa de la Competencia.

 La Agencia recuerda la conveniencia de que las pymes y autónomos que quieran o tengan que contratar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas con anterioridad. Además, por lo que respecta al ámbito de actuación de la AEPD, existen varios canales de información a los responsables (Canal INFORMA) y a los ciudadanos (Atención al ciudadano) y una herramienta gratuita de ayuda (FACILITA_RGPD) dirigida a empresas que realicen un tratamiento de datos personales de escaso riesgo.

La Sesión ha sido inaugurada por la ministra de Justicia en funciones, que ha destacado que la AEPD ha contribuido de manera esencial a sentar las bases para avanzar en el desarrollo de una cultura de protección de datos en España
La directora de la AEPD ha señalado que la Agencia trabaja en protocolos para la retirada inmediata de contenidos violentos o de carácter sexual difundidos sin el consentimiento de la víctima
La AEPD también trabaja en la actualización de la Guía de cookies, así como en las Guías de protección de datos en el ámbito de las relaciones laborales; para pacientes y usuarios de la sanidad, y para profesionales sanitarios, de próxima publicación
La Sesión cambia de formato incorporando conferencias y mesas redondas en paralelo en las que intervendrán expertos del sector público y privado

(Madrid, 25 de junio de 2019). La Agencia Española de Protección de Datos ha celebrado hoy su  cuya inauguración ha contado con la presencia de la ministra de Justicia en funciones, Dolores Delgado. Esta edición ha ampliado su formato tradicional, incorporando conferencias y mesas redondas paralelas en las que también han intervenido representantes de entidades públicas y privadas 

La ministra de Justicia en funciones ha señalado que Europa ha dado un paso vital con la aprobación del Reglamento General de Protección de Datos (RGPD), nos sólo porque “amplía nuestros derechos y nos da instrumentos de control frente al tratamiento de nuestros datos”, sino también porque “propone una nueva cultura orientada a la prevención” que supone nuevas formas de actuar para ciudadanos, empresas y Administraciones.

En relación con la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), la titular de Justicia en funciones ha apuntado que es esencial seguir consolidando el nuevo modelo que propone el Reglamento europeo. Para Delgado ello requiere ir más allá de la mera adopción orientada a no incurrir en incumplimientos de las obligaciones del Reglamento y fomentar un enfoque verdaderamente proactivo en la protección de los datos personales. “Un enfoque que sitúe al ciudadano en el centro de todas las medidas y que respete plenamente los principios de protección de datos desde el diseño y por defecto”, ha recalcado.

Asimismo, ha puesto de relieve que, a lo largo de sus 25 años de vigencia, la Agencia no sólo ha acompañado al ciudadano en su transformación digital sino que ha contribuido de manera esencial a sentar las bases para avanzar en el desarrollo de una cultura de protección de los datos personales en nuestro país. “Una tarea a la que sigue contribuyendo con nuevas herramientas y proyectos que buscan facilitar a los ciudadanos, empresas y profesionales y a la sociedad su adaptación a este nuevo escenario de derechos y deberes digitales” ha subrayado.

Por su parte, la directora de la AEPD, Mar España, ha efectuado balance tras 200 días de aplicación de la LOPDGDD. España ha recordado el profundo proceso de reorganización interna que ha acometido la Agencia para adaptarse el Reglamento y a la aplicación de la Ley Orgánica 3/2018 destacando, entre otros aspectos, el intenso trabajo de sensibilización dirigido a responsables y encargados de tratamiento sobre sus obligaciones.

En este sentido, ha resaltado que la Agencia ha continuado elaborando herramientas para facilitar el cumplimiento de la normativa, como la versión actualizada de FACILITA. Asimismo, ha anunciado la próxima publicación de la actualización de la Guía de cookies, realizada en colaboración con el sector de la publicidad online. Estas medidas se complementarán con otras iniciativas, como una herramienta de análisis de riesgos y evaluaciones de impacto, la Guía de protección de datos en el ámbito de las relaciones laborales, y las Guías para pacientes y usuarios de la sanidad y para profesionales sanitarios.

Por otra parte, la directora de la AEPD ha anunciado que trabaja en un bloque de convenios con los Ministerios del Interior, Trabajo y Educación, así como con la Delegación del Gobierno para la Violencia de Género y la Fiscalía General del Estado para realizar actuaciones tanto preventivas como en caso de difusión no consentida de contenidos violentos o de carácter sexual.

La Agencia prevé poner en marcha un cauce extraordinario y urgente en su sede electrónica para la presentación de reclamaciones por este tipo de contenidos. Tras valorar dicha reclamación, la Agencia podría, en su caso, enviar un requerimiento de medidas cautelares en la vía administrativa a la empresa de internet o el responsable para que retiren de forma inmediata esos contenidos.

El principio de responsabilidad activa y los mecanismos de supervisión de las autoridades de control para una actuación homogénea ante los desafíos globales; el papel del delegado de protección de datos tras un año de aplicación del Reglamento; los criterios respecto de las figuras del responsable, encargado y corresponsable del tratamiento; la vinculación entre el derecho a la protección de datos de carácter personal y otros derechos fundamentales y libertades que conforman la sociedad democrática, o la gestión del riesgo tecnológico en los tratamientos de datos han sido otros de los temas abordados durante la Sesión.

El documento analiza cuáles son los límites en la efectividad de los procesos de anonimización, hasta qué punto la información está realmente anonimizada y cómo se puede cuantificar el riesgo de reidentificaciónLista 1
Se analiza la K-anonimidad, una técnica que, entre otros aspectos, permite estudiar el grado de identificación que podría existir en un conjunto de datos supuestamente anónimo

(Madrid, 14 de junio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica llamada 

La K-Anonimidad como medida de la privacidad,

un documento orientado a organizaciones que aborden procesos de anonimización sobre conjuntos de datos. La nota tiene como objetivo mostrar cuáles son los límites en la efectividad de esos procesos de anonimización, hasta qué punto la información está realmente anonimizada y cómo se puede gestionar el riesgo de reidentificación.

El tratamiento masivo de datos mediante el uso de técnicas basadas en big data, inteligencia artificial o machine learning obliga a la implementación de garantías o mecanismos para preservar la privacidad y el derecho a la protección de datos personales, entre ellas las basadas en la anonimización. En una realidad en la que las fuentes de las que proceden los datos, pese a ser independientes, se interconectan, existe la posibilidad de crear un rastro electrónico de las personas, incluso habiendo eliminado los datos que explícitamente les identifican.

Si bien el objetivo de los procesos de anonimización es preservar la privacidad de las personas cuyos datos son objeto de tratamiento, los datos, convenientemente agrupados y cruzados con otras fuentes de información, pueden utilizarse para identificarlas e incluso establecer relaciones con categorías especiales de datos asociadas a estas. Existe un riesgo de que, una vez que se ha anonimizado un conjunto de datos, se pueda revertir esa anonimización, reidentificando a la persona.

Para realizar esta gestión de riesgos, la nota técnica analiza la K-anonimidad, una técnica utilizada cuando se tratan grandes grupos de datos y que, entre otros aspectos, permite estudiar el grado de identificación que podría existir en ese conjunto de datos supuestamente anónimo. En consecuencia, permite cuantificar hasta qué punto se preserva el anonimato de los sujetos presentes en un conjunto de datos en el que se han eliminado los identificadores.

En aplicación del principio de responsabilidad proactiva establecido en el Reglamento General de Protección de Datos (RGPD), la Agencia recuerda que el responsable debe analizar los riesgos en los tratamientos de datos, en este caso, los de reidentificación derivado de sus procesos de anonimización, y los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. Las medidas de Privacidad por Defecto y desde el Diseño seleccionadas deben implementarse mediante procesos formales que permitan la gestión de dichos riesgos.

(Madrid, 7 de junio de 2019). La Agencia Española de Protección de Datos (AEPD) celebrará, el próximo 25 de junio, su 11ª Sesión Anual Abierta. Esta edición renueva completamente su formato, dando cabida a ponentes tanto de la AEPD como de entidades públicas y privadas y desarrollándose en tres foros paralelos en los que se abordarán diversos aspectos relacionados con la aplicación del Reglamento General de Protección de Datos.

Durante la Sesión se efectuará un análisis de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), y se abordarán aspectos relacionados con la responsabilidad activa, los Delegados de Protección de Datos (DPD), los responsables y encargados de tratamiento o la gestión del riesgo tecnológico, entre otros.

El programa completo de la Sesin puede consultar

Durante el evento se entregarán los Premios Protección de Datos 2018, que este año alcanzan su 22ª edición. Estos galardones reconocen los trabajos que promueven en mayor medida las buenas prácticas, la difusión y la investigación de este derecho fundamental.

La Sesión está dirigida a representantes de instituciones, empresarios, profesionales de la protección de datos y ciudadanos interesados en la materia.

Las presentaciones y foros realizados en el Auditorio podrán seguirse en directo en streaming a través de la web de la Agencia.