La AEPD analiza en un informe el uso de sistemas de reconocimiento facial por parte de las empresas de seguridad privada

/en , /por

La AEPD analiza en un informe el uso de sistemas de reconocimiento facial por parte de las empresas de seguridad privada
rperezm
Jue, 05/28/2020

  • Las técnicas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos para los que el Reglamento exige garantías reforzadas
  • Para tratar categorías especiales de datos con estos fines, la normativa requiere que exista un “interés público esencial” recogido en una norma con rango de ley que no existe actualmente en el ordenamiento jurídico
  • La Agencia rechaza que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar tecnologías como el reconocimiento facial, de la forma de andar o de la voz
  • Acceso al informe completo

 

(Madrid, 28 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza varias cuestiones que se le han planteado relacionadas con la seguridad privada, entre las que se encuentra la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada.

El empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos, a los que se aplica el Reglamento General de Protección de Datos (RGPD), que los cataloga como categorías especiales al tratarse de datos “dirigidos a identificar de manera unívoca a una persona física”. Esta tecnología supone un tratamiento que, en principio, se encuentra prohibido por el RGPD.

Para poder tratar esos datos, el informe analiza si es posible aplicar a dicha prohibición alguna de las excepciones recogidas en la normativa. La instalación de los sistemas de videovigilancia con fines de seguridad, que captan y graban imágenes y sonidos, podría ampararse en el interés público, tal y como se plantea en la consulta realizada a la Agencia. No obstante, si se tratan categorías especiales de datos, como en el caso de la utilización de tecnologías de reconocimiento facial, la normativa requiere que exista un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.

La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos el empleo de la biometría respondería al mismo. La norma con rango de Ley que ampararía ese tratamiento de categorías especiales de datos no existe en el actual ordenamiento jurídico y, en el caso de tramitarse, tendría que justificar específicamente en qué medida y en qué supuestos la utilización de dichos sistemas respondería a un interés público esencial, así como incorporar garantías específicas como exige el Tribunal Constitucional. Asimismo, debería cumplir con el principio de proporcionalidad y superar el juicio de necesidad, en el sentido de que no exista otra medida más moderada con la que se consiguiera el mismo propósito con igual eficacia. La existencia de otras medidas que permiten la protección de las personas, bienes e instalaciones con una menor intrusión en el derecho de los afectados, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto de dichas otras medidas, estableciendo asimismo garantías reforzadas.

La Agencia rechaza, tal y como se planteaba en la consulta, que la legitimación reconocida para los sistemas de videovigilancia que sólo captan y graban imágenes y sonidos pueda abarcar otras tecnologías mucho más intrusivas para la privacidad como el reconocimiento facial u otras medidas biométricas como el reconocimiento de la forma de andar o el reconocimiento de voz. La regulación actual es insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados.

Por último, la Agencia considera que existen supuestos excepcionales en los que podría quedar justificado el empleo de sistemas de reconocimiento facial siempre que la legislación lo prevea, como se ha mencionado con anterioridad, como en el caso de infraestructuras críticas. Sin embargo, la autorización, con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada carece de base jurídica y sería desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos.

 

Informe de videovigilancia

La campaña ‘Por todo lo que hay detrás’ recibe el premio a la mejor campaña institucional de publicidad online en los Premios de Internet

/en , /por

La campaña ‘Por todo lo que hay detrás’ recibe el premio a la mejor campaña institucional de publicidad online en los Premios de Internet
rperezm
Mar, 05/19/2020

  • La campaña ‘Por todo lo que hay detrás’ está dirigida a promover la utilización del Canal prioritario de la Agencia para denunciar la difusión en Internet de contenidos sexuales o violentos publicados sin el permiso de las personas que aparecen en ellos, en particular, en casos de acoso a menores o violencia sexual contra las mujeres
  • El porcentaje de retirada de este tipo de contenidos a partir de los requerimientos enviados por la Agencia supera el 90%, mientras que el 10% restante se encuentra en tramitación

 

(Madrid, 19 de mayo de 2020). La campaña ‘Por todo lo que hay detrás’ de la Agencia Española de Protección ha recibido el Premio de la Asociación de Usuarios de Internet a la mejor campaña institucional de publicidad online. El objetivo de estos Premios es reconocer aquellas iniciativas, personas u organizaciones que más se han destacado, durante el año previo a su entrega, en promover, innovar o facilitar los usos de Internet y de las nuevas tecnologías en sus respectivas categorías.

La campaña ‘Por todo lo que hay detrás’ está dirigida a promover la utilización del Canal prioritario de la Agencia para denunciar la difusión en Internet de contenidos sexuales o violentos publicados sin el permiso de las personas que aparecen en ellos, en particular, en casos de acoso a menores o violencia sexual contra las mujeres. El porcentaje de retirada de este tipo de contenidos a partir de los requerimientos enviados por la Agencia supera el 90%, mientras que el 10% restante se encuentra en tramitación.

‘Por todo lo que hay detrás’ trata de mostrar la historia que puede haber tras un simple reenvío para evidenciar las graves consecuencias de que se difundan imágenes, vídeos o audios sensibles en Internet. Los destinatarios de la campaña, que promueve la denuncia de este tipo de contenidos, no son únicamente las personas que en algún momento pueden ser víctimas de la difusión sino también a todos aquellos que son conocedores de la situación – y que también tienen la posibilidad de denunciarlo ante la Agencia- y a aquellos que, de manera irreflexiva o por desconocimiento, contribuyen a la difusión en Internet de estos contenidos, pudiendo incurrir en no sólo responsabilidad administrativa, sino también disciplinaria, civil y penal.

Durante la gala en la que ha tenido lugar la entrega de los premios, celebrada el pasado 15 de mayo (vídeo completo de la gala), la directora de la Agencia, Mar España, ha agradecido la concesión de este premio al Jurado y, sobre todo, “a las personas valientes que se atreven a denunciar estos hechos”. Asimismo, también ha destacado que la campaña no hubiera sido posible sin el trabajo de los profesionales de la Agencia, “que se han volcado en una iniciativa con un fuerte impacto social: retirar contenidos violentos o sexuales que difunden en la Red sin el permiso de las personas que aparecen en ellos”. La directora también ha destacado que en internet no vale todo, que no se puede difundir este tipo de contenidos sin que haya consecuencias y que acciones como esta campaña del Canal Prioritario son imprescindibles para que los ciudadanos sepan que puede denunciar para tratar de frenar la violencia digital.

Sobre el Día de Internet y sus Premios

El #diadeinternet es un proyecto en red que surge de la sociedad, por la sociedad y para la sociedad. Está abierto a la participación voluntaria y gratuita de todos. La efeméride, que se celebra el 17 de mayo, pretende dar a conocer las posibilidades de las nuevas tecnologías para mejorar el nivel de vida de los pueblos y de sus ciudadanos.

Los Premios del Día de Internet 2020 han contado con un total de 182 candidaturas en las diferentes categorías y, tras recibir más de 44.806 votos on-line, el Jurado, compuesto por profesionales de reconocido prestigio, ha tenido en cuenta para su valoración criterios como Diseño, Contenido, Utilidad, Accesibilidad o Creatividad.

El listado completo de ganadores puede consultarse aquí.

 

Premios Asociación de Usuarios de Internet

Recomendaciones para prevención del acoso digital

/en /por

Recomendaciones para prevención del acoso digital
rperezm
Mar, 05/19/2020

La Agencia dispone de un conjunto de recomendaciones orientadas a erradicar el acoso laboral y el acoso por razón de género cuando este tipo de conductas se produzcan en el ámbito digital y se materialicen a través del uso y tratamiento de datos personales

Recomendaciones para prevención del acoso digital

Los avances tecnológicos han motivado que la sociedad actual haya ido cambiando, desarrollándose nuevas formas de comprar, de comunicarse y de responder a las necesidades del día a día que han dado lugar a nuevas propuestas de negocio que quizá, años atrás, hubieran podido parecer impensables.

Muchos sectores de la economía se han visto en la necesidad de reinventarse, conduciéndonos a una sociedad más digital y abierta, en la que emprendedores y startups se esfuerzan por experimentar, innovar e introducir en el mercado soluciones, productos y servicios basados en ideas originales y atrevidas que hacen uso del inmenso abanico de posibilidades que ofrecen las nuevas tecnologías.

Sin embargo, el desarrollo de las TIC y el fomento de soluciones que nos mantienen hiperconectados también conlleva nuevos riesgos que nacen de la facilidad con la que la información se viraliza, así como de la dificultad para lograr su retirada, pudiendo derivar en una nueva forma de acoso caracterizado por su continuidad y permanencia en el tiempo. Esta violencia en línea puede afectar a todos los sectores de la población y puede también producirse en el entorno laboral, siendo responsabilidad del empleador, con independencia del tamaño y modelo de negocio de la empresa, combatirla para garantizar la seguridad y la salud física, psíquica y emocional de sus trabajadores.

La Agencia Española de Protección de Datos, como parte de su Plan de Sostenibilidad y Responsabilidad Social alineado con el Objetivo 5 ‘Igualdad de Género’ de los Objetivos de Desarrollo Sostenible adoptados por Naciones Unidas, está firmemente comprometida con el fomento de acciones encaminadas a prevenir, frenar y erradicar todo tipo de violencia digital que haga uso de los datos y ponga en peligro la dignidad, libertad y privacidad de las personas. Es por ello que, como parte de este material, cuyo objetivo es ayudar a las empresas a adaptarse al cumplimiento de las obligaciones impuestas por la normativa de protección de datos, se incorpore, como una dimensión más, un conjunto de recomendaciones específicas orientadas a erradicar el acoso laboral y el acoso por razón de género cuando este tipo de conductas se produzcan en el ámbito digital y se materialicen a través del uso y tratamiento de datos personales de tal forma que se vea afectada la privacidad de la persona.

Estas recomendaciones parten de una declaración de compromiso, por parte del responsable, de prevenir y erradicar el acoso digital, de modo que la empresa tome conciencia de los riesgos que entrañan Internet y las TIC en lo relativo a este tipo de conductas y se impulse una cultura de respeto a la intimidad de las personas y de concienciación en el empleo de los datos personales.

Una vez definida la postura de la empresa ante este tipo de conductas resulta fundamental la adopción de medidas concretas orientadas a la prevención del ciberacoso que eviten el tratamiento ilícito de los datos de los empleados por parte de otros empleados. En este sentido, son clave la información y la formación: la información con relación a qué tipo de conductas son inadecuadas en el empleo de las nuevas tecnologías y la formación a los empleados para que tomen conciencia de los riesgos que un tratamiento ilícito de datos personales puede entrañar para la intimidad y privacidad de las personas y conozcan las consecuencias, penales y administrativas, en su caso, en que pueden incurrir.

Por último, además de la prevención, es importante implementar medidas orientadas a la erradicación del acoso digital a través de un firme compromiso por parte de la empresa que ha de ir presidido por el deber de colaboración con las autoridades competentes, la puesta en marcha de mecanismos de actuación previstos en las políticas de prevención del acoso y el desarrollo de cauces especiales para los supuestos en que el acoso se materialice a través de tratamientos ilícitos de datos personales.

Puedes ampliar esta información consultando la web de ayuda a mujeres supervivientes de la violencia de género y violencia digital, las recomendaciones publicadas por la Agencia Española de Protección de Datos en relación al uso de La protección de datos como garantía en las políticas de prevención del acoso y, a modo de ejemplo, los Protocolos de actuación frente al acoso laboral y de actuación frente al Acoso sexual y por razón de sexo en la AEPD.

 

La AEPD publica recomendaciones de privacidad en relación con la tecnología 5G

/en , /por

La AEPD publica recomendaciones de privacidad en relación con la tecnología 5G
rperezm
Mié, 05/13/2020

  • El documento tiene como objetivo presentar un primer análisis de los riesgos para la privacidad que puede implicar tanto esta tecnología como las que hagan uso de ella, y ofrecer recomendaciones
  • La nota está dirigida a los interesados en conocer las implicaciones que el 5G tiene para la privacidad, así como a los agentes involucrados en el desarrollo e implementación de esta tecnología
  • La AEPD insta a reflexionar acerca de las normativas y estándares relativos al tratamiento y conservación de datos de tráfico por los operadores de telecomunicaciones, en particular, con relación a la georreferenciación

 

(Madrid, 13 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica en la que se presenta un primer análisis de los riesgos para la privacidad que puede entrañar el 5G y las tecnologías que hagan uso de ella, así como un conjunto de recomendaciones. El documento está dirigido a personas interesadas en conocer las implicaciones para la privacidad derivadas de su implantación generalizada pero también a fabricantes, proveedores, operadores de servicios, empresas de telecomunicaciones y desarrolladores de aplicaciones que establezcan modelos de negocio en 5G.

La quinta generación de comunicaciones móviles (5G), cuyo despliegue en Europa comenzó a principios de 2019, ofrece mejoras a los usuarios como alta velocidad de transferencia, mayor capacidad de conexión o baja latencia -el tiempo de respuesta que necesita un dispositivo para llevar a cabo la acción que le pedimos-, lo que permitirá la puesta en marcha de aplicaciones multimedia o de realidad aumentada, el despegue definitivo del internet de las cosas (IoT) o la cirugía remota asistida, entre otras. No obstante, la implantación de esta tecnología podría incrementar los riesgos para la privacidad que ya se asociaban a las anteriores generaciones de telefonía móvil, como la geolocalización, el perfilado o la toma de decisiones automatizadas sobre las personas.

La nota técnica de la AEPD repasa a la evolución de la tecnología móvil desde su implantación, expone las nuevas posibilidades de la tecnología 5G e identifica sus riesgos, proponiendo un decálogo de recomendaciones. Entre ellas, proporcionar información particularmente clara y comprensible a los usuarios de las nuevas aplicaciones y servicios basados en el 5G; definir cuidadosamente los roles y ámbitos de responsabilidad, delimitando de forma nítida las obligaciones de desarrolladores, fabricantes, operadores y agentes en materia de protección de datos; garantizar comunicaciones cifradas extremo a extremo; adecuar el uso de decisiones automatizadas a lo establecido en el Reglamento General de Protección de Datos, y establecer las necesarias garantías en el caso de transferencias internacionales de datos.

Finalmente, la AEPD insta a reflexionar acerca de las normativas y estándares relativos al tratamiento y conservación de datos de tráfico por los operadores de telecomunicaciones, en particular, con relación a la georreferenciación. Actualmente, las redes 4G proporcionan resoluciones con una media de 50 metros, pero con 5G se alcanzarán resoluciones inferiores a un metro en tres dimensiones.

 

5G

La AEPD publica un informe en el que analiza la utilización del reconocimiento facial para realizar exámenes

/en , /por

La AEPD publica un informe en el que analiza la utilización del reconocimiento facial para realizar exámenes
rperezm
Vie, 05/08/2020

  • Las técnicas de reconocimiento facial con fines de identificación biométrica suponen un tratamiento de categorías especiales de datos para los que el Reglamento exige garantías reforzadas
  • El informe jurídico pone de manifiesto que el consentimiento por parte del alumno sólo puede considerarse libre y, por tanto, válido, cuando se haya ofrecido una alternativa equivalente en cuanto a duración y dificultad
  • Asimismo, si se optase por basar en el interés público el reconocimiento facial de los alumnos, se requeriría de una norma con rango de ley que lo habilitase y estableciera garantías específicas para dichos tratamientos
  • Acceso al informe completo

 

(Madrid, 8 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza cuestiones relativas al uso de técnicas de reconocimiento facial para realizar pruebas de evaluación online ante la situación de crisis sanitaria ocasionada por el COVID-19. Como ha reiterado la Agencia en las últimas semanas, la situación actual no implica la suspensión del derecho fundamental a la protección de datos, por lo que todo tratamiento de datos personales debe ajustarse a las previsiones del Reglamento General de Protección de Datos (RGPD).

En cuanto a la utilización del consentimiento como base legal para utilizar el reconocimiento facial, el Reglamento establece que el consentimiento del afectado debe ser libre y que no puede considerarse prestado de forma libre y, por tanto, válida cuando el afectado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Tampoco puede considerarse libre cuando existe un desequilibro claro entre el interesado y el responsable del tratamiento.

Partiendo de dichos criterios, la posibilidad de admitir un consentimiento libre de los alumnos que permitiera el empleo de técnicas de reconocimiento facial para tratar sus datos biométricos en las evaluaciones online requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad respecto a las que se realicen con reconocimiento facial. En otro caso como, por ejemplo, si las actividades alternativas ofrecidas fueran más gravosas o implicaran una mayor dificultad, el consentimiento no podría considerarse libremente prestado. Y lo que no sería admisible, en ningún caso, es que como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno.

El informe añade que corresponde a las universidades, en virtud del principio de autonomía universitaria y como responsables del tratamiento, determinar en sus normas de evaluación y en sus planes de formación los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan. Sólo así el tratamiento podría estar basado en el consentimiento.

Por otro lado, el tratamiento de datos personales necesarios para la prestación del servicio público de educación se legitima, con carácter general, en la existencia de un interés público. Sin embargo, en el caso del reconocimiento facial, al tratarse de categorías especiales de datos, el Reglamento requiere la existencia de un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.

La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos la identificación de los alumnos mediante el empleo de la biometría respondería al mismo. Dicha norma, inexistente en la actualidad en el ordenamiento jurídico, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto otras medidas que permiten acreditar la identidad de los alumnos y supervisar los procesos de evaluación con una menor intrusión en los derechos de los afectados, definiendo asimismo las garantías técnicas, organizativas y procedimentales adecuadas y respetando el principio de proporcionalidad y la necesidad.

Por tanto, las técnicas de reconocimiento facial, que se realizan de forma continuada para la comparación del alumno con terceros al objeto de identificar una posible suplantación, implican el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a una persona física, por lo que exigen garantías reforzadas. A este respecto, la propia comunidad universitaria ha planteado medidas alternativas para la evaluación online menos intrusivas que permiten hacer frente a la situación generada por la declaración del estado de alarma. A ello se suma que el Gobierno ya ha iniciado el plan de desescalada que podría permitir realizar, con las restricciones que establezcan las autoridades sanitarias, pruebas presenciales. Por tanto, debe primar un criterio de prudencia que permita un análisis de sus implicaciones y, en todo caso, un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales, atendiendo al principio de responsabilidad proactiva, la necesidad de realizar los correspondientes análisis de riesgos, evaluaciones de impacto en la protección de datos y, si correspondiese, consulta previa a la autoridad de control.

 

Estudiante

La AEPD publica un estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad

/en , /por

La AEPD publica un estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad
scabellosp
Jue, 05/07/2020

  • La Agencia examina en el documento la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad que implica la utilización de estas tecnologías
  • El informe realiza un análisis preliminar de siete sistemas: geolocalización recogida por los operadores de telecomunicaciones; geolocalización en redes sociales; apps, webs y chatbots para auto-test o cita previa; apps de información voluntaria de contagios; apps de seguimiento de contactos por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas
  • El informe completo puede consultarse en este enlace

(Madrid, 7 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado un análisis preliminar de algunas tecnologías ya puestas en marcha, o cuya implementación se está valorando en la lucha contra el coronavirus, examinando la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad. En el documento, la Agencia pone de manifiesto que nos encontramos en un punto de inflexión crítico, no solo debido a la situación de pandemia, sino en relación con nuestro modelo de derechos y libertades.

La AEPD recuerda que la utilización de la tecnología no puede ser entendida de forma aislada, sino en el marco de un tratamiento de datos personales con un propósito claramente definido. En la medida en que este propósito debe ser para la lucha efectiva contra la COVID-19, el tratamiento ha de implementar una estrategia coherente basada en evidencias científicas, evaluando su proporcionalidad en relación con su eficacia, eficiencia y teniendo en cuenta de forma objetiva los recursos organizativos y materiales necesarios. En todo caso, la utilización de estas tecnologías debe realizarse en el marco de los criterios establecidos por las autoridades sanitarias y, en particular, del Ministerio de Sanidad. Además, como en cualquier tratamiento de datos personales, deben cumplirse los principios establecidos en el Reglamento General de Protección de Datos (RGPD).

El informe está centrado en siete tecnologías: geolocalización mediante la información recogida por los operadores de telecomunicaciones; geolocalización de los móviles a partir de redes sociales; apps, webs y chatbots para auto-test o cita previa; apps de información voluntaria de contagios; apps de seguimiento de contactos por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas.

En cuanto a las apps de seguimiento de contactos por Bluetooth, el informe detalla que los riesgos para la privacidad provienen, entre otros, de la posible realización de mapas de relaciones entre personas, la reidentificación por localización implícita, la recogida de datos de terceros o la fragilidad de los protocolos a la hora de intercambiar información. Cuanto mayor sea el tratamiento que se realice en un servidor que recoja los datos de los usuarios, menos control tienen éstos sobre sus propios datos, por lo que las soluciones centralizadas siempre parecen menos respetuosas con la privacidad que las distribuidas. La posibilidad de que, debido a la acumulación de los datos de forma centralizada, se produjese un abuso, se ampliaran los propósitos del tratamiento o se sufriera una quiebra de seguridad son otras de las amenazas.

El documento precisa que el éxito de este tipo de soluciones se basa en factores que no dependen sólo de la tecnología. Existen otros factores determinantes para su eficacia, como, por ejemplo, la implicación de un elevado número de usuarios o la garantía de una declaración responsable. Finalmente, es necesario disponer de acceso a una comprobación fiable del estado de salud para poder actualizar la información recogida por estos sistemas y que, además, se realice periódicamente, especialmente para aquellos que sean notificados de haber estado en contacto con un infectado.

El estudio también analiza las cámaras de infrarrojos para la realización de lecturas masivas de temperatura. Dichas cámaras identifican mediante algoritmos de inteligencia artificial los rostros humanos, los discriminan del resto de elementos que aparecen en la imagen y revelan la temperatura corporal aproximada de cada individuo. La Agencia, que ya ha manifestado su preocupación por el uso de estos dispositivos y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación, alerta de un posible riesgo de discriminación, de difusión pública de datos de salud y de crear una falsa sensación de seguridad que facilite el contacto con personas realmente infectadas.

En algunos entornos, como el de la normativa de prevención de riesgos laborales, la toma de la temperatura podría ser de utilidad dentro del marco de un tratamiento más extenso del que formen parte otras comprobaciones y garantías adicionales que, en todo caso, respeten los derechos y libertades establecidos en el RGPD.

El informe completo con el análisis de todas las tecnologías puede consultarse en este enlace.

 

Covid-19

La notificación de quiebras de seguridad se triplica en 2019, consolidando la obligación establecida por el Reglamento

/en /por

La Agencia Española de Protección de Datos publica su Memoria 2019, que recoge en detalle las actividades realizadas por este organismo en todas sus áreas, un análisis de las tendencias más relevantes y una exposición y valoración de los retos presentes y futuros.

ACCESO A LA MEMORIA AEPD 2019

 

Apúntate al curso online gratuito Menores y seguridad en la Red, organizado por la AEPD, el INTEF e INCIBE

/en /por

Apúntate al curso online gratuito Menores y seguridad en la Red, organizado por la AEPD, el INTEF e INCIBE
scabellosp
Mar, 05/05/2020

El curso, que supone unas tres horas de formación, tendrá lugar del 19 al 28 de mayo y está dirigido a la comunidad educativa, en particular a las familias. Inscríbete aquí

Apúntate al curso online gratuito Menores y seguridad en la Red, organizado por la AEPD, el INTEF e INCIBE

Cuestiones como ¿qué edad es la más adecuada para hacer uso del primer móvil?, ¿cómo configurarlo?, ¿a qué riesgos se enfrentan niños, niñas y adolescentes al navegar por internet?, ¿cómo prevenirlos?, ¿cuáles son las redes sociales y herramientas que emplean con más frecuencia en su tiempo de ocio?, ¿cómo actuar ante una práctica de riesgo?, ¿cómo enseñar a nuestros hijos, hijas y estudiantes a hacer un uso responsable y seguro de los dispositivos móviles? son objeto del curso Menores y seguridad en la Red, un curso en formato NOOC (Nano Open On-Line Course) que se imparte del 19 al 28 de mayo.

Organizado e impartido conjuntamente por el Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado (INTEF), el Instituto Nacional de Ciberseguridad (INCIBE) y la Agencia Española de Protección de Datos (AEPD) está dirigido a la comunidad educativa, en particular a las familias, que están implicadas en la labor de orientar y formar a los menores a vivir en el mundo online, contribuir a su seguridad e intimidad en la Red y disfrutar de las oportunidades que proporciona.

El NOOC supone unas 3 horas lectivas de formación y se puede realizar al ritmo que necesite el alumno a lo largo de los 10 días en los que estará accesible su contenido (del 19 al 28 de mayo).

Para participar de forma activa en el NOOC únicamente se necesita una conexión a internet que posibilite la visualización de elementos multimedia, ya que gran parte de los contenidos que se ofrecen están en este formato. El manejo del curso es intuitivo y sencillo.

Más información e inscripción en el siguiente enlace:

http://enlinea.intef.es/courses/course-v1:INTEF+MenorSeguroEnRed+2020_ED1/about

 

La notificación de quiebras de seguridad se triplica en 2019, consolidando la obligación establecida por el Reglamento

/en , /por

La notificación de quiebras de seguridad se triplica en 2019, consolidando la obligación establecida por el Reglamento
scabellosp
Lun, 05/04/2020

  • La Agencia Española de Protección de Datos publica su Memoria 2019, que recoge en detalle las actividades realizadas por este organismo en todas sus áreas, un análisis de las tendencias más relevantes y una exposición y valoración de los retos presentes y futuros
  • En 2019 se presentaron ante la Agencia 11.590 reclamaciones
  • Las reclamaciones planteadas con mayor frecuencia por los ciudadanos hacen referencia a servicios de internet, videovigilancia, inserción indebida en ficheros de morosidad y reclamación de deudas
  • Se han reducido un 29% los tiempos medios en los que se resuelven los procedimientos sancionadores
  • Los traslados al responsable para que analice la reclamación y dé respuesta al ciudadano han crecido un 147%, pasando de 2.300 a 5.691
  • En los últimos tres meses del año se emitieron 18 órdenes de retirada asociadas al Canal prioritario para eliminar contenidos sexuales o violentos en Internet, y en todos los casos se retiró el contenido original de la página web o red social
  • Acceso completo a Memoria 2019 AEPD

(Madrid, 4 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2019, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. Se trata de la primera Memoria que recoge un año completo desde la aplicación del Reglamento General de Protección de Datos (RGPD), que ha producido cambios importantes tanto para aquellos que tratan datos como en el funcionamiento interno de la Agencia.

La Memoria 2019 recoge un balance completo del Plan Estratégico de la Agencia que, presentado en 2015, ha finalizado en 2019 con 150 acciones que han tratado de dar respuesta al nuevo escenario normativo y contribuir a acompañar, facilitar y preparar a los diferentes actores implicados. La visión estratégica que incorporaba el Plan se ha ampliado con la presentación también en 2019 del Marco de Actuación en materia de Responsabilidad Social y Sostenibilidad, que incluye un plan de acción con más de 100 iniciativas para los próximos cinco años, todas ellas alineadas con los ODS de la Agenda 2030.

En esta línea, uno de los hitos más relevantes en el plano preventivo por su impacto social ha sido el lanzamiento en septiembre de 2019 del Canal prioritario para solicitar la eliminación urgente de contenidos violentos o sexuales en Internet, un servicio pionero que ha posicionado a la AEPD como la única autoridad europea de protección de datos que ofrece este servicio para combatir la violencia de género y, más ampliamente, la llamada violencia digital, que afecta especialmente a las mujeres y a los jóvenes en el entorno escolar. Durante 2019, se emitieron 18 órdenes de medida provisional urgente, y en todos los casos se alcanzó el objetivo de retirar el contenido original de la página web o red social.

Durante 2019 se han presentado ante la Agencia 11.590 reclamaciones. Con esta cifra, la Agencia vuelve al incremento anual que solía producirse antes de la aplicación del RGPD, que marcó un crecimiento extraordinario y puntual de un 33% respecto a 2017. Las reclamaciones planteadas con mayor frecuencia por los ciudadanos en 2019 hacen referencia a servicios de internet (13%), videovigilancia (12%), inserción indebida en ficheros de morosidad (12%) y reclamación de deudas y publicidad (excepto spam) (9%). Siguiendo con las reclamaciones, es importante hacer una referencia a los traslados, un trámite promovido por el RGPD y la LOPDGDD que tiene como objetivo facilitar la resolución amistosa de las mismas. Los traslados permiten que estas pueden resolverse más rápidamente, ofreciendo una respuesta satisfactoria al ciudadano en menor tiempo. Los traslados al responsable para que analice la reclamación y dé respuesta al ciudadano han crecido un 147%, pasando de 2.300 en 2018 a 5.691 en 2019.

Por su parte, otra de las novedades del escenario creado por el RGPD es el relativo a los casos transfronterizos. Con la aplicación del Reglamento, los ciudadanos pueden presentar reclamaciones ante cualquier autoridad europea y estas se trasladan esas reclamaciones para que sean atendidas adecuadamente. Los procedimientos transfronterizos procedentes de otras autoridades han subido en 2019 un 33%, pasando de 594 de 2018 a 709 en 2019. En cuanto a los casos con componentes transfronterizos que afectan a ciudadanos o a responsables en España, la AEPD colabora en su resolución. Durante 2019 la Agencia ha participado en 21 nuevos casos como autoridad principal y 565 como autoridad interesada, lo que supone un 140% de crecimiento respecto al año anterior.

En cuanto a las notificaciones de quiebras de seguridad ante la Agencia, el RGPD extiende la obligación de notificar las brechas de seguridad sufridas por las distintas entidades. Estas notificaciones son inicialmente recibidas por la Unidad de Estudios y Evaluación Tecnológicos (UEET) que, tras un primer análisis, valora si debe trasladar esa quiebra de seguridad a la Subdirección General de Inspección de Datos, dando lugar a actuaciones de investigación. La UEET ha recibido y analizado 1.459 notificaciones de quiebras de seguridad en 2019, una cifra que supone casi triplicar las que recibió el año anterior (547). En este punto, es necesario mencionar que sólo 79 se han remitido a Inspección al requerir de una investigación en profundidad, lo que supone poco más del 5%.

En 2019 se han dictado 338 resoluciones sancionadoras. Los resultados de la Memoria 2019 indican que se han reducido un 29% los tiempos medios en los que se resuelven los procedimientos sancionadores y un 22% los tiempos de actuaciones de investigación. En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Videovigilancia (287), Servicios de Internet (58), Publicidad a través de correo electrónico o teléfono móvil (32), Telecomunicaciones (21) y Administración Pública (15). Las áreas con mayor importe global de multas corresponden a Directorios (2,9 millones de euros), Telecomunicaciones (641.000), Contratación fraudulenta (620.620) y Quiebras de seguridad (460.000).

En cuanto a las cifras de delegados de protección de datos (DPD) notificados ante la Agencia, el ejercicio de 2019 se cerró con 50.326 Delegados de Protección de Datos (44.069 del sector privado y 6.257 del sector público). En lo relativo a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, la Agencia ha recibido casi 3.000 consultas a través del canal INFORMA_RGPD. Los temas más demandados han sido aquellos relacionados con la necesidad de nombrar un Delegado de Protección de Datos; las figuras del encargado, responsable y corresponsable; el tratamiento de datos en el ámbito laboral debido a los cambios legislativos (registro de jornada laboral y tratamiento de datos biométricos) y la videovigilancia.

Por otro lado, la multipremiada herramienta Facilita_RGPD, orientada a pymes que realizan tratamientos de bajo riesgo, continúa activa en la web de la Agencia. Desde su lanzamiento en septiembre de 2017, más de 800.000 pymes y autónomos han accedido a ella y más de 200.000 empresas han obtenido los documentos mínimos para promover el cumplimiento. La Agencia también ofrece la herramienta Gestiona_EIPD, un asistente para el análisis de riesgos y las evaluaciones de impacto en protección de datos para pymes lanzado en julio de 2019 y que ha sido utilizado en casi 3.000 ocasiones.

Por último, se han planteado 1.502 cuestiones sobre menores ante el Canal Joven de la Agencia. La temática de las consultas que se suelen recibir con mayor frecuencia son las siguientes: publicación de imágenes de menores en redes sociales por parte de padres separados, consentimiento de los padres para la publicación de imágenes en webs de los colegios o redes sociales, videovigilancia en colegios o grabación de imágenes en los eventos escolares.

 

Memoria AEPD 2019

Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos

/en , /por

Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos
scabellosp
Jue, 04/30/2020

  • La AEPD expresa su preocupación por este tipo de actuaciones, que suponen una injerencia particularmente intensa en los derechos de las personas afectadas y que se están realizando sin el criterio previo de las autoridades sanitarias.

La paulatina retirada de las medidas de confinamiento y limitación de la actividad económica y social está determinando la implantación de medidas encaminadas a prevenir nuevos contagios de COVID – 19.

Entre estas medidas se está incluyendo, aparentemente de forma generalizada y en muy variados entornos, la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.

En esta situación, la Agencia Española de Protección de Datos considera necesario destacar su preocupación por este tipo de actuaciones, que se están realizando sin el criterio previo y necesario de las autoridades sanitarias.

Tratamiento de datos personales sensibles

Debe señalarse, en primer lugar, que este tipo de operación supone un tratamiento de datos personales que, como tal, debe ajustarse a las previsiones de la legislación correspondiente. Esta normativa contiene apartados específicos que contemplan situaciones como la actual, al tiempo que permiten seguir aplicando los principios y garantías que protegen el derecho fundamental a la protección de datos.

Este tratamiento de toma de temperatura supone una injerencia particularmente intensa en los derechos de las personas afectadas. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.

Por otro lado, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros que no tienen ninguna justificación para conocerlo que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.

En último extremo, y dependiendo del contexto en que se aplique esta medida, las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada.

Criterios de implantación

La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de l as personas afectadas.

En ese sentido, debe tenerse en cuenta, entre otras cuestiones, que según las informaciones proporcionadas por las autoridades sanitarias, hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre, que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, en particular en los primeros estadios del desarrollo de la enfermedad, y que, por otro lado, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.

Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.

Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.

Principio de legalidad

Como todo tratamiento de datos, la recogida de datos de temperatura debe regirse por los principios establecidos en el Reglamento General de Protección de Datos (RGPD) y, entre ellos, el principio de legalidad. Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD).

En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de las personas interesadas. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder. Por tanto, ese consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.

En el entorno laboral, y siempre que se hayan tenido en consideración las demás cuestiones que se abordan en esta comunicación, la posible base jurídica podría encontrarse en la obligación que tienen las personas empleadoras de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento.

Sin embargo, y adicionalmente, el RGPD requiere también en estos casos que la norma que permita este tratamiento ha de establecer también garantías adecuadas. Dichas garantías habrán de ser especificadas por la persona responsable del tratamiento.

Esa base jurídica podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientela o personas usuarias ajenas a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que la persona empleadora mantiene sus obligaciones.

Esta aproximación, no obstante, requiere de una adecuada ponderación entre el impacto sobre los derechos de la clientela o las personas usuarias de estas medidas y el impacto en el nivel de protección de las personas empleadas. Esa ponderación debe basarse en diferentes factores. Ante todo, los criterios establecidos por las autoridades sanitarias. Pero también los relacionados con el mayor o menor riesgo que se pueda producir en cada caso concreto o con la posibilidad de aplicar medidas alternativas de protección para el personal. Por ejemplo, el riesgo será menor en un establecimiento en el que las personas empleadas estén físicamente separadas de la clientela que en otro en que esa barrera física no exista o sea más precaria.

En otros ámbitos en que no sea relevante esta base jurídica, cabría plantear la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos. No obstante, esta posibilidad requeriría igualmente, como establece el artículo 9.2.i RGPD, de un soporte normativo a través de leyes que establezcan ese interés y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de las personas interesadas.

La utilización del interés legítimo de las personas responsables del tratamiento como base legitimadora quedaría en todo caso excluida, por un doble motivo. Por una parte, porque ninguna disposición del artículo 9.2 del RGPD permite levantar la prohibición de tratamiento de datos sensibles por razones de interés legítimo (salvo que en determinadas materias así lo contemple el derecho de la Unión o de los Estados Miembro). Por otra, porque el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de las personas afectadas haría que ese interés legítimo no resultara prevalente con carácter general.

Limitación de finalidad y exactitud de los datos

La normativa de protección de datos contiene otras disposiciones que resultan también especialmente aplicables en el caso de las mediciones de temperatura como medida de prevención contra la expansión de la COVID – 19.

Entre los principios de protección de datos recogidos en el RGPD, debe mencionarse el de limitación de la finalidad. Este principio supone que los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Pero esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.

De igual modo, el principio de exactitud, aplicado en este contexto, implica que los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes. Esta adecuación debiera establecerse utilizando solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso. Conviene insistir, a este respecto, en el impacto que sobre las personas interesadas tendría que la identificación de un posible indicador de la existencia de contagio resultara errónea como consecuencia de un equipo inapropiado o de un mal desarrollo de la medición.

Derechos y garantías

En todo caso, las personas afectadas siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece, si bien adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento.

En ese sentido, debieran considerarse, entre otras, medidas relativas a la información a las personas trabajadoras, la clientela o las personas usuarias sobre estos tratamientos (en particular si se va a producir una grabación y conservación de la información), u otras para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.

Es igualmente importante establecer los plazos y criterios de conservación de los datos en los casos en que sean registrados. En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos.

Debe señalarse, por último, que esta comunicación se refiere con carácter general a cualquier proceso de toma de temperatura en los escenarios más probables en este periodo de mitigación del confinamiento y limitaciones a la movilidad y a la actividad social y económica.

Sin embargo, dependiendo del tipo de tecnología que se emplee, puede ser necesario tomar en consideración otros elementos que, aunque relacionados con los mencionados, tienen una especial incidencia en una u otra de esas diferentes tecnologías.  

Este es el caso de las cámaras térmicas, a las que ya se ha hecho alusión, en la medida en que pueden ofrecer posibilidades adicionales a la toma de temperatura y que, por ello, deben ser utilizadas prestando especial atención a los principios de limitación de finalidad y minimización de datos establecidos por el artículo 5.1 RGPD.

 

Logo AEPD