Listado de la etiqueta: AEPD

Se ha superado el límite de lo humanamente sano para la salud mental del equipo de la AEPD

Según ha publicado este verano el medio Business Insider, la responsable de la AEPD alerta de que se ha superado el límite de lo humanamente sano para la salud mental del equipo.

Mar España, directora de la AEPD, sobre la carga de trabajo del organismo: «Algo tendrá que hacer el nuevo Gobierno que salga del 23J, hay riesgos de colapso». «Y cuando hablamos de proteger un dato no hablamos de una cuestión aséptica: hablamos de proteger a personas en esferas tan importantes como la ideología o la sexualidad».

En ese sentido, la directora de la AEPD cree que el RGPD ha sido «transformador», aunque sí reconoce puntos a mejorar y que confía en que lo harán. El mes pasado, el Comité Europeo de Protección de Datos, el organismo comunitario que aúna a todos los organismos de control nacionales de la Unión, anunció el cambio de presidencia.

Anu Talus, la directora de la agencia de protección de datos finlandesa, asumió entonces el gobierno de esa institución sucediendo a Andrea Jelinek, de la que Mar España solo tiene buenas palabras. «Tengo mucha confianza en que la nueva presidenta finlandesa continuará esa saga de rigor, profesionalidad y seriedad que ha demostrado Andrea en estos años».

«Se han identificado casos estratégicos» con este RGPD, porque «seguramente donde puede darse un impulso es en el funcionamiento del mecanismo de ventanilla única». El mecanismo de ventanilla única es un principio rector de este reglamento que contempla que las autoridades nacionales son las encargadas de abordar las investigaciones de empresas afincadas en su territorio.

El desafío del cuello de botella en el mecanismo de ventanilla única

Lo que sucede en la Unión Europea es que las grandes tecnológicas concentran la sede social y fiscal de sus filiales continentales en países como Irlanda, provocando que la Comisión de Protección de Datos de ese país, organismo análogo a la AEPD de España, tengan que enfrentarse a un sinfín de casos. Organismos de derechos civiles han denunciado que se ha originado un «cuello de botella».

«Todo se mejora aprendiendo y desde los errores». España asegura entender y tener su respeto por «el desafío tan importante» que ha supuesto la aplicación del RGPD para la autoridad irlandesa. Al mismo tiempo, abunda en que muchas de las decisiones que se adoptan con estas grandes multinacionales tecnológicas acaban siendo, en realidad, colectivas.

«La reciente sanción a Meta de más de 1.200 millones de euros», recuerda España, nació de las objeciones de 3 autoridades nacionales —entre ellas, la española— después de que Irlanda propusiese una resolución sin multa económica.

«La presidenta anterior del Comité Europeo de Protección de Datos, Andrea Jelinek, nos reunió a todos los comisionados en Austria y decidimos por común acuerdo y unanimidad identificar los casos estratégicos para poder actuar de manera coordinada y prioritaria, y eso está empezando a dar sus frutos», apostilla la directora de la Agencia Española de Protección de Datos.

ChatGPT

Otro ejemplo concreto es el requerimiento que Garante, la autoridad italiana de protección de datos, remitió a OpenAI, la compañía detrás del popular ChatGPT. En consecuencia de aquel requerimiento de información, OpenAI bloqueó el acceso a ChatGPT en Italia durante unas semanas. Los medios aseguraron entonces que Italia había bloqueado el chatbot, una aseveración matizable.

La propia AEPD propuso en un plenario del Comité Europeo de Protección de Datos abordar esas pesquisas sobre ChatGPT de forma coordinada. En palabras de España, «es bueno que las tecnológicas sientan esa coherencia y esa presión global. Que no vaya una autoridad de protección de datos por delante, que vayamos todas».

Labor de la AEPD

A nivel comunitario, la agencia española ha demostrado músculo. Es la autoridad nacional que más sanciones ha propuesto. «Las resoluciones de la AEPD son el 40% del volumen total», corrobora España. «Eso no implica que representen el 40% del importe total de las multas. Si comparamos el importe con las que han puesto nuestros colegas europeos estamos entre el 2% y el 3%».

Nuevamente, esta variación se explica con el hecho de que las grandes tecnológicas se concentran en otros países como Irlanda, y muchas de las sanciones que estipula el RGPD son en función del volumen de facturación de las compañías que puedan haber vulnerado el reglamento.

Pero, ¿por qué España eleva más resoluciones? La respuesta podría estar en el derecho nacional, que obliga a la AEPD a estudiar el 100% de las reclamaciones que recibe. «Otras autoridades nacionales, por la información que tengo, tienen más capacidad de discriminar».

Con todo, y más allá de las resoluciones —que es una de las labores más visibles de la AEPD—, el organismo ya está «muy por encima del esfuerzo humano que se podría haber hecho». La propia directora de la AEPD abundó en la primera entrega de esta entrevista que el organismo corre el riesgo de colapsar de no recibir más recursos.

«En estos 8 años se han publicado más de 100 guías y herramientas a coste cero. Se puede dar de sí hasta donde se llega. Mi obligación es decir que se ha superado el límite de lo humanamente sano para la salud mental del equipo que trabaja en la AEPD».

De esta forma, Mar España defiende la gestión de la AEPD con estos 5 primeros años de Reglamento de Protección de Datos. Sin él, el mundo digital «seguramente sería mucho más invasivo, no habría ni límites ni garantías». «La AEPD protege a las personas en su individualidad, lo más esencial de nosotros es nuestra identidad ideológica, sexual o religiosa. Nuestras comunicaciones íntimas».

«Nunca hasta ahora en la historia de la humanidad habíamos estado tan conectados pero al mismo tiempo tan vulnerables e influenciables. Es esencial que existan organismos como este». Aunque España cree que no todo puede recaer en el peso de la AEPD y agencias análogas. «Deberían existir pactos de Estado en materia de protección a las personas en el mundo digital».

La directora de la AEPD pone énfasis en la protección de la infancia o de la salud mental. «Debería empezar a trabajarse sobre temas que ya superan un poco en competencias a la AEPD, como salud digital y sus efectos en la salud mental». «La tecnología es maravillosa, gracias al mundo digital conseguimos no sentir soledad durante el confinamiento que fue tan duro», reconoce.

Un organismo todavía pendiente de renovación

España llegó a la dirección de la AEPD en 2015 y su mandato se ha venido prorrogando, primero, por el adelanto y luego la repetición electoral de 2019. Después, por los desencuentros entre los candidatos a ocupar la nueva presidencia del organismo, cuyos nuevos estatutos ya publicó el BOE hace unos años.

Ante ello, la todavía directora de la AEPD asevera que no le corresponde juzgar y que por supuesto acataron la sentencia del Tribunal Supremo que declaró la nulidad del procedimiento. «La AEPD mantuvo una actitud imparcial, neutra y discreta» ante el debate que se generó en los medios.

Pero sí cree que «es bueno» que las instituciones se renueven. «Desde el minuto uno me puse a disposición. Mi mandato era de 4 años y pedí que no hubiera transitoria para que no se ampliara a 5. Por circunstancias lamentablemente ajenas a mi voluntad se ha acabado ampliando a 8, pero creo que la independencia de la AEPD está fuera de toda duda».

«Lo que sí puedo transmitir es un mensaje alto y claro. La AEPD sigue funcionando a pleno rendimiento, pero confiando en que su renovación se pueda producir en un plazo de tiempo relativamente corto».

Ver noticia completa en fuente original: https://www.businessinsider.es/aepd-limite-equipo-hace-humanamente-posible-rgpd-1256442

La AEPD examinará si las designaciones de los DPD en España se ajusta a lo requerido por el RGPD

El Comité Europeo de Protección de Datos (CEPD), un organismo europeo que aglutina a las autoridades de control de protección de datos en Europa, ha anunciado una acción coordinada a nivel europeo en la que participará la Agencia Española de Protección de Datos (AEPD) junto con otras 26 autoridades de control nacionales, el Supervisor Europeo de Protección de Datos (SEPD) y las autoridades de Islandia, Liechtenstein y Noruega.

El objetivo de esta acción es examinar el papel de los delegados de protección de datos (DPD) en organismos públicos y privados. La figura de DPD está amparada por la legislación nacional y europea, y miles de entidades están obligadas a nombrar a una persona que asuma sus tareas. Sin embargo, desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) en 2018, muchas empresas y administraciones han nombrado a un DPD solo para cumplir con el requisito legal, sin que en muchos casos las personas designadas sean profesionales competentes en la materia o con conocimientos suficientes en la misma, lo que se conoce popularmente como «encasquetamiento».

El CEPD ha destacado la importancia de los delegados de protección de datos como intermediarios entre autoridades de control, ciudadanos y negocios, y ha señalado que juegan un papel esencial en el cumplimiento de las leyes de protección de datos y en la promoción de los derechos de los usuarios sobre sus datos personales.

En el marco de esta acción coordinada, las autoridades de control nacionales enviarán cuestionarios a las entidades afectadas para evaluar si la situación de los delegados en sus organizaciones se ajusta a lo requerido en el RGPD. La AEPD, en concreto, analizará las prácticas de más de 30.000 entidades del sector público y privado, en distintos sectores de actividad como la educación, la banca y finanzas, la sanidad, la energía, la seguridad, las telecomunicaciones, los créditos, los juegos de azar y las apuestas.

Los cuestionarios buscarán determinar si estas empresas privadas u organismos públicos tienen conocimiento y experiencia al designar a sus delegados de protección de datos, y si conocen sus tareas y recursos, así como su papel y posición en sus organigramas. Los resultados de esta acción se analizarán de manera coordinada, y las autoridades de protección de datos podrán decidir acciones adicionales de supervisión y aplicación en función de esos resultados, que serán agregados, generando una visión más amplia y permitiendo un seguimiento específico del tema.

Fuente original: https://lopezdelemus.com/la-aepd-examinara-si-las-designaciones-de-los-dpd-en-espana-se-ajusta-a-lo-requerido-por-el-rgpd

¿Es el correo “dpd” un dato personal?

Muchas personas se cuestionan si la dirección de correo electrónico de un delegado de protección de datos, que normalmente empiezan por “dpd” o “dpo”, es por sí sola un dato de carácter personal.

Aunque pueda pensarse que esta cuestión es irrelevante, en algunas ocasiones puede tener una gran importancia, ya que de la respuesta a esta cuestión dependerá si se aplica o no la normativa de protección de datos y su régimen sancionador.

Por ejemplo, si alguien se dedicara a recopilar direcciones de correo “dpd” para enviarles publicidad online, además de estar infringiendo el artículo 21 de la LSSI podría estar infringiendo el RGPD y la LOPDGDD, siempre que esta dirección sea considerada un dato personal.

Volviendo a la cuestión planteada; partiendo del criterio imperante de que una dirección de correo electrónico perteneciente a una persona física será un dato personal y una dirección de correo institucional, como las que comienzan por “info”, no será un dato personal, podría pensarse que la dirección “dpd” pertenece a un órgano de la entidad y que por tanto no es un dato personal.

Sin embargo, la respuesta correcta sería la contraria: una dirección de correo “dpd” sí es un dato de carácter personal. Con buen criterio, así lo ha declarado la AEPD en un procedimiento sancionador a Vodafone España, en la que se le ha impuesto una multa de 50.000 euros por la infracción del artículo de artículo 21 del RGPD, al no gestionar correctamente del derecho de oposición ejercido por el reclamante; y otra multa de 20.000 euros por la infracción del artículo de artículo 21 del LSSI, por su responsabilidad en el envío de correos electrónicos publicitarios sin el consentimiento preceptivo del destinatario, aunque lo hiciera a través de una empresa interpuesta.

Vodafone España alegó en este procedimiento que la dirección de correo electrónico “dpd” no podía ser considerada como dato personal, no aplicando por lo tanto el RGPD. En este sentido, indicó que la Comisión Europea, en su página web oficial informa de que una dirección de correo electrónico que cumpla el formato “info@empresa.com”, no debe de considerarse como dato personal. Además, señaló que este formato de dirección de correo electrónico que no es considerado como dato personal por parte de la Comisión Europea tiene una estructura idéntica a la del correo “dpd”.

Sin embargo, la AEPD ha aclarado que el formato “info” no identifica a ninguna persona o cargo de la empresa en particular, sino que hace referencia a una dirección de correo electrónico genérica donde, en principio, cualquier usuario o empleado de esta tiene acceso, como podría ser también formatos como “RRH”, “Contabilidad, o “repuestos”, pero cuando la dirección de correo electrónico de una entidad es utilizada por un solo empleado, pudiéndose identificar directa o indirectamente con el nombre, con determinados dígitos o con el cargo que ocupa, como en este caso que indica que pertenece al delegado de protección de datos, se considera dato personal a todos los efectos.

En definitiva, una dirección de correo electrónico del tipo “dpd” sí es un dato personal por sí misma, es decir, sin necesidad de tratar otros datos de ese delegado de protección de datos.

Fuente original: https://lopezdelemus.com/es-el-correo-dpd-un-dato-personal

La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público

La Agencia Española de Protección de Datos (AEPD) participa en la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés).

El objetivo de esta acción preventiva es obtener una visión integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube. La finalidad de esta iniciativa es conocer y, en su caso, contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Las 22 autoridades participantes analizarán más de 80 organismos e instituciones públicas europeas de un amplio abanico de sectores como la salud, las finanzas, la educación, las compras centralizadas o los proveedores de servicios informáticos. La AEPD analizará las prácticas de 12 de ellos correspondientes al sector público español.

NOTICIA COMPLETA EN SU FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Publicada la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos

El pasado día 5 de noviembre salió publicada en el BOE la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

Enlace a la instrucción: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-18134

La notificación de quiebras de seguridad se triplica en 2019, consolidando la obligación establecida por el Reglamento

La Agencia Española de Protección de Datos publica su Memoria 2019, que recoge en detalle las actividades realizadas por este organismo en todas sus áreas, un análisis de las tendencias más relevantes y una exposición y valoración de los retos presentes y futuros.

ACCESO A LA MEMORIA AEPD 2019

 

¿Cómo se deben tratar nuestros datos médicos? Nueva guía de la AEPD.

La Agencia Española de Protección de Datos (AEPD) ha publicado la «Guía para pacientes y usuarios de la sanidad», un documento que da respuesta a las dudas más frecuentes que suelen plantearse los ciudadanos cuando se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios y que tiene por objeto facilitarles el conocimiento de sus derechos.

La guía aborda en su primera parte cuestiones generales de la normativa de protección de datos que se aplican a los tratamientos de datos de salud, indicando asimismo qué derechos tienen los pacientes y usuarios de la sanidad en relación con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018. Así, el documento destaca la obligatoriedad de facilitar información al usuario, recogiendo los distintos puntos que deben facilitarse de forma concisa, transparente, inteligible y con un lenguaje claro y sencillo. A ello se suman los principios que deben cumplirse en el tratamiento de datos personales, cuestiones comunes a los derechos de los usuarios (obligación de atenderlo, plazo, gratuidad, etc.) y cuestiones específicas referidas al acceso a la historia clínica.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL.

FUENTE ORIGINAL: AEPD

Publicada la Memoria de la AEPD 2018

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria 2018, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La publicación de esta Memoria coincide con el primer año de aplicación del Reglamento General de Protección de Datos (RGPD), que ha supuesto un cambio sustancial para la protección de datos en varios niveles, introduciendo novedades tanto en los derechos de los ciudadanos como en la forma de tratar los datos personales por parte de las organizaciones.

ACCEDER A LA MEMORIA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

FUENTE: AEPD

La AEPD publica un estudio para analizar los flujos de información en apps realizadas para dispositivos Android

La Agencia Española de Protección de Datos (AEPD), ha publicado el estudio técnico Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva , realizado en colaboración con la Universidad Politécnica de Madrid. El estudio, dirigido fundamentalmente a desarrolladores de apps y responsables de tratamiento de datos personales, pone de manifiesto el elevado riesgo de fugas de información personal que se presenta en el entorno de las aplicaciones móviles, y ofrece una guía para que las organizaciones puedan auditar sus apps, analizando los flujos de información personal en dispositivos Android.

La finalidad es que los responsables del tratamiento de datos dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que la política de privacidad que se le está ofreciendo al usuario cumple con las garantías que exige el RGPD y la Ley Orgánica de Protección de Datos (3/2018).

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica un informe sobre el tratamiento de datos relativos a opiniones políticas por los partidos

La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la Disposición final tercera de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que modifica la Ley Orgánica 5/1985 del Régimen Electoral General (LOREG) añadiendo el artículo 58 bis. Esta modificación fue introducida durante la tramitación parlamentaria de la LOPD y, al no encontrarse en el Proyecto de Ley remitido por el Gobierno, no fue objeto de informe preceptivo por parte de la Agencia.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS