Sanción de 30.000 euros a Vueling por su política de cookies

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Vueling con 30.000 euros por incumplir el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI). La aerolínea ha reconocido que instala cookies en los ordenadores y equipos conectados a la red, de los visitantes de su página web sin solicitar su consentimiento expreso.

La sanción de 30.000 euros se ha reducido a 18.000 euros al reconocer la compañía su mala praxis y acceder al pago voluntario de la misma.

Artículo 22.2 de la LSSI

El artículo 22.2 de la LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

La denuncia registrada en la Agencia por parte de un usuario de la web de esta aerolínea aseguraba: “Como cliente y usuario de la Web de Vueling indicarles que, en el tratamiento de cookies no permiten al usuario utilizar las cookies estrictamente necesarias, y además huelga una acción afirmativa y positiva que no se pueda malinterpretar para el consentimiento y lo asumen simplemente al visitar su página web. Además, he solicitado información sobre la innumerable lista de servicios de terceros que se cargan en dicha web, comprometiendo datos personales como la IP”.

Investigación de la AEPD a la web de Vueling

Tras recibir la denuncia, la AEPD procede a investigar las actuaciones denunciadas. En su petición de información a la compañía aérea, Vueling indica que se está actualmente implementando un mecanismo que permita a los usuarios seleccionar los tipos de cookies que desean que se instalen en sus dispositivos. Además, remarcan que no todas las cookies precisan del consentimiento del usuario, ya que algunas son necesarias para tramitar el proceso de compra de billetes y el acceso a zonas restringidas de la web”.

La investigación de la Agencia descubre que en la web analizada, el consentimiento a que se cedan datos a terceros a través de cookies es implícito. En ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otras cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas. Por consiguiente, no ofrece la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.

Además, las pesquisas demuestran que la web no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular.

Resolución de la AEPD y sanción de 30.000 euros

De este modo, queda probado que la web de Vueling incumple la normativa referente a la política de cookies, al no solicitar un consentimiento expreso del usuario. Dicho incumplimiento está tipificado como leve en el artículo 38.4 g) de la LSSI. Y como tal, puede ser sancionado con una multa de hasta 30.000 €, de acuerdo con el artículo 39 de dicha Ley.

Impuesta la sanción máxima de 30.000 euros, la compañía ha reconocido su error y ha hecho uso de la reducción de la cuantía por pago voluntario. Finalmente la cantidad pagada por la aerolínea asciende a 18.000 euros.

Publicado en LSSI | Etiquetado , , , , | Deja un comentario

¿Quién NO tiene la obligación de realizar una Evaluación de Impacto en Protección de Datos?

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer un listado en los que establece los tratamientos de datos personales que están exentos de la obligación de realizar la Evaluación de Impacto en Protección de Datos (EIPD) que establece la norma europea.

En el Reglamento Europeo de Protección de Datos (RGPD) en vigor desde mayo de 2018, se recoge, mediante el artículo 35.1 del mismo, la obligación de realizar una EIPD para las organizaciones que traten datos que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Esta Evaluación debe realizarse con anterioridad al tratamiento, con el fin de establecer los riesgos y tomar las medidas necesarias de seguridad para evitar estos riesgos. En el Reglamento también se establece que las autoridades de control de cada estado miembro serán las encargadas de elaborar la lista de los tipos de tratamiento que no requieren una evaluación de impacto.

En este sentido, la AEPD, responsable de la Protección de Datos en España, ha hecho pública esta lista orientativa, con el objetivo de ayudar a los responsables a identificar los tratamientos en los que no es obligatorio realizar esta Evaluación.

La Agencia aclara que esta lista solo exime de cumplir con la obligación de realizar la Evaluación de Impacto, pero no del resto de obligaciones que establece el Reglamento Europeo.

Tratamientos con obligación de EIPD

Con anterioridad a la publicación de la lista de tratamientos exentos de la Evaluación, la Agencia publicó una lista con los tratamientos que Sí están obligados. Esta lista está disponible en este enlace de la web de la Agencia.

Tratamientos exentos de realizar una EIPD

A continuación citamos los siete puntos que establece la lista de No obligados a Evaluaciones de Impacto, publicada por la Agencia.

1.Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

Desde Cumple Protección de Datos os podemos ayudar a cumplir con las obligaciones que establece el Reglamento Europeo. Pídenos un presupuesto sin compromiso.

Publicado en Protección de Datos | Etiquetado , , , , , , | Deja un comentario

Gestiona, herramienta de la AEPD para análisis de riesgo y evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) pone a disposición de los encargados del tratamiento de datos personales de alto riesgo, la herramienta Gestiona. El objetivo es ayudar a las empresas, organizaciones y administraciones que trabajan con estos datos, a realizar análisis de riesgos y evaluaciones de impacto, tal y como establece el Reglamento Europeo de Protección de Datos (RGPD).

Gestiona_EIPD es una herramienta gratuita que consiste en un cuestionario online, mediante el cual los encargados del tratamiento, en función de las respuestas dadas, saben si deben realizar una evaluación de impacto y un análisis de riesgo. La Agencia recuerda, que las respuestas dadas no se conservan ni se monitorizan.

El RGPD obliga a las empresas y organizaciones que tratan datos considerados de alto riesgo como son datos de salud, de menores, religión, ideología… deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el Reglamento les exige en su artículo 35.4 la obligación de realizar una Evaluación de Impacto en Protección de Datos (EIPD).

La EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.

Por tanto, esta Evaluación de Impacto ayuda a las empresas a conocer antes de que ocurran, los posibles riesgos a los que están expuestos los datos personales que trata y maneja. De este modo al conocer los riesgos, se pueden prever acciones para evitarlos o reducirlos hasta un nivel de riesgo aceptable.

Como señala la Agencia, “en la práctica, la Evaluación permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable”.

Una vez realizada dicha Evaluación, sus resultados deben tenerse en cuenta para asegurar el cumplimiento de todas las obligaciones expuestas en la normativa europea y defender el derecho a la intimidad y la privacidad de los usuarios.

La Agencia ya desarrolló otra herramienta similar denominada Facilita RGPD que está dirigida a empresas y negocios que tratan datos de bajo riesgo, para facilitarles, como su propio nombre indica el cumplimiento de la normativa europea en materia de protección de datos. Estas organizaciones no están obligadas a realizar evaluaciones de impacto, ya que el riesgo de los datos personales que maneja es bajo.

En este post anterior os hablamos del listado de tratamientos de datos que estaban obligados a someterse a una Evaluación de Impacto.

Además, la Agencia ha publicado una Guía en la que se explica cómo realizar esta evaluación y analizar los riesgos potenciales. Está disponible en este enlace:

Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al
RGPD

Desde Cumple Protección de Datos os podemos ayudar a cumplir con la protección de datos en tu negocio, actividad, empresa, organización. Pide presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , , | Deja un comentario

Los riesgos y sanciones del coste cero en Protección de Datos

La Agencia Española de Protección de Datos (AEPD), junto con a la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, presentan un informe en el que se alerta de los riesgos y se establecen las sanciones que implican las infracciones administrativas, derivadas de los conocidos servicios a coste cero, en materia de protección de datos.

Estos servicios a coste cero, se prestan por determinadas empresas que ofrecen asesoría y consultoría para cumplir con las normas de protección de datos. Sus honorarios se abonan con los fondos destinados a formación para trabajadores. De este modo, las empresas y autónomos pagan un precio irrisorio e incluso gratuito por estos servicios. Al estar bonificados estos fondos, de formación, por la Seguridad Social.

Sanciones del coste cero en protección de datos

En el informe de la Agencia se señala esta práctica como fraudulenta y se exponen las sanciones que puede implicar. Además se informa de otra serie de prácticas fraudulentas, asociadas a la falta de profesionalidad de estas empresas que ofrecen sus servicios de protección de datos a coste cero.

Entre los fraudes de los que alerta la AEPD destaca: el engaño a los profesionales y empresas sobre la obligación de contratar un Delegado de Protección de Datos, cuando en la normativa europea, esta figura solo es obligatoria para determinadas entidades. Las que manejan un gran volumen de datos personales o datos de carácter sensible.

El fraude los servicios de protección de datos a coste cero está penalizado con sanciones. La cuantía de las mismas puede ir desde los 626 euros hasta los 187.515 euros. Además de la obligación de devolver las bonificaciones obtenidas.

A estas sanciones ,que aplica la Inspección de Trabajo, se ha de sumar una infracción de la Agencia Tributaria. Dado que los fondos obtenidos por formación están exentos de IVA. En caso de que se descubra el fraude, tanto para la empresa prestadora del servicio a coste cero como a la contratante, se le puede imponer una multa pecuniaria proporcional (del 50% en adelante), sobre la cuantía no ingresada en concepto del 21% del IVA al que tributan estos servicios.

Fraudes y engaños del coste cero

La AEPD además de las sanciones explica en su documento las prácticas fraudulentas y los engaños de los prestadores del coste cero en protección de datos. Recuerdan que en virtud del Reglamento Europeo de Protección de Datos (RGPD), cada empresa que trata datos personales debe realizar un estudio individual y pormenorizado (tipo de tratamientos, sistemas informáticos, sistemas de gestión documental…), por lo que no es correcto el asesoramiento con un documento genérico que no tiene en cuenta las peculiaridades de cada empresa o profesional autónomo.

Estas prácticas, además, son consideradas competencia desleal, respecto a las otras empresas serias y profesionales que actúan conforme a la normativa. Hay prácticas que son ilegales y, que como tal, los afectados pueden denunciar ante los juzgados de lo mercantil o ante la Comisión Nacional de los Mercados y de la Competencia.

Entre las prácticas fraudulentas, la Agencia alerta de varias acciones: actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan; generar la apariencia de que se está actuando en colaboración con la AEPD; realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios, mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos; ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa, de forma complementaria a la realización de acciones formativas, sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento”.

Con el fin de no sufrir este fraude, se recomienda a los profesionales que antes de contratar un servicio de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas en el párrafo anterior. Ante la mínima duda se puede contactar con la Agencia en cualquiera de sus canales.

Desde Cumple Protección de Datos nos unimos a la denuncia de la Agencia y aportamos nuestro grano de arena para luchar contra estos fraudes. La Protección de Datos debe realizarse por profesionales serios y de forma personalizada para cada cliente. Así trabajamos día a día con nuestros clientes. Son muchos años de experiencia.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , | Deja un comentario

Premios Protección de Datos 2019, convocados por la AEPD

La Agencia Española de Protección de Datos ha convocado un año más sus Premios Protección de Datos. Se pueden presentar las candidaturas hasta el próximo 15 de noviembre de 2019.

Con estos Premios, la Agencia quiere reconocer la labor de aquellos que trabajan para difundir y defender el derecho a la protección de datos. Reconociendo la labor en ámbitos como la educación, empresa, investigación, entre otros.

En la edición Premios Protección de Datos 2019 se amplían los galardones con dos nuevas categorías: Premio Emprendimiento en protección de datos ‘Ángela Ruiz Robles’ y el Premio a las buenas prácticas para una mayor protección en Internet de la privacidad de las mujeres víctimas de violencia por razón de género.

Los galardones se entregan a personas individuales, proyectos conjuntos, organismos públicos y empresas. En cada categoría se incluyen varias modalidades.

Las categorías de los Premios Protección de Datos 2019

Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento: reconoce la labor de organizaciones que promuevan la adaptación al Reglamento General de Protección de Datos (RGPD), así como aquellas que contribuyan a garantizar el derecho fundamental a la protección de datos personales.

Comunicación: reconocer los trabajos periodísticos de medios y profesionales de la comunicación que supongan una aportación destacada a la promoción de la privacidad entre los ciudadanos y las entidades que tratan información personal.

Buenas Prácticas Educativas para el uso seguro de Internet por los menores: premia prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en Internet, tanto propia como de terceros.

El Premio de Investigación Emilio Aced: reconoce trabajos y proyectos con un enfoque estrictamente práctico, realizados en el ámbito de una Universidad o institución de la Unión Europea o Iberoamérica que promueva o financie estudios de investigación en el contexto de la investigación científico-técnica y en los que se apliquen los principios de protección de datos con el fin de garantizar los derechos y libertades de las personas.

Premio de Emprendimiento en Protección de Datos Personales ‘Ángela Ruiz Robles’: premia el desarrollo una actividad empresarial, producto o servicio creativo, innovador y con impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas.

Premio a las buenas prácticas para una mayor protección en Internet de la privacidad de las mujeres víctimas de violencia de género: premia una actividad, producto o servicio del ámbito público o privado destinado a la sensibilización y prevención de las distintas formas de violencia de género en el entorno de Internet.

Publicado en AEPD | Etiquetado , , , , , , | Deja un comentario

Tratamientos de datos con la obligación de realizar una Evaluación de Impacto. Listado AEPD

La Agencia Española de Protección de Datos (AEPD) atendiendo al artículo 35.1 apartado 4 del Reglamento General de Protección de Datos (RGPD) que señala la obligación de las autoridades de control de elaborar y publicar una lista con los tratamientos de datos que están obligados a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD).

El RGPD señala en su artículo 35.1 que las organizaciones, empresas, particulares que tratan datos con riesgo alto para los derechos y libertados de las personas deben realizar una Evaluación de impacto, antes de realizar el tratamiento de estos datos.

Esta Evaluación de Impacto tiene como objetivo delimitar los riesgos y establecer medidas para asegurar dichos datos y su tratamiento cumpliendo la Ley. En esta Guía de la AEPD se explica cómo realizar esta evaluación.

Los tratamientos que señala la lista de la AEPD obligados a realizar una Evaluación de Impacto relativa a Protección de Datos son los siguientes. Es una lista orientativa.

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida, que cubren varios aspectos de su personalidad o sobre sobre sus hábitos.

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

7. Tratamientos que impliquen el uso de datos a gran escala.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Desde Cumple Protección de Datos os podemos ayudar y asesorar en todo lo relativo a la normativa nacional y europea a este respecto. Incluido la realización de la Evaluación de Impacto.

Publicado en Protección de Datos | Etiquetado , , , , | 1 comentario

Novedades de la Lista Robinson, de exclusión de comunicaciones publicitarias

La Agencia Española de Protección de Datos (AEPD) y la Asociación Española de la Economía Digital (Adigital) han dado a conocer las novedades de la Lista Robinson para mejorar la protección de datos de los usuarios y facilitar el cumplimiento de las normativas europeas y españolas en este ámbito.

La Lista Robinson se creó en 1993 con el objetivo de facilitar el derecho de oposición de los usuarios a que sus datos personales sean usados para el envío de comunicaciones comerciales. Permite a las personas que se apunten a la lista, evitar las llamadas y los correos con publicidad no deseada. Las empresas la consultan para no enviar sus comunicaciones a las personas de la lista.

Las novedades incluidas recientemente buscan asegurar el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD) y la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que sustituye a la antigua LOPD.

Con el fin de adaptarse a las nuevas normativas, se ha puesto a disposición de usuarios y empresas una nueva plataforma online multidispositivo que garantiza la confidencialidad, integridad, disponibilidad y resiliencia (capacidad de adaptación) permanente del Servicio.

Novedades para usuarios

Entre las novedades para los usuarios destaca la posibilidad de limitar la recepción de comunicaciones publicitarias por sectores. Para poder elegir de qué temas quieren o no quieren recibir publicidad, según sean sus intereses. Los ciudadanos pueden ejercer este derecho a través de la página web de la AEPD. También se pone a disposición de los usuarios, un nuevo servicio de gestión de reclamaciones.

Novedades para empresas

Por lo que respecta a las empresas y demás organizaciones, están obligadas a cumplir lo expuesto en el artículo 23 de la nueva LOPDGDD, que señala: “las empresas que pretenden realizar comunicaciones de mercadotecnia directa deben consultar los sistemas de exclusión publicitaria previamente, excluyendo así de sus comunicaciones los datos de los afectados que hubieran manifestado su oposición o negativa a las mismas. No será necesario realizar la consulta cuando el afectado haya prestado su consentimiento expreso a la empresa en cuestión para recibir la comunicación”.

Para facilitar el acceso a la Lista Robinson, se ha puesto a disposición de las organizaciones una nueva API, más sencilla, eficaz y segura. De este modo el nuevo sistema permite consultar de forma fácil y rápida, la lista de los usuarios a los que pueden y no pueden enviar su publicidad sin tener que realizar costosos desarrollos externos o inversiones económicas. Este servicio no tiene coste para Pymes y autónomos, siempre que no superen la cifra de 30.000 registros consultados al año.

Si eres un usuario y quieres apuntarte a la Lista Robinson puedes hacerlo en este enlace:
www.listarobinson.es

Publicado en LOPD, Protección de Datos | Etiquetado , , , , , , | Deja un comentario

Plan de Responsabilidad Social de la AEPD

La Asociación Española de Protección de Datos (AEPD) ha presentado su Plan de Responsabilidad Social 2019-2024, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, y conforme a los criterios de la Agenda 2030 y los Objetivos de Desarrollo Sostenible.

Este Plan se estructura en cuatro grandes compromisos de la AEPD: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. La Agencia tiene previsto realizar un centenar de acciones para cumplir con estos compromisos.

Según los datos expuestos en el Plan. De estas 100 acciones, “un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas”.

Plan-RS

Dentro de los cuatro ejes de actuación del Plan de Responsabilidad Social de la AEPD destacan las siguientes actuaciones:

Sociedad

Este compromiso se estructura en tres grandes bloques: el fomento de la prevención; la igualdad de género y la innovación y el emprendimiento. Para ello, la Agencia tiene previsto colaborar con varios organismos para ayudar en la formación, realización, ejecución de buenas prácticas en materia de protección de datos. Se pondrá especial atención en las medidas para controlar las situaciones de violencia en Internet, la protección de los más pequeños, ciberacoso, privacidad y seguridad en Internet, violencia de género en Internet.

Buen Gobierno, Transparencia y rendición de cuentas

En este compromiso, la Agencia desarrollará acciones que apuesten por una “política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público”. Está previsto la aprobación de un Código Ético y de Conducta para los empleados y responsables de la Agencia y un canal de denuncias anónimo.

Medioambiente

La Agencia va a seguir impulsando medidas que apuesten por el reciclaje, se eliminen barreras de movilidad, un uso responsable de recursos como el papel y un ahorro energético.

Empleados

En lo que respecta al compromiso con sus empleados, la AEPD va a aprobar un plan de igualdad, que evite las situaciones de acoso laboral, sexual. Se fomentará el teletrabajo para ayudar en la conciliación familiar. Además de ayudar a las empleadas víctimas de violencia de género.

Buzón de sugerencias

La Agencia abre a todos los ciudadanos la posibilidad de participar en este Plan, para ello pone a su disposición un buzón de sugerencias, disponible durante los próximos 15 días en este enlace. En él puedes dejar tus opiniones, sugerencias y propuestas para la AEPD.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

La AEPD se une al día de San Valentín con recomendaciones sobre las Apps de citas

Hoy se celebra San Valentín, el día de los enamorados. En estas fechas son muchas las personas que acuden a las Apps de citas para vivir en pareja este día. Desde la Agencia de Protección de Datos se han querido unir a este día con una serie de recomendaciones para el uso de estas aplicaciones sin que nuestros datos personales se vean comprometidos.

Son muchas las Apps de citas o aplicaciones para ligar que existen. Por citar algunas más conocidas encontramos: Meetic, eDarling, Match, Tinder, Badoo, Muapp, Adopta un Tío, Gindr o Wapa (para público gay), Happn (funciona por geolocalización).

Precauciones a tener en cuenta en la Apps de citas

Para ingresar en ellas es necesario tener una cuenta, que requiere la creación de un perfil. La AEPD alerta de la necesidad de comprobar que estamos registrándonos en la App verdadera, ya que existen réplicas fraudulentas que pueden comerciar con nuestros datos personales y robarlos para otros fines.

Una vez que nos hemos asegurado de que estamos en la página o aplicación oficial, el siguiente paso antes de registrarse es leer detenidamente su política de privacidad y las condiciones del servicio, para estar bien informados sobre el uso que hacen de nuestros datos personales, qué información recopilan, cómo la tratan, con qué fines, si la ceden a terceros.

Leídas las condiciones y decidida la App en la que nos registramos, el siguiente paso es crear el perfil. La Agencia nos recuerda la importancia de elegir contraseñas seguras (más de 8 caracteres, incluir mayúsculas, minúsculas, números…).

En la creación del perfil, la App nos solicitará una serie de datos personales, es importante solo dar los estrictamente necesarios (obligatorios), los que sean optativos, mejor no escribirlos. En algunos casos, podemos crear este perfil conectándonos a través de alguna red social. De este modo estamos dando permisos a la App para que acceda a una serie de datos de nuestra red social elegida. No os aconsejamos esta opción, porque estaremos compartiendo más datos de los necesarios y ligando ambas cuentas.

A la hora de crear el perfil son muchos los datos personales que se solicitan: nombre, gustos, estudios, profesión, aficiones e incluso otros datos más sensibles como la orientación sexual, política o religiosa. Además de una fotografía.

La Agencia apela a la discreción como mejor arma para proteger nuestros datos personales y nuestra privacidad. Nos anima a usar apodos, a compartir poca información o ninguna sobre gustos, preferencias políticas, religiosas, sexuales. En lo que respecta a la fotografía asociada a nuestro perfil es importante que no muestre datos que puedan identificar nuestro domicilio, lugar de trabajo, lugares que frecuentas.

Completado el registro, se recomienda revisar las opciones de privacidad que permite la App. Cuanto más privada y restrictiva con el uso de datos personales sea nuestra configuración, mayor protección tendremos sobre la información personal. Muchas de estos servicios de citas utilizan la geolocalización para mostrarnos personas cercanas a nosotros. La Agencia recomienda deshabilitar siempre la geolocalización cuando no estés utilizando la aplicación.

La cautela es muy importante

Nadie nos puede asegurar que las personas con las que estamos conectando en la App sean de verdad, es decir que no correspondan a un perfil falso, de alguien que se hace pasar por otro para hacernos daño. Es importante ser cautelosos.

Si decidimos trasladar la conversación a otro servicio como las aplicaciones de mensajería instantánea u otra red social, es importante revisar las condiciones de privacidad de estos servicios. Además es conveniente para evitar problemas indeseados, no compartir información personal a la ligera y evitar el llamado sexting o envío de fotos o vídeos de contenido sexual.

Si damos el paso de quedar físicamente con la persona, es necesario tomar otra serie de precauciones. La AEPD nos recomienda ir acompañado a la cita, informar a alguien del lugar, persona, detalles de nuestra cita. Si decides subir a un coche o ir a casa de tu cita, informa a alguien sobre la matrícula, dirección. Es importante ser precavido, nunca sabemos quién es realmente la persona con la que hemos quedado. Como se suele decir: ser precavido vale por dos.

Publicado en AEPD, Privacidad en Internet, Protección de Datos | Etiquetado , , , , , , , , , , , , | Deja un comentario

Premios Protección de Datos 2018, los ganadores de la AEPD

La Agencia Española de Protección de Datos ha anunciado quiénes son los ganadores de sus Premios de Protección de Datos 2018. En total se presentaron a estos galardones 68 candidaturas.

Los Premios Protección de Datos son una iniciativa de la Agencia cuyo objetivo es reconocer los trabajos que más promueven el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos. Se entregan en las categorías de ‘Comunicación’, ‘Investigación Emilio Aced’, ‘Buenas prácticas para adaptarse al Reglamento’ y ‘Buenas prácticas educativas para el uso seguro de Internet’.

Premios Protección de Datos 2018

Los ganadores en cada categoría han sido los siguientes.

Premio Protección de Datos en Comunicación

El galardón ha recaído en el grupo de comunicación Mediaset, por su campaña de difusión sobre los derechos y obligaciones del Reglamento General de Protección de Datos (RGPD). Esta difusión se ha realizado en los canales del grupo: Telecinco, Cuatro, FDF, Energy, Divinity y Be Mad. Se reconoce también la labor en su canal infantil Boing con vídeos en los que se habla del uso responsable de Internet y las nuevas tecnologías, a los más pequeños.

Premio Protección de Datos en Investigación Emilio Aced

El premiado en esta categoría ha sido Ángel Cuevas Rumín con su trabajo «Análisis y cuantificación del uso de datos sensibles por parte de Facebook». El jurado ha concedido un accésit a Javier Parra Arnau, Jagdish Prasad Achara y Claude Castelluccia, por su trabajo «MyAdChoices. Transparencia y control de la publicidad en línea». Una herramienta que permite a los usuarios conocer cómo se usan sus perfiles de navegación para sugerirles publicidad a la carta y a la vez investigan si los perfiles que manejan las empresas de publicidad permiten reconocer la identidad real del usuario.

Premio en Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos

En esta categoría se premia a empresas, asociaciones y fundaciones por una parte, y a entidades del ámbito público por otra. En la sección de iniciativas privadas reciben el premio dos asociaciones: Asociación Española de la Economía Digital (ADIGITAL) por su adaptación del servicio de Lista Robinson al RGPD; y la Asociación Multisectorial de la Información (ASEDIE), por la elaboración del Código de conducta del sector infomediario para el tratamiento de datos de carácter personal.

En el sector público, el premio ha sido para la Diputación Provincial de Valencia, por su proyecto de asistencia a las entidades locales para el cumplimiento de la normativa de protección de datos, incluido la formación y apoyo a los Delegados de Protección de Datos en el ámbito local, y especialmente en los municipios más pequeños.

Premio en Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de Internet

En el ámbito de centros escolares, el premio es para el IES Parque Goya, por su programa ‘Ciberayudantes’, que consiste en que alumnos a partir de 3º de la ESO dan charlas al resto de cursos inferiores de su colegio y de otros, sobre el buen uso de Internet.

Pantallas Amigas y el youtuber Iván Carrasco Lozano ( Ivangel Music), son reconocidos también en este aportado por su protección de los menores y concienciación para evitar prácticas como el grooming o el ciberbullying.

Publicado en AEPD | Etiquetado , , | Deja un comentario