Los riesgos y sanciones del coste cero en Protección de Datos

La Agencia Española de Protección de Datos (AEPD), junto con a la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, presentan un informe en el que se alerta de los riesgos y se establecen las sanciones que implican las infracciones administrativas, derivadas de los conocidos servicios a coste cero, en materia de protección de datos.

Estos servicios a coste cero, se prestan por determinadas empresas que ofrecen asesoría y consultoría para cumplir con las normas de protección de datos. Sus honorarios se abonan con los fondos destinados a formación para trabajadores. De este modo, las empresas y autónomos pagan un precio irrisorio e incluso gratuito por estos servicios. Al estar bonificados estos fondos, de formación, por la Seguridad Social.

Sanciones del coste cero en protección de datos

En el informe de la Agencia se señala esta práctica como fraudulenta y se exponen las sanciones que puede implicar. Además se informa de otra serie de prácticas fraudulentas, asociadas a la falta de profesionalidad de estas empresas que ofrecen sus servicios de protección de datos a coste cero.

Entre los fraudes de los que alerta la AEPD destaca: el engaño a los profesionales y empresas sobre la obligación de contratar un Delegado de Protección de Datos, cuando en la normativa europea, esta figura solo es obligatoria para determinadas entidades. Las que manejan un gran volumen de datos personales o datos de carácter sensible.

El fraude los servicios de protección de datos a coste cero está penalizado con sanciones. La cuantía de las mismas puede ir desde los 626 euros hasta los 187.515 euros. Además de la obligación de devolver las bonificaciones obtenidas.

A estas sanciones ,que aplica la Inspección de Trabajo, se ha de sumar una infracción de la Agencia Tributaria. Dado que los fondos obtenidos por formación están exentos de IVA. En caso de que se descubra el fraude, tanto para la empresa prestadora del servicio a coste cero como a la contratante, se le puede imponer una multa pecuniaria proporcional (del 50% en adelante), sobre la cuantía no ingresada en concepto del 21% del IVA al que tributan estos servicios.

Fraudes y engaños del coste cero

La AEPD además de las sanciones explica en su documento las prácticas fraudulentas y los engaños de los prestadores del coste cero en protección de datos. Recuerdan que en virtud del Reglamento Europeo de Protección de Datos (RGPD), cada empresa que trata datos personales debe realizar un estudio individual y pormenorizado (tipo de tratamientos, sistemas informáticos, sistemas de gestión documental…), por lo que no es correcto el asesoramiento con un documento genérico que no tiene en cuenta las peculiaridades de cada empresa o profesional autónomo.

Estas prácticas, además, son consideradas competencia desleal, respecto a las otras empresas serias y profesionales que actúan conforme a la normativa. Hay prácticas que son ilegales y, que como tal, los afectados pueden denunciar ante los juzgados de lo mercantil o ante la Comisión Nacional de los Mercados y de la Competencia.

Entre las prácticas fraudulentas, la Agencia alerta de varias acciones: actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan; generar la apariencia de que se está actuando en colaboración con la AEPD; realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios, mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos; ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa, de forma complementaria a la realización de acciones formativas, sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento”.

Con el fin de no sufrir este fraude, se recomienda a los profesionales que antes de contratar un servicio de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas en el párrafo anterior. Ante la mínima duda se puede contactar con la Agencia en cualquiera de sus canales.

Desde Cumple Protección de Datos nos unimos a la denuncia de la Agencia y aportamos nuestro grano de arena para luchar contra estos fraudes. La Protección de Datos debe realizarse por profesionales serios y de forma personalizada para cada cliente. Así trabajamos día a día con nuestros clientes. Son muchos años de experiencia.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , | Deja un comentario

Premios Protección de Datos 2019, convocados por la AEPD

La Agencia Española de Protección de Datos ha convocado un año más sus Premios Protección de Datos. Se pueden presentar las candidaturas hasta el próximo 15 de noviembre de 2019.

Con estos Premios, la Agencia quiere reconocer la labor de aquellos que trabajan para difundir y defender el derecho a la protección de datos. Reconociendo la labor en ámbitos como la educación, empresa, investigación, entre otros.

En la edición Premios Protección de Datos 2019 se amplían los galardones con dos nuevas categorías: Premio Emprendimiento en protección de datos ‘Ángela Ruiz Robles’ y el Premio a las buenas prácticas para una mayor protección en Internet de la privacidad de las mujeres víctimas de violencia por razón de género.

Los galardones se entregan a personas individuales, proyectos conjuntos, organismos públicos y empresas. En cada categoría se incluyen varias modalidades.

Las categorías de los Premios Protección de Datos 2019

Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento: reconoce la labor de organizaciones que promuevan la adaptación al Reglamento General de Protección de Datos (RGPD), así como aquellas que contribuyan a garantizar el derecho fundamental a la protección de datos personales.

Comunicación: reconocer los trabajos periodísticos de medios y profesionales de la comunicación que supongan una aportación destacada a la promoción de la privacidad entre los ciudadanos y las entidades que tratan información personal.

Buenas Prácticas Educativas para el uso seguro de Internet por los menores: premia prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en Internet, tanto propia como de terceros.

El Premio de Investigación Emilio Aced: reconoce trabajos y proyectos con un enfoque estrictamente práctico, realizados en el ámbito de una Universidad o institución de la Unión Europea o Iberoamérica que promueva o financie estudios de investigación en el contexto de la investigación científico-técnica y en los que se apliquen los principios de protección de datos con el fin de garantizar los derechos y libertades de las personas.

Premio de Emprendimiento en Protección de Datos Personales ‘Ángela Ruiz Robles’: premia el desarrollo una actividad empresarial, producto o servicio creativo, innovador y con impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas.

Premio a las buenas prácticas para una mayor protección en Internet de la privacidad de las mujeres víctimas de violencia de género: premia una actividad, producto o servicio del ámbito público o privado destinado a la sensibilización y prevención de las distintas formas de violencia de género en el entorno de Internet.

Publicado en AEPD | Etiquetado , , , , , , | Deja un comentario

Tratamientos de datos con la obligación de realizar una Evaluación de Impacto. Listado AEPD

La Agencia Española de Protección de Datos (AEPD) atendiendo al artículo 35.1 apartado 4 del Reglamento General de Protección de Datos (RGPD) que señala la obligación de las autoridades de control de elaborar y publicar una lista con los tratamientos de datos que están obligados a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD).

El RGPD señala en su artículo 35.1 que las organizaciones, empresas, particulares que tratan datos con riesgo alto para los derechos y libertados de las personas deben realizar una Evaluación de impacto, antes de realizar el tratamiento de estos datos.

Esta Evaluación de Impacto tiene como objetivo delimitar los riesgos y establecer medidas para asegurar dichos datos y su tratamiento cumpliendo la Ley. En esta Guía de la AEPD se explica cómo realizar esta evaluación.

Los tratamientos que señala la lista de la AEPD obligados a realizar una Evaluación de Impacto relativa a Protección de Datos son los siguientes. Es una lista orientativa.

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida, que cubren varios aspectos de su personalidad o sobre sobre sus hábitos.

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

7. Tratamientos que impliquen el uso de datos a gran escala.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Desde Cumple Protección de Datos os podemos ayudar y asesorar en todo lo relativo a la normativa nacional y europea a este respecto. Incluido la realización de la Evaluación de Impacto.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

Novedades de la Lista Robinson, de exclusión de comunicaciones publicitarias

La Agencia Española de Protección de Datos (AEPD) y la Asociación Española de la Economía Digital (Adigital) han dado a conocer las novedades de la Lista Robinson para mejorar la protección de datos de los usuarios y facilitar el cumplimiento de las normativas europeas y españolas en este ámbito.

La Lista Robinson se creó en 1993 con el objetivo de facilitar el derecho de oposición de los usuarios a que sus datos personales sean usados para el envío de comunicaciones comerciales. Permite a las personas que se apunten a la lista, evitar las llamadas y los correos con publicidad no deseada. Las empresas la consultan para no enviar sus comunicaciones a las personas de la lista.

Las novedades incluidas recientemente buscan asegurar el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD) y la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que sustituye a la antigua LOPD.

Con el fin de adaptarse a las nuevas normativas, se ha puesto a disposición de usuarios y empresas una nueva plataforma online multidispositivo que garantiza la confidencialidad, integridad, disponibilidad y resiliencia (capacidad de adaptación) permanente del Servicio.

Novedades para usuarios

Entre las novedades para los usuarios destaca la posibilidad de limitar la recepción de comunicaciones publicitarias por sectores. Para poder elegir de qué temas quieren o no quieren recibir publicidad, según sean sus intereses. Los ciudadanos pueden ejercer este derecho a través de la página web de la AEPD. También se pone a disposición de los usuarios, un nuevo servicio de gestión de reclamaciones.

Novedades para empresas

Por lo que respecta a las empresas y demás organizaciones, están obligadas a cumplir lo expuesto en el artículo 23 de la nueva LOPDGDD, que señala: “las empresas que pretenden realizar comunicaciones de mercadotecnia directa deben consultar los sistemas de exclusión publicitaria previamente, excluyendo así de sus comunicaciones los datos de los afectados que hubieran manifestado su oposición o negativa a las mismas. No será necesario realizar la consulta cuando el afectado haya prestado su consentimiento expreso a la empresa en cuestión para recibir la comunicación”.

Para facilitar el acceso a la Lista Robinson, se ha puesto a disposición de las organizaciones una nueva API, más sencilla, eficaz y segura. De este modo el nuevo sistema permite consultar de forma fácil y rápida, la lista de los usuarios a los que pueden y no pueden enviar su publicidad sin tener que realizar costosos desarrollos externos o inversiones económicas. Este servicio no tiene coste para Pymes y autónomos, siempre que no superen la cifra de 30.000 registros consultados al año.

Si eres un usuario y quieres apuntarte a la Lista Robinson puedes hacerlo en este enlace:
www.listarobinson.es

Publicado en LOPD, Protección de Datos | Etiquetado , , , , , , | Deja un comentario

Plan de Responsabilidad Social de la AEPD

La Asociación Española de Protección de Datos (AEPD) ha presentado su Plan de Responsabilidad Social 2019-2024, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, y conforme a los criterios de la Agenda 2030 y los Objetivos de Desarrollo Sostenible.

Este Plan se estructura en cuatro grandes compromisos de la AEPD: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. La Agencia tiene previsto realizar un centenar de acciones para cumplir con estos compromisos.

Según los datos expuestos en el Plan. De estas 100 acciones, “un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas”.

Plan-RS

Dentro de los cuatro ejes de actuación del Plan de Responsabilidad Social de la AEPD destacan las siguientes actuaciones:

Sociedad

Este compromiso se estructura en tres grandes bloques: el fomento de la prevención; la igualdad de género y la innovación y el emprendimiento. Para ello, la Agencia tiene previsto colaborar con varios organismos para ayudar en la formación, realización, ejecución de buenas prácticas en materia de protección de datos. Se pondrá especial atención en las medidas para controlar las situaciones de violencia en Internet, la protección de los más pequeños, ciberacoso, privacidad y seguridad en Internet, violencia de género en Internet.

Buen Gobierno, Transparencia y rendición de cuentas

En este compromiso, la Agencia desarrollará acciones que apuesten por una “política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público”. Está previsto la aprobación de un Código Ético y de Conducta para los empleados y responsables de la Agencia y un canal de denuncias anónimo.

Medioambiente

La Agencia va a seguir impulsando medidas que apuesten por el reciclaje, se eliminen barreras de movilidad, un uso responsable de recursos como el papel y un ahorro energético.

Empleados

En lo que respecta al compromiso con sus empleados, la AEPD va a aprobar un plan de igualdad, que evite las situaciones de acoso laboral, sexual. Se fomentará el teletrabajo para ayudar en la conciliación familiar. Además de ayudar a las empleadas víctimas de violencia de género.

Buzón de sugerencias

La Agencia abre a todos los ciudadanos la posibilidad de participar en este Plan, para ello pone a su disposición un buzón de sugerencias, disponible durante los próximos 15 días en este enlace. En él puedes dejar tus opiniones, sugerencias y propuestas para la AEPD.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

La AEPD se une al día de San Valentín con recomendaciones sobre las Apps de citas

Hoy se celebra San Valentín, el día de los enamorados. En estas fechas son muchas las personas que acuden a las Apps de citas para vivir en pareja este día. Desde la Agencia de Protección de Datos se han querido unir a este día con una serie de recomendaciones para el uso de estas aplicaciones sin que nuestros datos personales se vean comprometidos.

Son muchas las Apps de citas o aplicaciones para ligar que existen. Por citar algunas más conocidas encontramos: Meetic, eDarling, Match, Tinder, Badoo, Muapp, Adopta un Tío, Gindr o Wapa (para público gay), Happn (funciona por geolocalización).

Precauciones a tener en cuenta en la Apps de citas

Para ingresar en ellas es necesario tener una cuenta, que requiere la creación de un perfil. La AEPD alerta de la necesidad de comprobar que estamos registrándonos en la App verdadera, ya que existen réplicas fraudulentas que pueden comerciar con nuestros datos personales y robarlos para otros fines.

Una vez que nos hemos asegurado de que estamos en la página o aplicación oficial, el siguiente paso antes de registrarse es leer detenidamente su política de privacidad y las condiciones del servicio, para estar bien informados sobre el uso que hacen de nuestros datos personales, qué información recopilan, cómo la tratan, con qué fines, si la ceden a terceros.

Leídas las condiciones y decidida la App en la que nos registramos, el siguiente paso es crear el perfil. La Agencia nos recuerda la importancia de elegir contraseñas seguras (más de 8 caracteres, incluir mayúsculas, minúsculas, números…).

En la creación del perfil, la App nos solicitará una serie de datos personales, es importante solo dar los estrictamente necesarios (obligatorios), los que sean optativos, mejor no escribirlos. En algunos casos, podemos crear este perfil conectándonos a través de alguna red social. De este modo estamos dando permisos a la App para que acceda a una serie de datos de nuestra red social elegida. No os aconsejamos esta opción, porque estaremos compartiendo más datos de los necesarios y ligando ambas cuentas.

A la hora de crear el perfil son muchos los datos personales que se solicitan: nombre, gustos, estudios, profesión, aficiones e incluso otros datos más sensibles como la orientación sexual, política o religiosa. Además de una fotografía.

La Agencia apela a la discreción como mejor arma para proteger nuestros datos personales y nuestra privacidad. Nos anima a usar apodos, a compartir poca información o ninguna sobre gustos, preferencias políticas, religiosas, sexuales. En lo que respecta a la fotografía asociada a nuestro perfil es importante que no muestre datos que puedan identificar nuestro domicilio, lugar de trabajo, lugares que frecuentas.

Completado el registro, se recomienda revisar las opciones de privacidad que permite la App. Cuanto más privada y restrictiva con el uso de datos personales sea nuestra configuración, mayor protección tendremos sobre la información personal. Muchas de estos servicios de citas utilizan la geolocalización para mostrarnos personas cercanas a nosotros. La Agencia recomienda deshabilitar siempre la geolocalización cuando no estés utilizando la aplicación.

La cautela es muy importante

Nadie nos puede asegurar que las personas con las que estamos conectando en la App sean de verdad, es decir que no correspondan a un perfil falso, de alguien que se hace pasar por otro para hacernos daño. Es importante ser cautelosos.

Si decidimos trasladar la conversación a otro servicio como las aplicaciones de mensajería instantánea u otra red social, es importante revisar las condiciones de privacidad de estos servicios. Además es conveniente para evitar problemas indeseados, no compartir información personal a la ligera y evitar el llamado sexting o envío de fotos o vídeos de contenido sexual.

Si damos el paso de quedar físicamente con la persona, es necesario tomar otra serie de precauciones. La AEPD nos recomienda ir acompañado a la cita, informar a alguien del lugar, persona, detalles de nuestra cita. Si decides subir a un coche o ir a casa de tu cita, informa a alguien sobre la matrícula, dirección. Es importante ser precavido, nunca sabemos quién es realmente la persona con la que hemos quedado. Como se suele decir: ser precavido vale por dos.

Publicado en AEPD, Privacidad en Internet, Protección de Datos | Etiquetado , , , , , , , , , , , , | Deja un comentario

Premios Protección de Datos 2018, los ganadores de la AEPD

La Agencia Española de Protección de Datos ha anunciado quiénes son los ganadores de sus Premios de Protección de Datos 2018. En total se presentaron a estos galardones 68 candidaturas.

Los Premios Protección de Datos son una iniciativa de la Agencia cuyo objetivo es reconocer los trabajos que más promueven el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos. Se entregan en las categorías de ‘Comunicación’, ‘Investigación Emilio Aced’, ‘Buenas prácticas para adaptarse al Reglamento’ y ‘Buenas prácticas educativas para el uso seguro de Internet’.

Premios Protección de Datos 2018

Los ganadores en cada categoría han sido los siguientes.

Premio Protección de Datos en Comunicación

El galardón ha recaído en el grupo de comunicación Mediaset, por su campaña de difusión sobre los derechos y obligaciones del Reglamento General de Protección de Datos (RGPD). Esta difusión se ha realizado en los canales del grupo: Telecinco, Cuatro, FDF, Energy, Divinity y Be Mad. Se reconoce también la labor en su canal infantil Boing con vídeos en los que se habla del uso responsable de Internet y las nuevas tecnologías, a los más pequeños.

Premio Protección de Datos en Investigación Emilio Aced

El premiado en esta categoría ha sido Ángel Cuevas Rumín con su trabajo “Análisis y cuantificación del uso de datos sensibles por parte de Facebook”. El jurado ha concedido un accésit a Javier Parra Arnau, Jagdish Prasad Achara y Claude Castelluccia, por su trabajo “MyAdChoices. Transparencia y control de la publicidad en línea”. Una herramienta que permite a los usuarios conocer cómo se usan sus perfiles de navegación para sugerirles publicidad a la carta y a la vez investigan si los perfiles que manejan las empresas de publicidad permiten reconocer la identidad real del usuario.

Premio en Buenas prácticas en privacidad y protección de datos personales sobre iniciativas para adaptarse al Reglamento europeo de Protección de Datos

En esta categoría se premia a empresas, asociaciones y fundaciones por una parte, y a entidades del ámbito público por otra. En la sección de iniciativas privadas reciben el premio dos asociaciones: Asociación Española de la Economía Digital (ADIGITAL) por su adaptación del servicio de Lista Robinson al RGPD; y la Asociación Multisectorial de la Información (ASEDIE), por la elaboración del Código de conducta del sector infomediario para el tratamiento de datos de carácter personal.

En el sector público, el premio ha sido para la Diputación Provincial de Valencia, por su proyecto de asistencia a las entidades locales para el cumplimiento de la normativa de protección de datos, incluido la formación y apoyo a los Delegados de Protección de Datos en el ámbito local, y especialmente en los municipios más pequeños.

Premio en Buenas prácticas educativas en privacidad y protección de datos personales para un uso seguro de Internet

En el ámbito de centros escolares, el premio es para el IES Parque Goya, por su programa ‘Ciberayudantes’, que consiste en que alumnos a partir de 3º de la ESO dan charlas al resto de cursos inferiores de su colegio y de otros, sobre el buen uso de Internet.

Pantallas Amigas y el youtuber Iván Carrasco Lozano ( Ivangel Music), son reconocidos también en este aportado por su protección de los menores y concienciación para evitar prácticas como el grooming o el ciberbullying.

Publicado en AEPD | Etiquetado , , | Deja un comentario

La App de Metrovalencia deja al descubierto datos de sus usuarios

Un ingeniero informático ha denunciado ante la justicia y ante la Agencia Española de Protección de Datos que la aplicación para móviles de Metrovalencia deja al descubierto datos personales de sus usuarios.

El diario digital Valencia Plaza ha hecho pública la denuncia de este ingeniero informático que aporta con pruebas, mediante una auditoría -disponible en este enlace del periódico digital– los fallos de la App que permiten que los datos queden en abierto.

Según la denuncia, cualquier persona de forma sencilla puede acceder a través del programa Postman a una serie de datos personales de los usuarios de la aplicación móvil. Entre ellos, su email, NIF, nombre completo, sexo, fecha de nacimiento, dirección, teléfono. El medio digital señala en su noticia que ha podido comprobar que esto es así. Incluso asegura que se podría acceder al número de tarjeta de crédito, con la peligrosidad que esto supone, aunque no lo ha intentado para no incurrir en un delito.

Según señala el ingeniero informático en su denuncia, el problema está radicado en el software de la aplicación, que asegura que no se ha realizado por profesionales cualificados, por lo que deja de lado la obligación legal de implementar un sistema de autentificación que permita la seguridad de los datos personales que maneja la aplicación.

La situación es más grave, ya que mediante los fallos de la aplicación, se puede también acceder a una serie de datos sobre la actividad de los usuarios. Podemos conocer las rutas que realiza, las tarjetas de transporte que tiene asociadas cada usuario, las recargas que realiza, la fecha, hora de sus entrada y salida del metro. Datos que nos permiten adentrarnos en el ámbito privado y la intimidad de cada usuario.

También permite que los usuarios estén expuestos a fraudes en sus tarjetas bancarias. Esto es porque no se siguen, ni se han implementado los requisitos mínimos de seguridad que establece el protocolo para pagos con tarjeta.

En la auditoría presentada por el denunciante recomienda a todos los usuarios desinstalar la App de Metrovalencia, borrando previamente todos los datos que aportó a la aplicación. Además solicita que se realice una investigación para saber qué datos y qué usuarios han podido ser objeto del robo de datos y subsanar los problemas que se hayan producido por esta filtración.

Desde Cumple Protección de Datos os queremos recordar la importancia de contratar servicios de profesionales cualificados y que cumplen las leyes en materia de protección de datos. Estaremos atentos a las consecuencias que establezca la justicia, a la vista de esta denuncia.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

La AEPD cumple 25 años

La Agencia Española de Protección de Datos está de aniversario. Cumple un cuarto de siglo, 25 años. Para celebrarlo ha editado el libro “25 años de la AEPD: acompañando al ciudadano en su transformación digital”. Su fundación data de 1993.

En la publicación la Agencia, que se encarga de velar por la protección de datos de los ciudadanos, hace un repaso de sus 25 años de historia. Muestra cómo ha evolucionado la sociedad y los avances tecnológicos que se han vivido.

En un acto celebrado en el Senado, la Agencia ha querido celebrar sus 25 años. El acto estuvo presidido por la ministra de Justicia, Dolores Delgado, el presidente del Senado, Pío García-Escudero y la directora de la Agencia, Mar España. A los que vemos en la imagen siguiente.

inauguracion-25-aos-AEPD

La jornada contó con la participación de otros directores de la Agencia y con representantes de organismos de protección de datos a nivel internacional.

Desde su creación en 1993 la Agencia se ha enfrentado a muchos retos y sigue enfrentándose. Algunos de ellos son fruto del gran avance en el mundo de las nuevas tecnologías con la llegada de las redes sociales, aplicaciones. Además de los cambios en la normativa como el recién aprobado Reglamento Europeo de Protección de Datos y la futura Ley española que se encuentra en fase de discusión y que sustituirá a la actual Ley de Protección de Datos de Carácter Personal (LOPD).

En el libro que repasa su historia se habla de todos estos avances y retos. Destacando la relación entre tecnología y privacidad y la cesión de datos personales y su tratamiento. Las Sentencias más importantes de la Justicia, como la relativa al Derecho al olvido de mayo de 2014, por parte del Tribunal de Justicia de la Unión Europea.

Durante todos estos años de historia, la Agencia ha ido creciendo. Nació con 33 empleados y hoy en día su plantilla es de 180 personas que trabajan día a día para velar por los datos personales de los ciudadanos.

En la publicación también se repasan los datos del trabajo de la Agencia, con la evolución de las reclamaciones recibidas. De las 81 reclamaciones de 1994 a las más de 10.500 del pasado año 2017. Destacando las preocupaciones de los ciudadanos sobre datos sobre solvencia, crédito y morosidad y publicidad directa.

También hay cabida al apartado de sanciones. Repasando algunas de las más relevantes como los 900.000 euros a Google por infringir la LOPD al cambiar su política de privacidad, aunándola para todos sus servicios; o la de 1,2 millones a Facebook y WhatsApp por ceder y tratar datos sin su consentimiento cuando la red social compró la aplicación de mensajería instantánea.

Todos los interesados en leer el libro de los 25 años de la Agencia pueden hacerlo en este enlace.

Desde Cumple Protección de Datos deseamos a la AEPD un muy Feliz Cumpleaños.

Publicado en AEPD | Etiquetado , , , | Deja un comentario

Uber sancionada con 148 millones de dólares por ocultar un hackeo

Ocultar una brecha de seguridad tiene sus consecuencias. Esto es lo que le ha ocurrido a la compañía Uber en Estados Unidos que deberá pagar 148 millones por no haber informado del robo de información que sufrió por parte de unos hacker y que afectó a 57 millones de cuentas.

El robo de datos se produjo en 2016 y no fue notificado. Uber decidió omitir esta información y aceptar el chantaje de los hacker, a los que pagó para ocultar este robo. Ahora la empresa ha llegado a un acuerdo con la justicia americana y pagará 148 millones de dólares. Además de comprometerse a hacer cambios en su política de protección de datos para evitar acciones similares.

Las normas internacionales, tanto la americana como la recién aprobada en Europa establece la obligación de informar en el momento que se detecta de las brechas de seguridad. En caso de ocultación se establecen sanciones que pueden llegar al 4% de la facturación, en el caso de la Unión Europea.

También deben tomarse las medidas adecuadas para solucionar la brecha e implementar mecanismos para que no vuelva a producirse. Es obligatorio avisar a los clientes de que sus datos se han visto comprometidos.

Uber además de hacer frente al pago acordado, deberá cambiar su política de protección de datos e informar trimestralmente a las autoridades pertinentes de Estados Unidos de sus actuaciones en el campo de la protección de datos.

En el caso de Europa el nuevo Reglamento establece nuevos parámetros y obligaciones respecto a las brechas de seguridad. Para facilitar su cumplimiento, desde la Agencia Española de Protección de Datos se ha publicado una Guía para la gestión y la notificación de las brechas de seguridad.

De esta guía os hablamos en nuestro post anterior. Recordamos que “las brechas de seguridad o violaciones de seguridad de los datos personales, son todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La Guía de gestión y notificación de las brechas de seguridad está disponible en el siguiente enlace de la web de la AEPD.

Desde Cumple Protección de Datos os podemos ayudar en este tipo de situaciones. Evitaréis así veros expuestos a sanciones tan duras como la de Uber. Pídenos un presupuesto sin compromiso.

 

Publicado en Noticias, Protección de Datos | Etiquetado , , , , , , , | Deja un comentario