Brecha de seguridad en Decathlon España: 123 millones de registros hackeados

La firma de material deportivo Decathlon España ha sufrido una brecha de seguridad, que ha supuesto el hackeo de 123 millones de registros alojados en un servidor de su propiedad.

Tal y como señala la organización de consumidores FACUA, la brecha fue descubierta por la compañía de ciberseguridad vpnMentor, que la comunicó a la firma Decathlon el pasado 16 de febrero. En principio se cree que el hackeo afecta a la compañía de material deportivo en su sede de España y posiblemente en Reino Unido, aunque según los descubridores “puede afectar a otras localizaciones”.

En concreto esta brecha de seguridad ha expuesto un total de 123 millones de registro que ocupan 9GB. Según ha señalado Decathlon a la agencia de noticias Europa Press, esta brecha “no ha afectado a datos sensibles”. Según los análisis realizados, solo el 0,03% de los datos expuesto son de usuarios, frente al 99,97% que son datos técnicos internos. Además, han remarcado que ya se ha puesto solución al problema.

Los datos expuestos de Decathlon

El diario deportivo AS señala que los datos hackeados son: “los nombres de usuario de los empleados, contraseñas no encriptadas, registros de la API, nombre de usuario de la API y contraseña no encriptada, los números de la seguridad social, nombres completos, nacionalidades, números de teléfono móvil, direcciones completas, fechas de nacimiento, educación, direcciones de correo electrónico del trabajo, información sobre el contrato de trabajo, horas de trabajo, ubicación, calificaciones, período de contrato, roles, el correo electrónico del cliente y la información de acceso, sin codificar, direcciones IP privadas”.

Datos que si caen en manos de ciberdelincuentes, según indica FACUA en su comunicado, citando fuentes de vpnMentor pueden usarse para “realizar ataques de phishing (suplantación de la identidad de una fuente legítima), espionaje corporativo o robo de identidad. También puede dar lugar a amenazas físicas a los afectados, dado que se ha filtrado el lugar de trabajo y el domicilio”.

Normativa sobre brechas de seguridad

Desde la entrada en vigor del Reglamento Europeo de Protección de Datos en mayo de 2018, es obligatorio para los responsables del tratamiento de datos personales, informar de las brechas de seguridad sufridas. Concretamente, la Ley establece un plazo máximo de 72 horas desde que es detectada e identificada la brecha. En ese plazo se debe comunicar la incidencia a la Agencia Española de Protección de Datos.

Es indispensable documentar todo el proceso de análisis y detección, identificación, con el fin de que la Agencia dictamine que se ha actuado correctamente y por tanto no supone sanción alguna. En caso de no haberse tomado las precauciones necesarias o no haber cumplido con el Reglamento, si cabe sanción.

En Cumple Protección de Datos podemos guiarte y asesorarte para cumplir con la normativa nacional y europea en materia de Protección de Datos. Solicita presupuesto sin compromiso.

Publicado en Protección de Datos | Etiquetado , , , , | Deja un comentario

¡Feliz Día de la Protección de Datos 2020!

Como cada 28 de enero, desde el año 2006, se conmemora el Día Europeo de la Protección de Datos. Una fecha que tiene como objetivo resaltar la importancia de cuidar de nuestros datos personales. Una labor de concienciación a la que nos unimos mediante este post en Cumple Protección de Datos.

Las nuevas tecnologías suponen grandes beneficiosos para nuestra vida diaria, pero su uso y disfrute no está exento de riesgos para la privacidad e intimidad de sus usuarios. Por ello, en el Día Europeo de la Protección de Datos, queremos poner nuestro granito de arena para que entre todos colaboremos para que estos riesgos se minimicen.

La Protección de Datos está amparada por varias normativas, tanto a nivel europeo como nacional. Leyes que se han modificado para adecuarse al ritmo de cambio de las nuevas tecnologías. Actualmente, a nivel europeo contamos con el Reglamento Europeo de Protección de Datos (RGPD) que entró en vigor en mayo de 2018. En España, la norma que ampara la protección de datos es la nueva Ley de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD), en vigor desde diciembre de 2018.

Con las nuevas leyes se aumenta la protección y las sanciones o multas a las que se enfrentan los negocios, empresas, entidades, particulares… que no acatan la normativa. Con ellas, los usuarios han visto aumentados sus derechos de protección sobre sus datos personales.

¡Feliz Día de la Protección de Datos 2020!

#Puedespararlo

Para celebrar este Día Europeo de Protección de Datos se han programado una serie de actos. En nuestro país la Agencia Española de Protección de Datos (AEPD) organiza unas jornadas en el Senado enfocadas en su nuevo Canal Prioritario, que permite la denuncia de la difusión por Internet de contenido sensible (fotos, vídeos, audios) de contenido sexual o violento, con el fin de proteger a menores y colectivos amenazados como las mujeres víctimas de violencia de género.

En estas jornadas nos animan a unirnos al reto #Puedespararlo para denunciar estas prácticas malintencionadas. “Si te llega un contenido violento o sexual difundido sin permiso de la víctima, denúncialo en Canal prioritario. Y si eres menor de 18 años, contacta con nosotros”, nos informa la Agencia. Estas prácticas pueden acabar en situaciones de acoso, suicidios, pérdidas de empleo… “No es por el vídeo o la foto, es por todo lo que hay detrás”, remarca la AEPD.

Premios Protección de Datos 2019

Coincidiendo con este Día Europeo de Protección de Datos y en las jornadas comentadas anteriormente, la Agencia entrega sus Premios Protección de Datos 2019. Estos galardones premian trabajos que promueven el conocimiento, la investigación y la difusión del derecho fundamental a la protección de datos. En esta edición, además, se incluyen dos nuevas categorías: “premios de emprendimiento en protección de datos personales ‘Ángela Ruiz Robles’, y de buenas prácticas en relación con iniciativas dirigidas a la privacidad de las mujeres víctimas de violencia por razón de género”.

En el siguiente enlace podéis ver todos los premiados de la edición 2019.

Publicado en Noticias, Protección de Datos | Etiquetado , , , , | Deja un comentario

Recomendaciones de privacidad en los protocolos DNS

La Agencia Española de Protección de Datos ha dado a conocer una nota técnica en la que expone recomendaciones de privacidad en los protocolos DNS. Está dirigida a desarrolladores de software, administradores de red, prestadores de servicios DNS y proveedores de acceso a internet.

¿Qué son los protocolos DNS?

Los DNS o Sistema de Resolución de Nombres se creó hace casi cuatro décadas. El objetivo era facilitar la navegación de los usuarios. Cuando visitamos una página de Internet, esta lleva asociada un número de hasta 12 dígitos que es su dirección IP. Con el fin de que los usuarios tengan más fácil acceder a las páginas se creó el protocolo DNS que permite en lugar de memorizar la dirección IP navegar introduciendo el nombre de dominio.

¿Cómo funcionan los DNS?

Cuando un usuario navega por Internet, su equipo informático se pone en contacto con varios servidores a través de los protocolos DNS para que determinen la dirección IP que quiere visitar. En esta interacción hay datos del usuario que quedan al descubierto: su propia dirección IP, geolocalización, hábitos de navegación. Estos datos permiten crear un perfil de usuario y por tanto ver amenazada su privacidad.

La AEPD recuerda que el perfilado de usuarios y cualquier otra práctica asociada al tratamiento de datos, que se realice sin informar y sin pedir consentimiento al usuario, no cumple con la normativa expuesta en el Reglamento Europeo de Protección de Datos.

Cualquier tratamiento de datos que sea distinto al necesario e informado para acceder a los servicios de una empresa, requiere de comunicación al usuario, que debe poder acceder a sus derechos en materia de protección de datos. Además, se debe identificar su base jurídica.

Riesgos de privacidad en DNS

Cuando se crearon los protocolos DNS no se tuvo en cuenta la privacidad del usuario. La comunicación entre éste y los servidores, donde se alojan las páginas que visita, no estaba cifrada. Esta falta de protección es una amenaza para su privacidad.

La Agencia también resalta en su nota técnica que puede ser que algunos servidores DNS realicen un registro de las consultas que se realizan en ellos y utilice estos datos para un finalidad distinta para los que son recogidos.

Estos datos pueden estar expuestos a ser conocidos por terceros. Además, existe el riesgo de que se produzca una suplantación de DNS. De este modo, “el usuario podría estar navegando por webs que no son las que realmente quiere visitar, con los consiguientes riesgos para su privacidad, como robo de información o ransomware”, indica la nota de la Agencia.

Recomendaciones de la AEPD sobre privacidad en DNS

En la nota técnica sobre privacidad en los protocolos DNS la Agencia lanza una serie de recomendaciones a las industrias y responsables de estos protocolos. Entre ellas se destaca:

  • Impulsar una mayor implantación de las extensiones de seguridad DNSSEC, que poseen mecanismos de cifrado que permiten la confidencialidad de las comunicaciones DNS.
  • Uso generalizado de consultas DNS cifradas.
  • Los proveedores de estos servicios informen de las condiciones de uso del mismo.
  • Las compañías de Internet que utilicen servidores DNS de terceros se aseguren de escoger proveedores que se ajusten a las exigencias del RGPD.

VER NOTA TÉCNICA CON RECOMENDACIONES DE PRIVACIDAD EN DNS

Publicado en Privacidad en Internet, Protección de Datos | Etiquetado , , , , , | Deja un comentario

Actualización de la Guía sobre uso de Cookies de la AEPD

La Agencia Española de Protección de Datos (AEPD), en colaboración con Adigital, Anunciantes, Autocontrol e IAB Spain, ha actualizado la guía sobre el uso de cookies, con el fin de adaptarla a las nuevas normativas tanto europea como españolas.

Desde que se publicó la anterior Guía sobre uso de Cookies se han producido cambios a nivel normativo en materia de Protección de Datos. En 2018 entraron en vigor: el nuevo Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD). Estos cambios hacían necesaria una actualización de esta Guía para adaptarla al nuevo marco legal.

Qué son las cookies

Las cookies son archivos que crean las páginas web por las que navegas. Guardan información de tu actividad en Internet. Con estas cookies, los sitios webs pueden: mantener tu acceso, recordar tus preferencias de sitios, ofrecer contenido relevante localmente…

Como las cookies guardan y tratan datos personales, su uso debe estar regido por las leyes de Protección de Datos.

El artículo 22.2 de la LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

Guía sobre el uso de cookies

El documento presentado por la Agencia consta de 39 páginas en las que se exponen orientaciones, garantías y obligaciones que la industria debe aplicar para utilizar tanto cookies como tecnologías similares (fingerprinting y otras), y así cumplir con las leyes.

VER LA GUÍA SOBRE USO DE COOKIES 2019

Guía sobre el uso de Cookies

La Guía, por tanto, hace referencia tanto a aspectos de la utilización de cookies, como a uso tecnologías similares (local shared objects o flash cookies, web beacons o bugs , etc.) y técnicas de fingerprinting, esto es, técnicas de toma de la huella digital del dispositivo.

La Agencia aclara que dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en esta publicación no son una solución general y uniforme para el cumplimiento de la Ley. Sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.

Consentimiento y transparencia

La nueva normativa de protección de datos establece unos requisitos más estrictos en lo que respecta al uso de cookies. En concreto, en el apartado que hace referencia a la solicitud de consentimiento para el uso e instalación de cookies. Se establece que este consentimiento debe ser expreso (suponga una acción por parte del usuario) e informado (la información debe ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo). La Guía muestra ejemplos prácticos de fórmulas válidas para recabar el consentimiento de los usuarios.

La información debe mostrarse antes del uso o instalación de las cookies, mediante un formato visible, y debe mantenerse a la vista hasta que el usuario realice la acción expresa que otorga el consentimiento o rechaza el uso de cookies.

En Cumple Protección de Datos podemos ayudarte y asesorarte para que tu empresa, negocio, actividad comercial cumpla con todos los requisitos legales. Pide presupuesto sin compromiso.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , , , , , | Deja un comentario

Sanción de 30.000 euros a Vueling por su política de cookies

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Vueling con 30.000 euros por incumplir el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI). La aerolínea ha reconocido que instala cookies en los ordenadores y equipos conectados a la red, de los visitantes de su página web sin solicitar su consentimiento expreso.

La sanción de 30.000 euros se ha reducido a 18.000 euros al reconocer la compañía su mala praxis y acceder al pago voluntario de la misma.

Artículo 22.2 de la LSSI

El artículo 22.2 de la LSSI establece: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

La denuncia registrada en la Agencia por parte de un usuario de la web de esta aerolínea aseguraba: “Como cliente y usuario de la Web de Vueling indicarles que, en el tratamiento de cookies no permiten al usuario utilizar las cookies estrictamente necesarias, y además huelga una acción afirmativa y positiva que no se pueda malinterpretar para el consentimiento y lo asumen simplemente al visitar su página web. Además, he solicitado información sobre la innumerable lista de servicios de terceros que se cargan en dicha web, comprometiendo datos personales como la IP”.

Investigación de la AEPD a la web de Vueling

Tras recibir la denuncia, la AEPD procede a investigar las actuaciones denunciadas. En su petición de información a la compañía aérea, Vueling indica que se está actualmente implementando un mecanismo que permita a los usuarios seleccionar los tipos de cookies que desean que se instalen en sus dispositivos. Además, remarcan que no todas las cookies precisan del consentimiento del usuario, ya que algunas son necesarias para tramitar el proceso de compra de billetes y el acceso a zonas restringidas de la web”.

La investigación de la Agencia descubre que en la web analizada, el consentimiento a que se cedan datos a terceros a través de cookies es implícito. En ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otras cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas. Por consiguiente, no ofrece la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.

Además, las pesquisas demuestran que la web no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular.

Resolución de la AEPD y sanción de 30.000 euros

De este modo, queda probado que la web de Vueling incumple la normativa referente a la política de cookies, al no solicitar un consentimiento expreso del usuario. Dicho incumplimiento está tipificado como leve en el artículo 38.4 g) de la LSSI. Y como tal, puede ser sancionado con una multa de hasta 30.000 €, de acuerdo con el artículo 39 de dicha Ley.

Impuesta la sanción máxima de 30.000 euros, la compañía ha reconocido su error y ha hecho uso de la reducción de la cuantía por pago voluntario. Finalmente la cantidad pagada por la aerolínea asciende a 18.000 euros.

Publicado en LSSI | Etiquetado , , , , | Deja un comentario

¿Quién NO tiene la obligación de realizar una Evaluación de Impacto en Protección de Datos?

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer un listado en los que establece los tratamientos de datos personales que están exentos de la obligación de realizar la Evaluación de Impacto en Protección de Datos (EIPD) que establece la norma europea.

En el Reglamento Europeo de Protección de Datos (RGPD) en vigor desde mayo de 2018, se recoge, mediante el artículo 35.1 del mismo, la obligación de realizar una EIPD para las organizaciones que traten datos que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Esta Evaluación debe realizarse con anterioridad al tratamiento, con el fin de establecer los riesgos y tomar las medidas necesarias de seguridad para evitar estos riesgos. En el Reglamento también se establece que las autoridades de control de cada estado miembro serán las encargadas de elaborar la lista de los tipos de tratamiento que no requieren una evaluación de impacto.

En este sentido, la AEPD, responsable de la Protección de Datos en España, ha hecho pública esta lista orientativa, con el objetivo de ayudar a los responsables a identificar los tratamientos en los que no es obligatorio realizar esta Evaluación.

La Agencia aclara que esta lista solo exime de cumplir con la obligación de realizar la Evaluación de Impacto, pero no del resto de obligaciones que establece el Reglamento Europeo.

Tratamientos con obligación de EIPD

Con anterioridad a la publicación de la lista de tratamientos exentos de la Evaluación, la Agencia publicó una lista con los tratamientos que Sí están obligados. Esta lista está disponible en este enlace de la web de la Agencia.

Tratamientos exentos de realizar una EIPD

A continuación citamos los siete puntos que establece la lista de No obligados a Evaluaciones de Impacto, publicada por la Agencia.

1.Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

Desde Cumple Protección de Datos os podemos ayudar a cumplir con las obligaciones que establece el Reglamento Europeo. Pídenos un presupuesto sin compromiso.

Publicado en Protección de Datos | Etiquetado , , , , , , | Deja un comentario

Gestiona, herramienta de la AEPD para análisis de riesgo y evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) pone a disposición de los encargados del tratamiento de datos personales de alto riesgo, la herramienta Gestiona. El objetivo es ayudar a las empresas, organizaciones y administraciones que trabajan con estos datos, a realizar análisis de riesgos y evaluaciones de impacto, tal y como establece el Reglamento Europeo de Protección de Datos (RGPD).

Gestiona_EIPD es una herramienta gratuita que consiste en un cuestionario online, mediante el cual los encargados del tratamiento, en función de las respuestas dadas, saben si deben realizar una evaluación de impacto y un análisis de riesgo. La Agencia recuerda, que las respuestas dadas no se conservan ni se monitorizan.

El RGPD obliga a las empresas y organizaciones que tratan datos considerados de alto riesgo como son datos de salud, de menores, religión, ideología… deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el Reglamento les exige en su artículo 35.4 la obligación de realizar una Evaluación de Impacto en Protección de Datos (EIPD).

La EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.

Por tanto, esta Evaluación de Impacto ayuda a las empresas a conocer antes de que ocurran, los posibles riesgos a los que están expuestos los datos personales que trata y maneja. De este modo al conocer los riesgos, se pueden prever acciones para evitarlos o reducirlos hasta un nivel de riesgo aceptable.

Como señala la Agencia, “en la práctica, la Evaluación permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable”.

Una vez realizada dicha Evaluación, sus resultados deben tenerse en cuenta para asegurar el cumplimiento de todas las obligaciones expuestas en la normativa europea y defender el derecho a la intimidad y la privacidad de los usuarios.

La Agencia ya desarrolló otra herramienta similar denominada Facilita RGPD que está dirigida a empresas y negocios que tratan datos de bajo riesgo, para facilitarles, como su propio nombre indica el cumplimiento de la normativa europea en materia de protección de datos. Estas organizaciones no están obligadas a realizar evaluaciones de impacto, ya que el riesgo de los datos personales que maneja es bajo.

En este post anterior os hablamos del listado de tratamientos de datos que estaban obligados a someterse a una Evaluación de Impacto.

Además, la Agencia ha publicado una Guía en la que se explica cómo realizar esta evaluación y analizar los riesgos potenciales. Está disponible en este enlace:

Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al
RGPD

Desde Cumple Protección de Datos os podemos ayudar a cumplir con la protección de datos en tu negocio, actividad, empresa, organización. Pide presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , , | Deja un comentario

Los riesgos y sanciones del coste cero en Protección de Datos

La Agencia Española de Protección de Datos (AEPD), junto con a la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, presentan un informe en el que se alerta de los riesgos y se establecen las sanciones que implican las infracciones administrativas, derivadas de los conocidos servicios a coste cero, en materia de protección de datos.

Estos servicios a coste cero, se prestan por determinadas empresas que ofrecen asesoría y consultoría para cumplir con las normas de protección de datos. Sus honorarios se abonan con los fondos destinados a formación para trabajadores. De este modo, las empresas y autónomos pagan un precio irrisorio e incluso gratuito por estos servicios. Al estar bonificados estos fondos, de formación, por la Seguridad Social.

Sanciones del coste cero en protección de datos

En el informe de la Agencia se señala esta práctica como fraudulenta y se exponen las sanciones que puede implicar. Además se informa de otra serie de prácticas fraudulentas, asociadas a la falta de profesionalidad de estas empresas que ofrecen sus servicios de protección de datos a coste cero.

Entre los fraudes de los que alerta la AEPD destaca: el engaño a los profesionales y empresas sobre la obligación de contratar un Delegado de Protección de Datos, cuando en la normativa europea, esta figura solo es obligatoria para determinadas entidades. Las que manejan un gran volumen de datos personales o datos de carácter sensible.

El fraude los servicios de protección de datos a coste cero está penalizado con sanciones. La cuantía de las mismas puede ir desde los 626 euros hasta los 187.515 euros. Además de la obligación de devolver las bonificaciones obtenidas.

A estas sanciones ,que aplica la Inspección de Trabajo, se ha de sumar una infracción de la Agencia Tributaria. Dado que los fondos obtenidos por formación están exentos de IVA. En caso de que se descubra el fraude, tanto para la empresa prestadora del servicio a coste cero como a la contratante, se le puede imponer una multa pecuniaria proporcional (del 50% en adelante), sobre la cuantía no ingresada en concepto del 21% del IVA al que tributan estos servicios.

Fraudes y engaños del coste cero

La AEPD además de las sanciones explica en su documento las prácticas fraudulentas y los engaños de los prestadores del coste cero en protección de datos. Recuerdan que en virtud del Reglamento Europeo de Protección de Datos (RGPD), cada empresa que trata datos personales debe realizar un estudio individual y pormenorizado (tipo de tratamientos, sistemas informáticos, sistemas de gestión documental…), por lo que no es correcto el asesoramiento con un documento genérico que no tiene en cuenta las peculiaridades de cada empresa o profesional autónomo.

Estas prácticas, además, son consideradas competencia desleal, respecto a las otras empresas serias y profesionales que actúan conforme a la normativa. Hay prácticas que son ilegales y, que como tal, los afectados pueden denunciar ante los juzgados de lo mercantil o ante la Comisión Nacional de los Mercados y de la Competencia.

Entre las prácticas fraudulentas, la Agencia alerta de varias acciones: actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan; generar la apariencia de que se está actuando en colaboración con la AEPD; realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios, mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos; ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa, de forma complementaria a la realización de acciones formativas, sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento”.

Con el fin de no sufrir este fraude, se recomienda a los profesionales que antes de contratar un servicio de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas en el párrafo anterior. Ante la mínima duda se puede contactar con la Agencia en cualquiera de sus canales.

Desde Cumple Protección de Datos nos unimos a la denuncia de la Agencia y aportamos nuestro grano de arena para luchar contra estos fraudes. La Protección de Datos debe realizarse por profesionales serios y de forma personalizada para cada cliente. Así trabajamos día a día con nuestros clientes. Son muchos años de experiencia.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , | Deja un comentario

Premios Protección de Datos 2019, convocados por la AEPD

La Agencia Española de Protección de Datos ha convocado un año más sus Premios Protección de Datos. Se pueden presentar las candidaturas hasta el próximo 15 de noviembre de 2019.

Con estos Premios, la Agencia quiere reconocer la labor de aquellos que trabajan para difundir y defender el derecho a la protección de datos. Reconociendo la labor en ámbitos como la educación, empresa, investigación, entre otros.

En la edición Premios Protección de Datos 2019 se amplían los galardones con dos nuevas categorías: Premio Emprendimiento en protección de datos ‘Ángela Ruiz Robles’ y el Premio a las buenas prácticas para una mayor protección en Internet de la privacidad de las mujeres víctimas de violencia por razón de género.

Los galardones se entregan a personas individuales, proyectos conjuntos, organismos públicos y empresas. En cada categoría se incluyen varias modalidades.

Las categorías de los Premios Protección de Datos 2019

Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento: reconoce la labor de organizaciones que promuevan la adaptación al Reglamento General de Protección de Datos (RGPD), así como aquellas que contribuyan a garantizar el derecho fundamental a la protección de datos personales.

Comunicación: reconocer los trabajos periodísticos de medios y profesionales de la comunicación que supongan una aportación destacada a la promoción de la privacidad entre los ciudadanos y las entidades que tratan información personal.

Buenas Prácticas Educativas para el uso seguro de Internet por los menores: premia prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato y Formación Profesional, y que contribuyan a concienciar a los alumnos sobre el valor de la privacidad y el uso responsable de la información personal que comparten en Internet, tanto propia como de terceros.

El Premio de Investigación Emilio Aced: reconoce trabajos y proyectos con un enfoque estrictamente práctico, realizados en el ámbito de una Universidad o institución de la Unión Europea o Iberoamérica que promueva o financie estudios de investigación en el contexto de la investigación científico-técnica y en los que se apliquen los principios de protección de datos con el fin de garantizar los derechos y libertades de las personas.

Premio de Emprendimiento en Protección de Datos Personales ‘Ángela Ruiz Robles’: premia el desarrollo una actividad empresarial, producto o servicio creativo, innovador y con impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas.

Premio a las buenas prácticas para una mayor protección en Internet de la privacidad de las mujeres víctimas de violencia de género: premia una actividad, producto o servicio del ámbito público o privado destinado a la sensibilización y prevención de las distintas formas de violencia de género en el entorno de Internet.

Publicado en AEPD | Etiquetado , , , , , , | Deja un comentario

Tratamientos de datos con la obligación de realizar una Evaluación de Impacto. Listado AEPD

La Agencia Española de Protección de Datos (AEPD) atendiendo al artículo 35.1 apartado 4 del Reglamento General de Protección de Datos (RGPD) que señala la obligación de las autoridades de control de elaborar y publicar una lista con los tratamientos de datos que están obligados a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD).

El RGPD señala en su artículo 35.1 que las organizaciones, empresas, particulares que tratan datos con riesgo alto para los derechos y libertados de las personas deben realizar una Evaluación de impacto, antes de realizar el tratamiento de estos datos.

Esta Evaluación de Impacto tiene como objetivo delimitar los riesgos y establecer medidas para asegurar dichos datos y su tratamiento cumpliendo la Ley. En esta Guía de la AEPD se explica cómo realizar esta evaluación.

Los tratamientos que señala la lista de la AEPD obligados a realizar una Evaluación de Impacto relativa a Protección de Datos son los siguientes. Es una lista orientativa.

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida, que cubren varios aspectos de su personalidad o sobre sobre sus hábitos.

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

7. Tratamientos que impliquen el uso de datos a gran escala.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Desde Cumple Protección de Datos os podemos ayudar y asesorar en todo lo relativo a la normativa nacional y europea a este respecto. Incluido la realización de la Evaluación de Impacto.

Publicado en Protección de Datos | Etiquetado , , , , | 1 comentario