Escaneo del iris y suspensión cautelar de Worldcoin por la AEPD

El pasado jueves 7 de marzo, los informativos de La 7, canal autonómico de televisión de la Región de Murcia, contaron conmigo en un reportaje sobre la noticia de la suspensión cautelar de la AEPD de la actividad de Worldcoin. La charla fue extensa y solo se incluyen algunos fragmentos, muchos puntos importantes quedaron fuera, pero es lógico ya que se trata de una pieza breve en el informativo. En este breve post vamos a abundar un poco más sobre ello.

La semana pasada saltaba la noticia: en una decisión muy poco habitual, la AEPD había suspendido cautelarmente la recogida de datos de la empresa Tools for Humanity (Worldcoin), invocando el art. 66 del Reglamento General de Protección de Datos (RGPD). Previamente esta empresa había sido noticia por el escaneo masivo de iris realizado en nuestro país, con notorias y visibles colas en centros comerciales, llegando casi a 400.000 personas las que habían accedido a este escaneo, a cambio de unas criptomonedas cuyo valor, según la cotización, oscilaba entre los 85 y los 150 euros. Si tenemos en cuenta que, en todo el mundo, el número de personas que habían colaborado con Worldcoin para el escaneo del iris era algo más de 4 millones, está claro que la cifra en España era más que llamativa. No obstante, el motivo último de actuar la AEPD ha sido la alarma social creada tras denunciar algunos padres que menores entre 14 y 18 años podían estar vendiendo sus datos de iris en este proceso.

Leer Más

Las empresas deben garantizar la eficiencia de su política de protección datos

Las empresas deben garantizar la eficiencia de su política de protección datos

La Sala III del Tribunal Supremo ha concluido que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultado, aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.

Puedes consultar la sentencia

En sentencia de la que ha sido ponente el magistrado Diego Córdoba, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).

Leer Más

Regulación del tratamiento de los datos personales de contacto de las personas físicas que presten servicios en una persona jurídica

Se establece que, salvo prueba en contrario, se presumirá amparado en lo dispuesto en el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumpla con una serie de requisitos.

El art. 19.1 de la LOPD-GDD/2018 autoriza el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica.

Se establece, por tanto, una presunción iuris tantum que puede ser destruida mediante la correspondiente prueba que permita desvirtuar esa presunción.

El art. 88 del Reglamento 2016/679/UE, de 27 de abril regula el tratamiento de los datos personales en el ámbito laboral y, en su apartado primero dispone que:Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.

Requisitos de la autorización para el tratamiento de los datos

Los requisitos a los que queda sometida la autorización para el tratamiento de estos datos de carácter personal son que:

  • Se trate de datos de contacto de personas físicas (o empresarios individuales).

Puesto que el art. 6.1.f) del RGPD al que se remite el art. 19.1 de la LOPD-GDD/2018 establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Así, el art. 19.2 de la LOPD-GDD/2018 establece que:La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

  • El tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  • La finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

En este sentido, el art. 6.1.f) del Reglamento 2016/679/UE, de 27 de abril , al que se remite el art. 19.1 de la LOPD-GDD/2018 , establece que el tratamiento sólo será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Datos de contacto de las personas físicas que prestan servicios en una persona jurídica

El art. 19.1 del LOPD-GDD/2018 se refiere a los “datos de contacto de las personas físicas” como supuesto en el que, en determinados casos y concurriendo determinadas condiciones, su tratamiento está permitido.

Téngase en cuenta que Considerando 14 del Reglamento de Protección de Datos señala que “la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales” y que “el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.

Ni el Reglamento 2016/679/UE, de 17 de abril, ni la LOPD-GDD/2018 determinan lo que ha de entenderse por esos “datos de contacto”.

El Reglamento hace uso en repetidas ocasiones de la expresión “datos de contacto” pero siempre referida al responsable o al encargado del tratamiento de datos personales y sin que, en momento alguno (ni en el art. 4 del Reglamento 2016/679/UE, de 27 de abril , ni en ningún otro lugar) se ofrezca una definición de este concepto.

Desde un sentido práctico (y finalístico) hay que entender por “datos de contacto” aquellos que permiten comunicarse con una determinada persona física por lo que, y en primer lugar, habrán de estar asociados al nombre de esa persona.

Por otra parte, y como datos que puedan recibir la calificación de “datos de contacto” serán aquellos que puedan cumplir con esa finalidad, como son:

  • El domicilio o direcciones físicas
  • El número de teléfono
  • La dirección de correo electrónico

Así como cualesquiera otro dato que pudiera permitir entra en contacto con una persona física.

Los datos que no cumplan con esta finalidad, los que por su propia naturaleza no se correspondan con este fin, no quedarán cubiertos por la autorización que confiere el art. 19.1 de la LOPD-GDD/2018.

Difundir los datos personales de un condenado por violencia de género en la prensa no vulnera sus derechos fundamentales

La Sala de lo Civil del Tribunal Supremo ha determinado en una reciente sentencia que publicar en un medio de comunicación el nombre y apellidos de un condenado por violencia de género no vulnera sus derechos fundamentales al prevalecer la libertad de información.

El litigio se originó en 2012 cuando el Diario Información de Alicante se hacía eco en su edición impresa de una sentencia dictada por la Audiencia Provincial de Alicante, en la que citaba una parte de la resolución y explicaba la condena de un sujeto por un delito de maltrato familiar y de detención ilegal. En la edición digital, además, se daba acceso a algunos datos personales del agresor que le hacían perfectamente identificable.

El condenado, ahora demandante en este litigio, alegó que la información publicada en el diario atentaba a su derecho al honor la intimidad personal y familiar, y la propia imagen. La publicación del Diario de Alicante, según el demandante, ponía al descubierto su nombre completo, relataba hechos de la sentencia irrelevantes para la información, el texto no mencionaba que el juzgado había apreciado un atenuante y que, para finalizar, el diario reproducía unos hechos relativos a una sentencia que aún no era firme.

Por su parte, el Diario de Alicante alegó que la noticia trataba sobre un tema de interés público como es la violencia de género, que los hechos delictivos habían tenido un gran impacto y que la información publicada era absolutamente veraz.

Pese a que en un primer momento el Juzgado de Primera Instancia nº 3 de Alicante desestimó la demanda, el caso avazó por varias instancias previas, hasta llegar al Tribunal Supremo.

La Sala de lo Civil, en línea con su doctrina jurisprudencial, reconoce el interés general y relevancia de la noticia publicada por el diario alicantino, así como la veracidad de la información expuesta. Sobre el modo en el que el diario cubrió los hechos de la sentencia, el Tribunal considera que fue objetivo y no añadió ni comentarios ni valoraciones sobre el contenido. Por otro lado, y sobre la cuestión de informar sobre una sentencia que aún no es firme, el Supremo indica que eso supondría negar a la sociedad noticias de interés y relevancia pública.

Finalmente, la Sala indica que el hecho de que la noticia del periódico anuncie con nombre y apellidos al agresor está amparado por la libertad de información y, por tanto, no hay intromisión en el honor ni en la intimidad del demandante.

El Tribunal Supremo establece que externalizar la publicidad no exime a las empresas de su obligación de excluir a los clientes que no quieren recibirla

Confirma una multa de 40.000 euros de Protección de Datos a Mutua Madrileña por la publicidad que recibió un cliente que rechazó expresamente el uso de sus datos.

La Sala III, de lo Contencioso-Administrativo, del Tribunal Supremo ha establecido en una sentencia que la externalización de las campañas publicitarias no exime a las empresas de su obligación de adoptar las medidas necesarias para hacer efectivo el derecho de sus clientes a oponerse a recibir publicidad.

En el caso examinado, el tribunal confirma una multa de 40.001 euros a Mutua Madrileña Automovilista por la publicidad de sus seguros que le llegó vía correo electrónico en diciembre de 2014, dentro de una campaña de marketing externalizada, a un cliente de Mutua que había pedido de forma expresa y reiterada que no se le mandasen correos publicitarios.

Leer Más

Servicio PD 360 | Protección de Datos

Cumplir con la normativa de Protección de Datos siempre es un quebradero de cabeza. ¿Estoy realmente cumpliendo? ¿Cometo fallos en el tratamiento de los datos? ¿Podría incurrir en alguna conducta sancionable por la AEPD?

En el despacho intentamos ayudarte con dos estrategias fundamentales: el conocimiento y la sencillez. En el conocimiento porque estamos comprometidos con la actualización en la materia y lo que ello implica en los nuevos entornos digitales. En la sencillez porque queremos que cuentes con una herramienta fácil de usar, completa y que te permita una actualización permanente.

Ahora con el servicio de Cumplimiento de Protección de Datos de Víctor Martínez ABOGADO tienes acceso a un sistema encriptado en la nube en el que tus textos normativos y cláusulas están siempre 100% actualizados (por cambios que haya en la normativa). Todos ellos listos para descargar, pero siempre editables y actualizables. Puedes adaptarte en tiempo real a nuevos riesgos o transformaciones de tu negocio, nuevos colaboradores y proveedores, crecimiento de empleados, etc.

Adaptado a TELETRABAJO

Además los programas de cumplimiento de Protección de Datos de Víctor Martínez ABOGADO incluyen medidas de seguridad para protocolos de teletrabajo, como los activados en la pandemia de COVID-19 en 2020.

Miembro de APEP (Asociación Profesional Española de Privacidad)

Miembro de APEP (Asociación Profesional Española de Privacidad)

Teletrabajo, coronavirus y Protección de Datos

Teletrabajo y Proteccion de Datos

Desde hace unos años la sombra (o porqué no decirlo mejor: la luz) del teletrabajo viene siendo cada vez más alargada, como una eventual herramienta de conciliación de la vida familiar y laboral, una fórmula para superar las limitaciones físicas de la oficina o un instrumento para mejorar la productividad.

Pero fijaos que un buen día llegó el mes de marzo de 2020, con una epidemia de infección por coronavirus causante de la nueva enfermedad conocida como Covid-19, se decretó un estado de alarma con duras restricciones a la movilidad y a la propia apertura de centros de trabajo (algo bastante inusual en nuestro entorno de países occidentales) y el teletrabajo cobró un inusitado protagonismo.

Leer Más

‘Drones y protección de Datos’, nueva guía de la AEPD

La Agencia Española de Protección de Datos ha editado una guía que analiza la casuística del vuelo de drones cuando es susceptible de captar datos personales.

Dice la AEPD: Teniendo en cuenta la definición de dato personal como “toda información sobre una persona física identificada o identificable”, los operadores de drones que registren y/o procesen imágenes, videos, sonido, datos biométricos, datos de geolocalización, datos de telecomunicaciones relacionados con una persona identificada o identificable están sujetos a la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).

Hay que tener en cuenta que en ocasiones un dato puede identificar directamente a una persona como, por ejemplo, su fotografía, pero en otras ocasiones la identificación no es directa y requiere de un tratamiento adicional, como puede ser información de geolocalización, o mediante el enriquecimiento con información adicional de otras fuentes como, por ejemplo, internet, y aunque a priori la persona no fuera identificable el resultado final sería que la identificación es posible gracias al cruce de informaciones de distintas fuentes. Tanto si el dato recogido mediante drones identifica inequívocamente a una persona como si su identificación se pueda realizar a posteriori, la normativa de protección de datos es aplicable.

Descargar guía.

Entrada en vigor de la nueva Ley de Protección de Datos 2018

2018 ha sido un año muy movido en lo que a Protección de Datos se refiere. En mayo acababa la moratoria en la aplicación del Reglamento Europeo de Protección de Datos (RGPD), en vigor desde mayo de 2016, convirtiéndose en norma de obligado cumplimiento sin que al legislador español le hubiese dado tiempo a promulgar una norma autóctona que incorporara la nueva normativa. Sin embargo unos meses después se ha aprobado la nueva ley, no exenta de polémica, pero con un amplio respaldo del arco parlamentario (93%).

 

Haz clic para leer y descargar la nueva LOPD 2018

Algunas novedades de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, destacadas por la propia Agencia Española de Protección de Datos:

1.- La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

2.- Se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.

3.- La Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

4.- El texto regula el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.

5.- La ley refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.

6.- Nueva regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reduce de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.

7.- Se modifica también la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.

Protección de Datos y RGPD: ¿Y después del 25 de mayo qué?

El 25 de mayo de 2018 será de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD) después de un plazo de dos años desde su entrada en vigor el 25 de mayo de 2016. Como ya hemos comentado en anteriores posts, esta nueva normativa incorpora algunas novedades importantes respecto de la forma en que se venía entendiendo la protección de datos en la LOPD: el consentimiento del usuario cobra aún mayor fuerza y tenemos que poder demostrar en todo momento que ese consentimiento existió y que por eso tratamos unos datos personales concretos. La privacidad desde el diseño, privacidad por defecto o ‘Privacy by default’ es un principio que debe regir el diseño y la concepción misma de cualquier plataforma, app o web. Otras obligaciones hasta hoy vigentes, como el registro de ficheros en la AEPD, dejan de ser exigibles, haciendo muchísimo hincapié en que podamos justificar que se tomaron todas las medidas posibles para un tratamiento seguro y correcto de los datos.
Ahora ante la inminente exigibilidad de la nueva norma, hay cierto nerviosismo por cumplirla y no crearse problemas, pero es importante que veamos el 25 de mayo como un inicio y no como un final. O al menos, como un punto y seguido. No haber conseguido adaptarnos a la normativa en esa fecha no implica tirar la toalla y esperar la multa con resignación, sino que hay que hacer un esfuerzo para, con el asesoramiento adecuado, adaptarse al cumplimiento del RGPD (sea antes, durante o algo después de su entrada en vigor definitiva).
Mi principal consejo es empezar revisando con sumo cuidado todos los textos legales, avisos y check-ins de vuestra web, así como todas aquellas cláusulas de aviso que incluís en vuestros contratos. Esto como medida digamos de urgencia para después, sin pausa, ir desarrollando el resto de medidas relativas a la protección de datos de vuestra empresa o negocio.
Si queréis podemos echaros una mano en info@victormartinezabogado.com o en el teléfono 647273610.

RGPD Protección de Datos