Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

Fuente: Agencia Española de Protección de Datos

 

  • Los vídeos detallan paso a paso cómo configurar la privacidad en Android, iOS, Firefox, Twitter, Facebook, Instagram y Whatsapp, añadiendo como novedades los navegadores Chrome y Edge, la app Telegram y la red social Tik Tok
  • Los vídeos pueden consultarse aquí

 

La Agencia Española de Protección de Datos (AEPD) ha renovado su catálogo de vídeos en los que ayuda a configurar las opciones de privacidad y seguridad de los principales sistemas operativos, navegadores web, redes sociales y aplicaciones más utilizadas.

 

Las nuevas tecnologías constituyen un elemento imprescindible en la vida diaria de millones de personas. El 64,7% de la población de 16 a 74 años utiliza redes sociales como Instagram, Facebook, Twitter o YouTube, según datos de 2020 de la ‘Encuesta sobre Equipamiento y Uso de Tecnologías de Información y Comunicación en los Hogares’ del INE. Sin embargo, no todas las personas son conscientes de las opciones de privacidad que se ofrecen por defecto y qué pasos deben seguir si desean cambiarlas.

 

La Agencia, que ya contaba con una sección de videotutoriales para ayudar a los usuarios de estos servicios a modificar las opciones de privacidad, ha actualizado su repertorio de vídeos de los sistemas operativos Android e iOS; el navegador web Firefox; las redes sociales Facebook, Instagram y Twitter y la aplicación de mensajería instantánea WhatsApp. Asimismo, ha incorporado nuevos vídeos, como los de los navegadores Chrome y Edge, la aplicación de mensajería instantánea Telegram y la red social Tik Tok.

 

Los vídeos se inician con una breve introducción explicando qué es y para qué se utiliza cada servicio. A continuación, realizan un detallado repaso que guía a los usuarios paso a paso a través de las opciones de configuración de privacidad y seguridad de cada uno de estos servicios, ofreciendo recomendaciones para optar por el mayor grado de privacidad posible.

 

Cambiar los ajustes para que sólo nuestros contactos puedan ver nuestra foto de perfil o inhabilitar la hora de nuestra última conexión en WhatsApp; administrar quién puede ver la actividad de nuestro perfil en Facebook y de qué manera pueden encontrarnos y ponerse en contacto con nosotros el resto de usuarios; o activar la opción ‘cuenta privada’ en Tik Tok para que sólo los usuarios que aprobemos puedan seguirnos y ver los vídeos que publicamos son algunas de las opciones que se abordan en los vídeos.

Fuente: Comisión Europea

 

La Comisión ha puesto en marcha hoy el procedimiento para la adopción de dos decisiones de adecuación para las transferencias de datos personales al Reino Unido, una, al amparo del Reglamento general de protección de datos (RGPD) y otra para la Directiva sobre protección de datos en el ámbito penal. La publicación de los proyectos de decisión marca el inicio del procedimiento para su adopción. Esto supone la obtención de un dictamen del Comité Europeo de Protección de Datos (CEPD) y la aprobación de un comité compuesto por representantes de los Estados miembros de la UE. Una vez finalizado este procedimiento, la Comisión podrá adoptar las dos decisiones de adecuación.

 

En los últimos meses, la Comisión ha evaluado detenidamente la legislación y la práctica del Reino Unido en materia de protección de datos personales, incluidas las normas sobre el acceso por parte de las autoridades públicas. Ha concluido que el Reino Unido dispone de un nivel de protección esencialmente equivalente al garantizado en virtud del Reglamento general de protección de datos (RGPD) y, por primera vez, de la Directiva sobre protección de datos en el ámbito penal.

 

Věra Jourová, vicepresidenta responsable de Valores y Transparencia, ha declarado: «Garantizar la libre y segura circulación de datos personales es crucial para las empresas y los ciudadanos de ambos lados del Canal. El Reino Unido ha abandonado la UE, pero no la familia europea de privacidad. Al mismo tiempo, debemos asegurarnos de que nuestra decisión se adapte al paso del tiempo. Por ello tenemos la intención de incluir en nuestras decisiones de adecuación mecanismos claros y estrictos en términos tanto de supervisión como de revisión, suspensión o retirada de tales decisiones, a fin de abordar cualquier cambio problemático del sistema británico una vez que se conceda la adecuación».

 

Por su parte, Didier Reynders, comisario de Justicia, ha declarado: «Un flujo de datos seguros entre la UE y el Reino Unido es crucial para mantener estrechos lazos comerciales y cooperar eficazmente en la lucha contra la delincuencia. Hoy ponemos en marcha el procedimiento a tal efecto. Hemos comprobado exhaustivamente el sistema de privacidad que se aplica en el Reino Unido después de haber abandonado la UE. Ahora las autoridades europeas de protección de datos examinarán detalladamente los proyectos de textos. El derecho fundamental de los ciudadanos de la UE a la protección de datos nunca debe verse comprometido al cruzar el Canal de la Mancha. Las decisiones de adecuación, una vez adoptadas, garantizarán precisamente esto».

 

En comparación con otros países no pertenecientes a la UE en los que la convergencia se desarrolla a través del proceso de adecuación entre sistemas a menudo divergentes, el Derecho de la UE ha conformado el régimen de protección de datos del Reino Unido durante decenios. Al mismo tiempo, es esencial que las conclusiones sobre la adecuación sean aplicables en el futuro, dado que el Reino Unido dejará de estar sujeto a las normas de privacidad de la UE. Por lo tanto, una vez adoptados estos proyectos, las decisiones serán válidas durante un primer período de cuatro años. Transcurridos cuatro años, será posible renovar las conclusiones sobre la adecuación si el nivel de protección en el Reino Unido sigue siendo adecuado.

 

Hasta entonces, los flujos de datos entre el Espacio Económico Europeo y el Reino Unido continúan y siguen siendo seguros gracias a un régimen provisional condicional previsto en el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido.. Este período provisional vence el 30 de junio de 2021.

 

Etapas siguientes

 

Tras tener en cuenta los dictámenes del Comité Europeo de Protección de Datos, la Comisión Europea solicitará la luz verde de los representantes de los Estados miembros mediante el denominado procedimiento de comitología. A continuación, la Comisión podrá adoptar las decisiones definitivas de adecuación para el Reino Unido.

 

Contexto

 

El artículo 45, apartado 3, del RGPD y el artículo 36, apartado 3, de la Directiva otorgan a la Comisión la facultad de decidir, mediante un acto de ejecución, que un país no perteneciente a la UE garantiza «un nivel de protección adecuado», es decir, un nivel de protección de los datos personales esencialmente equivalente al existente en la UE. Si se considera que dicho país es «adecuado», las transferencias de datos personales al mismo pueden tener lugar sin estar sujetas a ninguna otra condición.

 

En el Reino Unido, el tratamiento de datos se rige por el denominado «RGPD del Reino Unido» y la Ley de Protección de Datos de 2018, que se basan en el RGPD de la UE y en la Directiva. Ofrecen garantías, derechos individuales, obligaciones para los responsables y encargados del tratamiento, normas sobre transferencias internacionales, sistemas de supervisión y vías de recurso que son similares a los que ofrece el Derecho de la UE. Los proyectos de decisión también incluyen una evaluación detallada de las condiciones y limitaciones, así como los mecanismos de supervisión y las vías de recurso aplicables en caso de acceso a los datos por parte de las autoridades públicas del Reino Unido, en particular con fines policiales y de seguridad nacional.

 

También cabe señalar que el Reino Unido es, y se ha comprometido a seguir siendo, parte del Convenio Europeo de Derechos Humanos y del «Convenio 108» del Consejo de Europa, el único instrumento multilateral vinculante sobre protección de datos. Esto significa que, aunque ha abandonado la UE, el Reino Unido sigue siendo miembro de la «familia de privacidad» europea. La adhesión continuada a dichos convenios internacionales reviste especial importancia para la estabilidad y la durabilidad de los resultados de adecuación propuestos.

 

Los proyectos de decisiones de adecuación enviados hoy al CEPD se refieren al flujo de datos de la UE al Reino Unido. Los flujos de datos en la otra dirección (del Reino Unido a la UE) están regulados por la legislación británica, que se aplica desde el 1 de enero de 2021. El Reino Unido decidió que la UE garantiza un nivel adecuado de protección y que, por lo tanto, los datos pueden circular libremente desde el Reino Unido hacia la UE.

La Agencia Española de Protección de Datos ha lanzado el Pacto Digital para la Protección de las Personas, una iniciativa que forma parte del Marco de Responsabilidad Social y Sostenibilidad de la Agencia y que promueve un gran acuerdo por la convivencia en el ámbito digital. Su objetivo es tanto fomentar el compromiso con la privacidad en los modelos de negocio de empresas y organizaciones, compatibilizando el derecho a la protección de datos con la innovación, la ética y la competitividad empresarial, como concienciar a los ciudadanos, y en especial a los menores, de las consecuencias de difundir contenidos sensibles en Internet.

 

El desarrollo del proyecto ha contado con la colaboración de las principales organizaciones empresariales, fundaciones, asociaciones de medios de comunicación y grupos audiovisuales, que lo han ratificado adhiriéndose al Pacto. A través de esta adhesión, las entidades se han comprometido a implantar los principios y recomendaciones recogidas en el mismo, así como a difundir entre sus usuarios, clientes y empleados el Canal prioritario para solicitar la eliminación urgente de contenidos sexuales y violentos difundidos sin consentimiento en internet, y otros recursos y herramientas de la AEPD para ayudar a la concienciación sobre el valor de la privacidad y la importancia del tratamiento de los datos personales.

 

El Pacto Digital para la Protección de las Personas promueve la privacidad como un activo para organizaciones. Con él la Agencia pretende concienciar de que junto a un derecho puede existir también una obligación. Para ello, es necesario que todos los actores implicados en el ámbito digital, los ciudadanos y las organizaciones, sean conscientes de las consecuencias que puede suponer en la vida de la persona afectada la difusión de contenidos especialmente sensibles y también las responsabilidades en que pueden incurrir aquellos que los difunden (civiles, penales y administrativas).

 

Entre los principios del Pacto también se encuentra impulsar la transparencia para que los ciudadanos conozcan qué datos se están recabando y para qué se emplean, promover la igualdad de género y la protección de la infancia y las personas en situación de vulnerabilidad, o promover la innovación garantizando que las nuevas tecnologías eviten perpetuar sesgos o aumentar las desigualdades existentes, evitando la discriminación algorítmica por razón de raza, procedencia, creencia, religión o sexo, entre otras.

 

Documentos que componen el Pacto

 

El Pacto está compuesto por tres documentos: la carta de adhesión, el compromiso por la responsabilidad en el ámbito digital y el Decálogo de buenas prácticas en privacidad para medios de comunicación y organizaciones con canales de difusión propios.

 

Mediante la Carta de adhesión, la entidad firmante se compromete a implantar en su organización los principios y recomendaciones contempladas en el Pacto y, como compromiso adicional, a difundir el Canal prioritario y otros recursos y herramientas que la AEPD ha lanzado para ayudar a la sensibilización sobre el valor de la privacidad y la importancia del tratamiento de los datos personales, también en el entorno laboral.

 

El Compromiso por la responsabilidad en el ámbito digital contiene las obligaciones de las organizaciones. Este compromiso no pretende que las organizaciones adheridas asuman más obligaciones de las que legalmente le corresponden, sino precisar un compromiso específico y ajustado al ámbito digital. Además, el documento enumera las responsabilidades, especialmente ante las conductas relacionadas con la llamada violencia digital, e incorpora algunos principios que, desde la perspectiva de la ética y la protección de datos, la llamada ética digital, deberían tenerse en cuenta a la hora de diseñar e implantar los nuevos desarrollos tecnológicos, que no pueden implementarse sin tener en cuenta los derechos fundamentales de los ciudadanos.

 

Por último, el Pacto integra un Decálogo de buenas prácticas en privacidad para medios de comunicación y organizaciones con canales de difusión propios, con el que la Agencia quiere promover la lucha contra la violencia digital tanto entre los medios de comunicación como con todas aquellas organizaciones que disponen de canales de difusión para informar sobre temas de interés para sus públicos. Entre los puntos del decálogo, que todas las entidades firmantes se han comprometido a respetar, se incluye que los adheridos se abstendrán de identificar a las víctimas de la difusión de contenidos sensibles o de publicar información de la que, con carácter general, pudiera inferirse su identidad cuando se trate de personas sin relevancia pública. Asimismo, también recoge que cuando los firmantes del Pacto ofrezcan información sobre difusión digital de este tipo de contenidos evitarán la repetición sistemática de imágenes y tratarán de advertir, en la medida de sus posibilidades, sobre la responsabilidad disciplinaria, civil, penal y administrativa que podrían acarrear la difusión de este tipo de contenidos, así como a informar de que se puede denunciar esa difusión en el Canal prioritario de la AEPD.

 

Foro de Privacidad, Innovación y Sostenibilidad

 

El Pacto Digital para la Protección de las Personas contará con una presentación pública en un evento que llevará por título I Foro de Privacidad, Innovación y Sostenibilidad, una iniciativa que cuenta con la Presidencia de Honor de SSMM los Reyes y que se celebrará el próximo 28 de enero con ocasión del Día Internacional de la Protección de Datos. El Foro, que se retransmitirá por streaming, contará con la participación del Ministro de Justicia, Juan Carlos Campo; la Fiscal General del Estado, Dolores Delgado, y los representantes de las asociaciones empresariales y de medios de comunicación más relevantes del país.

 

Asimismo, el Pacto Digital para la Protección de las Personas está abierto a todas aquellas organizaciones que quieran asumir los compromisos reflejados en la carta de adhesión, por lo que, además de las entidades que lo han suscrito inicialmente, a partir del 28 de enero se habilitará un formulario para que puedan adherirse todas aquellas entidades que quieran comprometerse de forma pública con sus principios.

 

Listado de entidades adheridas a la iniciativa

  • Asociación de Directivos de Relaciones Laborales (ADIRELAB)
  • Asociación de Medios de Información (AMI)
  • Asociación Española de Banca (AEB)
  • Asociación Española de Compliance (ASCOM)
  • Asociación Española de Fundaciones (AEF)
  • Asociación Española de la Economía Digital (ADIGITAL)
  • Asociación para el Fomento de la Seguridad de la Información (ISMS Forum)
  • Asociación Española para la Digitalización (digitalES)
  • Asociación Multisectorial de la Información (ASEDIE)
  • Asociación Nacional de grandes Empresas de Distribución (ANGED)
  • Asociación para el Progreso de la Dirección (APD)
  • Asociación Profesional Española de Privacidad (APEP)
  • Atresmedia
  • AUTOCONTROL-Asociación para la Autorregulación de la Comunicación Comercial
  • Cámara de Comercio de España
  • CECA
  • Confederación Española de Organizaciones Empresariales (CEOE)
  • Confederación Española de la Pequeña y Mediana Empresa (CEPYME)
  • Círculo de Empresarios
  • Club Abierto de Editores (CLABE)
  • Corporación RTVE
  • Cruz Roja Española
  • ENATIC-Abogacía Digital
  • Farmaindustria
  • Federación de Asociaciones de Periodistas de España (FAPE)
  • Fundación Acción Contra El Hambre
  • Fundación ANAR
  • Fundación Endesa
  • Fundación Alicia Koplowitz
  • Fundación Montemadrid
  • Fundación Mutua Madrileña
  • Fundación Telefónica
  • Fundación Tomillo
  • Fundación Unicef
  • Fundación Universitaria San Pablo CEU
  • IAB Spain
  • Mediaset
  • Plataforma Del Tercer Sector
  • Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA)
  • Women in a Legal World (WLW)

Atendiendo a su autoridad en la materia, José Luís Piñar Mañas ha sido el primer director de la Agencia Española de Protección de Datos y en la actualidad es Delegado de Protección de Datos del Consejo General de la Abogacía Española, publicamos enlace a su artículo publicado en la web de la Abogacía Española coincidiendo con la celebración del Día Europeo de Protección de datos. Este interesante artículo se puede consultar en Día Europeo de Protección de Datos: las lecciones de la pandemia – Abogacía Española (abogacia.es)

Fuente: Consejo General de la Abogacía Española

 

En los últimos días varios políticos han pedido que “por higiene democrática”, los Ministerios de Sanidad y Defensa deberían publicar la lista íntegra de los cargos públicos que se han “beneficiado” de su puesto para acceder a la primera dosis de la vacuna contra el Covid-19 “saltándose el protocolo” e incluso algunos han solicitado a la Agencia de Protección de Datos que les autoricen a publicar la lista de vacunados, alegando que lo consideran un “ejercicio de transparencia”. ¿Es legal publicar la lista de los vacunados? ¿En qué casos específicos se podrían hacer públicos? En caso negativo, ¿qué reformas habría que llevar a cabo para hacerlo? ¿Dónde está el límite entre la protección de datos y la libertad de información? Varios expertos en la materia nos dan las respuestas sobre este tema de actualidad, en la celebración del Día Europeo de la Protección de Datos.

 

Publicar una lista de personas implica un tratamiento de datos relativos a la salud para una finalidad distinta para la que fueron recabados y por lo tanto, no está dentro de la legalidad. Para Verónica Alarcón, abogada especializada en Derecho de las Nuevas Tecnologías y protección de datos, “la publicación de los datos de los vacunados es un tratamiento de datos personales, y como tal debe respetar la normativa de protección de datos, que en este caso es doble: por un lado el Reglamento General de Protección de Datos (RGPD), y por otro la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales”. Además, aclara que “la normativa europea de protección de datos parte de una prohibición del tratamiento de los datos relativos a la salud (artículo 9.1 del RGPD), con la única excepción del consentimiento del interesado”.

 

Tampoco cabe invocar el derecho a la transparencia derivado de la Ley 19/2013, de acceso a la información pública y buen gobierno, “primero por una cuestión formal, se debe acudir al procedimiento legalmente establecido en el artículo 17 de la Ley de Transparencia, y segundo porque esta eventual solicitud de acceso vendrá limitada por el artículo 15 de esta Ley, donde se establece que el acceso a este tipo de datos solo se podrá autorizar con el consentimiento expreso”, puntualiza.

 

MODIFICACIÓN DE LA NORMATIVA EUROPEA Y SANITARIA

 

Alarcón aclara que si no tenemos el consentimiento, habría que modificar la normativa de protección de datos, pero no solo la nacional, sino la europea y sanitaria “para poder comunicar esos datos con fines de inspección sobre el uso y destino de los recursos o bien crear una Ley Orgánica nueva que permita la publicación de estos datos, si es que dicha Ley es capaz de superar los cánones de constitucionalidad, ya que el derecho a la protección de datos es un derecho fundamental”.

 

De la misma opinión es Leandro Núñez, socio de Audens y abogado especializado en Derecho Digital. “Para que una Administración Pública pueda tratar datos o publicarlos necesita una habilitación legal y debe ser una norma con rango de ley y específica. Esta ley, para aprobarse, tendría que pasar por los principios de ponderación que marca el Tribunal Constitucional, con los juicios de idoneidad y equilibrio necesarios para cumplir los fines que se persiguen. De cara, es un tratamiento que se antoja difícil”, añade.

 

“La ley de transparencia no te permita acceder a datos tan sensibles como pueden ser la vacunación de una persona, y que –denuncia- puede dar lugar a una discriminación de la misma, que pueda perder su trabajo o no entrar a una entrevista personal por estar vacunada”.

 

PROTECCIÓN DE DATOS/ LIBERTAD DE INFORMACIÓN

 

En el caso de que se haya publicado en medios algunos nombres, explica que aquí se ha ponderado  la libertad de información frente a la protección de datos. “Cuando se produce una colisión entre derechos, lo que se trata es de establecer un equilibrio entre ambos y si se trata de una noticia que puede ser de interés público, por mucho que sea personal, puede ser publicada. Eso no significa que se publique una lista de todos los altos cargos que se han vacunado”.

 

Ignacio Suárez, abogado experto en Protección de Datos, Derecho Internet y Nuevas Tecnologías, expone que “se podría alegar interés público esencial (artículo 9.2 RGPD) de los ciudadanos en conocer ese listado de personas vacunadas o el derecho a la información- artículo 20 Constitución- sobre el derecho a la protección de datos- artículo 18.4 Constitución-, pero es una decisión que debería decidir el Tribunal Constitucional al chocar dos derechos constitucionales”.  Y va más allá, aclarando que “lo que habría que cambiar sería la Constitución Española, ya que existe un conflicto legal al colisionar esos dos derechos”.

 

Con el marco normativo actual, si se hacen públicos los datos de los vacunados, los afectados podrán iniciar acciones legales por vulneración de su derecho a la protección de datos y de intimidad. En el caso que se publicaran con el riesgo legal expuesto, los ciudadanos se pueden defender con el principio de legalidad. “Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD) y podrían interponer una reclamación ante la Agencia Española de Protección de Datos. Por su parte, el futuro titular de la lista de vacunación puede acudir a la vía judicial -Tribunal Constitucional- para que decidiera sobre el conflicto entre dos derechos aquí planteados”, expone Suárez. .

 

Todos inciden asimismo en que entre las funciones de la  Agencia Española de Protección de Datos no está autorizar la publicación de esos datos, como así lo han entendido algunos políticos. “En caso de duda sobre si esa divulgación es ajustada o no al Derecho, el ciudadano podrá elevar consulta previa, con base en el artículo 36 del RGPD, a la Agencia, que emitirá únicamente un informe jurídico, pero nunca una autorización”, señalan.

El Consejo General del Poder Judicial ha lanzado hoy, coincidiendo con la celebración del Día Europeo de la Protección de Datos, un portal web como autoridad de control en materia de protección de datos en los tratamientos jurisdiccionales, que permite la consulta, entre otros documentos, de informes y resoluciones adoptadas por el órgano de gobierno de los jueces en ejercicio de dicha autoridad.

 

Como cada año, promovido por el Consejo de Europa y con el apoyo de la Comisión Europea y de todas las autoridades de protección de datos europeas, el 28 de enero se celebra el Día Europeo de la Protección de Datos con el objetivo de dar a conocer a los ciudadanos sus derechos y responsabilidades en materia de protección de datos y privacidad.

 

El evento recuerda la firma del primer instrumento internacional sobre esta cuestión, el Convenio 108 del Consejo de Europa, que se suscribió el 28 de enero de 1981.

 

El CGPJ se suma a la celebración de este día lanzando en su portal web un área específica en la que se recoge la información relativa a sus actividades como autoridad de control en materia de protección de datos en los tratamientos jurisdiccionales.

 

Una sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, de 2 de diciembre de 2011, determinó que el control sobre posibles incumplimientos en los tratamientos de datos jurisdiccionales recaía en el Consejo General del Poder Judicial y no en la Agencia Española de Protección de Datos, como ocurría hasta entonces.

 

Esta cuestión queda reflejada de forma clara en el artículo 236 nonies de la Ley Orgánica del Poder Judicial (LOPJ), que establece que “las competencias que la Ley Orgánica 15/1999, de 13 de diciembre, atribuye a la Agencia Española de Protección de Datos, serán ejercidas, respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza, por el Consejo General del Poder Judicial”.

 

Entre las funciones que el CGPJ adopta como autoridad de control destacan las relativas al control de la aplicación del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD) en el ámbito de los juzgados y tribunales, el asesoramiento jurídico, la promoción de la sensibilización sobre protección de datos en dicho ámbito y el tratamiento de las reclamaciones presentadas por los interesados.

 

Para el desarrollo de las funciones que como autoridad de protección de datos tiene encomendadas, en 2017 se constituyó en el Consejo General del Poder Judicial el denominado Comité de Protección de Datos, integrado por tres vocales del órgano de gobierno de los jueces y representantes de los diferentes órganos técnicos del CGPJ.

 La Agencia Española de Protección de Datos (AEPD) ha presentado hoy su campaña ‘Un solo clic puede arruinarte la vida’, dirigida a concienciar de los riesgos de reenviar o difundir contenidos sensibles, como fotografías o vídeos de carácter sexual o violento. Dar like, tuitear, buscar, comprar… son acciones que realizamos todos los días. Más del 90% de la población de 16 a 74 años utiliza Internet de manera frecuente y casi el 65% de ellos interactúa en redes sociales como Instagram, Facebook, Twitter o YouTube, según datos del Instituto Nacional de Estadística. De entre esos miles de clics que nos permiten comunicarnos, informarnos o estar en contacto con amigos o familiares, la campaña pone el foco en un clic que tiene consecuencias mucho más graves que el resto, un reenvío de contenidos sensibles sin el permiso de las personas cuya imagen, voz u otros datos personales aparecen en ellos; un clic que, con la intención de hacer daño o por desconocimiento, contribuye a la difusión de contenidos sexuales, violentos o de ciberacoso.

 

La Agencia dispone de un servicio de denuncia para comunicar la difusión ilícita de este tipo de contenidos y solicitar su retirada, el Canal prioritario, que pretende ofrecer una respuesta rápida en situaciones excepcionalmente delicadas. Se trata de una vía para denunciar ante la Agencia la difusión en Internet de contenidos sensibles publicados sin el permiso de las personas que aparecen en ellos, en particular, en casos de acoso a menores o violencia sexual contra las mujeres pero también en situaciones de violencia digital de todo tipo. Casi el 60% de las niñas y adolescentes sufren acoso online, el 42% explica que a raíz de este acoso han perdido la confianza en sí mismas y la mitad siente que el acoso en las redes es más intenso que el que tiene lugar en el mundo offline, según datos de la ONG Plan Internacional.

 

La Agencia, como autoridad independiente, puede adoptar medidas urgentes que limiten la difusión y el acceso a los datos personales. Tras el análisis de la denuncia planteada a través del Canal prioritario (que puede ser realizada por la víctima o por un tercero), la Agencia puede determinar la adopción urgente de medidas cautelares para evitar la continuidad del tratamiento ilegítimo de los datos personales en casos particularmente graves. Al tiempo, la Agencia valorará la apertura de un procedimiento sancionador contra el o los usuarios responsables de haber realizado el tratamiento ilegítimo de datos correspondiente. En la actualidad, el porcentaje de efectividad en la retirada de contenidos es del 85% tras el envío de la medida cautelar a las páginas web que albergan esos contenidos.

La campaña ‘Un solo clic puede arruinarte la vida’ forma parte del Pacto Digital para la Protección de las Personas, una iniciativa puesta en marcha por la Agencia que ha contado con la colaboración de las principales organizaciones empresariales, fundaciones, asociaciones de medios de comunicación y grupos audiovisuales y con la que, entre otras responsabilidades, se comprometen a difundir entre sus usuarios, clientes y empleados el Canal prioritario.

 

El Pacto Digital para la Protección de las Personas promueve la privacidad como un activo para organizaciones. Con él la Agencia pretende concienciar de que junto a un derecho puede existir también una obligación. Para ello, es necesario que todos los actores implicados en el ámbito digital, los ciudadanos y las organizaciones, sean conscientes de las consecuencias que puede suponer en la vida de la persona afectada la difusión de contenidos especialmente sensibles y también las responsabilidades en que pueden incurrir aquellos que los difunden (civiles, penales y administrativas).

 

La campaña ‘Un solo clic puede arruinarte la vida’, que ha sido declarada de servicio público por la CNMC, se inicia hoy 28 de enero, coincidiendo con la celebración del Día Internacional de la Protección de Datos y cuenta con el apoyo de entidades como Atresmedia, Mediaset España y RTVE, que la difundirán en sus respectivos canales.

 

Fuente: Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha publicado la guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial, un documento que ofrece orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos.

 

La realización de tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA) para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad. El impacto que podrían tener los tratamientos basados en IA en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice.

 

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

 

El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.

 

El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.

 

La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática – UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).

 

Protección de datos y tecnologías emergentes

 

Este documento complementa a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial de la Agencia, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial. En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.

 

La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos.

En resumen:

  1. El documento ofrece orientaciones y criterios objetivos, desde una perspectiva de protección de datos, que deberían incorporarse a las auditorías de tratamientos que incluyen componentes basados en Inteligencia Artificial
  2. El impacto que los tratamientos basados en IA podrían tener en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer modelos de desarrollo maduros en los sistemas y tratamientos en los que se utilicen
  3. La Guía está orientada a responsables y encargados que han de auditar tratamientos que incluyan IA, a desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones, a Delegados de Protección de Datos y a los equipos de auditores encargados de evaluar dichos tratamientos

La Agencia Española de Protección de Datos (AEPD) ha publicado la guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial, un documento que ofrece orientaciones y un listado de posibles objetivos de control y controles específicos que podrían incorporarse en estas auditorías desde una perspectiva de protección de datos.

 

La realización de tratamientos de datos personales en los que se utiliza Inteligencia Artificial (IA) para realizar análisis e inferencias exige que se aplique un modelo de desarrollo maduro que proporcione garantías de calidad y privacidad. El impacto que podrían tener los tratamientos basados en IA en los derechos y libertades de los ciudadanos pone de manifiesto la necesidad de establecer medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de los datos en los que se utilice.

 

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 24 la obligación por parte de aquellos que tratan datos de aplicar “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Estas medidas han de ser seleccionadas “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas” y una de esas herramientas para “garantizar y poder demostrar” el cumplimiento del RGPD es la realización de auditorías. Ello requiere disponer de criterios objetivos diseñados para ejecutar la auditoría de componentes de IA desde una perspectiva de protección de datos.

 

El documento recoge objetivos como inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia; identificar las finalidades, analizar la proporcionalidad y necesidad del tratamiento y los límites en la conservación de los datos; asegurar la calidad de los datos y controlar posibles sesgos y verificar y validar las acciones realizadas y los resultados obtenidos dando cumplimiento al principio de responsabilidad activa del RGPD, entre otros.

 

El texto está dirigido, principalmente, a responsables y encargados que han de auditar tratamientos que incluyan componentes basados en IA, de cara a garantizar y poder demostrar el cumplimiento de obligaciones y principios en materia de protección de datos a los que están sujetos; a los desarrolladores que quieran ofrecer garantías sobre sus productos y soluciones; a los Delegados de Protección de Datos encargados tanto de supervisar los tratamientos como de asesorar a los responsables y, por último, a los equipos de auditores encargados de evaluar dichos tratamientos.

 

La guía Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial ha sido desarrollada con base en un estudio realizado por Éticas Research and Consulting bajo el encargo y la supervisión de la Agencia Española de Protección de Datos y las revisiones realizadas por expertos del Artificial Intelligence Hub del Consejo Superior de Investigaciones Científicas (CSIC AI HUB), del Observatorio del impacto social y ético de la inteligencia artificial (OdiseIA), de la Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas (ASTIC), Grupo de Innovación Docente en Ciberseguridad (CiberGID)-ETSI Informática – UNED y del Centro para el Desarrollo Tecnológico e Industrial (CDTI).

 

Protección de datos y tecnologías emergentes

Este documento complementa a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial de la Agencia, que aborda el cumplimiento efectivo de los principios de protección de datos personales en tratamientos que incluyan soluciones de inteligencia artificial. En ella se dedicaba un capítulo a la auditoría, planteándola como una de las posibles herramientas de evaluación y un instrumento dirigido a conseguir productos explicables, predecibles y controlables.

 

La selección de los controles a auditar, la extensión de su análisis y la formalidad requerida en su implementación dependerá, como en toda auditoría, del objetivo y alcance definido para esta, así como del análisis de riesgos realizado. El auditor ha de seleccionar los controles que se adecúen a la auditoría concreta y añadir aquellos que estime oportunos.

Fuente: Agencia Española de Protección de Datos

 

La Sala desestima el recurso de casación interpuesto por esta empresa contra la sentencia de la Audiencia Nacional que estimó en parte la demanda de conflicto colectivo del Sindicato CGT y anuló la prohibición de repartir comunicados e información sindical en dicha zona.

 

De los hechos probados se desprende que Teleperfomance España Sau es una empresa de telemarketing telefónico -Contac Center- y de atención al cliente, cuya actividad requiere el acceso a datos reservados de los clientes y usuarios del servicio (datos personales; de tarjetas de crédito o débito, información financiera, información confidencial de negocio, contraseñas de acceso y documentación). La empresa se responsabiliza de la seguridad de dichos datos sensibles en los contratos con sus clientes. Por ese motivo, publicó unos protocolos de seguridad con una instrucción de “escritorios limpios”, que prohíbe introducir en la sala de operaciones o plataformas, entre otros objetos personales, bolsas, mochilas, abrigos, usb, móviles, cámaras, papel y bolígrafos. Además, impuso la prohibición de repartir comunicados e información sindical en dicha zona para garantizar la seguridad de los usuarios.

 

La Sala examina si esta última medida adoptada por la empresa supera los tres requisitos constitucionalmente exigidos para restringir un derecho fundamental, en este caso la libertad sindical, y que son el juicio de idoneidad, el de necesidad y el de proporcionalidad.

 

El tribunal concluye que no parece una medida de seguridad prohibir los comunicados e información sindicales en papel pues no se vislumbra en qué puede afectar a la seguridad de los datos personales almacenados en la empresa, ya que “la simple introducción de dichos informes o comunicados, sin posibilidad de consignar o escribir nada en el papel, dado que están prohibidos los bolígrafos u otro medio de escritura, resulta una acción inocua, por lo que la prohibición no es una medida idónea”.

 

Tampoco cree el tribunal que sea una medida necesaria ya que no consta dato alguno que permita concluir que se ha producido una vulneración del derecho de protección de datos por la difusión de dichos comunicados o informaciones sindicales, o que por tales actuaciones se haya generado un riesgo de que se produzca dicha vulneración.

 

Finalmente, la Sala concluye que no se supera el juicio de ponderación. Afirma que al no constar dato alguno que permita concluir que se ha producido una vulneración del derecho de protección de datos por la realización de dicha actividad sindical, o que por la misma se haya generado un riesgo a que se produzca la referida vulneración, “no procede ponderación alguna ya que no se han de prohibir dichas actuaciones de los representantes de los trabajadores”.

 

El tribunal recuerda que la empresa en un procedimiento de mediación por huelga, promovido por el Comité de Empresa del Centro de Sevilla, permitió la difusión de información o comunicados sindicales en formato papel, y señala que no se ha acreditado que ello haya vulnerado el sistema de seguridad de la empresa ni los datos personales de algún cliente o usuario.

 

Asimismo, considera que, tal y como resulta de los hechos probados, la empresa no ha facilitado a los representantes de los trabajadores un sistema digital fiable, eficaz y seguro para que puedan realizar esa actividad sindical.