Fuente: Agencia Española de Protección de Datos

 

La Agencia Española de Protección de Datos (AEPD) acogió la reclamación interpuesta contra un ayuntamiento por la exposición de los datos personales de un infractor de tránsito en el documento de notificación de la multa cursada. Constató una vulneración del artículo 32 del Reglamento General de Protección de Datos de la Unión Europea (RGPD).

 

El reclamante recibió una carta de notificación respecto a la sanción dictaminada por el ayuntamiento, por conducir a exceso de velocidad. Sin embargo, en la parte externa del documento eran visibles, a simple vista, su cédula de identidad, nombre y apellidos, domicilio, matrícula de su vehículo, marca y modelo. Por ello interpuso una reclamación ante la AEPD por estimar que la exhibición de sus datos personales configuraba una transgresión a la normativa de protección de datos personales.

 

La AEPD inició un procedimiento sancionador contra el ayuntamiento por incumplir el artículo 32 del RGPD. En su contestación, la autoridad negó haber vulnerado la normativa, alegando que los datos exhibidos son necesarios para asegurar la correcta entrega y recepción del documento a través del servicio de Correos. Sin embargo, precisó que los datos más sensibles, como los relativos al vehículo, solo podían ser visualizados si se desplegaba el sobre o se rompían los extremos del mismo, al estar engomados. Además, desconoce que es lo que ha podido acontecer en este caso concreto para que el reclamante hubiese recibido la carta abierta y con sus datos de identificación a la vista.

 

En su análisis de fondo, la Agencia observa que “(…) consta la realización de un tratamiento de datos personales, toda vez que la parte reclamada realiza diversas actividades de tratamiento, entre otras, la tramitación de procedimientos administrativos sancionadores en materia de tráfico y la notificación de los documentos, lo que conlleva la organización, consulta, utilización y comunicación de una serie de datos personales, que pueden definirse como «toda información sobre una persona física identificada o identificable».

 

Constata que “(…) la reclamada no ha adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, al posibilitar la exhibición de datos de carácter personal del destinatario de la notificación de un procedimiento sancionador en materia de tráfico, lo que determina la falta de diligencia mínima por el responsable, independientemente de la brecha de datos personales producida. La parte reclamada, como responsable del tratamiento, ha de poner los medios y medidas para que todo su personal conozca y cumpla las responsabilidades en el manejo de datos personales”.

 

Comprueba que “(…) debido a que los datos de la infracción cometida por el ciudadano se encuentran en la parte externa de la carta, al retirar el agente notificador el justificante de entrega adherido a la misma, quedaron expuestos a cualquiera los datos del procedimiento sancionador que eran objeto de notificación: nombre, apellidos, domicilio y D.N.I. del ahora reclamante; clase de vehículo que tiene a su nombre; matrícula, marca y modelo del vehículo; fecha y hora de la denuncia que se ha presentado contra él; los hechos denunciados y el importe de la sanción; y que se trata de un requerimiento de identificación de conductor”.

 

La Agencia concluye que “(…) la responsabilidad de la parte reclamada viene determinada por la quiebra de seguridad puesta de manifiesto en la reclamación y documentación aportada, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para asegurar que los datos no queden a la vista de cualquier persona que reciba el envío. Al no existir un elemento físico que impida o ponga de manifiesto el acceso indebido al contenido de la comunicación postal, los datos personales quedan desprotegidos”.

 

Al tenor de lo expuesto, la Agencia sancionó con una multa al ayuntamiento.

 

Vea resolución Agencia Española de Protección de Datos PS.00477.2022.

 

FUENTE: DIARIO CONSTITUCIONAL

Internet es todo un mundo digital, formado por millones de datos en forma de archivos, páginas web y herramientas. Un usuario casual de Internet, se conformará con emplear la surface web o clear web, la parte de Internet que se indexa por los buscadores, y que incluye redes sociales, páginas web de medios de comunicación, tiendas online y otro tipo de contenido más o menos inocuo.

 

Por otra parte, está la llamada deep web, la web profunda, que no está indexada por los navegadores convencionales y que puede incluir tanto contenido temporal como datos privados e información más oscura, que se guarda en la dark web. La web oscura es parte de la deep web, y no es accesible mediante un navegador convencional. Aquí es donde se ofrecen servicios fuera de la ley, y también es donde se venden tus datos personales. Por fortuna, tal y como explica Google, ahora podemos saber si nuestra información se encuentra en la dark web.

Ha sido el propio Google que, como parte de sus servicios de Google One, ofrece dos opciones, una gratis y una de pago, para saber si nuestros datos personales están en la dark web y de qué información se trata. En muchas ocasiones, los datos introducidos en la surface web, como usuarios, contraseñas, correos y números de tarjetas de crédito, son robados mediante brechas de seguridad de datos, y acaban en la dark web para ser vendidos con fines delictivos.

Buscar tu correo es gratis

Así, Google ofrece a todos los usuarios con una cuenta de Gmail y sin una suscripción a Google One, la posibilidad de escanear la dark web en busca de su correo electrónico con su propia herramienta especializada. Si este se ha filtrado en una brecha de seguridad, Google lo encontrará y nos ofrecerá un informe completo. Para usar esta herramienta de forma gratuita, basta con entrar en Google One y buscar la opción de informe de dark web y pulsar en probar ahora.

No es necesario pagar Google One para generar un informe de la ‘dark web’ con Gmail

Tras un breve análisis, Google mostrará las brechas de seguridad de datos asociadas a nuestra dirección de correo en la dark web. Así, podremos ver un listado de qué cuentas y usuarios están en la internet oscura, aunque de manera parcial como medida de protección de datos. Esta información se ofrece con la intención de tomar medidas para protegernos. El propio Google ofrece información y diversas acciones para blindar nuestros datos y evitar que caigan en malas manos, así como medidas para proteger nuestra cuenta de Gmail.

FUENTE: EL CONFIDENCIAL

Fuente: Agencia Española de Protección de Datos

 

El documento armoniza la metodología que utilizan las autoridades de control para calcular el importe de las multas impuestas por infracciones de la normativa.

 

El Comité Europeo de Protección de Datos (CEPD) ha adoptado unas directrices para armonizar la metodología que utilizan las autoridades de control para calcular el importe de las multas impuestas por infracciones de la normativa de protección de datos.

 

El cálculo final del importe de la multa queda a discreción de la autoridad de control siguiendo lo previsto en las directrices y en el Reglamento General de Protección de Datos (RGPD), que exige que el importe sea efectivo, proporcionado y disuasorio.

 

En cualquier caso, la cuantificación final del importe se basa en una evaluación específica realizada en cada caso concreto.

 

La metodología de cálculo aprobada por el Comité puede consultarse en estos enlaces:

 

• Guidelines EDPB (english)

 

• Directrices CEPD (español, traducción no oficial)

Fuente: Agencia Española de Protección de Datos

 

• Durante los días 5, 6 y 7 de julio la Agencia ha compartido experiencias prácticas y reflexiones con 150 alumnos inscritos en el seminario ‘Retos para la protección de datos en el momento actual’.

 

• Las conferencias han sido impartidas tanto por los expertos de la Agencia como por representantes de los profesionales de la privacidad y los sistemas de mediación, y figuras destacadas de la investigación tecnológica y la protección de los menores en un mundo hiperconectado.

 

• El seminario de la Agencia se enmarca en las Actividades de Verano 2023 de la Universidad Internacional Menéndez Pelayo (UIMP) y, teniendo en cuenta su número de asistentes, es uno de los de mayor éxito.

 

 La Agencia Española de Protección de Datos (AEPD) ha impartido del 5 al 7 de julio el seminario ‘Retos para la protección de datos en el momento actual’. En esta edición el seminario ha contado con 150 alumnos inscritos, corroborando un año más el gran interés que despierta esta materia y que ha convertido a esta cita anual es uno de los cursos de mayor éxito de las Actividades de Verano 2023 de la Universidad Internacional Menéndez Pelayo (UIMP) de Santander.

 

La primera de las jornadas contó con la inauguración de la directora de la Agencia, Mar España, que, entre otros aspectos, incidió en dos de las cuestiones que más afectan a los ciudadanos en materia de protección de datos: el tratamiento de datos personales de menores y el impacto de la Inteligencia Artificial. En este sentido, destacó que casi la mitad de los adolescentes utilizan el móvil más de seis horas al día y una de cada cinco familias dan los móviles a sus hijos sin controles específicos.

 

La directora avanzó algunos de los puntos en los que la Agencia está centrada en este ámbito: ha impulsado un grupo de trabajo que proponga medidas y acciones como la verificación de la edad para acceder a contenidos para adultos, aplicable no sólo a los de carácter pornográfico, sino también de violencia explícita o a los juegos online. En este grupo de trabajo participan la Secretaría General de Telecomunicaciones y Ordenación de los servicios de Comunicación Audiovisual, la Secretaría de Estado de Seguridad, la Comisión Nacional de Mercado y la Competencia, la Fábrica Nacional de Moneda y Timbre, el Centro Criptológico Nacional y la Secretaría General de Administración Digital. Se trabaja en la verificación de la edad para acceder a los contenidos online para adultos dentro del marco de la Cartera Digital. Por otro lado, la AEPD también colabora en diferentes grupos de trabajo con otras instituciones y organismos públicos. Por ejemplo, forma parte del Grupo de Trabajo de Adicciones a las Nuevas Tecnologías junto con representantes de la Delegación del Gobierno para el Plan Nacional sobre Drogas, el Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado, el INCIBE, el Instituto de la Juventud, los Consejos de los Colegios Oficiales de Médicos y Psicólogos, y la Consejería de Educación y Juventud de la Comunidad de Madrid.

 

La directora de la Agencia también hizo un llamamiento tanto a las Administraciones educativas para regular el uso de dispositivos en las aulas, siguiendo las recomendaciones de la Asociación Española de Pediatría, como a las Administraciones sanitarias, para que impulsen herramientas de prevención, detección y tratamiento de la adicción a las tecnologías en los más jóvenes.

 

Continuó la jornada con la intervención del Jefe del Gabinete Jurídico de la AEPD, David Javier Santos, describió los fundamentos jurídicos que justifican la exigencia de una evaluación de impacto en la Protección de Datos en la MAIN de los proyectos de disposiciones de carácter general, citando a modo de ejemplo algunas de las leyes más recientes en las que se ha incluido un artículo o una disposición adicional que interrelaciona su contenido con la normativa de protección de datos.

 

La jornada continuó con el análisis de la experiencia de los Delegados de protección de datos en los sectores público y privado, en la que el Secretario General Adjunto de Promoción y Autorizaciones de la AEPD, Manuel Villaseca, facilitó datos sobre el número de entidades públicas y privadas que han designado un delegado de Protección de Datos, destacando el porcentaje de los mismos que son externos al responsable del tratamiento y proporcionando información sobre el cuestionario y la encuesta realizada por la AEPD, así como sobre las principales deficiencias detectadas.

 

Le siguió el Vicepresidente de ISMS Forum, Carlos Alberto Sáiz, que analizó la posición de los DPD en España destacando que se trata de una profesión reconocida y respetada, con buena formación que coloca a España en un lugar destacado respecto de esta figura. Entre los retos que deben abordar hizo referencia a nuevos desarrollos como la inteligencia artificial y a la necesidad de desarrollar procesos automatizados de cumplimiento de la normativa. Asimismo informó sobre la iniciativa que se está desarrollando sobre la certificación para la figura encargados del tratamiento que faciliten el cumplimiento del deber de diligencia debida en su selección.

 

Tras él intervino el Presidente de la Asociación Profesional Española de Privacidad (APEP), Marcos María Judel que, partiendo de los datos de la radiografía 2021/ 2022 realizada por APEP describió los distintos perfiles y porcentajes de delegados de protección de datos externos e internos, de juristas y tecnólogos y de la existencia de una fuerte competencia en este mercado. Asimismo describió que en el desempeño de sus funciones ocupan un lugar preferente los aspectos más sencillos de cumplimiento del RGPD como son las cláusulas informativas o los contratos de encargado de tratamiento, frente a los más estructurales como son el análisis de riesgos, la legitimación para el tratamiento aplicación del principio de proporcionalidad. Igualmente, destacó la puesta en marcha de la Radiografía de Privacidad APEP 2023, que ha contado con la colaboración de la Agencia Española de Protección de Datos, animando a los profesionales a participar en ella.

 

La sesión de tarde estuvo marcada por las intervenciones de miembros de la División de Innovación Tecnológica de la Agencia. El Jefe de Área Tecnológica de esta División, Andrés Calvo, describió las deficiencias que ha constatado la Agencia en la notificación de brechas de seguridad y en la consulta de EIPD. En este último aspecto, señaló específicamente la debilidad de los análisis del principio de necesidad y proporcionalidad en el tratamiento de los datos o las omisiones de una adecuada ponderación cuando se alega la base del interés legítimo. Y respecto de las brechas de seguridad indicó que los responsables deben partir de la premisa de que se van a producir y de que deben realizar un análisis más riguroso de las medidas a adoptar.

 

La Jefa de Área de la División de Innovación Tecnológica, Teresa Martínez, realizó una descripción detallada de las implicaciones de los procedimientos de pseudonimización y de anonimización, de los aspectos que pueden incidir en la reidentificación (como los atributos de los datos o los metadatos) de las metodologías que permiten reducir los riesgos de reidentificación y de las técnicas para verificar dinámicamente la anonimización de los datos.

 

La segunda de las jornadas arrancó con la reforma de la LOPDGDD en materia de procedimientos a cargo de la Subdirectora General de la Inspección de Datos de la AEPD, Olga Pérez, que hizo un análisis detallado de las recientes modificaciones respecto de los procedimientos de apercibimiento, de garantía de derechos y de infracción, facilitando a los asistentes una información práctica sobre las implicaciones de dicha reforma.

 

Asimismo hizo referencia a la tramitación de los procedimientos transfronterizos remitidos a la AEPD, a las novedades en materia de investigación a distancia, a los traslados como mecanismo de resolución extrajudicial o de mediación de reclamaciones legalmente previstos en la norma y a las iniciativas para desarrollar modelos de reclamación ante la Agencia.

 

La conferencia fue seguida de la intervención del Subdirector General de Promoción y Autorizaciones de la AEPD, Julián Prieto, que, partiendo de las previsiones del RGPD sobre el impulso a los procedimientos de mediación para la tramitación de reclamaciones, describió los criterios recogidos en las directrices 6/2022 del Comité Europeo de Protección de Datos (CEPD).

 

A continuación centró su intervención en las posibilidades de los códigos de conducta como modalidad para desarrollar actividades de mediación en la tramitación de reclamaciones tanto recibidas por los organismos de supervisión como remitidas por la AEPD.

 

Profundizando en la experiencia práctica de la mediación intervino el Director General de la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL), José Domingo Gómez Castallo, que expuso las iniciativas que han desarrollado más recientemente como organismo de supervisión de códigos de conducta en el ámbito de la actividad publicitaria; así como el proceso de transformación del protocolo de mediación suscrito con las operadoras de telecomunicaciones a un código de conducta que posibilite el desarrollo de su actividad de mediación mediante la recepción de reclamaciones remitidas por la AEPD,  destacando el alto porcentaje de resultados favorables a las reclamaciones de los ciudadanos.

 

A continuación intervino la Delegada de Protección de Datos de Movistar, Estrella Barrionuevo, que puso de manifiesto las ventajas que desde el punto de vista de las operadoras ha tenido la adhesión al código de conducta de publicidad cuyo organismo de supervisión es AUTOCONTROL, haciendo referencia a los porcentajes de resoluciones favorables a los ciudadanos y a la constatación de que promueve una cultura de proximidad y transparencia con los clientes.

 

Para analizar el plano internacional intervino el Director de la División de Relaciones Internacionales de la AEPD, Joaquín Pérez, que informó sobre las novedades en el CEPD y realizó descripción sobre las iniciativas normativas que constituyen el paquete digital de la Comisión Europea. Centrándose específicamente en la normativa sobre inteligencia artificial realizó una descripción de los orígenes de la investigación neuronal en el ámbito de la medicina, de su posterior evolución, y de las posibles implicaciones de nuevas propuestas de modificación de las cartas de derechos fundamentales en relación con ella.

 

En particular, detalló en distintos ejemplos las implicaciones prácticas que tiene la utilización de dicha tecnología y de la referencia de sus promotores a la normativa de protección de datos como obstáculo para su desarrollo, para concluir refutando esta afirmación con una referencia a las tecnologías PET, que lo permiten con garantías adecuadas para la protección de las personas.

 

La segunda de las jornadas concluyó con la intervención de la Vocal Asesor en la Subdirección General de Promoción de la AEPD, Mercedes Ortuño, que puso de manifiesto la necesidad de desarrollo por parte de las Administraciones Públicas de políticas de responsabilidad social. Asimismo, expuso de forma detallada las iniciativas realizadas por la Agencia en esta materia (que se concretan en 108 medidas que se aplican de forma transversal en todas sus áreas y que se recogen de forma detallada en la última Memoria de RS), y entre las que destacan la protección a los menores, el compromiso con la igualdad de género, el lanzamiento de guías y herramientas de ayuda, la actuación transparente y las medidas para el bienestar personal y laboral del personal con el teletrabajo y otras acciones específicas para promover el bienestar emocional.

 

La tercera y última jornada estuvo inaugurada por el Director de la División de Innovación Tecnológica de la AEPD, Luis de Salvador, que abordó cómo la tecnología permite que tanto las empresas privadas como las Administraciones Públicas utilicen datos personales en una escala sin precedentes. La transformación digital y el creciente uso de los servicios digitales abre la oportunidad al desarrollo de la economía del dato y cómo la tecnología, usada correctamente, permiten crear valor tanto el ámbito público como privado. En ese sentido, el RGPD proporciona un marco sólido y coherente para la protección de los derechos fundamentales.

 

Esta ponencia tuvo como continuación la intervención del Coordinador de la Unidad de Apoyo y Relaciones Institucionales de la AEPD, Jesús Rubí, que analizó cómo los Espacios de Datos abren un horizonte de grandes oportunidades, y para garantizarlas, así como para garantizar la sostenibilidad con relación al modelo europeo de derechos y libertades, es obligatorio realizar un análisis objetivo y crítico de su implementación desde el diseño que sea acorde al impacto del tratamiento. Entre esas iniciativas de espacios de datos destaca la Propuesta de Reglamento del espacio Europeo de Espacios de Salud en el que se contemplan dos tipologías de tratamiento: un uso primario que tiene como finalidad garantizar la asistencia sanitaria a los europeos en situaciones de desplazamiento y un uso secundario para el tratamiento de datos con fines de investigación científica, histórica y estadística.

 

La Doctora y Profesora Titular de la Universidad Rey Juan Carlos Marta Beltrán describió a continuación como la aparición de nuevos dominios de aplicación de la tecnología siempre conlleva la aparición de nuevos riesgos, entre ellos, los relativos a la privacidad y a los derechos y libertades de los usuarios. En su ponencia realizó un recorrido por algunos de los más novedosos y en qué tipos de tratamientos de datos se basan, identificando los factores de riesgo críticos de cada uno de ellos. Estas nuevas aplicaciones de la tecnología se basan, en general, en categorías de datos cada vez más sensibles como datos biométricos (iris, voz, huella dactilar, cara, pero también latido cardíaco o neourodatos) o relativos a aspectos únicos del comportamiento.

 

La última ponencia corrió a cargo de la Vicepresidenta de la European Association for Digital Transition, Ana Caballero, que abordó cómo los menores son un colectivo especialmente sensible tanto por el tratamiento de sus datos como por el riesgo de adicciones. Así, expuso por qué los perfiles de los menores son muy valiosos económicamente y permiten construir una relación de consumo desde una edad muy temprana, detallando tres riesgos fundamentales: el momento evolutivo y de neurodesarrollo en el que se encuentran; el acceso a productos diseñados para adultos, lo que puede desembocar en problemas de salud mental y violencia; y cómo algunos servicios son la puerta de acceso a contenidos inapropiados para el desarrollo integral del menor.

 

Caballero también expuso con detalle en qué consiste la propuesta de Pacto de Estado para la protección de los menores de edad en internet y las redes sociales que han presentado la Asociación Europea para la Transición Digital, promotora de la iniciativa, Save The Children, Fundación ANAR, iCMedia, Dale la Vuelta y UNICEF, y que la Agencia de Protección de Datos apoya.

Fuente: Agencia Española de Protección de Datos.

 

• La nueva versión de la Guía adapta su contenido a las Directrices sobre patrones engañosos publicadas por el Comité Europeo de Protección de Datos en febrero de este año

 

• Al igual que en versiones anteriores de la Guía, la Agencia ha contado con la participación de los sectores afectados

 

• Los nuevos criterios deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para la adaptación

 

La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD). La nueva versión de la Guía realizada por la Agencia ha contado, tal y como ocurrió con versiones anteriores, con la participación de los sectores afectados (las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain).

 

El Comité Europeo de Protección de Datos publicó en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales. La Agencia incorpora a la nueva versión de la Guía el criterio del Comité Europeo, que recoge que las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen.

 

En paralelo a esa incorporación, se han realizado una serie de modificaciones:

 

En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.

 

Sin embargo, cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.

 

Por otro lado, en cuanto a los muros de cookies, la Guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Por tanto, podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. La nueva versión de la Guía aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita.

 

Los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies.

 

Fuente: Agencia Española de Protección de Datos.

 

Este miércoles ha comenzado el Encuentro ‘Retos para la protección de datos en el momento actual’, organizado por la Agencia Española de Protección de Datos (AEPD) y la Universidad Internacional Menéndez Pelayo (UIMP) en el marco de los Cursos de Verano de Santander.

 

El encuentro, que acoge el Paraninfo de la Magdalena, está dirigido por Mar España Martí, directora de la AEPD, que ha comparecido ante los medios de comunicación para dar a conocer los principales retos a los que se enfrenta la AEPD y la importancia de este derecho fundamental en nuestro día a día.

 

Mar España ha incidido en tres cuestiones principales que suponen un reto para la protección de las personas: el tratamiento de datos personales de menores, el impacto de la Inteligencia Artificial, y la propia situación de la AEPD, que según sus palabras “está al borde del colapso”, por lo que pide un esfuerzo en los presupuestos de 2024 para incrementar el personal de la Agencia.

 

El acceso a internet de los menores

 

La directora de la AEPD ha subrayado la importancia que tiene que las familias sigan unas pautas cuando van a entregar un móvil a sus hijos, y que  se han detallado en la Guía editada por AEPD y UNICEF: “Vivimos en un mundo altamente digitalizado, los fondos de digitalización han ido a las escuelas y eso está muy bien, pero también tenemos que hablar de la adicción a las tecnologías y regular su uso en el ámbito docente, siguiendo las pautas de las sociedades médicas y la evidencia científica nacional e internacional en función de la edad”.

 

Según los datos que ha ofrecido Mar España, casi la mitad de los adolescentes utilizan el móvil más de seis horas al día y una de cada cinco familias dan los móviles a sus hijos sin ningún tipo de control parental. “Si tú das un móvil con acceso ilimitado a internet a un menor con nueve años, es lo mismo que si dieras un Ferrari a 200 km por hora sin que esa persona haya dado una sola clase del carné de conducir, ni teórica ni práctica”, ha subrayado.

 

España ha recalcado el trabajo de la AEPD en esta cuestión: “Desde la Agencia estamos coordinando un grupo de trabajo para prevenir la adicción a las tecnologías, con lo que esto implica en el tratamiento y la monetización de los datos de menores, o los daños en su salud mental y, por otra parte, para establecer verificaciones de atributos de mayoría de edad para acceder a determinadas páginas”.

 

Impacto de la Inteligencia Artificial

 

“La Inteligencia Artificial ha venido para quedarse” ha afirmado, advirtiendo de que se está utilizando “en nuestras vidas sin que todavía esté absolutamente regulado. La Autoridad Española de Supervisión de la Inteligencia Artificial está ya establecida su regulación, y es importante que desde el comienzo de su funcionamiento y sobre todo desde el diseño de la utilización de los algoritmos por parte de las empresas privadas y las administraciones públicas, se coordinen las actuaciones de esta Agencia Española de Supervisión de la Inteligencia Artificial y la AEPD” en lo que se refiere al tratamiento de datos personales.

Uno de los principales problemas que genera hoy por hoy la inteligencia artificial es que trata datos “sin que se garantice que no hay sesgos ni discriminación y que ese tratamiento de datos es conforme con la ética y la privacidad”. “Sin esas garantías, no sólo es un tratamiento defectuoso sino ilegal”.

 

Necesidad de reforzar la AEPD

 

Por último, Mar España ha alertado del importante incremento de la carga de trabajo de la Agencia: “Hemos recibido un aumento en las reclamaciones de más del 80% sobre las 15.000 reclamaciones de hace dos años. Este año es un 37% respecto al año pasado”.

 

Reclamaciones que además de ser “tremendamente complejas” también son transfronterizas. “La Agencia está al límite, al borde del colapso. Va a haber nuevas elecciones el 23 de julio. Hago un llamamiento al futuro gobierno para que una de las actuaciones que se tengan en cuenta de cara a los presupuestos de 2024 sea incrementar los presupuestos y el personal de la Agencia”.

Comprar los billetes o reservar el alojamiento a través de Internet es algo común y, pese a las comodidades que ofrece esta modalidad, no debemos bajar la guardia. Puedes encontrar más consejos básicos en la guía para comprar de forma segura de la AEPD.

 

Precauciones antes de comprar

 

Para realizar compras online con seguridad es fundamental que el dispositivo que se use esté debidamente configurado y protegido y, para ello, te recomendamos tener en cuenta algunos consejos básicos: instalar una herramienta antivirus, confirmar que el sistema operativo del dispositivo esté actualizado, revisar los programas y las apps instaladas o evitar el uso de dispositivos públicos o compartidos.

 

Respecto a la conexión, es importante no conectar el dispositivo a una red WiFi pública para realizar transacciones en las que hay intercambio de información confidencial y, cuando las hagamos desde casa, asegúrate de configurar el router doméstico adecuadamente para que terceros no puedan conectarse a la red.

 

Realiza tus compras en páginas de confianza. Pero… ¿Cómo puedes distinguirlas? Asegúrate de que en la web aparece identificado el responsable de la tienda online y su ubicación, comprueba que la tienda online es segura y te proporciona toda la información que necesitas sobre consumo y tratamiento de datos personales y fíjate si dispone de una conexión segura.

 

Por último, sospecha de mensajes alarmistas o que llamen tu atención con ofertas imposibles y que suelen tener como finalidad que accedas a un enlace o descargues un fichero adjunto de manera inminente. La conexión con la página debe ser directa y no a través de enlaces para asegurarte de que no se trata de una web fraudulenta.

 

Cómo realizar una compra segura

 

Si has cumplido todas las recomendaciones previas, es el momento de iniciar la compra seleccionando un método de pago adecuado. Lo primero que debemos tener en cuenta es no enviar dinero en efectivo en tus compras online.

 

El pago con tarjeta es la modalidad más utilizada por las tiendas virtuales. La única información necesaria para realizar el pago está contenida en la propia tarjeta de crédito/débito. Aunque implique el intercambio online de datos bancarios, puede llegar a ser un sistema de pago muy seguro siempre que la tienda utilice una pasarela de pago que ofrezca algún banco, el cual se encargará de verificar la autenticidad de la tarjeta y de la protección de los datos del cliente.

 

Si hay dudas sobre la fiabilidad de la web, es mejor descartar la compra y no facilitar los datos de la tarjeta de crédito. Asimismo, cuando sea posible, te recomendamos valorar la posibilidad de disponer de una tarjeta de uso exclusivo para realizar pagos online.
En caso de que tengas que registrarte en la página web, recuerda que tu contraseña debe tener una longitud mínima de ocho caracteres, combinando letras mayúsculas y minúsculas, números y caracteres especiales.

 

No te pueden cobrar por corregir tus datos personales para volar

 

Recuerda que cobrar a los pasajeros aéreos por corregir una errata en sus datos personales para poder volar es contrario al Reglamento General de Protección de Datos. Una resolución de la Agencia establece que aerolíneas y agencias de viajes no pueden cobrar cargos por rectificar el nombre de un pasajero cuando se ha producido un error ortográfico o tipográfico en las contrataciones online.

 

De esta forma, si cometes una errata al comprar unos billetes, debes ejercitar el derecho de rectificación recogido en la normativa de protección de datos. Se trata, por lo tanto, de un derecho, por lo que esta rectificación debe ser gratuita salvo en casos infundados o excesivos.

 

Así puedes reclamar

 

En el caso de que finalmente consideres que se ha incumplido algún tipo de normativa, los posibles canales para reclamar serían los siguientes:

 

• Cuando se trate de una reclamación en materia de consumo, los órganos competentes en esta materia, de ámbito estatal o autonómico, pueden actuar cuando se incumpla la normativa general de defensa de los consumidores y usuarios.

 

• Si se trata de una reclamación en materia de protección de datos personales, la competente es, en principio, la Agencia Española de Protección de Datos. La reclamación puede presentarse a través de su Sede electrónica. La tramitación es más ágil en los casos en que se aportan más pruebas o indicios.

 

• Finalmente, si se trata de conductas tipificadas como delitos, su investigación y persecución corresponde a las Fuerzas y Cuerpos de Seguridad, el Ministerio Fiscal y los correspondientes órganos judiciales.

 

Fuente: Agencia Española de Protección de Datos

 

• Fija los criterios conforme a los que va a actuar la Agencia en aplicación del artículo 66.1b) de la Ley 11/2022 General de Telecomunicaciones, que implica cambios sustanciales para poder realizar este tipo de llamadas.

 

• La Circular se publica habiendo obtenido el dictamen favorable del Consejo de Estado y contribuye a clarificar la norma, ofreciendo seguridad jurídica tanto a los que realizan las llamadas comerciales como a los usuarios que las reciben.

 

• La Agencia ha publicado también un documento que recoge todas las garantías aplicables para los usuarios a partir del 29 de junio de este año.

 

Hoy 28 de junio de 2023, el Boletín Oficial del Estado ha publicado la Circular de la Agencia Española de Protección de Datos (AEPD) sobre el derecho de los usuarios a no recibir llamadas no solicitadas, fijando los criterios que aplicará la Agencia en relación con el artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones.

 

Este artículo, aplicable desde el 29 de junio de este año, recoge el derecho de los usuarios a no recibir llamadas con fines de comunicación comercial no solicitadas, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones o que estas puedan ampararse en otra base de legitimación de las previstas en el Reglamento General de Protección de Datos (RGPD). El artículo de la Ley no limita exclusivamente la realización de las llamadas con fines de comunicación comercial al consentimiento e incluye la posibilidad de que estas puedan realizarse con otras bases jurídicas. Ante las dudas suscitadas en la interpretación de este artículo, la Circular de la Agencia contribuye a clarificar el criterio, ofreciendo seguridad jurídica tanto a aquellos que realizan las llamadas comerciales como a los usuarios que las reciben.

 

La Circular, que da continuidad al informe que la Agencia publicó en mayo, se publica tras haberse sometido al trámite de audiencia e información pública en el que la Agencia ha recabado la opinión de los interesados, dando audiencia a las principales asociaciones y organizaciones representativas de los afectados, y ha obtenido el dictamen favorable del Consejo de Estado.

 

El texto está compuesto por una parte expositiva, seis artículos y una disposición final. El artículo 1 establece el ámbito objetivo de la circular; el artículo 2, el consentimiento de los usuarios finales; el artículo 3, el interés legítimo del responsable o de terceros; el artículo 4, la consulta a los sistemas de exclusión publicitaria; el artículo 5, el tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales, y el artículo 6 otras garantías adicionales. La disposición final establece la entrada en vigor, fijando el día siguiente al de su publicación en el Boletín Oficial del Estado.

 

Hasta la entrada en vigor de estos cambios, los usuarios podían recibir estas llamadas comerciales si no se habían opuesto a ellas. A partir del 29 de junio de 2023, los usuarios podrán recibirlas si han dado previamente su consentimiento o si la empresa que llama puede justificar que su interés legítimo en realizar la llamada prevalece sobre el derecho de los usuarios a no recibirlas y estos no han ejercido su derecho de oposición.

 

Para realizar el análisis sobre el interés legítimo de aquellos que realizan las llamadas comerciales, la Agencia ha partido de la finalidad perseguida por el legislador, que implica un cambio sustancial en el régimen jurídico. De este modo, el reconocimiento directo del derecho a no recibir llamadas no deseadas conlleva la obligación de los responsables de no realizarlas salvo que acrediten la existencia de alguna de las excepciones que, “dado su carácter excepcional, deben ser objeto de interpretación restrictiva”, según recoge el Informe jurídico 52/2023 de la Agencia. El informe añade que la interpretación del interés legítimo debe realizarse de forma estricta, evitando que aquellos que realizan las llamadas puedan hacer una interpretación en términos tan amplios que fuesen contrarios a la finalidad pretendida por la norma.

 

La Circular especifica que para que la empresa pueda justificar su interés legítimo, el usuario debe haber tenido una relación previa con ella habiendo adquirido sus productos o servicios y, además, los productos ofrecidos por la empresa deben ser similares a los que se hubieran contratado con anterioridad. Esta posibilidad sólo se refiere a las llamadas de la misma empresa con la que se hubiera tenido esa relación y no a otras entidades, aunque pertenezcan a su mismo grupo empresarial. Además, si la relación contractual ya no está en vigor y el usuario no ha realizado ninguna otra solicitud o interacción con la empresa durante el último año, no podrán llamarle.

 

En cuanto a las llamadas realizadas a números generados de forma aleatoria, sólo pueden realizarse llamadas comerciales con el consentimiento previo del usuario. La empresa no puede realizarlas basándose en su interés legítimo, ya que en este caso no prevalece sobre el derecho de los usuarios.

 

La Agencia ha publicado un documento que detalla las garantías para los usuarios incluyendo, además, cuándo se pueden realizar llamadas a los abonados cuyo teléfono aparece en las guías telefónicas, la consulta de los sistemas de exclusión publicitaria, los datos de contacto laborales y el derecho a la información (consultar documento).

 

Fuente: Agencia Española de Protección de Datos.

 

La Agencia Española de Protección de Datos apoya la propuesta de Pacto de Estado para la protección de los menores de edad en internet y las redes sociales que han presentado hoy la Asociación Europea para la Transición Digital, promotora de la iniciativa, Save The Children, Fundación ANAR, iCMedia, Dale la Vuelta y UNICEF. La iniciativa se enmarca en el inicio de la presidencia de la UE por parte de España, y ante la próxima celebración de las elecciones generales del 23-J, que darán lugar a una nueva legislatura.

 

El punto de partida de esta iniciativa, la primera de este calado en la que participan las organizaciones más representativas de protección a la infancia, ha sido la preocupación compartida sobre los riesgos que afrontan niños, niñas y adolescentes en estos entornos, al utilizar servicios diseñados para adultos, que pueden afectar a su socialización y potenciar posibles problemas de salud mental, como la ansiedad y la depresión, además de facilitar situaciones de violencia como el acoso escolar y sexual. Además, los dispositivos móviles se han convertido en una puerta a contenidos pornográficos, lo que genera una banalización de las relaciones sexuales, sexualización precoz y exposición a contenidos inapropiados. Por último, los firmantes también advierten sobre la captación masiva de datos de los menores, con vistas a su perfilado para la venta a terceros con fines publicitarios.

 

Las medidas propuestas inciden en la necesidad de asumir el problema, formar a profesionales para afrontarlo, y desarrollar la legislación vigente para que todos los actores implicados asuman su responsabilidad ante una población vulnerable como son los niños, niñas y adolescentes. Las propuestas atañen a varios niveles de la Administración Pública.

 

La propuesta del Pacto de Estado está abierta a adhesiones de empresas, entidades sociales y fundaciones, que pueden manifestar su interés preliminar en la web https://digitalforeurope.eu/pacto-menores-online, donde también se puede consultar el manifiesto.

 

Principales medidas de consenso para un Pacto de Estado

 

• Obligar a que los algoritmos y sistemas de tratamiento automático estén auditados por terceros independientes y autoridades de control, con relación a la protección de la privacidad, la inexistencia de sesgos discriminatorios, la manipulación, etc. Además, de la misma forma que se hace con los medicamentos, deberán dar información clara y comprensible a los adultos: a quién va dirigido el servicio, quién no debe usarlo, que contraindicaciones tiene en casos especiales, cómo ha de usarse y con qué limites, cómo actuar ante problemas, quién ha verificado su correcto funcionamiento, etc.

 

• Reforzar la capacidad de control de los organismos responsables de la aplicación de la Digital Services Act  (Ley de Servicios Digitales, aprobada por la UE en 2022) en lo que atañe a los menores, como son la Comisión Nacional de los Mercados y la Competencia (CNMC) y la AEPD.

 

• Establecer un marco de rendición de cuentas para los directivos responsables de las plataformas de intercambios de vídeos y distribuidores de contenidos que incumplan con el establecimiento de la obligación de verificación de edad.

 

• Promover la regulación en las Comunidades Autónomas para limitar el uso de los móviles en los centros educativos, y para adecuar el uso de los dispositivos tecnológicos en el aula a pautas por edades.

 

• Implementar en los sistemas de Atención Primaria recursos para detectar, prevenir y afrontar el consumo problemático de internet, redes sociales y pornografía por parte de menores de edad.

 

• Fomento de Escuelas de Padres y Madres para dotarles de herramientas que les permitan educar a sus hijos e hijas en un uso responsable de internet y las redes sociales.

 

El documento desarrolla quince medidas como estas, puntos de partida de consenso en los que trabajar conjuntamente por encima de las diferencias entre partidos políticos y los distintos colectivos y grupos de interés.

 

 

Hasta el momento, ya se han adherido más de 70 entidades de la sociedad civil como la Asociación Española de Fundaciones (AEF), Asufin, Club Abierto de Editores (CLABE), el Consejo Audiovisual de Andalucía, el Consell de l’Audiovisual de la Comunitat Valenciana, la Fundación FAD Juventud, el Instituto Hermes o la Fundación Atresmedia.

 

 

Fomento de hábitos saludables en la infancia y adolescencia

 

 

El apoyo institucional a esta iniciativa por parte de la Agencia Española de Protección de Datos se suma a la batería de medidas puestas en marcha por el organismo para fomentar la protección de los y las menores en Internet, y que forman parte de su proyecto de Responsabilidad Social, que recoge más de un centenar de compromisos con la sociedad, el buen gobierno, la transparencia, la integridad y la ética. Entre las medidas puestas en marcha para fomentar el uso responsable de Internet se encuentra el Canal joven, los materiales para concienciar tanto a los menores como a sus padres y madres, la participación en grupos de trabajo junto a otros organismos competentes en la materia o la actuación rápida en situaciones delicadas con el Canal prioritario.