Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

El establecimiento dejó en la calle al huésped ante su negativa de remitirle el documento por la plataforma de mensajería o por correo electrónico

Reservó un apartamento rural en Badajoz a través de una plataforma de alojamientos y tras aportar sus datos y ser confirmada la reserva por correo electrónico, al día siguiente contactó con él uno de los propietarios del establecimiento requiriéndole que remitiera una fotografía del DNI por ambas caras de todos los huéspedes a través de WhatsApp o correo electrónico. Era condición para entrar al alojamiento, a pesar de que la confirmación de la reserva indicaba que sólo tendrían que mostrarlos a su llegada.

 

Ante esta tesitura, el cliente se negó y al llegar al establecimiento para realizar el registro de entrada enseñando su DNI, el alojamiento insistió en que tenía que remitir la documentación por WhatsApp si quería pernoctar allí. Finalmente, la reiterada negativa del cliente llevó al establecimiento a prohibirle el acceso al apartamento reservado y pagado con antelación.

 

Por esta razón, el cliente, además de denunciar los hechos «por considerarlos excesivos e innecesarios» ante la Guardia Civil, acudió a la Agencia de Protección de Datos (AEPD), que ha impuesto una multa de 2.000 euros a la sociedad responsable de los alojamientos rurales por una infracción considerada «muy grave».

 

Todo ello a pesar de los motivos expuestos en su defensa que, según recoge la resolución, basa en que no estaban obligados a tener recepción, pero, como establecimiento turístico, sí a transmitir diariamente y por vía telemática todos los datos incluidos en el parte de viajeros. «Datos que los clientes deben aportar por vía telemática, debido a la falta de recepción y de personal encargado de dichas funciones y de verificar los datos entregados por los clientes. Las gestiones relacionadas con los apartamentos turísticos no tienen sede física», expresan.

 

Asimismo y con respecto a la reclamación, argumentan que debido a la reiterada negativa del cliente a enviar la documentación por vía telemática, «necesaria para cumplimentar el parte de registro de clientes que deben remitir a la Guardia Civil», no se realizó el ‘check in’ ni se autorizó el alojamiento del cliente en el establecimiento. De igual modo, aducen que en ningún momento pudieron hacer mal uso de los datos ni de los documentos del cliente, pues nunca se los facilitaron. Sin embargo, según expone la Agencia de Protección de Datos, «no se sanciona en este acto la recogida de datos personales inadecuados, no pertinentes y no necesarios de la parte reclamante, sino de los clientes de la entidad en general».

 

Por último, este organismo suma a la sanción económica el requerimiento a la empresa para que en el plazo de tres meses cese en la recogida de copias de los documentos de identidad de sus clientes para la cumplimentación del registro y modifiquen la información que ofrece en materia de protección de datos personales. Asimismo, advierte que de no hacerlo, podría ser considerado una infracción administrativa que derivara en otro procedimiento sancionador.

 

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 450.000 euros de multa administrativa a la empresa UNIQLO Europe, LTD, con sucursal en España, dedicada al comercio al por menor de prendas de vestir en establecimientos especializados.

 

La AEPD ha razonado que la empresa no garantizó debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, poniendo los mismos en disposición de un tercero no autorizado cuando uno de los empleados del departamento de recursos humanos, por error, envió un correo electrónico a un trabajador con las nóminas de 446 miembros de la plantilla.

Asimismo, la resolución dictada por la Agencia, y disponible en el botón ‘descargar resolución, considera que las medidas de seguridad implantadas en relación con los datos que sometía a tratamiento no eran las adecuadas para garantizar la seguridad y confidencialidad de los datos personales de sus empleados.

 

La sanción económica llega a raíz de que el pasado 5 de julio la Directora de la Agencia Española de Protección de Datos, Mar España, acordara iniciar un procedimiento sancionador a la empresa UNIQLO Europe, LTD, con sucursal en España, tras tener indicios evidentes que de la mercantil habría cometido una infracción del Reglamento General de Protección de Datos.

 

Pues, en marzo del año pasado la Agencia registró dos reclamaciones interpuestas contra la empresa. La primera de ellas de un trabajador que prestaba servicios para la entidad y que informaba que, tras solicitar su nómina a la entidad, recibió un correo electrónico con un documento PDF adjunto que incluía su nómina y la de 446 trabajadores más de la plantilla, constando el nombre, apellido, DNI/NIE, número de la Seguridad Social, número de cuenta bancaria y la retribución percibida por cada empleado.

 

La segunda reclamación se origina a partir de recibir la comunicación informativa de la brecha, enviada por UNIQLO a los empleados afectados mediante correo electrónico. La parte reclamante de esta segunda reclamación se trata de un miembro del Comité de Empresa.

 

UNIQLO admitió los hechos ante la AEPD pero alegaba la brecha fue causada por un error del personal del departamento de recursos humanos (error humano) que no siguió el proceso interno y envió por error el archivo indicado.

 

Asimismo, la empresa manifestó que no tuvieron constancia de la brecha hasta que no recibieron la notificación de la AEPD, ya que el empleado de recursos humanos que remitió el archivo por error no informó de ellos a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha no trascendió ni se actuó de forma proactiva ante ella, y, por consiguiente, tampoco pudo noticiar a la Agencia.

 

No obstante, UNIQLO afirmaba que informó del incidente a los trabajadores afectados a los pocos días de que se tuviera constancia del mismo.

450.000 euros de multa

 

Por los hechos descritos, la AEPD ha resuelto que la empresa vulneró el artículo 5.1.f) del RGPD, “principios relativos al tratamiento”, al no garantizar debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose puesto en conocimiento de un tercero no autorizado.

 

“Este deber de confidencialidad e integridad, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos”, recuerda la Agencia.

 

En consecuencia de dicha vulneración y las circunstancias de la misma (la gravedad, duración, naturaleza y número de afectados), UNIQLO ha sido sancionada con una multa administrativa de 300.000 euros.

 

Asimismo, debido a la falta de adopción de medidas de carácter técnico y organizativas apropiadas, que posibilitó que un tercero no autorizado accediese a los datos personales de un gran número de trabajadores, la AEPD considera que también se ha vulnerado el artículo 32.1 del RGPD, pues en el presente caso queda evidenciado que “las medidas de seguridad implantadas en relación con los datos que sometía a tratamiento no eran las adecuadas para garantizar la seguridad y confidencialidad de los datos personales en el momento de producirse la quiebra”.

 

En este sentido, la Agencia Española de Protección de Datos ha recordado que la actuación negligente del empleado en la gestión de los datos personales obrantes en las nóminas de los trabajadores no exime de responsabilidad a la empresa. Por ello, le impone otra sanción administrativa, esta vez, de 150.000 euros.

 

FUENTE: ECONOMISTIURIST.ES

Fuente: Agencia Española de Protección de Datos

 

El phishing es una de las estafas más comunes en Internet. A través de este fraude, los ciberdelincuentes intentan conseguir de forma fraudulenta información, como contraseñas o datos bancarios, con la finalidad de causarnos pérdidas económicas. Te ofrecemos algunos consejos para protegerte de las trampas que utilizan los ciberdelincuentes.

 

El phishing es uno de los métodos más utilizados para obtener información de la víctima a través de correos electrónicos, SMS, redes sociales o mensajería instantánea, suplantando la identidad de páginas de servicios conocidos, instituciones o entidades financieras.

 

Para obtener esta información, los ciberdelincuentes generalmente facilitan un enlace que redirige al usuario a una página web fraudulenta que simula ser la legítima. De esta manera, el usuario puede creer que está en un sitio de confianza e introducir la información solicitada -contraseñas, datos personales o bancarios- que, en realidad, va a parar a manos del estafador, que luego utilizará o venderá a terceros.

 

Con la llegada del verano, los ataques de phishing no disminuyen. De hecho, se trata de una época en la que los usuarios suelen estar más relajados y en la que es más común conectarse a Internet a través de smartphones. En este tipo de dispositivos es más sencillo caer en la trampa, puesto que es más complicado analizar la información recibida. Por ejemplo, en un correo electrónico no podemos ver el remitente completo en pantalla y es más difícil identificar mensajes sospechosos.

 

Además, en el periodo estival la reserva de viajes online o las compras de última hora pueden facilitar ser víctima de este tipo de fraude. Gangas que tratan de apremiarte para que pinches en un enlace o publicidad con grandes descuentos son algunos ejemplos de ataques de phishing que pueden producirse en verano con más probabilidad.

 

Para evitar caer en este tipo de estafas, sigue estos consejos:

 

  • Sospecha de mensajes alarmistas, que suelen tener como finalidad que accedas a un enlace o descargues un fichero adjunto de manera urgente.

 

  • No debes responder a correos electrónicos o mensajes que recibas sin esperarlos y que solicitan datos personales o bancarios. Contrasta la información preguntando directamente a las partes implicadas en el mensaje o acudiendo a terceros de confianza: Fuerzas y Cuerpos de Seguridad del Estado, INCIBE, AEPD, etc.

 

  • Si recibes un mensaje de un usuario desconocido o cuyo contenido es sospechoso (aunque el usuario sea conocido), sé cauto y no hagas clic en los enlaces que pueda contener. Y recuerda que los antivirus pueden ayudarte a identificar si los archivos adjuntos están infectados.

 

  • Ninguna entidad, empresa o servicio como el banco, suministros del hogar (agua, gas, etc..) te solicitará datos de acceso a sus cuentas online u otros datos a través del correo electrónico. Si recibes un mensaje en este sentido, elimínalo. En caso de duda, siempre se puede preguntar a través de los canales oficiales directamente a la empresa o servicio mencionado. Además, un servicio como los mencionados anteriormente utilizará sus propios dominios para las direcciones de email corporativas.

 

  • Sospecha si hay errores gramaticales en el texto y revisa la redacción para ver si parece una traducción automática. De igual manera, ponte en alerta si recibes comunicaciones anónimas dirigidas a “Estimado cliente”, “Notificación a usuario” o “Querido amigo”.

 

Si quieres saber más sobre estos consejos y profundizar en información sobre el phishing, puedes consultar la guía de privacidad y seguridad en Internet. Por último, si eres víctima de phishing, sigue estos pasos especificados por INCIBE:

 

1.- Cambia las contraseñas de las cuentas implicadas y de todas aquellas que utilicen la misma información para el inicio de sesión.

 

2.- Contacta con el banco para proteger tu cuenta y cancelar cualquier pago no autorizado o tu tarjeta en caso necesario.

 

3.- Vigila regularmente qué información tuya circula por Internet para detectar si tus datos privados están siendo utilizados sin consentimiento.

 

4.- Escanea tu dispositivo con un antivirus actualizado.

 

5.- Ejerce tus derechos si encuentras algún dato que se está ofreciendo sin tu consentimiento. Te proporcionamos las pautas sobre cómo hacerlo.

 

6.- Comparte tu experiencia con amigos y familiares para que no caigan en una trampa similar.

 

7.- Y, finalmente, recopila todas las pruebas posibles y denúncialo ante las Fuerzas y Cuerpos de Seguridad del Estado.

APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS

 

  • Cuando la captación de imágenes se limite exclusivamente al interior de la vivienda se considera que se realiza en el ejercicio de una actividad personal o doméstica, a la que no le es aplicable esta normativa.
  • Sólo se aplicará cuando las cámaras puedan captar imágenes de personas en el exterior de la vivienda (entradas, espacios comunitarios, medianerías,…).

 

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

 

Previamente a su puesta en funcionamiento, se elaborará el registro de actividades referido a este tratamiento. Se trata de un documento interno. Puede utilizarse la herramienta FACILITA_RGPD disponible en la web de la AEPD cuando no se trate de grandes infraestructuras (estaciones de ferrocarril, centros comerciales). La Guía sobre el uso de videocámaras para seguridad y otras finalidades ofrece un modelo de registro de actividades.

 

DERECHO DE INFORMACIÓN

 

  • En todos los casos se deberá informar de la existencia de un sistema de videovigilancia. A este fin se colocará un cartel suficientemente visible en los accesos a las zonas vigiladas, que indicará de forma clara la identidad del responsable de la instalación, ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos, y dónde obtener más información sobre el tratamiento de los datos personales.
  • La AEPD ofrece un modelo de cartel en la Guía sobre el uso de videocámaras. Igualmente, se pondrá a disposición de los afectados el resto de la información a la que se refiere el artículo 13 del Reglamento General de Protección de Datos

 

INSTALACIÓN

 

  • Las imágenes captadas por las cámaras se limitarán a la vivienda de la que se sea titular. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos a la vivienda y siempre que resulte imprescindible para su finalidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
  • Si se utilizan cámaras orientables y/o con zoom será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.
  • La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a su titular del cumplimiento de la normativa de protección de datos.

 

MONITORES Y VISUALIZACIÓN DE IMÁGENES

 

  • El acceso a las imágenes será exclusivamente del responsable del sistema sin que puedan ser accesibles por personas distintas.
  • Si el acceso se realiza con conexión a Internet se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por la persona que pueda acceder a dichas imágenes. • Una vez instalado el sistema, se recomienda el cambio de la contraseña, evitando las fácilmente deducibles.

 

SISTEMA DE GRABACIÓN

 

  • El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. A las imágenes grabadas accederá sólo la persona autorizada que deberá introducir un código de usuario y una contraseña.
  • Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación, transcurrido el cual se procederá al borrado.
  • Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y serán conservadas para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que lo requieran. No podrán utilizarse para otro fin.
  • La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del tratamiento será el documento que ampare a éste para ceder datos a las mismas o los Juzgados y Tribunales que lo requieran.

 

NOTA IMPORTANTE

Este documento se refiere únicamente a las obligaciones en materia de protección de datos personales. Pueden existir otras normas que impongan requisitos adicionales a la instalación de sistemas de videovigilancia que no han sido recogidos aquí.

 

FUENTE: AEPD

Fuente: Agencia Española de Protección de Datos

 

  • El informe pone de manifiesto cómo, en muchos casos, los proveedores implementan patrones de diseño engañosos y adictivos para prolongar el tiempo que los usuarios permanecen en sus servicios o para incrementar su nivel de compromiso y la cantidad de datos personales que se recogen sobre ellos

 

  • El impacto de las estrategias adictivas es mayor cuando se utilizan para tratar datos personales de personas vulnerables, como es el caso de la infancia y adolescencia, influyendo en las preferencias e intereses de los menores y afectando en última instancia a su autonomía y a su derecho al desarrollo

 

  • La Agencia va a promover que el Comité Europeo de Protección de Datos incluya los patrones adictivos en las directrices que se están preparando sobre la interrelación entre el RGPD y la DSA, debido al elevado impacto que estas prácticas poseen sobre el derecho a la protección de datos en los entornos digitales

 

  • En paralelo, la Agencia va a seguir colaborando en el marco de sus competencias con la CNMC, organismo Coordinador de Servicios Digitales en España

 

La Agencia Española de Protección de Datos (AEPD) ha presentado un informe que analiza cómo los tratamientos de los datos personales de los usuarios en numerosas plataformas, aplicaciones y servicios incluyen patrones adictivos para aumentar su tiempo de conexión. Esta presentación ha tenido lugar durante el cursoNuevos retos para la protección de los derechos de las personas ante el impacto de Internet, enmarcado en las Actividades de Verano 2024 de la Universidad Internacional Menéndez Pelayo (UIMP) de Santander.

 

El informe pone de manifiesto cómo, en muchos casos, estos proveedores implementan patrones de diseño engañosos y adictivos para prolongar el tiempo que los usuarios permanecen en sus servicios o para incrementar su nivel de compromiso y la cantidad de datos personales que se recogen sobre ellos. El impacto adverso de las estrategias adictivas es considerablemente mayor cuando se utilizan para tratar datos personales de personas vulnerables, como es el caso de la infancia y adolescencia, influyendo en las preferencias e intereses de los menores y afectando en última instancia a su autonomía y a su derecho al desarrollo.

 

El Comité Europeo de Protección de Datos (CEPD) abordó los patrones engañosos las Directrices 03/2022 sobre patrones de diseño engañosos en interfaces de plataformas de redes sociales: cómo reconocerlos y evitarlos. La Agencia ha realizado en el informe una revisión de la evidencia científica existente acerca de los patrones adictivos en diferentes plataformas, aplicaciones y servicios (redes sociales, pero también plataformas de vídeo o música, de contenido para adultos, juegos, entornos de aprendizaje, aplicaciones de salud y bienestar, etc.) lo que supone abordar, desde una perspectiva complementaria, nuevos casos de uso.

 

Por otra parte, el Reglamento de Servicios Digitales, conocido como Digital Services Act (DSA) establece en su artículo 25 que las plataformas online no diseñarán, organizarán ni gestionarán sus interfaces de manera que engañen o manipulen a los usuarios, o de manera que distorsionen u obstaculicen su capacidad de tomar decisiones libres e informadas.

 

La directora de la Agencia, Mar España, ha anunciado durante la presentación del informe que la AEPD va a promover que el CEPD incluya los patrones adictivos en las directrices que se están preparando sobre la interrelación entre el Reglamento General de Protección de Datos y la DSA, debido al elevado impacto que estas prácticas poseen sobre el derecho a la protección de datos en los entornos digitales.

 

El informe de la Agencia muestra cómo los tratamientos de datos personales de los usuarios incluyen operaciones específicas, todas ellas engañosas, de manera que se influya en sus decisiones y que se utilicen sus datos personales con este fin o para generar nuevos datos y realizar perfilado (denominado en este documento focalización, ya que permite personalizar de forma minuciosa las estrategias adictivas).

 

El documento realiza una clasificación de patrones adictivos en tres niveles: alto, medio y bajo. Los denominados patrones de alto nivel son estrategias generales independientes del contexto y de la aplicación, y se han identificado cuatro: acción forzada, ingeniería social, interferencia en la interfaz y persistencia. Los patrones de nivel medio describen enfoques más específicos que explotan las debilidades o vulnerabilidades psicológicas de los usuarios. Finalmente, los patrones de bajo nivel corresponden a la ejecución específica de los diferentes enfoques y, a menudo, son específicos del contexto o de la aplicación.

 

La incorporación de patrones adictivos a los tratamientos de datos personales tiene importantes implicaciones para la protección de datos de los usuarios, como la responsabilidad proactiva, la aplicación efectiva de las obligaciones de protección de datos desde el diseño y por defecto, la transparencia, la licitud, la lealtad, la limitación de la finalidad, la minimización de datos, o el tratamiento de categorías especiales de datos. Asimismo, implica un riesgo para los derechos y libertades de todos los usuarios y, en particular, para el derecho a la integridad física y psíquica de la infancia y adolescencia.

 

Procedimientos abiertos por la Comisión Europea

 

En relación con los patrones adictivos, la Comisión Europea tiene abiertos dos procedimientos sancionadores por posible incumplimiento de la citada DSA (Reglamento de Servicios Digitales), contra TikTok y contra Meta. A ello se suma la suspensión de TikTok Lite anunciada por la propia compañía después de que la Comisión hiciera pública su intención de imponer medidas provisionales suspendiendo la función que recompensaba económicamente el tiempo adicional frente a la pantalla.

 

En España, la Agencia seguirá colaborando en el marco de sus competencias con la Comisión Nacional de los Mercados y la Competencia (CNMC), organismo designado como Coordinador de Servicios Digitales nacional.

Fuente: Agencia Española de Protección de Datos.

 

El periodo estival es una época de un mayor uso de las redes sociales. Existe una tendencia a querer compartir tanto las experiencias propias como las de la unidad familiar, pese a los riesgos que puede conllevar. Te explicamos cuáles son y cómo intentar evitarlos.

 

El término ‘sharenting’ es la unión de los conceptos compartir y paternidad (del inglés ‘share’ y ‘parenting’) y se refiere a compartir imágenes online de hijos e hijas menores de edad por parte de sus padres y madres en redes sociales. Se trata de una práctica que se ha extendido en los últimos años, y que supone riesgos que se deben tener en cuenta antes de llevarla a cabo.

 

Con la llegada del verano y las vacaciones, compartir las experiencias a través de redes sociales se vuelve una práctica habitual, pero es importante pensar en que la información que publiques te puede comprometer. Por ejemplo, dar información sobre tu localización puede suponer una pista para indicar que tu casa está vacía.

 

También se debe tener en cuenta que nuestras publicaciones pueden ser vistas por más gente de la que pensamos en principio, y no sólo por nuestros seguidores. Para tratar de evitarlo, una buena práctica es revisar la configuración de privacidad de tus redes sociales siguiendo los tutoriales que la AEPD ha preparado en nuestro canal de YouTube. De esta manera, podrás modificar ajustes como quién tiene acceso a tus publicaciones o si se puede conocer tu geolocalización.

 

Los riesgos de publicar en redes sociales se ven acrecentados cuando hablamos del ‘sharenting’, puesto que el contenido en el que aparecen menores es más delicado. Por este motivo, y pese a que no es recomendable publicar en redes contenido en el que aparecen menores, en caso de hacerlo hay que aumentar las precauciones y ser más responsable. Pantallas Amigas enumera algunos de los peligros de publicar este tipo de contenidos:

 

  • Uso fraudulento de las imágenes: Los contenidos pueden descargarse sin autorización y ser manipulados para volver a subirse a Internet. Además, pueden ser usados para campañas publicitarias sin nuestra autorización.

 

  • Geolocalización: Los datos de localización permiten que se sepa dónde están nuestros hijos e hijas en todo momento.

 

  • Falta de privacidad: Cuando subimos las fotos de los menores, lo estamos haciendo sin que puedan decidir si quieren tener presencia o no en Internet.

 

  • Ciberbullying: Los contenidos pueden llegar a favorecer el ciberacoso, ya que pueden afectar a su reputación social.

 

  • Grooming: Puede llegar a generarse acoso por parte de otro adulto a través de las redes sociales.

 

  • Pedofilia: El contenido puede ser usado con propósitos sexuales. Los pedófilos podrían llegar a guardar o compartir dichas imágenes para una connotación sexual.

 

Si, pese a estos riesgos, has decidido que vas a publicar en redes sociales fotografías o vídeos de tus hijos e hijas, sigue estos 10 consejos para realizar un ‘sharenting’ responsable:

 

1.- Tienes la obligación de cuidar su imagen e intimidad, no el derecho de hacer uso arbitrario de ellas. Las personas menores de edad tienen derechos que deben ser protegidos de forma especial.

 

2.- Tu hijo o hija no gana nada con la publicación de las imágenes. Aunque puede que tampoco le afecte negativamente, el saldo rara vez será positivo.

 

3.- Puede haber distintos criterios sobre qué y cómo se comparten las imágenes de los menores por parte de sus progenitores. Cuando los progenitores no forman pareja, el sharenting puede ser motivo de conflicto.

 

4.- Es posible que no seas consciente de cómo se están difundiendo esas imágenes. No siempre es fácil entender y gestionar la lógica y los cambios de gestión de privacidad de las redes sociales.

 

5.- Existen otras formas más seguras para compartir imágenes. Es necesario limitar con quién compartir la información y elegir la plataforma adecuada.

 

6.- Habitualmente se comparte más información que la que se aprecia a simple vista. Una imagen inocente puede contener detalles de contexto importantes e incluso geolocalización.

 

7.- Al compartir las imágenes con otras personas, estas pueden asumir que eso significa que las pueden publicar y que las imágenes no son tan privadas. Sin mala intención, de forma directa o indirecta, pueden expandir el alcance.

 

8.- Lo que publicas escapa de tu control para siempre. Cuando algo aparece en una pantalla, es susceptible de ser capturado y reutilizado.

 

9-  Compartir imágenes de otras personas sin su consentimiento puede ser una infracción de la normativa de protección de datos. No es un buen ejemplo para nadie, menos aún para los menores de edad.

 

10.- En ocasiones extremas puede comprometerse la seguridad de miembros de la familia.

 

 

Fuente: Agencia Española de Protección de Datos

 

El informe expone cómo determinados usos de los neurodatos pueden interferir sustancialmente con los derechos y libertades fundamentales de las personas, a la vez que propone analizar la necesidad de crear nuevos derechos humanos como los neuroderechos.

 

La Agencia Española de Protección de Datos (AEPD) y el Supervisor Europeo de Protección de Datos (EDPS) han publicado un informe conjunto en el que analizan los retos que supone el tratamiento de neurodatos para los derechos y libertades de las personas. El documento, que examina este fenómeno emergente, proporciona una descripción de los neurodatos y evalúa su impacto en la privacidad y la protección de datos personales, incluyendo casos prácticos.

 

Los recientes avances en neurotecnología están permitiendo la aparición de un número creciente de dispositivos conectados que monitorizan la actividad cerebral para distintos propósitos. El cerebro desempeña un papel crucial en las capacidades cognitivas humanas, decisiones, emociones y comportamientos, entre otras funciones. El informe explica que las técnicas de imagen cerebral se desarrollaron originalmente en el contexto de la medicina clínica y la investigación neurocientífica, demostrando ser eficaces para diversos tratamientos.

 

Sin embargo, en los últimos años, existe una tendencia hacia un uso relacionado con el marketing. Por ejemplo, para medir la reacción del cerebro humano ante anuncios o productos para estudiar, analizar y predecir el comportamiento de los consumidores. Las neurotecnologías también se han utilizado en dispositivos portátiles para una serie de actividades cotidianas, como la educación y el entretenimiento. Además, los implantes cerebrales ofrecen la posibilidad de influir y reescribir la actividad cerebral de las personas. Esta accesibilidad, junto con las capacidades de la Inteligencia Artificial para combinar datos de diversas fuentes, pueden interferir sustancialmente con los derechos y libertades fundamentales.

 

El informe analiza qué supone el tratamiento de neurodatos en distintos contextos y con ejemplos de casos de uso, como el entorno educativo o los videojuegos, así como las amenazas que suponen algunos de ellos. A continuación, especifica los requisitos y los principios de protección de datos que deben cumplirse para el tratamiento de esta tipología de datos personales que, con frecuencia, constituyen categorías especiales de datos (por ejemplo, datos biométricos o datos relativos a la salud). En principio, el tratamiento de categorías especiales de datos está prohibido, salvo excepciones en las que concurren unas circunstancias determinadas. Cuando esté permitido, el tratamiento de neurodatos debe seguir cumpliendo todos los demás requisitos y principios de protección de datos, como los de proporcionalidad, exactitud, transparencia y lealtad.

 

El informe recoge que quienes se planteen tratar neurodatos deben tener siempre en cuenta el carácter intrusivo del tratamiento de dichos datos y valorar cuidadosamente si la finalidad que se persigue justifica plenamente este tratamiento de datos “extremadamente invasivo y sensible, que afecta al aspecto más íntimo de la vida” de las personas. Además, destaca como crucial llevar a cabo un análisis en profundidad de los neurodatos y evaluar el impacto de su tratamiento en los derechos fundamentales, incluida la necesidad de crear neuroderechos.

 

La Carta de los Derechos Fundamentales de la Unión Europea reconoce expresamente el derecho fundamental a la integridad mental (artículo 3), como una de las expresiones del derecho fundamental a la dignidad humana (artículo 1), que es también el fundamento del derecho a la intimidad y a la protección de los datos personales (artículos 7 y 8 de la Carta).

 

La Agencia ha establecido entre sus líneas estratégicas promover la regulación del tratamiento de los neurodatos y los correlativos neuroderechos, especialmente en el ámbito de los servicios dirigidos a menores.

Fuente: Agencia Española de Protección de Datos.

 

Una vez concluido el periodo de validez de la medida cautelar impuesta por la Agencia Española de Protección de Datos, la empresa se ha comprometido de manera jurídicamente vinculante a no reanudar su actividad en España hasta final de año o hasta la resolución final de la autoridad de protección de datos de Baviera.

 

La Agencia Española de Protección de Datos (AEPD) ordenó el pasado marzo una medida cautelar para que Tools for Humanity Corporation cesase en la recogida y tratamiento de datos personales que estaba realizando en España en el marco de su proyecto Worldcoin.

 

Mientras tanto, las investigaciones de la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), la autoridad de protección de datos de Baviera (Alemania), donde la empresa tiene su establecimiento principal en Europa, están avanzando y se espera que concluyan pronto con una decisión final alineada con todas las autoridades de supervisión europeas interesadas. En este contexto, la compañía se ha comprometido de forma jurídicamente vinculante a no reanudar su actividad en España hasta final de año o hasta que la BayLDA adopte una resolución definitiva en relación con el tratamiento de datos realizado por la compañía.

 

Este compromiso legalmente vinculante adoptado por la empresa no afecta a las competencias de la BayLDA o de la AEPD para adoptar medidas de supervisión adicionales en caso de incumplimiento de estas obligaciones.

 

La medida cautelar, establecida en el artículo 66.1 del Reglamento General de Protección de Datos (RGPD) para proteger los derechos y las libertades de interesados, fue avalada por la Audiencia Nacional al considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.

 

Con posterioridad a la medida provisional impuesta por la Agencia, Tools for Humanity Corporation anunció cambios en su funcionamiento, como la introducción de controles para verificar la edad o la posibilidad de eliminar el código del iris.

 

La Agencia está colaborando con la autoridad de protección de datos de Baviera, al ser esta la autoridad principal en cuanto al tratamiento de datos, siendo la AEPD autoridad interesada, tal y como establece el RGPD.

Fuente: Agencia Española de Protección de Datos.

 

  • La AEPD ordena la suspensión de la puesta en marcha en territorio español de las funcionalidades Election Day Information y Voter Information Unit, y la recopilación y el tratamiento de datos que implica el uso de las mismas,

 

  • Esta decisión está basada en circunstancias excepcionales, en las que resulta necesario adoptar medidas para evitar la recopilación de datos, el perfilado de los usuarios y la cesión de información a terceros, impidiendo así que los datos personales puedan ser utilizados por responsables desconocidos y para finalidades no explícitas.

 

  • La prohibición temporal del lanzamiento de estas funcionalidades en España tiene un periodo de validez máximo de tres meses.

 

  • Está previsto que estas funcionalidades se lancen para todos los usuarios de sus servicios con derecho a voto en las elecciones. europeas con la excepción de Italia, cuya autoridad de protección de datos ya tiene un procedimiento abierto en curso sobre este asunto.

 

La Agencia Española de Protección de Datos (AEPD) ha ordenado una medida cautelar contra Meta Platforms Ireland Limited para que, de forma inmediata y ante las próximas elecciones al Parlamento Europeo, suspenda en el territorio español la puesta en marcha de las funcionalidades Election Day Information (EDI) y Voter Information Unit (VIU), y la recopilación y el tratamiento de datos que implica el uso de las mismas.

 

Está previsto que estas funcionalidades se lancen para todos los usuarios de sus servicios con derecho a voto en las elecciones europeas con la excepción de Italia, cuya autoridad de protección de datos ya tiene un procedimiento abierto en curso sobre este asunto.

 

La Agencia ordena esta medida al considerar que el tratamiento de datos previsto por la compañía supone una actuación contraria al Reglamento General de Protección de Datos (RGPD) que, al menos, incumpliría los principios de protección de datos de licitud, minimización de datos y limitación del plazo de conservación.

 

A través de estas dos funcionalidades, que consisten en facilitar información a los usuarios de Facebook e Instagram sobre las elecciones de la UE, Meta pretende tratar datos personales como, entre otros, nombre del usuario, la dirección IP, edad y género o información sobre cómo interactúa con esas funcionalidades.

 

La Agencia considera que la recopilación y conservación de datos planificadas por la compañía pondrían en grave riesgo los derechos y libertades de los usuarios de Instagram y Facebook, que verían incrementado el volumen de información que esta recopila sobre ellos, permitiendo elaborar perfiles más complejos, detallados y exhaustivos, y generando tratamientos más intrusivos.

 

La puesta a disposición de terceros de datos que podrían ser de carácter personal supondría una injerencia desproporcionada en los derechos y libertades de los interesados. Esa pérdida de control supone un alto riesgo de que esos datos sean utilizados por responsables desconocidos y para finalidades no explícitas.

 

Por su parte, la Comisión Europea anunció a finales de abril la apertura de un procedimiento contra Meta para analizar, entre otros puntos, aspectos como la desinformación, la visibilidad de contenido político y las herramientas de monitorización de cara a las citadas elecciones, en el marco del Reglamento de servicios digitales.

 

La compañía Meta tiene su establecimiento principal en Europa radicado en Irlanda. Esta actuación de la Agencia se realiza en el marco del procedimiento establecido en el artículo 66.1 del RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada ‒en este caso la AEPD‒ considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses.

 

En este contexto, la Agencia entiende que la adopción de medidas urgentes de prohibición temporal de estas funcionalidades está justificada para evitar la recopilación de datos, el perfilado de los usuarios y la cesión a terceros, impidiendo así que los datos personales puedan ser utilizados por responsables desconocidos y para finalidades no explícitas.

 

CIRCULAR DE LA AEPD SOBRE OPINIONES POLÍTICAS

 

El uso del big data, la inteligencia artificial y la aplicación del microtargeting en los procesos electorales pueden llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y la desinformación.

 

La Circular 1/2019 de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores recoge en su artículo 5 que sólo podrán recopilarse las opiniones políticas que hayan sido libremente expresadas por las personas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución Española y que, en ningún caso, podrán tratarse otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona.

Pérdida de expedientes, entrega de resoluciones judiciales al vecino, incluir en el sobre de la comunicación postal el tipo de delito, envío de la documentación de un procedimiento ajeno… Son algunos de los motivos por los que los justiciables reclaman ante el Consejo General del Poder Judicial (CGPJ), organismo que sustituye a la Agencia Española de Protección de Datos (AEPD) en la resolución de los expedientes presentados sobre el tratamiento irregular de los datos tanto personales como judiciales.

En los últimos años las reclamaciones de los ciudadanos por un tratamiento indebido de sus datos personales por parte de juzgados y tribunales se han incrementado. Desde 2019, primer año en el que se resuelven estas reclamaciones por el órgano de gobierno de los jueces, hasta diciembre de 2023 se han resuelto un total de 182 expedientes y se ha pasado de tramitar tan solo 10 reclamaciones a 67 el año pasado.

 

 

En estos cinco años se han inad­mitido 37 reclamaciones sobre protección de datos, lo que representa el 20% de las resoluciones dictadas. Los motivos principales de la inadmisión son la falta de documentación ante el requerimiento por la autoridad de supervisión, que en los hechos denunciados no se aprecie razón para investigar o que se reclamen cuestiones relacionadas con el procedimiento judicial y que no afecten a la protección de datos.

 

Por otro lado, solo se han estimado en este lustro dos quejas de ciudadanos, poco más del 1% de los expedientes tramitados. Ambas estimaciones resuelven reclamaciones contra la Sala Segunda del Tribunal Supremo por publicar en 2021 y 2022 datos de los reclamantes en la agenda de señalamientos de la web del CGPJ. La Dirección de Supervisión y Control de Protección de Datos ordenó la tramitación de la desindexación de estas informaciones al Centro de Documentación Judicial (Cendoj).

 

En cuanto al archivo de la reclamación, el órgano de protección de datos distingue entre la finalización con adopción de medidas, con 47 expedientes resueltos por esta vía (el 26% del total), y el simple archivo, que supone el 53% del total, con 96 resoluciones archivadas desde 2019.

 

Cuando la actuación pueda contravenir la protección de datos, el CGPJ ordena el archivo mediante la adopción de medidas para que cese el posible perjuicio que se pueda ocasionar y que no se repita esta actuación, explica Javier Sempere, actual jefe en funciones de Supervisión y Control de Protección de Datos desde que el pasado mes de marzo se jubiló el anterior director, José Luis Gisbert.

 

En este tipo de archivo –que da la razón al ciudadano–, el “juzgado o tribunal debe dar cuenta a la Dirección de Supervisión de las medidas adoptadas” para proteger los datos personales, asegura Sempere. Hay que destacar que no se pueden imponer multas como hace la AEPD respecto a las actividades irregulares de las entidades privadas; por ello, en las reclamaciones contra el sector público y contra los juzgados y tribunales se dictan advertencias, apercibimientos o se impone la adopción de medidas, como hace el órgano competente del CGPJ.

 

En el archivo con adopción de medidas se ordena, entre otras opciones, establecer un procedimiento para verificar que los datos de las comparecencias corresponden con las personas que deben asistir, que se actúa con diligencia debida para consultar los datos patrimoniales previa resolución judicial o minimizar los datos del ciudadano, que deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.

 

En algunos casos, como reconoce Sempere, “esta adopción de medidas, puede ir complementada, si se diesen determinadas circunstancias, con la propuesta de inicio de expediente disciplinario contra la persona responsable”. Este ha sido el caso de un expediente resuelto en diciembre de 2021 por el acceso de un magistrado –sin contar con una resolución judicial– a los datos de la Agencia Tributaria sobre un familiar con el que mantenía actividades financieras en común. Este expediente finalizó con su archivo, adoptando como medida el traslado de las actuaciones practicadas al Promotor de la Acción Disciplinaria.

Falta de conocimiento

 

La Ley Orgánica del Poder Judicial diferencia entre el tratamiento de datos con fines jurisdiccionales realizado por juzgados y tribunales, como son la recogida, uso o comunicación en el marco de los procedimientos judiciales y cuya protección compete al CGPJ, y el tratamiento de datos con fines no jurisdiccionales, como son los ficheros sobre vacaciones, fichaje, nóminas o sustituciones de jueces, que están sometidos a la competencia de la AEPD.

 

Por desconocimiento, los justiciables interponen su reclamación, en la mayoría de las ocasiones, ante la AEPD, que posteriormente la remite al CGPJ. Como asegura Sempere, las razones de utilizar una vía distinta de presentación de la solicitud son “que el ciudadano lo que conoce es la AEPD, que lleva ejerciendo su labor desde 1993″, mientras que “esta Dirección de Supervisión y Control de Protección de Datos empezó su actuación en junio de 2021, por lo que lleva muy poco tiempo”. Hasta esa fecha y desde 2019, las resoluciones se dictaban por la Comisión Permanente del Poder Judicial.

 

Esta dualidad de competencias entre ambas instituciones “tiene como consecuencia la existencia de una más que evidente confusión en el ejercicio de los derechos de los ciudadanos y que muchas veces no se ejerciten en tiempo y forma oportuna, simplemente por el desconocimiento existente al respecto”, admite Javier Puyol, presidente de la Sección de Protección de Datos y Big Data del Colegio de la Abogacía de Madrid (ICAM).

 

Como asegura Alejandro Rodríguez Roca, letrado de la Administración de Justicia y profesor de Derecho Procesal en la UNIR, “lo cierto es que la preocupación por la protección de datos en los tribunales ha empezado a sentirse desde hace más bien poco”.

 

Sobre las competencias del CGPJ para resolver reclamaciones sobre protección de datos, Puyol afirma que “no es una solución adecuada, entre otras razones por un principio de especialidad, ya que es la AEPD la que está estableciendo la impronta y las características, precisamente, de la protección de datos”, mientras que el CGPJ no es especialista en este ámbito de actuación, “lo que en la práctica está produciendo problemas de actuación”.

 

En la actividad diaria de los juzgados y tribunales se gestiona una ingente cantidad de datos personales que tienen gran valor y son muy sensibles para el cumplimiento de multitud de finalidades distintas. Este tratamiento constituye un riesgo que puede comprometer derechos fundamentales y requiere de un complejo sistema de protección adaptado a la singularidad de la Administración de Justicia que “parece estar todavía pendiente de desarrollar de una manera efectiva”, apunta Rodríguez.

Convenio con la AEPD

 

En julio de 2017, el CGPJ y la AEPD firmaron un convenio para cooperar en el desarrollo de investigaciones por posible infracción de la normativa de protección de datos. En la supervisión de ficheros jurisdiccionales, el personal especializado del CGPJ realiza la visita de control y supervisión acompañado por inspectores de la Agencia de Protección de Datos, que prestan la asistencia técnica requerida, sin que ello suponga que la AEPD asuma ninguna competencia en la materia.

 

Solo cuando se trate de ficheros no jurisdiccionales, la AEPD comunicará al Poder Judicial su intención de inspeccionar un determinado juzgado o tribunal ante una posible infracción de la normativa. Si existieran indicios suficientes para abrir un expediente por la posible participación de un juez en una infracción de protección de datos, la incoación y tramitación corresponderá en exclusiva al CGPJ.

 

Teniendo en cuenta la independencia judicial de cada juez y tribunal reconocida por la Constitución, Rodríguez asevera que es “extremadamente complejo” alcanzar el objetivo de “la conciliación del carácter reservado de la información contenida en los autos judiciales con la publicidad de los mismos y el derecho de acceso de las partes”, además del control de la protección de estos datos.

 

Por otro lado, señala Puyol, “no debe olvidarse que la protección de datos personales es un mundo desconocido” para la mayoría de los jueces, magistrados y letrados de la Administración de Justicia, que carecen desde el momento mismo de la oposición “de una formación jurídica al respecto, lo que da lugar a una posible ausencia de conocimiento y a interpretaciones que a veces son diferentes a las efectuadas o llevadas a cabo por la AEPD”.

 

FUENTE: CINCO DIAS