Las reclamaciones presentadas en 2021 ante la Agencia Española de Protección de datos (AEPD) ascendieron a 13.905 reclamaciones en 2021, lo que supone un aumento de un 35% respecto al año 2020, según se desprende de la Memoria anual de dicho organismo.

Los problemas planteados con mayor frecuencia por los ciudadanos corresponden a asuntos relacionados con servicios de Internet, videovigilancia, recepción de publicidad e inserción indebida en ficheros de morosidad.

Esta cifra asciende a las 14.571 incluyendo los casos transfronterizos, los casos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección.

En relación con los temas resueltos, estos también han aumentado un 35% (14.098) respecto al año anterior (10.443), una cifra que ha permitido resolver reclamaciones pendientes de ejercicios anteriores sin que hayan aumentado significativamente los tiempos medios de resolución.

La actividad de organismo en 2021 ha estado centrada de forma prioritaria en una doble vertiente: dar respuesta a los desafíos de protección de datos relacionados con la pandemia y seguir impulsando que aquellos que tratan datos se comprometan con la protección de la privacidad. En el primer bloque, la Agencia ha continuado participando en articular garantías para proteger los datos personales en los tratamientos relacionados con las medidas contra la COVID-19, tanto en un plano nacional como en el europeo a través del Comité Europeo de Protección de Datos (CEPD).

En el segundo, en 2021 se puso en marcha el Pacto Digital para la Protección de las Personas, una iniciativa que ya cuenta con casi 400 entidades adheridas y que promueve la privacidad y la ética digital como un activo que las organizaciones deben tener en cuenta a la hora de diseñar sus políticas y sus estrategias.

El pasado año se recibieron 377 peticiones a través del Canal Prioritario para solicitar la retirada urgente de contenido sexual o violento publicado en internet sin el permiso de las personas que aparecen en ellos, de las cuales 215 han entrado a través del canal de menores. Se han realizado 25 intervenciones de urgencia después de determinar la naturaleza especialmente sensible de los datos personales divulgados y la afectación grave a la intimidad de las personas, consiguiendo la retirada de los contenidos sensibles con inmediatez.

En cuanto a las reclamaciones ordinarias, las planteadas con mayor frecuencia por los ciudadanos en 2021 corresponden a servicios de internet (16%), videovigilancia (12%), recepción de publicidad (excepto spam) (11%) e inserción indebida en ficheros de morosidad (9%). En cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).

Se han realizado 264 resoluciones que han finalizado con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas han sido la publicidad, telecomunicaciones, entidades financieras/ acreedoras, ficheros de morosidad, contratación fraudulenta  y asuntos laborales.

Estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros.

FUENTE: CONSEJO GENERAL DE LA ABOGACÍA ESPAÑOLA

FUENTE: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

• La Agencia Española de Protección de Datos publica su Memoria 2021, que recoge las actividades realizadas por este organismo en todas sus áreas, un análisis de las tendencias y una exposición de los retos presentes y futuros
• La actividad de 2021 ha estado centrada de forma prioritaria en dar respuesta a los retos de protección de datos relacionados con la pandemia y en seguir impulsando que aquellos que tratan datos se comprometan con la protección de la privacidad y la ética digital a través del Pacto Digital
•  En 2021 se recibieron casi 14.000 reclamaciones (+35%), a las que hay que sumar los casos transfronterizos, aquellos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección
• Durante 2021 se realizaron con éxito 25 intervenciones urgentes para la retirada de contenidos sexuales o violentos publicados en Internet y denunciadas a través del Canal prioritario
• Las reclamaciones planteadas con mayor frecuencia por los ciudadanos corresponden a servicios de internet, videovigilancia, recepción de publicidad e inserción indebida en ficheros de morosidad
• Las áreas de actividad con mayor importe de multas impuestas son la publicidad, telecomunicaciones, entidades financieras/acreedoras, ficheros de morosidad, contratación fraudulenta y asuntos laborales, que aglutinan más del 90% de la cifra global de sanciones

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2021, que recoge de forma exhaustiva las actividades realizadas, las cifras de gestión, los informes y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La actividad de organismo en 2021 ha estado centrada de forma prioritaria en una doble vertiente: dar respuesta a los desafíos de protección de datos relacionados con la pandemia y seguir impulsando que aquellos que tratan datos se comprometan con la protección de la privacidad. En el primer bloque, la Agencia ha continuado participando en articular garantías para proteger los datos personales en los tratamientos relacionados con las medidas contra la COVID-19, tanto en un plano nacional como en el europeo a través del Comité Europeo de Protección de Datos (CEPD). En el segundo, en 2021 se puso en marcha el Pacto Digital para la Protección de las Personas, una iniciativa que ya cuenta con casi 400 entidades adheridas y que promueve la privacidad y la ética digital como un activo que las organizaciones deben tener en cuenta a la hora de diseñar sus políticas y sus estrategias.

En cuanto a las cifras de gestión, en 2021 se han presentado ante la Agencia 13.905 reclamaciones, un aumento de un 35% respecto a 2020. Esta cifra asciende a las 14.571 incluyendo los casos transfronterizos, los casos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección. En 2021 las reclamaciones resueltas han aumentado un 35% (14.098) respecto al año anterior (10.443), una cifra muy destacable que ha permitido resolver reclamaciones pendientes de ejercicios anteriores sin que hayan aumentado significativamente los tiempos medios de resolución. En esos tiempos de tramitación de las reclamaciones hay que hacer una referencia a los traslados, una previsión recogida por la LOPDGDD para facilitar la resolución rápida de las reclamaciones y que ha permitido que estas se resuelvan en menos de dos meses.

Durante el año 2021 se ha seguido trabajando en el Canal Prioritario para solicitar la retirada urgente de contenido sexual o violento publicado en internet sin el permiso de las personas que aparecen en ellos. Así, se han recibido 377 peticiones a través del Canal Prioritario, de las cuales 215 han entrado a través del canal de menores. Se han realizado 25 intervenciones de urgencia después de determinar la naturaleza especialmente sensible de los datos personales divulgados y la afectación grave a la intimidad de las personas, consiguiendo la retirada de los contenidos sensibles con inmediatez.

En cuanto a las reclamaciones ordinarias, las planteadas con mayor frecuencia por los ciudadanos en 2021 corresponden a servicios de internet (16%), videovigilancia (12%), recepción de publicidad (excepto spam) (11%) e inserción indebida en ficheros de morosidad (9%). En cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).

Se han realizado 264 resoluciones que han finalizado con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros). Estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros. El incremento en la cifra de multas impuestas con respecto a años anteriores está relacionado con el mayor número de procedimientos sancionadores resueltos y también con la envergadura y complejidad de los casos, derivada de la magnitud de los tratamientos de datos investigados.

En cuanto a los casos transfronterizos, la Agencia ha iniciado 16 en 2021 y se ha declarado autoridad interesada en más de 300. Asimismo, se han recibido 1.070 peticiones de otras autoridades europeas, solicitudes de asistencia y consulta, y proyectos de decisión.

En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 66 dictadas en 2021, 56 (el 85%) fueron desestimatorias o inadmitidas. Por su parte, el Tribunal Supremo ha dictado 4 sentencias, todas ellas favorables a la Agencia.

En cuanto a las notificaciones de brechas de datos personales realizadas ante la Agencia, estas son inicialmente recibidas por la División de Innovación Tecnológica (DIT), que realiza un primer análisis. La DIT ha recibido y analizado 1.647 notificaciones en 2021, de las que poco más del 4% (76) se han remitido a la Subdirección de Inspección por requerir de una investigación en profundidad. Las brechas de datos personales más frecuentes son las causadas por ciberincidentes de origen externo/malintencionado y, dentro de este tipo de incidentes, el ransomware es el más repetido. En paralelo, siguen en aumento los casos en los que el cifrado de los datos y/o los sistemas van precedidos de una filtración de información y su puesta a la venta en internet/darkweb.

En lo relativo a las cifras de delegados de protección de datos (DPD) notificados ante la Agencia, 2021 se cerró con 82.249 DPD frente a los 65.040 DPD de 2020. De la cifra del año pasado, 74.033 corresponden al sector privado y 8.396 al sector público. Por lo que respecta a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, se han recibido casi 670 consultas a través del Canal del DPD, que da respuesta a las consultas que plantean los Delegados de Protección de Datos previamente notificados a la Agencia.

Por último, se han planteado casi 1.800 cuestiones ante el Canal Joven de la Agencia, un incremento de más del 28% respecto a 2020. Los progenitores han planteado el mayor número de consultas (54%) y, de forma agrupada, aglutinaron el 25% las cuestiones realizadas por responsables de empresas y organismos públicos que tratan datos de menores de edad, como clubs deportivos o entidades locales, o docentes de centros educativos.

La Agencia Española de Protección de Datos (AEPD) y el Ministerio de Consumo han lanzado una campaña en redes sociales para difundir entre la ciudadanía qué pasos deben seguir si sufren una suplantación de identidad en estos servicios. Esta campaña coincide con la celebración del Día Internacional de la Protección de Datos, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la UE con el objetivo de impulsar entre los ciudadanos el conocimiento de sus derechos en materia de protección de datos.

En España, más de 27 millones de personas poseen perfil en redes sociales, según el último Estudio de redes sociales de IAB, en el que incluyen datos como su nombre, fotografías y otro tipo de información personal. Ello les permite estar en contacto con amigos y conocidos o contribuir a crear un perfil público profesional, si bien la información que se aporta de forma voluntaria en los diferentes servicios de Internet puede ser utilizada por terceros para suplantar la identidad.

La campaña detalla qué pasos se deben seguir para eliminar el perfil falso de la manera más rápida posible, para lo que es necesario contactar en primer lugar con la red social mediante los formularios habilitados a tal efecto. A continuación, se reproducen los enlaces de algunos de los servicios más populares:

• Facebook: reportar una cuenta que se hace pasar por ti, cuentas robadas y cómo reportarlas
• Google: informar de una suplantación
• Twitter: informar sobre una usurpación de identidad
• Instagram: qué hacer si alguien se hace pasar por ti
• Tik Tok: denunciar a un usuario

Si la respuesta recibida por parte de la red social no es satisfactoria, la persona puede formular una reclamación ante la Agencia Española de Protección de Datos a través de la Sede electrónica, acompañando la documentación de haber contactado en primer lugar con la empresa.

¿Y si alguien publica contenidos sexuales o violentos de terceros?

El Canal Prioritario de la Agencia Española de Protección de Datos ofrece una vía rápida y gratuita para denunciar la publicación ilegítima en Internet de contenidos sensibles, sexuales o violentos. Por la especial gravedad de estas situaciones, no es necesario contactar primero con la web o la red social en la que están publicadas.

La solicitud de retirada de fotografías, vídeos o audios de contenido sexual o violento difundidos en Internet sin el consentimiento de la persona afectada puede realizarse a través de este enlace, mientras que en el caso de los menores de 18 años la Agencia ha habilitado una forma de contacto específica para denunciar la difusión de este tipo de contenidos.

FUENTE: AEPD

La Sala III del Tribunal Supremo ha desestimado el recurso del Consejo General del Notariado contra la sentencia del Tribunal Superior de Justicia de Madrid que anuló el acuerdo del Pleno de dicho Consejo, de 16 de diciembre de 2017, que aprueba la digitalización del documento nacional de identidad, a través de la creación en la plataforma SIGNO (Servicio Integrado de Gestión Notarial) de un servicio de digitalización y grabación centralizada y gratuita de los datos del índice informatizado relativo a la documentación mercantil que afecta a la titularidad real.

La sentencia del TSJ de Madrid ahora ratificada anuló el mencionado acuerdo corporativo y ordenó al Consejo General del Notariado la destrucción certificada de todos los datos y documentos que pudiera disponerse en su ejecución y estuvieran a su disposición directa o en poder de la mercantil interpuesta constituida por el mismo Consejo «Agencia Notarial de Certificación» («ANCERT SRLU»).  El TSJ estimó un recurso del Colegio de Registradores de la Propiedad y Mercantiles de España y de varios notarios.

Los magistrados de la Sección Quinta de la Sala III han analizado si el Consejo del Notariado tenía competencias para establecer nuevas obligaciones a los notarios, como las indicadas en el acuerdo, que afectaban a una pluralidad indeterminada de personas y al tratamiento de sus datos de carácter personal; o, por el contrario, si el referido acuerdo se limitaba a regular obligaciones previamente establecidas en la normativa reguladora de la prevención del blanqueo de capitales.

El Supremo concluye que la aprobación del acuerdo comporta el ejercicio de una potestad reglamentaria que la mencionada Corporación no tiene atribuida y que además su contenido no puede estimarse amparado en la normativa sobre prevención del blanqueo de capitales y financiación del terrorismo.

La sentencia subraya que el debate no es si la creación del nuevo fichero único sería más idónea para la lucha contra el blanqueo y la financiación del terrorismo, sino si, aun aceptando esa utilidad, “que no está acreditada”, la creación de dicho fichero puede hacerse ‘motu proprio’ por el Consejo y en ejercicio de una potestad, la de dictar circulares, con un contenido muy concreto y que a la vista de lo regulado excede de ese ámbito doméstico y constituye una auténtica norma reglamentaria.

La Sala destaca que lo establecido en el Acuerdo impugnado es la creación de un nuevo fichero a partir de los datos recogidos en cada Notaría, con la remisión obligatoria por cada Notario de su Índice informatizado, de modo que no solo se constituye en el Consejo un Índice Único Informatizado, sino que dicho Índice constituye un nuevo fichero en el cual se incluye el DNI, cuyo tratamiento se encomienda a una entidad sujeta al régimen del Derecho Privado (ANCERT).

“Es decir, si cada Notaría tiene su «fichero» y los ficheros de todas las Notarías se integran en uno diferente en el Consejo General del Notariado, es manifiesto que se trata de un nuevo fichero diferente de los existentes en las notarías, como pone de manifiesto el informe que obra en autos de la Agencia de Protección de Datos”, señalan los magistrados.

Asimismo, la sentencia indica que “no puede negarse que con la pretendida Circular, de una parte, se imponen específicas obligaciones a los Notarios, por cuanto, cuando menos, se amplía la forma en que han de remitir al Consejo sus particulares índices informatizados; pero, de otra parte, es indudable que la creación de ese nuevo fichero, cuyo tratamiento se encomienda a un ente sometido al Derecho Privado, afecta a todos los ciudadanos que concurren a una notaría a celebrar actos jurídicos que requieran una protocolización, que están sujetos a que sus datos obre en cada Notaría en sus respectivos índices, pero no que deban, además de ello, figurar en un nuevo fichero creado por el Consejo con la incorporación digitalizada de los DNI que contiene la más amplia información personal de cada ciudadano”.

FUENTE: Poder Judicial

La Agencia Española de Protección de Datos (AEPD) resuelve la reclamación de un ciudadano que alegaba un presunto tratamiento de datos excesivo por parte de la Policía Nacional al haberle fotografiado el DNI en una manifestación con un móvil para identificarlo.

La AEPT entiende que el tratamiento de datos realizado por la policía no fue excesivo en base a los siguientes fundamentos:

«En el caso que nos ocupa, los agentes de policía realizaron fotografías a los DNI de las personas que identificaban en la manifestación bajo las siguientes circunstancias: que la manifestación, a la que asistieron unas 600 personas, de colectivos de extrema izquierda, antifascistas y anarquistas, entre otros; no estaba comunicada a la Delegación del Gobierno; que durante el acto se corearon frases como: ?Madrid será la tumba del fascismo?, ?libertad presos políticos?, ?fuera policías de los barrios de Madrid?, ?Policía asesina?, entre otros; y que, en este contexto, se valoró el alto riesgo de producción de altercados durante la manifestación, así como, atentados contra los agentes de la autoridad, todo ello, unido al riesgo de contagio por el virus Covid-19, el cual se ha constatado que se multiplica en estos actos multitudinarios.

El hecho de que se aconsejara extremar precauciones y agilizar en todo lo posible las intervenciones con los manifestantes, utilizando un medio excepcional de identificación como es hacer fotografías con un teléfono móvil oficial perteneciente a la Dirección General de la Policía, posibilitó que, en la labor de identificación de los manifestantes se redujera el contacto interpersonal entre ellos y los agentes. Todo ello unido a que, una vez hechas las comprobaciones necesarias en la identificación, las imágenes tomadas con el móvil fueran borradas sin que quedara rastro alguno en ningún fichero policial, según confirma la D.G. de la Policía».

Por todo ello, para la AEPD ante la existencia de circunstancias «tan excepcionales», se cumplió con el principio de minimización del dato, esto es, se cumplió con lo previsto en el artículo 5 del RGPD:

«Por tanto, con arreglo a las evidencias que se disponen en este momento, se considera que la utilización del teléfono móvil oficial de la unidad actuante para la toma de fotografías del DNI de los reclamantes, en las circunstancias tan excepcionales como las expuestas anteriormente, cumple con el principio de minimización del dato, recogido en el artículo 5.1.c) del RGPD, más aún cuando las mismas fueron eliminadas del dispositivo una vez cumplido el objetivo para el que fueron borradas, no quedando ningún rastro de las mismas en ningún fichero de la D.G. de la Policía».

FUENTE: AEPD

Las amenazas cibernéticas acechan por todas partes, no sólo desde los ordenadores personales. La Comisión Europea ha tomado conciencia del riesgo permanente que ofrecen el universo creciente de dispositivos conectados para reforzar la seguridad. El objetivo inicial consiste en regular desde su fabricación una serie de requisitos técnicos para todos los gadgets. Eso no solo afecta a los móviles, sino también a tabletas, televisores, relojes inteligentes, pulseras de actividad, artículos de puericultura como monitores para bebés y hasta los juguetes con conexión a la red.

«Estamos estableciendo nuevas obligaciones legales para salvaguardar la ciberseguridad de los dispositivos electrónicos», explica Margrethe Vestager, vicepresidenta ejecutiva para Una Europa Adaptada a la Era Digital y comisaria europea de Competencia.

Según ha explicado la Comisión Europea, las nuevas medidas pretenden «mejorar la resiliencia de la red», de forma que «los dispositivos y productos inalámbricos tendrán que incorporar funciones para impedir que dañen las redes de comunicación y para evitar la posibilidad de que se utilicen para perturbar la funcionalidad de los sitios web u otros servicios».

Protección de la privacidad

Las mismas fuentes abogan por mejorar la protección de la privacidad de los consumidores, con funciones que garanticen el blindaje de los datos personales. A modo de ejemplo, «los fabricantes tendrán que aplicar nuevas medidas para impedir el acceso no autorizado a datos personales o su transmisión sin autorización». La misma regulación también pretende «reducir el riesgo de fraudes económicos, con un mejor control de la autenticación del usuario.

Los estudios promovidos desde Bruselas han constatado el riesgo que suponen ciertos «juguetes que espían las actividades de los niños o sus conversaciones; los datos personales no cifrados almacenados en nuestros dispositivos, incluidos los relacionados con los pagos, a los que se puede acceder fácilmente; e incluso los equipos que pueden hacer un mal uso de los recursos de la red y reducir así su capacidad».

A partir de ahora, y en el supuesto de que el Consejo y el Parlamento no formulen objeciones, la iniciativa entrará en vigor en los dos próximos meses. Por lo tanto, a partir del 1 de enero de 2022, «los fabricantes dispondrán de un período transitorio de treinta meses para empezar a cumplir los nuevos requisitos legales». Según explica la CE, se ofrece a la industria «tiempo suficiente para adaptar los productos correspondientes antes de que entren en vigor los nuevos requisitos, hacia mediados de 2024 si se cumplen las previsiones».

Al mismo tiempo, el ejecutivo comunitario moverá las piezas necesarias para que las organizaciones europeas de normalización puedan elaborar normas al respecto y que los fabricantes se preparen a los futuros requisitos técnicos.

Fuente: El Economista

Según se relata en la resolución de la Agencia Española de Protección de datos, con fecha de 23 de agosto, el reclamante encontró una oferta de empleo a través de un portal de internet. Siguiendo las instrucciones que se indicaban en el anuncio, contactó por teléfono con la empresa y le remitió su currículum a través del sistema de mensajería instantánea WhatsApp, sin que los responsables de la misma le dieran ningún tipo de información relativa al tratamiento que efectuarían con sus datos personales ni sobre la posibilidad de ejercitar los derechos ante el responsable del tratamiento.

Al no facilitarle información alguna sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, este decidió formalizar una denuncia ante la AEPD. En ella, también aportó un pantallazo de la web corporativa en la que constaba que solo se mostraba una dirección postal, un correo electrónico y el número de teléfono; no había referencias a quién era el responsable del tratamiento o el delegado de protección de datos. Después de que la empresa no respondiera a su requerimiento de información, el organismo inició un procedimiento sancionador.

En su resolución, la AEPD determina que la recogida de datos a través de formularios incluidos en portales web «constituye un tratamiento de datos», por lo que su responsable queda sometido a las exigencias del Reglamento europeo de privacidad (RGPD). En este sentido, la norma comunitaria define «dato personal» como «toda información sobre una persona física identificada o identificable» (lo que incluye, por ejemplo, el nombre, su número de DNI, etc.), y «tratamiento» como «cualquier operación o conjunto de operaciones realizada sobre datos personales», como la recogida, el registro o su utilización, entre otras.

Constatado, por tanto, que la captación de currículums supone el tratamiento de datos personales, la resolución recuerda que los responsables están obligados a facilitar determinada información a los ‘propietarios’ de los mismos. En concreto, según el artículo 13 del RGPD, deben comunicar, entre otros elementos, la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; los fines y la base jurídica del tratamiento; el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado (entre ellos, los de acceso, rectificación, supresión u oposición).

Tras analizar las circunstancias del caso, la AEPD entiende que la empresa titular de la oferta ha infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».

Al no tener la compañía reclamada infracciones previas, ni haber obtenido beneficios directos de su conducta, ni estar considerada como gran empresa, la Agencia «gradúa» la sanción y a fija en una cuantía de 2.000 euros. Contra la resolución, en todo caso, cabe recurso ante la jurisdicción contencioso-administrativa.

Enlace a la resolución completa: https://www.aepd.es/es/documento/ps-00237-2021.pdf

FUENTE: AEPD

Entre verificar la identificación del estudiante en una prueba online para evitar que sea suplantado o copie de alguna manera o proteger su privacidad, las autoridades públicas competentes se han decantado por la protección de datos, por lo que, de facto, limitan los sistemas de reconocimiento facial en la educación a distancia. Y lo hace incluso aunque el alumno dé su consentimiento, lo cual es distinto al caso de la banca, sector en el que el reconocimiento de la cara, el iris del ojo o la huella digital está permitido siempre con la connivencia del cliente.

En una reciente resolución de la Agencia Española de Protección de Datos (AEPD), de 27 de julio, se advierte que “no resulta justificado” la necesidad de utilizar datos biométricos para identificar al estudiante en un examen. E insta a la Universidad de la Rioja (UNIR), uno de los campus españoles que usó esta técnica, a que “adopte las medidas correctivas encaminadas a evitar que el tratamiento previsto pueda suponer un posible incumplimiento de la legislación de protección de datos”.

UNIR realizó una prueba piloto con el programa Smowl en septiembre del 2020, con el previo consentimiento del alumnado. Las técnicas faciales no solo identifican al usuario y comprueban que no se ha levantado de su asiento, sino también establecen patrones faciales que identifican comportamientos anómalos. Son útiles para la entidad porque pueden sustituir a la vigilancia en remoto de los profesores, menos fiable, pero identifican y almacenan datos del alumnado.

La entidad, que antes de la pandemia evaluaba de forma presencial como las otras universidades a distancia, decidió implementar este sistema para las pruebas finales del curso 2020-2021, explorando la posibilidad de introducir la opción de exámenes online en el futuro. Pero un grupo de estudiantes lo denunció y elevó la consulta a la AEPD. Ante esta circunstancia y un comunicado de la Conferencia de Rectores de las Universidades Españolas (Crue), que “no recomienda” su uso por su complejidad técnica y alto grado de exigencia legislativa, UNIR decidió desactivar los sistemas biométricos en los exámenes de julio (mantuvo el control del escritorio, los sonidos del entorno y la visualización por webcam).

“El uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online es un asunto controvertido en todo el mundo”, explica el vicerrector de UNIR, Rubén González. “Nosotros queremos ofrecer la máxima rigurosidad en la evaluación porque eso garantiza la calidad del título, de ahí nuestra inversión”, añade.

En algunos países está ampliamente aceptado, como EE.UU. o México, pero en la mayoría pone coto a sistemas que pudieran recoger y almacenar datos sensibles del usuario. El proyecto de reglamento europeo de la inteligencia artificial prevé una moratoria sobre estos sistemas, considerados de “alto riesgo”.

El estado de alarma declarado en marzo del 2020 por la pandemia de coronavirus aceleró la posibilidad de implementar estas técnicas, tanto para identificar a los estudiantes como para verificar sus conocimientos, dado que todas las actividades docentes se trasladaron a entornos online.

En su resolución, la agencia de protección de datos declara que esa situación no puede servir de excusa para dejar de respetar los derechos de protección de los ciudadanos, sin un análisis riguroso de los riesgos en los que se puede incurrir, máxime cuando existen otros medios que ya se utilizan.

El caso es que la AEPD ya se había pronunciado sobre el uso de estas técnicas de reconocimiento facial en el año 2020: https://www.aepd.es/es/documento/2020-0036.pdf

Fuente: LA VANGUARDIA

La Agencia envía un requerimiento de información a Canarias y Galicia con el fin de comprobar la licitud del tratamiento de datos personales.

La Agencia Española de Protección de Datos (AEPD) ha tenido constancia de la proliferación de varias iniciativas públicas que generalizan la utilización del certificado de vacunación para acceder a diversos establecimientos. En este sentido, la Agencia ha enviado un requerimiento de información a las Consejerías de Sanidad de las comunidades autónomas de Canarias y Galicia con el objetivo de comprobar la licitud del tratamiento de datos personales.

Las autoridades europeas de protección de datos hemos expresado nuestra preocupación por la utilización de certificados dentro de los Estados para finalidades tales como el acceso a tiendas, restaurantes o gimnasios, así como su uso en otros contextos como el laboral.

La utilización para estos fines de certificados acreditativos de la situación sanitaria en relación con la COVID-19 implica la necesidad de contar con una base legal apropiada que se ajuste a los principios de eficacia, necesidad y proporcionalidad, atendiendo a la existencia de otras medidas de protección que puedan resultar menos invasivas, evitando efectos discriminatorios y estableciendo las garantías adecuadas. En ese sentido, debe tenerse en cuenta que la vacunación no es obligatoria, que hay colectivos que no pueden recibir la vacuna por razones médicas o de otro tipo y que, en último extremo, el proceso de vacunación se basa en unos criterios de priorización que suponen que parte de la población aún no haya podido acceder a la vacuna.

La gama de dispositivos IoT domóticos está evolucionando constantemente. De forma continua surgen nuevos productos orientados a proporcionar servicios más confortables en el hogar, que pueden manejarse desde Apps instalas en dispositivos móviles o integrados en asistentes de voz.

El IoT supone una evolución de la domótica tradicional, en la que los dispositivos incorporan una capa de inteligencia y conectividad que permite que se adapten mejor a las necesidades domésticas. Algunos ejemplos son persianas motorizadas, sensores de temperatura y humedad, controladores de climatización, bombillas inteligentes, cerraduras electrónicas, interruptores o centralitas de alarma.

La mayoría de estos dispositivos están diseñados para que su gestión o uso precise conectividad a Internet y acceso a servicios en la nube. Los riesgos para la privacidad que se derivan van más allá de los problemas de seguridad. Este modelo de IoT supone la comunicación y gestión de datos personales por terceros, y el tratamiento de datos personales adicionales, como son metadatos de comunicación.

Un dispositivo IoT genera una gran cantidad de datos que son enviados y tratados por distintos servicios en Internet para satisfacer las solicitudes de los usuarios. Sin embargo, podrían utilizarse para muchas otras finalidades, como por ejemplo la elaboración de perfiles de comportamiento. De esta forma, el riesgo para los ciudadanos es mayor cuanto mayor es el número de servicios que tratan estos datos personales. Es más, la integración de dispositivos de distintos fabricantes podría aumentar dicho riesgo, por ejemplo, cuando se ha de utilizar una App distinta en la que hay que registrarse para cada fabricante.

Un ejemplo de materialización del riesgo, en este caso debido a una brecha de seguridad, ocurrió en 2016 cuando se produjo el ataque DDoS más dañino de la historia debido a la falta de actualizaciones de seguridad en estos dispositivos. Otros ejemplos podrían ser el secuestro de los dispositivos del hogar y su control por parte de terceros o las brechas de datos personales.

Dispositivos como mirillas o cerraduras que se controlan desde Apps instaladas en móviles implica el tratamiento de imágenes, vídeo, audio e información sobre los hábitos de las personas. Esta información, junto con otros datos de las personas, puede utilizarse para la generación de perfiles y diversas finalidades adicionales.

Los dispositivos inteligentes implementan distintas formas de conectividad. Las más habituales son:

• Conexión distribuida: los dispositivos se conectan directamente a un router wifi, que realiza la función de gateway hacia la nube del fabricante, gestionado mediante su propia App. La conexión es individual, utilizando protocolos como HTTP o HTTPS. Ejemplos de estos dispositivos suelen ser las cámaras IP, algunos enchufes inteligentes o mirillas electrónicas.

• Conexión centralizada: los dispositivos se conectan a través de un hub o gateway que centraliza las comunicaciones, siendo dicho hub el único dispositivo que se conecta a Internet directamente. En este caso las comunicaciones suelen utilizar protocolos inalámbricos específicos de domótica como Zigbee y Z-wave, y en menor medida Bluetooth.

Dada la diversidad de opciones disponibles, es habitual que en una misma vivienda se incorporen dispositivos de diferentes fabricantes, lo que produce una mezcla heterogénea de las configuraciones anteriores.

En un futuro inmediato se espera la adopción masiva de dispositivos IoT conectados, a través de 5G, a la nube del fabricante, y a la que se deberá acceder a través de una App. Esta nueva forma de conectar los dispositivos IoT podría suponer nuevos riesgos para la privacidad de las personas. Puede obtener más información sobre los riesgos de 5G en la Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad.

A nivel de comunicaciones internas en los dispositivos domóticos, tanto Zigbee como Z-Wave son los estándares más utilizados por los diferentes fabricantes, incluso algunos dispositivos incorporan ambas tecnologías. Estos protocolos también suelen estar incluidos como una funcionalidad en altavoces inteligentes o SmartTVs permitiendo su integración completa con el resto de dispositivos IoT del hogar. Zigbee y Zwave cuentan con bastantes años de uso y evolución, pero no están libres de vulnerabilidades, malas implementaciones o configuraciones.

Zigbee es un estándar abierto ideado para que los dispositivos consuman poca energía. Dicho estándar Minimiza los envíos de información, pasando la mayoría del tiempo en estado latente captando datos, y permite disponer de hasta 65.000 dispositivos como sensores de temperatura, de puertas o ventanas que con una simple pila de botón puede dar servicio durante años. También existen otros dispositivos como enchufes inteligentes, motores de puertas o bombillas que utilizan este protocolo a través de la red eléctrica. Los dispositivos de nuestro hogar conforman una red Zigbee. Opera a 2,4GHz intercambiando información con el gateway. La cobertura inalámbrica es de hasta 20 metros. Además, los dispositivos conectados a la red eléctrica funcionan como repetidores para los dispositivos de batería.

Z-Wave es un estándar propietario similar a Zigbee. Algunas diferencias son el número de dispositivos en una red que pasa a 232, la frecuencia para Europa es 868MHz y la cobertura inalámbrica es de hasta 100 metros de distancia. También cuenta con una arquitectura en la que los dispositivos enchufados a la red eléctrica dan servicio a los dispositivos de batería.

Es importante que las personas tomen conciencia de que los dispositivos inteligentes son algo más que un electrodoméstico tradicional. Van a interactuar en la realización de las labores cotidianas de las personas realizando un gran número de tratamientos de datos. A la hora de adquirirlos debe adoptarse una actitud crítica y exigente hacia las garantías de privacidad. El criterio de selección no solo ha de basarse en el precio o las características principales que se ofertan. El usuario debe comprobar que ofrezcan las suficientes garantías sobre sus datos personales.

Los fabricantes y desarrolladores deben aplicar medidas de protección de datos por defecto y desde el diseño. Los tratamientos que realicen deben ser de acuerdo con los principios del RGPD, prestando especial atención a la seguridad de los tratamientos, las posibles transferencias internacionales de datos, la transparencia en las finalidades para las que se tratarán los datos personales, la elaboración de perfiles y las decisiones automáticas individualizadas. En particular, debe evitarse el uso de protocolos que utilizan claves de cifrado por defecto, y que son públicas, o la posibilidad de añadir dispositivos a la red de forma automática, sin control del interesado.

Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

• IoT (I): Qué es IoT y cuáles son sus riesgos
• IoT (II): Del Internet de las Cosas al Internet de los Cuerpos
• Vehículos conectados
• Privacidad de grupo
• Protección de datos y seguridad

FUENTE: Agencia Española de Protección de Datos