Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.

Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información

Fuente: Agencia Española de Protección de Datos

 

Esta iniciativa se pone en marcha en el marco del Comité Europeo de Protección de Datos y tiene como objetivo evaluar cómo están cumpliendo las organizaciones con el derecho de supresión que ejercitan los ciudadanos.

 

La Agencia Española de Protección de Datos (AEPD) participa en una acción europea coordinada para conocer cómo aplican las organizaciones en la práctica el derecho de supresión (art. 17, RGPD) que ejercitan los ciudadanos. Esta iniciativa forma parte del marco de actuaciones del Comité Europeo de Protección de Datos (CEPD) de 2025.

 

El Comité, durante su reunión plenaria de octubre de 2024, seleccionó esta temática debido a que se trata de uno de los derechos del RGPD que los ciudadanos más ejercitan ante los responsables del tratamiento y, a la vez, del que las Autoridades de protección de datos reciben con más frecuencia reclamaciones de la ciudadanía.

 

Durante este año, 32 Autoridades de Protección de Datos europeas participarán en esta acción. La Agencia, por su parte, analizará las prácticas de una muestra de responsables del tratamiento, tanto del sector público como privado, para conocer tanto las buenas prácticas como si existe alguna problemática relacionada con la atención al ejercicio del derecho de supresión.

 

Los resultados de esta acción se analizarán de manera coordinada y las Autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países. Además, los resultados serán agregados, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Finalmente, el Comité publicará un informe sobre el resultado de este análisis una vez concluidas las acciones.

 

Esta acción es la cuarta iniciativa del Marco de Aplicación Coordinada, entre cuyos objetivos se encuentra la cooperación entre las autoridades de protección de datos. Las acciones coordinadas anteriores analizaron el cumplimiento del derecho de acceso por parte de las organizacionesel uso de servicios en la nube por parte del sector público y la designación y situación de los delegados de protección de datos.

Fuente: Agencia Española de Protección de Datos

 

Lorenzo Cotino Hueso y Francisco Pérez Bes han tomado posesión del cargo de presidente y de adjunto, respectivamente, de la Agencia Española de Protección de Datos (AEPD) en un acto celebrado en la sede de la Agencia y que ha sido presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños.

 

El acto ha contado con la presencia del secretario de Estado de Justicia, Manuel Olmedo, el secretario de Estado de Relaciones con las Cortes y Asuntos Constitucionales, Rafael Simancas, y la exdirectora de la AEPD, Mar España. A la misma han asistido también diversas autoridades y representantes de los sectores público y privado.

 

Durante su discurso, el presidente de la Agencia, Lorenzo Cotino, ha destacado que las crecientes obligaciones y retos del organismo derivados del tsunami digital “implican desafíos para la privacidad, el quantum, los espacios digitales, espacios de salud y sobre todo, la inteligencia artificial”. “Es por ello que tenemos que dar respuesta con un plan estratégico en el horizonte”, ha añadido.

 

Por su parte, el adjunto de la Agencia, Francisco Pérez Bes, ha señalado que “vamos a trabajar para que esta Agencia siga siendo cercana y accesible para el ciudadano, también transparente, ágil e innovadora y siempre abierta a otros organismos e instituciones para la defensa de los derechos y libertades de la ciudadanía”.

 

Finalmente, el ministro de Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños, ha recordado en su intervención que el presidente y el adjunto asumen con su cargo desafíos esenciales en un momento en el que la tecnología genera claras tensiones con la privacidad de las personas. Sobre esta cuestión, ha anunciado que la Ley para la protección de los menores en entornos digitales, que pretende protegerlos de los riesgos de internet, será aprobada muy pronto en segunda vuelta en el Consejo de Ministros e iniciará la tramitación parlamentaria.

 

La toma de posesión del presidente y del adjunto de la Agencia se ha producido tras el nombramiento de Lorenzo Cotino Hueso como presidente de la AEPD por el Real Decreto 142/2025, y de Francisco Pérez Bes como adjunto de la AEPD por el Real Decreto 143/2025.

 

El mandato del presidente y adjunto de la Agencia Española de Protección de Datos tiene una duración inicial de cinco años.

Fuente: El Derecho

 

La sección sexta de la Audiencia Provincial de A Coruña, con sede en Santiago de Compostela, ha condenado a seis años y medio de cárcel a una enfermera que trabajaba en el Servizo Galego de Saúde (Sergas) por acceder, sin su consentimiento y en tres ocasiones, a la historia clínica de la madre de un compañero de colegio de su hijo y, diez veces, a la del menor.

 

Además, el tribunal le ha impuesto el pago de una indemnización de 2.000 euros a cada una de las víctimas. La Sala no ha considerado probado que la acusada hubiera puesto en conocimiento de terceros datos o hechos conocidos a través de los referidos accesos.

 

El tribunal destaca en la sentencia que “no ofrece duda” que la querellante y la acusada “rompieron la relación en junio de 2018”, tras un problema surgido en la excursión de fin de curso de sus hijos. Por ello, concluye que es “imposible que existiera algún tipo de petición de aquella o de su marido a esta para que entrase a través del programa IANUS en los datos médicos de aquellos o de su hijo”. Los magistrados inciden en que “ese fin de la relación es incompatible con la indemostrada hipótesis de un consentimiento general o tácito para tales accesos que se quiso esbozar por la defensa”.

 

La sentencia no es firme.

 

AP de A Coruña. Sección nº6. Sentencia número 33/2025 de 19 de febrero de 2025.

 

Fuente: Economist&Jurist

 

La exigencia del consentimiento informado en el ámbito laboral para que la empleadora pueda hacer un tratamiento lícito de los datos personales de sus trabajadores cobra especial relevancia. Así lo recuerda la Agencia Española de Protección de Datos (AEPD) en una reciente resolución (disponible en el botón ‘descargar resolución’) en la cual ha sancionado a una empresa con 6.000 euros por ceder ilícitamente a terceros los datos personales de una empleada.

 

La sanción llega a raíz de que la trabajadora interpusiera una reclamación ante la AEPD contra la empleadora —una empresa que fue adjudicataria de un contrato público del Ayuntamiento de Valencia, de ‘Servicios de información, sensibilización, prevención, atención y formación sobre las violencias sexuales en la ciudad de Valencia’, para cuya ejecución contrató a la parte reclamante, que debía encargarse de la coordinación de determinados recursos del proyecto—.

 

En dicha reclamación la mujer exponía que la empresa había facilitado sus datos personales, teléfono móvil incluido, a 18 personas sin haber solicitado previamente su consentimiento.  La empleada tuvo conocimiento de ello cuando un día, poco después de iniciar la relación laboral, su teléfono móvil colapsó de mensajes y llamadas telefónicas, y la única llamada que alcanzó a responder era de una persona que le indicó que la empresa le había facilitado sus datos.

 

Disconforme con la decisión de la empresa de facilitar su número personal a diversas personas sin haber dado consentimiento para ello, la mujer escribió un correo electrónico a la mercantil.

 

La empresa respondió a dicho correo reconociendo haber facilitado sus datos y argumentando que entendía que ese número de teléfono era el que iba a usar para sus tareas laborales. Asimismo, la empleadora se disculpó por ello e indicó que esa no era la forma de proceder que solía tener, sin embargo, como no lograba contactar con ella por correo electrónico, había facilitado el número de teléfono a las personas que necesitaban comunicarse con la trabajadora.

 

La AEPD dio traslado de dicha reclamación a la empresa. La mercantil, por su parte, respondió a la Agencia que cuando contrata a una persona le envía un documento estandarizado en relación con el tratamiento de sus datos como trabajadora, que incluye unas casillas para indicar si consiente que sus datos personales sean cedidos a terceros. Y en los casos en los que la persona contratada no expresa su consentimiento, la empresa le facilita correo electrónico, teléfono o los medios que el proyecto que coordina requiera para las comunicaciones que tenga que realizar como parte de su relación.

 

No obstante, la empresa manifestaba que el presente caso se habría utilizado por error el teléfono móvil de la reclamante sin haber expresado ésta su consentimiento para ello, al no constar cumplimentado por la misma el formulario mencionado. Asimismo, la mercantil indicaba que a raíz de ese incidente la empresa había revisado su política de seguridad e introducido una doble comprobación en relación con el consentimiento.

 

La Agencia Española de Protección de Datos decidió admitir a trámite la reclamación presentada y, con posterioridad, la directora de la Agencia acordó iniciar procedimiento sancionador contra dicha empresa.

 

En la resolución emitida, la AEPD recuerda que el consentimiento se ha de entender como “un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernan, prestada con garantías suficientes”. A este respeto, “la licitud del tratamiento exige que el interesado sea informado sobre los fines a los que están destinados los datos (consentimiento informado)”.

 

En esa línea, la Agencia ha destacado que en el ámbito laboral, dicho requisito “cobra especial relevancia por la diferente posición que ocupan el empleador y el empleado, siendo necesario que se acredite que la no prestación del consentimiento por el trabajador no implicará ninguna consecuencia negativa para el mismo, de tal forma que quede garantizada su libre prestación”.

 

Pues, sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y por ende, el tratamiento de datos efectuado por la empresa sería ilícito.

 

Centrándose en el supuesto denunciado, la AEPD ha determinado que la empresa realizó un tratamiento ilícito de los datos personales de la reclamante, por cuanto no contaba con el consentimiento de la misma para dicho tratamiento.

 

La Agencia afirma que en el presente caso, aunque la trabajadora hubiese prestado el consentimiento que la empresa recaba de sus trabajadores mediante el formulario habilitado por ello, aun así dicho consentimiento no podría considerarse válido para el tratamiento de datos objeto de la reclamación.

 

Y ello porque la empresa “ni siquiera informa debidamente sobre este tratamiento de datos, sobre su finalidad y base jurídica o el derecho a retirar el consentimiento, en su caso, de conformidad con lo establecido en el artículo 13 del RGPD; ni ha establecido ningún mecanismo para que los interesados puedan prestar un consentimiento explícito”, recoge la resolución.

 

En consecuencia, se considera probado que la mercantil ha incumplido el artículo 6.1 del Reglamento General de Protección de Datos (RGPD) al haber realizado un tratamiento ilícito de los datos personales de la reclamante por no contar con su consentimiento, “ni con otra base jurídica que lo ampare”.

 

Teniendo en cuenta las circunstancias del caso y la gravedad de la infracción en la medida en que la cesión del número de teléfono sin consentimiento hace perder a la trabajadora el poder de disposición sobre dicho dato personal, la AEPD ha sancionado a la empresa con una multa de 6.000 euros.

Fuente: Agencia Española de Protección de Datos

 

El presidente y el adjunto han sido nombrados mediante Real Decreto tras una evaluación de su mérito, capacidad, competencia e idoneidad por parte de un comité de selección y después de haber sido ratificados por el Congreso, siguiendo el procedimiento establecido en el artículo 48 de la LOPDGDD.

 

Lorenzo Cotino Hueso y Francisco Pérez Bes han sido nombrados, respectivamente, presidente y adjunto, de la Agencia Española de Protección de Datos (AEPD), nombramientos que se producen tras una evaluación de su mérito, capacidad, competencia e idoneidad por parte de un comité de selección y después de haber obtenido el voto favorable del Congreso de los Diputados.

 

Lorenzo Cotino Hueso es doctor y licenciado en Derecho por la Universidad de Valencia, donde es profesor desde hace treinta años, Máster en derechos fundamentales en Barcelona por ESADE, licenciado y diplomado en Estudios Avanzados de Ciencias Políticas por la UNED y Catedrático de Derecho Constitucional por la Universitat de Valencia (2017).

 

Ha recibido premios de investigación nacionales, así como el Premio Extraordinario de Doctorado o el reconocimiento como doctor honoris causa o profesor honorario de universidades extranjeras. Es autor de 14 monografías, coordinador de otras 26 y ha realizado más de doscientos artículos o capítulos científicos, la mayoría relacionados con la privacidad, la protección de datos y la transparencia. También ha dirigido y gestionado una veintena de proyectos de investigación en estas materias y ha coordinado la red de especialistas www.derechotics.com desde 2024.

 

Ha sido magistrado suplente del Tribunal Superior de Justicia de la Comunidad Valenciana (contencioso‒administrativo 2000‒2019), vocal del Consejo de Transparencia de la Comunitat Valenciana y vicepresidente del Foro de Gobierno Abierto de España.

 

Asimismo, ha participado en actividades de consultoría para la Administración relacionadas con el cumplimiento del Reglamento de IA y la preparación de un sandbox de IA en España, con experiencias similares en distintas empresas en virtud de convenios suscritos entre estas y la Universidad de Valencia. Desde 2020 ha sido director de privacidad de OdiseIA, el Observatorio del Impacto Ético y Social de la Inteligencia Artificial.

 

Por su parte, Francisco Pérez Bes es licenciado en Derecho y cuenta con el máster en Derecho Internacional de los Negocios, el postgrado en finanzas corporativas y el programa IP&IT por ESADE. Ostenta el diploma de suficiencia investigadora otorgado por la UNED y, en la actualidad, es doctorando en la USAL. Ha realizado el curso de jefes de seguridad del servicio de protección y órganos de control impartido por la Oficina Nacional de Seguridad.

 

Ha sido secretario general y delegado de protección de datos del Instituto Nacional de Ciberseguridad de España (INCIBE) entre 2014 y 2019 y fue Compliance Officer en Ladbrokes Betting & Gaming entre 2011 y 2014. Tiene experiencia directiva en distintas empresas y entidades vinculadas al ámbito legal y ha sido socio de Digital Law en Ecix Group hasta la actualidad.

 

Ha recibido distintas condecoraciones como la medalla a la ciberdefensa otorgada por la Asociación Española de Peritos Informáticos, la medalla al mérito con distintivo blanco de la Guardia Civil y la medalla al mérito de la Abogacía de Castilla y León. Tiene una extensa experiencia docente y cuenta con obras y artículos publicados en materia de protección de datos, ciberseguridad y otras materias conexas.

 

Voto favorable del Congreso

 

El artículo 48 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales establece que la presidencia de la Agencia Española de Protección de Datos y su adjuntía serán nombradas por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos.

 

Por su parte, el artículo 20 del Estatuto de la Agencia Española de Protección de Datos establece que la propuesta de las personas candidatas más idóneas debe ser realizado por un comité de selección tras evaluar el mérito, capacidad, competencia e idoneidad de las mismas.

 

Una vez realizada esta propuesta, el Gobierno la remitió al Congreso de los Diputados, siendo ratificada por la Comisión de Justicia del Congreso el pasado 19 de febrero en votación pública por mayoría absoluta.

 

Los mandatos del presidente y del adjunto de la Agencia Española de Protección de Datos tienen una duración de cinco años y pueden ser renovados por otro período de igual duración.

Fuente: Agencia Española de Protección de Datos.

 

Las Directrices, impulsadas por la Agencia Española de Protección de Datos, recogen diez principios para el cumplimiento de la normativa de protección de datos a la hora de acceder a servicios online que tengan restricciones de acceso en función de la edad.

 

El Comité Europeo de Protección de Datos (CEPD) ha adoptado en reunión plenaria un Dictamen sobre la determinación de la edad (Statement 1/2025 on Age Assurance) para el uso de servicios online que requieren de una edad mínima para poder acceder a ellos. Estas directrices han sido impulsadas por la Agencia Española de Protección de Datos (AEPD) en el marco de sus acciones para la protección efectiva de la infancia y adolescencia en Internet manteniendo los derechos y libertades de toda la ciudadanía, tanto mayores como menores de edad.

 

En marzo de 2024, el CEPD aprobó el mandato solicitado por la Agencia para definir unas directrices en materia de verificación de edad. Ello supuso el inicio de un intenso trabajo liderado por la AEPD en un equipo formado por distintas autoridades de protección de datos (Irlanda, Francia, Alemania y España) que ha culminado con su aprobación por unanimidad.

 

Este Dictamen proporciona una guía que emana del Reglamento General de Protección de Datos (RGPD) y que tiene en cuenta las implicaciones y consecuencias de la utilización de herramientas y sistemas de demostración de la edad en los tratamientos de datos personales, incluyendo ejemplos prácticos. Las directrices se centran en el acceso a servicios online, incluidos aquellos casos en los que la ley establece una edad mínima para comprar productos, usar servicios o realizar actos, así como cuando exista un deber de cuidado para proteger a la infancia y adolescencia.

 

Este dictamen facilita el desarrollo de un enfoque más consistente en la UE para la protección del menor en relación con el acceso a servicios online en tratamientos en los que haya que garantizar la edad de acceso, basado en la aplicación de los principios de protección de datos por diseño y por defecto. Se trata de un instrumento primordial para que los intervinientes en el ecosistema de Internet, y para que las autoridades nacionales y europeas con competencia en el ámbito digital, dispongan de la información necesaria en relación con las estrategias más adecuadas para la demostración de la edad. Además, será una influencia positiva para promover soluciones realmente efectivas para la protección integral del menor, como la de un Internet Seguro por Defecto y a salvo de la exposición a patrones adictivos.

 

El trabajo realizado en la elaboración de este Dictamen se fundamenta en el marco de las iniciativas de la AEPD para la protección de menor en el entorno digital. En particular, se deriva directamente del Decálogo de Principios de Verificación de edad y sistemas de protección de personas menores de edad ante contenidos inadecuados presentado por la AEPD en diciembre de 2023, junto con unas pruebas de concepto prácticas.

 

Principios recogidos en el Dictamen

 

El dictamen desarrolla diez principios que establecen que las herramientas de determinación de la edad no se pueden entender de forma aislada, sino en el marco de la protección de los derechos y libertades de las personas. Así, la determinación de que se cumplen las restricciones debe suponer un incremento de los mismos, en este caso de la protección de los derechos de la infancia y la adolescencia en Internet, sin que ello suponga una merma en otros derechos de los mismos menores y de la ciudadanía en general.

 

Los principios desarrollan requisitos sobre la prevención de riesgos, de limitación y de minimización, que insisten, en particular, en que la verificación de edad no debe proporcionar recursos para que los servicios de internet identifiquen, localicen, perfilen o sigan la actividad digital de las personas. Enfatizan la necesidad del uso de herramientas efectivas con una visión amplia, por ejemplo, que no supongan limitar el derecho a acceder a Internet, la obligación de licitud, lealtad y transparencia, que no suponga un sometimiento de las personas a decisiones automatizadas sin las garantías del RGPD y la aplicación del principio de protección de datos desde el diseño y por defecto.

 

Finalmente, los principios resaltan el impacto que las brechas de datos podrían tener en el uso de dichas herramientas, con la obligación de aplicar los principios de minimización de datos además de medidas de seguridad, y estableciendo que cualquier herramienta, en un entorno tan complejo, debe implementar métodos de gobernanza en el ecosistema de Internet que demuestren el cumplimiento normativo.

Fuente: El Derecho.

 

El Tribunal Superior de Justicia de La Rioja ha determinado que la utilización de una foto de perfil inapropiada en WhatsApp en un teléfono corporativo no justifica un despido disciplinario.

 

El caso tiene origen cuando un trabajador utilizó como imagen de perfil de whatsapp en su móvil de empresa una fotografía en la que aparecía una mujer con una camiseta mojada y ajustada. La empresa calificó la conducta como una falta grave por negligencia en el trabajo. Sin embargo, la sentencia de instancia concluyó que los hechos no encajaban en esta categoría, ya que la normativa laboral no contemplaba este tipo de comportamiento como motivo de despido.

 

En su recurso la empresa argumenta que la utilización de una imagen inadecuada en el perfil de WhatsApp del teléfono corporativo supone una infracción grave o muy grave, pero el Tribunal rechaza esta pretensión al no existir prueba documental o pericial que acredite un error en la valoración de los hechos realizada en la instancia. Además, señala que no se ha identificado normativa interna que regule el uso del móvil de empresa ni advertencias previas al trabajador sobre la supuesta irregularidad.

 

La sentencia subraya que el principio de tipicidad impide sancionar conductas que no están expresamente tipificadas en el Estatuto de los Trabajadores o en el convenio colectivo aplicable. En este caso, el uso de una imagen en WhatsApp no encaja en los supuestos de negligencia o desidia en el trabajo que afecten a la buena marcha de la empresa, ni se demuestra que haya causado un perjuicio real o afectado a su imagen externa.

El Tribunal también aprecia una falta de proporcionalidad en la sanción, al considerar que la carta de despido se basa en imputaciones genéricas y ambiguas que incumplen los requisitos legales. Aunque el trabajador había sido sancionado previamente, la empresa no justifica que la nueva conducta constituya una falta grave, requisito indispensable para aplicar la agravante de reincidencia y calificar el despido como procedente.

Asimismo, se destaca que la imagen utilizada por el trabajador en WhatsApp solo es visible para compañeros de trabajo y no trasciende al ámbito externo, sin que consten quejas ni afectaciones a la actividad de la empresa. La falta de instrucciones previas sobre el uso del móvil refuerza la inexistencia de una infracción sancionable.

Ante la ausencia de una infracción normativa y la desproporción de la medida extintiva, el TSJ desestima el recurso y confirma la improcedencia del despido.

Fuente: Agencia Española de Protección de Datos

 

  • La Agencia Española de Protección de Datos ha participado en esta iniciativa coordinada, realizada en el marco del Comité Europeo de Protección de Datos.

 

  • Los objetivos han sido asegurar que el derecho de acceso puede ser ejercitado de una forma eficaz por los interesados, evaluar la forma en la que lo atienden los responsables, así como fomentar la concienciación de los requisitos aplicables a la atención del derecho de acceso y del contenido de las Directrices 1/2022 del EDPB sobre el ejercicio del derecho de acceso.

 

  • En la encuesta han participado un total de 1.185 entidades del sector público y privado en el ámbito del Espacio Económico Europeo.

 

La Agencia Española de Protección de Datos (AEPD) ha participado en una acción europea coordinada para analizar la atención del ejercicio del derecho de acceso por parte de los responsables de tratamiento en entidades públicas y privadas, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés).

 

En su primera sesión plenaria del año el EDPB ha adoptado el informe que recoge una serie de retos identificados, buenas prácticas, así como una lista de recomendaciones para ayudar a los responsables a poner en práctica los mecanismos y procedimientos adecuados para la atención del ejercicio del derecho de acceso por parte de las personas interesadas.

 

El informe aglutina los resultados de la encuesta realizada por las 25 autoridades de protección de datos, que abarcan tanto entidades privadas de diversos sectores y tamaños, como una amplia muestra de organismos públicos. Los resultados se muestran en el informe de forma agregada, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo.

 

En concreto, la AEPD ha recibido los cuestionarios de 39 entidades (23 del sector público y 16 del sector privado) cuyos tratamientos afectan a 750.000 empleados de ambos sectores y  a un total acumulado de alrededor de 140 millones de datos personales de ciudadanos, usuarios y clientes de estas entidades. En el sector privado, la AEPD ha contactado con entidades de los sectores del transporte aéreo de viajeros, comercio, asegurador, financiero, seguridad privada, energético, turismo y hostelería, comunicaciones, farmacéutico y de ensayos clínicos. La Agencia ha colaborado con el Consejo de Transparencia y Protección de Datos de Andalucía y la Autoridad Catalana de Protección de Datos, que han llevado a cabo la encuesta en el marco de las entidades de su ámbito de competencia y que han publicado los resultados de dichas encuestas en sus respectivas páginas web.

 

El informe final recoge recomendaciones y puntos de atención dirigidos a los responsables y a las autoridades de control, tales como:

 

  • Identificación de retos y puntos de mejora

 

  • Identificación de buenas prácticas

 

  • Definición de procedimiento internos y uso de plataformas para la gestión de la privacidad

 

  • Utilización de canales para la presentación de solicitudes

 

  • Formato de la respuesta

 

  • Medidas de seguridad a la hora de facilitar el acceso

 

  • Identificación de los interesados, acreditación de la representación

 

  • Nivel de concienciación del responsable, formación de los empleados

 

Esta iniciativa se engloba dentro del Marco de Ejecución Coordinada (CEF) del Comité, que ya analizó en 2023 la designación y situación de los delegados de protección de datos y el uso de servicios en la nube por parte del sector público en 2022, unas acciones en las que también participó la Agencia.

Fuente: Agencia Española de Protección de Datos

 

La autoridad de protección de datos de Baviera (Alemania) ha adoptado una resolución que declara la infracción de varios artículos del RGPD e insta a la empresa a implantar las medidas correctivas oportunas

 

La Agencia Española de Protección de Datos ha cooperado de forma activa con la autoridad de Baviera en el marco del procedimiento entre autoridades competentes previsto en el artículo 60 del RGPD

 

La finalización de este procedimiento supone la ratificación de la medida cautelar impuesta por la Agencia en marzo de este año para impedir que siguiera tratando datos personales en España

 

La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos de Baviera (Alemania), ha adoptado una resolución que declara la infracción por parte de la empresa responsable del proyecto Worldcoin de varios artículos del RGPD y le insta a implantar las medidas correctivas oportunas. Esta resolución se produce una vez finalizado el procedimiento de cooperación entre autoridades competentes previsto en el artículo 60 del Reglamento General de Protección de Datos (RGPD), en el que la Agencia Española de Protección de Datos (AEPD) ha cooperado con la BayLDA de forma activa.

 

La finalización de este procedimiento supone la ratificación de la medida cautelar impuesta por la Agencia Española de Protección de Datos en marzo de este año que, ante los indicios de graves incumplimientos, para evitar daños potencialmente irreparables y proteger los derechos de los ciudadanos, ordenó de forma inmediata el cese en la recogida y el tratamiento de datos personales que la compañía estaba llevando a cabo en España, así como el bloqueo de los que ya se habían recopilado.

 

La medida cautelar de la Agencia fue recurrida ante la Audiencia Nacional por parte de la empresa responsable de Worldcoin, que avaló la medida y rechazó el recurso al considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.

 

La resolución de la BayLDA, la autoridad de protección de datos del país donde la empresa tiene su establecimiento principal en Europa, ordena la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos; ordena que el tratamiento de iris futuro se realice sobre la base del consentimiento explícito del interesado, habiéndose utilizado una base jurídica incorrecta de tratamiento de datos biométricos especialmente protegidos de acuerdo con los artículos 6.1 y 9 del RGPD; y ordena que el tratamiento de códigos de iris futuro incluya el derecho a la supresión de los datos. Asimismo, en la resolución se constata que la empresa no implantó las medidas adecuadas para impedir el tratamiento de datos de menores, lo que será objeto de una investigación adicional posterior.

 

La resolución también prevé una serie de multas en caso de incumplimiento de las órdenes exigidas, sin perjuicio de las sanciones administrativas que correspondan por los incumplimientos ya declarados en materia de protección de datos personales, que serán objeto de una resolución sancionadora posterior de acuerdo con el Derecho administrativo alemán.

Fuente: El Derecho

 

El Instituto Nacional de Ciberseguridad (INCIBE) ha presentado un informe innovador sobre la seguridad de los juguetes conectados, convirtiéndose en el primer organismo europeo en realizar un análisis exhaustivo conforme a los criterios de la Ley de Ciberresiliencia (CRA) de la Unión Europea.

Este informe se enmarca dentro de las acciones que España lidera para garantizar la protección de consumidores y empresas frente a las vulnerabilidades de los dispositivos con componentes digitales.

 

La Ley de Ciberresiliencia de la UE (CRA) ha entrado en vigor en diciembre de 2024 y cuenta con un periodo de transición y adopción de tres años. A partir de ahí, será obligatorio su cumplimiento para fabricantes y distribuidores de productos que se comercialicen en la UE. Así mismo, los estados miembros tendrán que llevar a cabo un nivel de inspección entre el 3% y el 10% de los productos del mercado, dependiendo del riesgo, criticidad del producto, categoría y el volumen en mercado.

 

El acto, celebrado en la sede de INCIBE en León, ha contado con la presencia del ministro de Transformación Digital y Función Pública, Óscar López, y del secretario de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, Antonio Hernando.

 

RESULTADOS CLAVE DEL INFORME

 

Para realizar el estudio, INCIBE ha seleccionado 26 juguetes inteligentes, teniendo en cuenta los más vendidos en las plataformas online. Estos juguetes tienen capacidad de manejar datos del usuario: grabación de video o audio, conexión bluetooth o wifi o aplicación móvil para el manejo del dispositivo.

 

Por ello, se han evaluado sus vulnerabilidades y se han identificado requisitos de mejora para los fabricantes, reforzando aspectos clave de protección, garantizando que el producto cumpla con los más altos estándares de seguridad y fiabilidad de los productos analizados. Igualmente se han acompañado de recomendaciones para ofrecer a los consumidores una experiencia de uso segura y de calidad.

 

El estudio ha mostrado los siguientes resultados e información:

 

  • Puntos críticos identificados: en algunos productos se han encontrado problemas como configuraciones inseguras por defecto, que pueden permitir la transmisión insegura de datos sensibles como contraseñas, deficiencias en la implementación de actualizaciones de seguridad o aplicaciones móviles vulnerables, que podrían permitir la explotación de vulnerabilidades e incluso el control remoto del dispositivo por parte de atacantes.

 

  • Vectores de ataque evaluados: se han evaluado 8 áreas clave, dividiendo los juguetes según sus tecnologías de conexión y superficies de exposición: análisis de vulnerabilidades y capacidades de actualización para su remedio, examen de las aplicaciones móviles y/o de escritorio necesarias para las funcionalidades del juguete, análisis de fortaleza frente a ataques comunes, y análisis de la seguridad de conexiones físicas e inalámbricas.

 

  • Propuestas de mejora: sugerencias para familias y fabricantes para reforzar la ciberseguridad y la confianza digital, alineadas con la Ley Europea de Ciberresiliencia (CRA).

 

COMPROMISO CON LA SEGURIDAD DIGITAL

 

El informe es parte de una estrategia más amplia de INCIBE para colaborar con fabricantes y fomentar la innovación responsable. Además, en 2018 se lanzó la «Guía para el uso seguro de Juguetes Conectados«, junto a la Asociación Española de Fabricantes de Juguetes, donde se ofrece más información sobre este ámbito.