logo
mobile logo
14 abril
0 Comentarios
Sticky

Los datos que seudonimizo pueden ser anónimos para terceros

Publicado por LLA
En Protección de datos

Cuando una entidad seudonimiza datos personales como medida de seguridad, el RGPD deja claro que, para esa entidad, esos datos siguen siendo datos personales. Pero surge una duda relevante: si después comunica esos datos seudonimizados a una tercera entidad que no dispone de la información adicional necesaria para identificar a los interesados, ¿siguen siendo también datos personales para ese tercero? El TJUE responde a esta cuestión con un criterio muy útil. La seudonimización no equivale por sí sola a anonimización. Para quien conserva la información adicional o mantiene la posibilidad de reidentificar a los interesados, los datos siguen siendo personales y...

Seguir leyendo
09 abril
0 Comentarios
Sticky

Hay que especificar los plazos de conservación en el contrato de encargado

Publicado por LLA
En Protección de datos

Es habitual que en los contratos de encargado simplemente se incluyan las menciones que establece el artículo 28 del RGPD, sin apenas detallar nada más. Así, suele recogerse que el encargado deberá destruir o devolver los datos personales una vez que finalice el encargo. Sin embargo, el principio de limitación del plazo de conservación exige que los datos no se conserven más tiempo del necesario para los fines del tratamiento. ¿Significa esto que el responsable del tratamiento debe suprimir los datos una vez terminada la finalidad, pero que el encargado puede conservarlos mientras dure la prestación del servicio? La respuesta es...

Seguir leyendo
07 abril
0 Comentarios
Sticky

¿La captación de datos personales por una videocámara es directa o indirecta del interesado?

Publicado por LLA
En Protección de datos

La cuestión a determinar es si la captación de imagen y sonido desde una videocámara, por ejemplo una cámara corporal, es un tratamiento de datos obtenidos directamente del interesado o, por el contrario, son datos obtenidos indirectamente, ya que este no aporta acttivamente los datos. Aunque la cuestión pueda parecer intrascendente no lo es, ya que dependiendo de una respuesta u otra habrá que informar a los interesados de forma distinta. Si se considera que los datos se obtienen directamente del interesado habrá que informarle conforme a lo que establece el artículo 13 del RGPD, y si se considera que los...

Seguir leyendo
03 abril
0 Comentarios
Sticky

La importancia de realizar una auditoría de ciberseguridad antes de una brecha

Publicado por LLA
En Protección de datos

La AEPD ha resuelto un expediente sancionador por una brecha de seguridad de enorme alcance que afectó a millones de personas, entre clientes, empleados y exempleados. Según recoge la resolución, el incidente comenzó el 24 de octubre de 2023, cuando un tercero no autorizado logró acceder a la red de la entidad, y fue detectado el 27 de octubre, después de que varios servicios del centro de datos dejaran de tener conectividad. Poco después, los análisis forenses confirmaron indicios de exfiltración de datos y, más adelante, se constató que la brecha había comprometido la confidencialidad de información personal de 6.381.913...

Seguir leyendo
17 marzo
0 Comentarios
Sticky

10 obligaciones en materia de videovigilancia

Publicado por LLA
En Protección de datos

Cuando se instala un sistema de videovigilancia, muchas empresas y profesionales piensan antes en la cámara que en las reglas. Y ahí suele empezar el problema. La AEPD recuerda en una resolución reciente que instalar un sistema de cámaras no consiste solo en colocarlas y grabar, sino en cumplir una cadena completa de obligaciones que buscan proteger la seguridad sin invadir la privacidad de las personas. 1. La primera obligación es tener una finalidad legítima: la videovigilancia puede utilizarse para preservar la seguridad de las personas, de los bienes o de las instalaciones. Además, se ha de comprobar que esta finalidad...

Seguir leyendo
17 febrero
0 Comentarios
Sticky

El “irresponsable del tratamiento” y el derecho de acceso: del plazo legal al plazo real permitido por la AEPD

Publicado por LLA
En Artículo, Protección de datos

Hay entidades que no tomándose muy en serio el cumplimiento de la normativa de protección de datos, no suelen contestar las solicitudes de derechos en materia de protección de datos que los ciudadanos eejercen ante ellos, principalmente los derechos de acceso. Pues bien, cuando el ciudadano que ha ejercido el derecho comprueba que ha pasado un mes desde su solicitud y no le han contestado, es muy posible que sienta cierto enfado y decida reclamar estos hechoa a la Agencia Española de Protección de Datos u otra autoridad de control que corresponda. Una vez que la AEPD recibe esta reclamación, se inicia...

Seguir leyendo
06 febrero
0 Comentarios
Sticky

Cuidado con las promociones para nuevos clientes

Publicado por LLA
En Artículo, Protección de datos

Es habitual que las empresas ofrezcan promociones para nuevos clientes. Así, lo hacía Iberia Cards, que ofrecía una promoción para nuevos solicitantes de esta tarjeta. A raíz de una reclamación presentada por una persona ante la AEPD se inició un procedimiento sancionador contra la empresa que gestiona estas tarjetas por el tratamiento de datos personales una vez ejercitado el derecho de supresión lo que permitió a la Agencia analizar con detalle los límites del bloqueo de datos y su compatibilidad con el principio de licitud del tratamiento reconocido en el RGPD De los hechos que la AEPD considera probados se desprende que...

Seguir leyendo
02 diciembre
0 Comentarios
Sticky

Sancionado por enviar WhatsApp a sus empleados

Publicado por LLA
En Protección de datos

Un empleado denunció a su empresa ante la AEPD por enviarle comunicaciones por WhatsApp a su móvil personal,  a pesar de haber indicado a la empresa que no lo hiciera, ya que él no autorizaba estos envíos a su movil personal, aunque no dispusiera de un móvil de trabajo. Estas comunicaciones incluían datos personales y documentación de  clientes de la empresa. Este empleado defendía que su móvil y WhatsApp personal no eran herramientas de trabajo, por lo que la empresa no debía comunicarse con él por estos medios, indicando que la empresa debía dirigirse a él a través de la dirección...

Seguir leyendo
21 octubre
0 Comentarios
Sticky

145.000,00 € de sanción por extraviar un USB con datos personales

Publicado por LLA
En Protección de datos

Un empleado de una empresa sufrió el robo de una mochila en la que se encontraba un USB con datos personales que estaban incluidos en la información relativa a un procedimiento judicial penal. El dispositivo USB que salió de las instalaciones del responsable no contaba con cifrado ni otras medidas de protección. El incidente fue notificado a la AEPD 13 días después de su detección. Aunque el reclamado alegó que no había evidencia de acceso a los datos ni perjuicio efectivo a terceros, la AEPD consideró que el riesgo era evidente por tratarse de datos sensibles sin protección adecuada. La AEPD...

Seguir leyendo
14 octubre
0 Comentarios
Sticky

Un empleado tira documentación a la basura: sanción por falta de medidas

Publicado por LLA
En Protección de datos

La AEPD recibió un informe de la Policía Local tras ser alertada por el padre de un menor sobre la presencia de una caja de cartón con documentación personal visible en un contenedor de basura en la vía pública, junto al campo de fútbol de un Club deportivo. En dicha caja se hallaron más de 1.400 carnés federativos, fichas con fotografías, nombres, apellidos, domicilios, DNI, teléfonos, datos de padres o tutores, correos electrónicos y números de cuenta, mayoritariamente relativos a menores de edad. También se encontró un DNI original sin chip. Los agentes trasladaron el contenido a la Jefatura de Policía...

Seguir leyendo