logo
mobile logo
03 abril
0 Comentarios
Sticky

La importancia de realizar una auditoría de ciberseguridad antes de una brecha

Publicado por LLA
En Protección de datos

La AEPD ha resuelto un expediente sancionador por una brecha de seguridad de enorme alcance que afectó a millones de personas, entre clientes, empleados y exempleados. Según recoge la resolución, el incidente comenzó el 24 de octubre de 2023, cuando un tercero no autorizado logró acceder a la red de la entidad, y fue detectado el 27 de octubre, después de que varios servicios del centro de datos dejaran de tener conectividad. Poco después, los análisis forenses confirmaron indicios de exfiltración de datos y, más adelante, se constató que la brecha había comprometido la confidencialidad de información personal de 6.381.913...

Seguir leyendo
17 marzo
0 Comentarios
Sticky

10 obligaciones en materia de videovigilancia

Publicado por LLA
En Protección de datos

Cuando se instala un sistema de videovigilancia, muchas empresas y profesionales piensan antes en la cámara que en las reglas. Y ahí suele empezar el problema. La AEPD recuerda en una resolución reciente que instalar un sistema de cámaras no consiste solo en colocarlas y grabar, sino en cumplir una cadena completa de obligaciones que buscan proteger la seguridad sin invadir la privacidad de las personas. 1. La primera obligación es tener una finalidad legítima: la videovigilancia puede utilizarse para preservar la seguridad de las personas, de los bienes o de las instalaciones. Además, se ha de comprobar que esta finalidad...

Seguir leyendo
17 febrero
0 Comentarios
Sticky

El “irresponsable del tratamiento” y el derecho de acceso: del plazo legal al plazo real permitido por la AEPD

Publicado por LLA
En Artículo, Protección de datos

Hay entidades que no tomándose muy en serio el cumplimiento de la normativa de protección de datos, no suelen contestar las solicitudes de derechos en materia de protección de datos que los ciudadanos eejercen ante ellos, principalmente los derechos de acceso. Pues bien, cuando el ciudadano que ha ejercido el derecho comprueba que ha pasado un mes desde su solicitud y no le han contestado, es muy posible que sienta cierto enfado y decida reclamar estos hechoa a la Agencia Española de Protección de Datos u otra autoridad de control que corresponda. Una vez que la AEPD recibe esta reclamación, se inicia...

Seguir leyendo
06 febrero
0 Comentarios
Sticky

Cuidado con las promociones para nuevos clientes

Publicado por LLA
En Artículo, Protección de datos

Es habitual que las empresas ofrezcan promociones para nuevos clientes. Así, lo hacía Iberia Cards, que ofrecía una promoción para nuevos solicitantes de esta tarjeta. A raíz de una reclamación presentada por una persona ante la AEPD se inició un procedimiento sancionador contra la empresa que gestiona estas tarjetas por el tratamiento de datos personales una vez ejercitado el derecho de supresión lo que permitió a la Agencia analizar con detalle los límites del bloqueo de datos y su compatibilidad con el principio de licitud del tratamiento reconocido en el RGPD De los hechos que la AEPD considera probados se desprende que...

Seguir leyendo
02 diciembre
0 Comentarios
Sticky

Sancionado por enviar WhatsApp a sus empleados

Publicado por LLA
En Protección de datos

Un empleado denunció a su empresa ante la AEPD por enviarle comunicaciones por WhatsApp a su móvil personal,  a pesar de haber indicado a la empresa que no lo hiciera, ya que él no autorizaba estos envíos a su movil personal, aunque no dispusiera de un móvil de trabajo. Estas comunicaciones incluían datos personales y documentación de  clientes de la empresa. Este empleado defendía que su móvil y WhatsApp personal no eran herramientas de trabajo, por lo que la empresa no debía comunicarse con él por estos medios, indicando que la empresa debía dirigirse a él a través de la dirección...

Seguir leyendo
21 octubre
0 Comentarios
Sticky

145.000,00 € de sanción por extraviar un USB con datos personales

Publicado por LLA
En Protección de datos

Un empleado de una empresa sufrió el robo de una mochila en la que se encontraba un USB con datos personales que estaban incluidos en la información relativa a un procedimiento judicial penal. El dispositivo USB que salió de las instalaciones del responsable no contaba con cifrado ni otras medidas de protección. El incidente fue notificado a la AEPD 13 días después de su detección. Aunque el reclamado alegó que no había evidencia de acceso a los datos ni perjuicio efectivo a terceros, la AEPD consideró que el riesgo era evidente por tratarse de datos sensibles sin protección adecuada. La AEPD...

Seguir leyendo
14 octubre
0 Comentarios
Sticky

Un empleado tira documentación a la basura: sanción por falta de medidas

Publicado por LLA
En Protección de datos

La AEPD recibió un informe de la Policía Local tras ser alertada por el padre de un menor sobre la presencia de una caja de cartón con documentación personal visible en un contenedor de basura en la vía pública, junto al campo de fútbol de un Club deportivo. En dicha caja se hallaron más de 1.400 carnés federativos, fichas con fotografías, nombres, apellidos, domicilios, DNI, teléfonos, datos de padres o tutores, correos electrónicos y números de cuenta, mayoritariamente relativos a menores de edad. También se encontró un DNI original sin chip. Los agentes trasladaron el contenido a la Jefatura de Policía...

Seguir leyendo
12 octubre
0 Comentarios
Sticky

Intimidad vulnerada por detector de presencia

Publicado por LLA
En Protección de datos

Una persona presentó una reclamación ante la AEPD contra quien era su cónyuge y con quien aún compartía el inmueble, alegando la instalación no consentida de un sistema de videovigilancia en el interior de la parte de la vivienda que ocupaba. Afirmó que, tras la separación, el reclamado colocó un dispositivo que le aseguró ser un simple sensor de seguridad, pero que resultó ser una un detector de presencia instalado por Movistar Prosegur Alarmas con una cámara que tenía capacidad de captar una ráfaga de imágenes durante 10 segundos ante una intrusión. La AEPD analizó si existía una base legitimadora para...

Seguir leyendo
11 septiembre
0 Comentarios
Sticky

Sanción por enviar usuario y contraseña por email sin medidas de seguridad

Publicado por LLA
En Protección de datos

La AEPD sancionó a una empresa por enviar credenciales de acceso (usuario y contraseña) a través de correo electrónico sin las medidas de seguridad adecuadas, vulnerando el artículo 32 del RGPD. Este caso evidencia la importancia de revisar los sistemas de registro online y evitar prácticas que pongan en riesgo la confidencialidad de los datos personales. Una persona denunció que, al registrarse en la web de una librería online, recibió un correo automático con su dirección de email y la contraseña elegida. La AEPD verificó que el proceso de alta generaba este mensaje sin protección adicional y que la práctica se...

Seguir leyendo
09 septiembre
0 Comentarios
Sticky

¿Cabe el derecho de acceso a datos ya bloqueados?

Publicado por LLA
En Protección de datos

La respuesta a esta cuestión es que sí, la Audiencia Nacional confirmó el criterio de la AEPD según el cual el derecho de acceso a los datos personales incluye también aquellos que se encuentran bloqueados conforme al art. 32 de la LOPDGDD, siempre que no se hayan borrado físicamente. En este caso, una persona solicitó al reclamado acceder a todos los datos que había tratado, incluyendo información histórica de consultas y la fecha y origen de la baja en el fichero. El reclamado respondió que no existían datos activos porque habían sido cancelados y bloqueados desde 2019, limitándose a entregar un...

Seguir leyendo