La Agencia Española de Protección de Datos (AEPD) ha sancionado al Ayuntamiento de Molina de Segura por carecer de delegado de protección de datos. El puesto está vacante desde que la persona que se encargaba temporalmente de esas funciones se jubiló en el mes de noviembre de 2019.

Pero fue a finales del pasado año cuando un ciudadano interpuso una reclamación ante este organismo, en la que alertaba de que la administración molinense carecía del puesto de delegado de protección de datos, tal y como exige la normativa. La persona que ejercía ese papel se había jubilado y desde hace más de un año no se vienen realizando esas funciones, lo que produce una «vulneración de derechos», según sostenía el reclamante.

Tras recibir la reclamación, la agencia decidió dar traslado al Ayuntamiento molinense, pero, según consta en la resolución, éste no ofreció respuesta alguna. De esta forma, el pasado mes de septiembre, la directora del organismo acordó iniciar un procedimiento sancionador y apercibir al Consistorio por una presunta infracción del Reglamento General de Protección de Datos, según se desprende de la resolución. Una decisión ante la que el Ayuntamiento de Molina aún no ha presentado alegaciones. La AEPD ofrece un mes al equipo de gobierno para nombrar un nuevo delegado de protección de datos y para dar traslado a la agencia de dicha designación.

Fuente: La Verdad Murcia

Las sanciones RGPD por incumplimiento en la página web

Desde que entró en vigor el Reglamento General de Protección de Datos o RGPD en 2018, muchos parecen haberse olvidado del RGPD, pero el RGPD desde luego, no se ha olvidado de nosotros, y las sanciones a páginas webs no han parado de crecer, aunque esto no salga en las noticias.

Vamos a revisar los errores más comunes que pueden comprometer tu web y tu organización y las sanciones que la Agencia Española de Protección de Datos (AEPD) está imponiendo.

Aquí las cuestiones más importantes:

¿El cumplimiento de tu web puede esperar?

Que tu web cumpla con las exigencias normativas NO puede esperar.

A todos nos pasa: tendemos a solucionar lo urgente en detrimento de lo importante, sobre todo en tiempos tan volátiles como los que vivimos actualmente.

En pleno siglo de visibilidad digital, para obtener visibilidad, posicionamiento, conseguir leads, convertir, es más importante que nunca el cumplimiento de tu web, para no comprometer la continuidad y la supervivencia de tu negocio y de tu marca.

Asumir la responsabilidad referente al tratamiento de la información personal que recoges en tu web implica una transformación de visión y cultura que impactará en tu estrategia y especialmente, en tu web.

Aquí puedes descubrir todos esos cambios y cómo puedes adaptar tu web al RGPD:

No creo que me puedan sancionar

¿Quién se va a fijar en mi web?

¿Quién va a denunciar a una web normalita como la mía?

Si te fijas en tu web y/o tu landing page, verás que estás recogiendo datos de otras personas, los almacenas, los metes en tu funnel, mandas nuevas campañas, segmentas, sin ser consciente de que todos esos datos están sujetos a derechos que desconoces y que incumples.

Y así, tu web y tus campañas te están delatando como infractor.

Y ser infractor significa poder ser sancionado.

¿Cómo puedo recibir una sanción por incumplimiento RGPD en mi web?

Solo hace falta que un usuario entra un web, identifica que no cumple, y envía unas capturas de pantalla a la sede electrónica de denuncias telemáticas de la AEPD.

La carta que recibes…

Si, existen muchos ejemplos de cartas, enviadas por la AEPD, de sanciones reales a webs, webs muy normalitas, donde podemos ver los errores cometidos en cada caso.

Como las sanciones son públicas, las puedes consultar en la web de la propia agencia.

• No poseer política de privacidad ni especificar el tratamiento que se realizará en el formulario de contacto:

“El reclamado ha vulnerado la normativa sobre protección de dato materializado en la inapropiada y defectuosa configuración de la página web en lo relativo a la información ofrecida en materia de protección de datos de aquellas personas accedían y se registraban en la misma, tal como señala el reclamante, careciendo de política de privacidad y aviso legal.

Además, la página web XXXXXXXX, contenía formulario para la recogida de datos de los usuarios, sin hacer referencia alguna al cumplimiento de lo establecido de conformidad con lo señalado en el artículo 13 del RGPD anteriormente citado, en el sentido de determinar la identidad del responsable, los fines a los que se destinaran los datos y los derechos que el interesado puede ejercitar ante el responsable, etc.

Los hechos expuestos son constitutivos de una infracción imputable al reclamado, por vulneración del artículo 13 del RGPD.”

• No recoger el consentimiento previo en los formularios:
• No poseer política de privacidad, no identificar al responsable en el aviso legal y no aportar información en los formularios

En este caso, la AEPD, constata que:

1. No consta la existencia de una política de privacidad.
2. No consta la identificación del responsable.
3. Se permite la creación de cuentas de usuario donde, entre otros, se recogen los datos de nombre, apellidos, dirección de correo electrónico y contraseña, así como se da la opción de marcar “Recibir ofertas de nuestros socios” y “Suscribirse a nuestro boletín de noticias”.
4. Existe un formulario de contacto donde se introducen los datos de correo electrónico y el mensaje.
5. Existe información de contacto siendo ésta exclusivamente una dirección postal, un teléfono de contacto y un correo electrónico de contacto.

“Se tiene en cuenta que el reclamado recoge datos personales de los usuarios que cumplimentan el formulario incluido en el sitio web ***WEB.1 sin proporcionarles, con carácter previo a su recogida, toda la información en materia de protección de datos prevista en el artículo 13 del reseñado RGPD.

De conformidad con las evidencias de las que se dispone en el presente momento de acuerdo de inicio del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, los hechos expuestos podrían constituir, por parte del reclamado, una infracción a lo dispuesto en el artículo 13 del RGPD.”, en este caso, impone a la empresa una sanción de 1500€.

• Carecer de Política de Cookies y su correspondiente pestaña emergente informativa y no identificar al responsable:

Aquí, la AEPD hace constar:

Consultada la página web reclamada, con fecha ***FECHA.1, se observa que, el sitio web no dispone de aviso sobre la instalación de cookies ni política sobre ellas, aunque instala una cookie con el contenido de la cesta de la compra en el equipo del visitante. No dispone de “aviso legal” y no se puede identificar al responsable de la página web ni al responsable del tratamiento de datos por carecer de información al respecto.

• No incluir enlace a la política de privacidad en el formulario de venta/contacto:

La AEPD hace constar:

Consultada la página web XXXXXXX , con fecha 21/10/19, se observa que se observa que para realizar un pedido de los productos que publicita, se debe introducir los datos personales del interesado, careciendo de cualquier tipo de banner o link a la “política de privacidad” de la página.

¿Cómo adaptar tu web y evitar estas sanciones de forma sencilla?

En primer lugar, cumplir con la normativa para la página web no significa que tu empresa / organización esté cumpliendo con la normativa de protección de datos. Para ello, hace falta un trabajo más exhaustivo, elaborando un análisis, contratos de encargo de tratamiento, contratos de consentimiento, etc.

Puedes realizar una pequeña autoevaluación gratuita a través de nuestro formulario:

https://dataprotectplus.com/auditoria-gratuita/

Y si aún tienes dudas y necesitas un servicio de protección de datos, puedes contactarnos por email info@dataprotectplus.com o en el teléfono 965 038 463.

El “phishing” es una técnica que se basa en ataques cibernéticos que suplantan la imagen de empresas grandes con mucha reputación. Te llegarán noticias falsas, como “Has ganado un premio”, “Eres el cliente 1000”, etc… y te pedirán que ingreses datos personales como números de tarjetas, cuentas corrientes y contraseñas. El nombre de esta técnica viene de la palabra “fishing” del inglés, que significa pescar. En eso mismo consiste, en que piques, que muerdas el anzuelo para ser estafado a través de suplantar empresas grandes como Carrefour, BBVA, Banco Santander, etc..

Últimamente, esta técnica, está proliferando y cada vez más está afectando en muchos aspectos tanto a particulares como a profesionales.

¿Cómo protegerse de los ataques de phishing?

Principalmente, hay que usar el sentido común y la intuición. Proteger nuestras vidas en las red debe ser una de nuestras prioridades a la hora de trabajar o movernos por la red. Las empresas, por su parte, tendrán un gran equipo capacitado para evitar estas vulnerabilidades o debilidades que puedan aparecer.

Un antivirus puede ser uno de los primeros pasos que debemos dar, puesto que un antivirus de pc, será el primero en proteger tu equipo frente a estos ataques de phishing, pero con esto no nos bastaría, sería necesario seguir estos pasos:

1.- Comprobar el dominio del que envía el correo

A la hora de ver quién nos envía un correo, debemos contemplar que el dominio es el que corresponde a la empresa. Por ejemplo: caixabank.com es real, pero caixabanc.com, no lo es. Por ello, es necesario confirmar que la dirección de correo tiene el dominio oficial de la empresa y no dejarse engañar por pequeños cambios a veces casi imperceptibles.

2.- ¿Has visto un texto complicado y con faltas de ortografía?

Que una entidad o compañía envíe una comunicación con una redacción y ortografía descuidadas es una señal de alarma que nos indica un posible correo fraudulento.

Las campañas de phishing en ocasiones se realizan desde el extranjero y están destinadas a atacar a personas de distintas nacionalidades. Por lo tanto, los ciberdelincuentes traducen sus mensajes a varios idiomas, en ocasiones con muchos errores debido al uso de traductores automáticos.

Frases mal construidas, traducciones demasiado literales, palabras con símbolos extraños o fallos semánticos son pistas que pueden delatar a los estafadores

3.- Las empresas no te van a pedir datos personales

Generalmente una gran empresa, no va a pedirte datos personales a través de un correo, ademas debemos de estar alerta de posibles enlaces sospechosos que suelen ser de máxima urgencia para hacer click. Esto nos va a dar otra pista de lo que está sucediendo es que estamos recibiendo un ciberataque que habría que denunciar en el siguiente email:  incidencias@incibe-cert.es.

4.- Los asuntos serán sospechosos en los ataques phishing

Nos llegarán correos en los que podremos ver en el asunto que somos los ganadores de un concurso al que no nos hemos inscrito o que nos van a cerrar nuestra cuenta bancaria de manera inminente ¿No es un poco raro?.

5.-¿Archivos adjuntos?

Verás que la mayoría de estos correos vienen con archivos adjuntos y esto es porque un correo electrónico que contiene un archivo adjunto es mucho más difícil que nuestro gestor de correos lo envié a la carpeta de spam.

6. ¿El enlace es legítimo?

Si el correo contiene un enlace, es necesario comprobar a dónde conduce el mismo antes de clicar, ya que podría ser un enlace trampa. Debemos analizar su dirección web o URL para ver si es conocida. ¿Cómo?

Pasar el cursor por encima del enlace sin clicarlo permite ver la dirección web y comprobar si es o no conocida. Ésta aparece en una pequeña ventana emergente y a los pies de la mayoría de los navegadores de Internet. Si la dirección a la cual dirige el enlace no corresponde a la que apunta el contenido del mensaje, podría ocultar una web maliciosa.

Esperamos que os sirvan estos consejos antes de que abras un correo electrónico y pinches sobre enlaces o des tus datos personales. Pueden evitar muchos disgustos.

Si tienes dudas sobre protección de datos y seguridad, no dudes en consultar a Data Protect Plus.

La instalación de cámaras de video vigilancia en las empresas y centro de trabajo es una fuente de conflicto importante en los tribunales (límites, vulneración o no del derecho a la intimidad…). Los tribunales «advierten» que conforme a la LOPDGDD no cabe instalar cámaras en los lugares de esparcimiento (como los comedores).

Así lo ha sentenciado el TSJ de Canarias en una sentencia en la que determina que la empresa demandada ha vulnerado el derecho fundamental a la intimidad del trabajador, así como la nulidad radical de la conducta empresarial de captación de imágenes en lugares de descanso de los trabajadores (TSJ de Canarias 31 de mayo de 2021).

Además, condena a la empresa a abonar al trabajador una indemnización por daños morales derivados de la conducta infractora ascendente a 6.251 euros.

El caso concreto enjuiciado

Un trabajador prestaba servicios en la empresa desde el 16/10/02, como supervisor de catering ,en la actividad de hostelería en el centro de trabajo ubicado en la zona del Aeropuerto de Gran Canaria con la categoría de mecánico.

-En abril 2018 la empresa instaló en el centro de trabajo una cámara de video vigilancia, dentro de cuyo radio de acción de grabación se encontraba el sistema de control horario, parte del comedor del personal y la entrada a los vestuarios masculino y femenino entre otras zonas.

-Tras plantearse demanda de conflicto colectivo frente a la empresa por la Federación de Servicios de CCOO ( autos 149/2019 jdo social 3 de Las Palmas ), en el acta del juicio consta: «la parte demandada manifiesta que reconoce la existencia de una cámara Minidomo fijo con lector de visión biométrico y que ha sido retirada y reubicada el 10 de junio de 2019».

En base a tal manifestación el sindicato referido desistió de su reclamación con reserva de acciones.

-El 10 de junio de 2019 la empresa solicitó a la compañía del sistema de videovigilancia que reubicase la terminal de lector biométrico de control horario existente, colocándola junto a la entrada de personal en una zona exclusiva de paso y sin visionado de ninguna zona sensible del personal.

-La empresa no comunicó a la representación social de las personas trabajadoras la instalación de la cámara de videovigilancia.

-Cuando se instaló la cámara el comité de empresa solicitó explicaciones a la demandada, negándose ésta a ofrecer explicaciones.

-Las personas trabajadoras de la empresa también se han quejado por la instalación de la cámara.

-Las personas trabajadoras hacen uso habitualmente de las instalaciones del comedor del centro de trabajo.

-El motivo de la instalación del sistema de seguridad es realizar un control del aparato destinado al registro digital de huella de los empleados.

-Existe cartelería en la empresa indicando la existencia de dicho sistema de seguridad

La sentencia del TSJ: no cabe videovigilancia en las zonas de esparcimiento

El TSJ estima la demanda interpuesta por un trabajador por vulneración del derecho a la intimidad.

Señala en primer lugar el TSJ que en este caso ya es plenamente aplicable la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)

En el caso que nos ocupa es de aplicación la LOPDGDD, aprobada por Ley 3/2018 de 5 de diciembre que aunque entró en vigor el 7 de diciembre de 2018, se solapó con una buena parte del tiempo en el que se mantuvo la cuestionada cámara de video vigilancia (de abril 2018 a junio 2019).

-Se ha incumplido el mandato contenido en el art. 89.2 de la vigente LOPD, al haberse probado que la video vigilancia de la empresa invadió espacios de privacidad de las personas trabajadoras protegidos de la video vigilancia (zonas de esparcimiento) a tenor del art. 89.2 LOPD.

-Tampoco se ha informado a la representación social de la instalación de la cámara de video vigilancia en el interior del centro de trabajo (no del exterior), lo que a criterio de esta Sala vulnera la previsión contenida en el art. 89.1 LOPD en relación con la Doctrina constitucional existente en relación al derecho fundamental a la intimidad, siendo insuficiente los anuncios (cartelería) del exterior que se corresponden con otras cámaras (exteriores).

Una vez declarada la vulneración del derecho fundamental a la intimidad del trabajador, es procedente la petición de condena a la empresa a abonarle, en virtud del art. 183 LRJS, una cantidad en concepto de indemnización por daño moral .

En este sentido, estima en parte la petición del trabajador y rebaja el importe de la indemnización pedida por la defensa del trabajador (12.000 euros) Considera el TSJ que en este caso resulta prudente fijar en 6.251 € la suma que la empresa debe abonar en concepto de indemnización por daño moral.

Esto es así en recta aplicación del art. 39.6 de la LISOS que establece una cláusula o criterio de graduación de «cierre» para aquellos casos en que -como entendemos que aquí ocurre- no se considere relevante ninguna de las circunstancias enumeradas en los apartados anteriores, en cuyo caso la sanción se impondría en el tramo del grado mínimo.(.)»

Es muy importante contar con una protección de datos al día, un servicio proactivo como el que desarrolla Data Protect Plus, que garantiza que nuestros clientes siempre estén al día y sin sorpresas.

Fuente: Estela Martín

Si tienes una empresa, seguro que te has dado cuenta de lo importante que es proteger la información que manejas. Los datos de tus clientes, de otros empleados o la información referente a tus proveedores son variables de gran valor para tu negocio, ya que te diferencian de la competencia y te aportan una posición única en el mercado. Y es por eso, que todas las personas que tengan acceso a la información de valor referente a tu empresa deben de estar informadas de sus obligaciones y derechos. Los acuerdos de confidencialidad son una herramienta tremendamente útil para esta tarea.

Desde Data Protect Plus queremos informarte sobre cómo puedes utilizar los compromisos de confidencialidad con tus empleados para proteger la información de tu empresa y la de tus clientes, así como para respetar el RGPD y la LOPD.

Aunque una gran parte de los datos que gestionan hoy en día las empresas esté digitalizada y protegida tecnológicamente, también es conveniente proteger nuestra información mediante mecanismos legales. Y para ello existe el compromiso de confidencialidad.

El compromiso de confidencialidad podríamos definirlo como la obligación de los trabajadores de guardar el secreto de los datos de carácter personal (datos de clientes, de otros empleados, potenciales clientes, proveedores, etc.) que conozcan por sus funciones laborales.

Esta obligación implica, en caso de firmar el compromiso de confidencialidad, que tus empleados no podrán difundir, comunicar a terceros o revelar de cualquier forma o medio, datos que los demás no deban saber. Ni siquiera a compañeros que no necesitan conocer la información para desempeñar sus tareas laborales.

¿Y por qué deberían tus trabajadores firmar este documento?

Según el RGPD, los principios de integridad y confidencialidad deben de ser respetados por las organizaciones y empresas, garantizando que el tratamiento de los datos no es objeto de operaciones no autorizadas o ilícitas, sin causar daño accidental a la persona afectada por estas operaciones.

Por otro lado, la LOPDGDD también regula directamente este deber de las empresas. En su quinto artículo, dispone que los trabajadores que traten datos tienen el deber de confidencialidad y que este es complementario y no sustituto del secreto profesional. También aclara que el deber de confidencialidad no se extingue una vez finalizada la relación laboral, lo que se traduce como una obligación para toda la vida.

 

Grupos de Whatsapp sin consentimiento

Se suceden las multas a clubes deportivos, asociaciones culturales, por parte de la AEPD, al incluir a miembros en los grupos de Whatsapp sin un consentimiento previo.

Al quedar los números de teléfono expuestos a terceros se vulnera la confidencialidad de los datos, lo que supone una infracción del artículo 32.1b) de la RGPD.

Desde Data Protect Plus os recomendamos realizar los siguientes pasos para evitar que te añadan a grupos sin tu permiso:

1. Abrir WhatsApp.
2. Entrar en Ajustes.
3. Acceder a la sección de Privacidad
4. Una vez dentro, encontrarás la opción: Grupos junto a Última vez, Foto de perfil, Información y Estados.
5. Cuando entras en la categoría de Grupos encontrarás la siguiente pregunta: Quién puede añadirme a grupos y otras tres opciones:

• Todos: Te podrán agregar todos los usuarios de WhatsApp a grupos “con tu supuesto consentimiento”. Y no recibirás invitaciones en privado.
• Mis contactos: Te pueden agregar sólo aquellos que tengas en tu lista de contactos. Y, por ende, recibirás una invitación para unirte a aquel en el que no estén tus contactos, en privado.
• Mis contactos excepto…: Aquí es donde puedes decidir con precisión quién no puede agregarte a grupos — estando o no entre tus contactos, el resto podrá.

Desde Data Protect Plus resolvemos todas tus dudas en protección de datos

www.dataprotectplus.com

Los smartphones se han convertido en dispositivos indispensables para el día a día, en tanto almacenan mucha de nuestra información sensible: desde un listado telefónico que hace mucho dejamos de memorizar a nuestros recuerdos más preciados, pasando por documentación de índole bancaria o profesional (incluidas las contraseñas necesarias para acceder a la misma). Así, estos gadgets se antojan un reclamo goloso para los amantes de los ajeno; cibercriminales que confían al software malicioso o ‘malware‘ la tarea de robar nuestros datos sin que nos demos cuenta.

La firma de ciberseguridad Check Point Software Technologies ha salido al paso para enumerar cinco señales indubitables de que un teléfono inteligente se encuentra comprometido.

Cierto que la mayoría de smartphones ralentizan su funcionamiento al cabo de varios años, pero tal vez no sea esa la razón de que nuestro modelo haya comenzado a ir lento. Si notamos que algunas aplicaciones se cierran sin razón aparente o que utilidades como la linterna dejan de funcionar, deberíamos estar alerta. Especialmente si ocurre tras haber instalado una aplicación o haber pinchado en un enlace de descarga.

Todas las baterías pierden capacidad máxima de carga con los años, pero una vez más podría ser un malware el responsable de que el móvil permanezca encendido cada vez menos tiempo. Más concretamente, si vemos que la batería pasa del 100 al 50% en pocos minutos, convendría echar un vistazo al apartado de ‘Batería’ dentro de’ Ajustes’ para comprobar qué aplicación es la responsable.

¿Has notado últimamente un consumo de datos disparatado pese a no haber reproducido vídeos ni acometido descargas bajo redes móviles? Alguien podría haber tomado el control remoto del teléfono para instalarle aplicaciones sin que seamos conscientes; apps que funcionan en segundo plano bajo un tráfico de datos constante. En este caso deberíamos repasar el listado de aplicaciones instaladas y suprimir aquellas que no reconozcamos.

El responsable es un tipo de malware denominado ‘adware’, capaz de colar publicidad hasta en las notificaciones del teléfono y, tal y como señala Check Point, resulta muy difícil de suprimir. No en vano, este tipo de aplicaciones están diseñadas para ocultar sus iconos de forma que no podamos desinstalarlas. El consejo viene siendo el de siempre: no pinchar en enlaces anónimos que hayamos recibido por mensaje o correo electrónico ni instalar apps fuera de canales oficiales como Google Play.

Si al revisar el historial de llamadas encontramos números con los que no nos hemos puesto en contacto (generalmente extranjeros) o topamos con mensajes de texto enviados sin nuestro consentimiento, la infección del aparato está garantizada. Lo peor viene al recibir la factura, donde este tipo de comunicaciones se tarifican a precios considerables.

Es muy importante contar con un buen antivirus en nuestro dispositivo para evitar el robo de datos personales y protegerlos.

Fuente: El Correo

La protección de datos en los centros educativos

Debido al gran número de preguntas recibidas por la Agencia Española de Protección de Datos (AEPD) que inciden en la responsabilidad de los tratamientos de datos en los colegios y qué hacer cuando plantean dudas o controversias al respecto, la Agencia clarifica en una infografía de quién son los datos que tratan los centros educativos (alumnado, profesorado, personal de servicios, etc.), quién es el responsable de su tratamiento en cada caso, quién gestiona los datos personales atendiendo al encargo que le hace el responsable, y quién tiene la función de asesorar para que el tratamiento se ajuste a la normativa y de responder a las cuestiones y dudas que en esta materia se les susciten a los interesados.

Las familias buscan conseguir más información sobre el tratamiento de datos de los menores y, para ello, es importante que conozcan la figura del Delegado de Protección de Datos, que tiene entre sus funciones asesorar tanto a los responsables como a las familias sobre cómo se tratan los datos personales y al que se le pueden hacer llegar las reclamaciones.

Se debe informar a las familias de:

• La existencia de un fichero o tratamiento de datos personales.
• La finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro.
• La obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos
• Los destinatarios de los datos
• Los derechos de los interesados y dónde ejercitarlos.
• La identidad del responsable del tratamiento: la Administración educativa o el centro.

¿Todos los centros educativos tienen que nombrar a un Delegado de Protección de Datos?

Siguiendo lo dispuesto en el art.34 de la LOPDPGDD, que regula las entidades que deberán nombrar a un delegado de protección de datos, entre otros supuestos, hace referencia a: “los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas”.

A la respuesta de si todos los centros docentes tienen que nombrar un DPD/DPO, será afirmativa, siempre y cuando en ellos se ofrezcan las siguientes enseñanzas, tal y como dispone su propia normativa en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su disposición adicional 16ª

Denominación de las etapas educativas:

1. a) Educación infantil.
2. b) Educación primaria.
3. c) Educación secundaria obligatoria.
4. d) Bachillerato.
5. e) Formación profesional.
6. f) Enseñanzas de idiomas.
7. g) Enseñanzas artísticas y

Enseñanzas deportivas.

1. i) Educación de personas adultas.
2. j) Enseñanza universitaria.

El artículo no hace distinción entre centros privados o docentes, por lo que se entiende que engloba a los dos supuestos, los que no estarían obligados a nombrar un DPO/DPD, por ejemplo, serán las academias que imparten algún tipo de formación.

IMPORTANTE

Cuando el DPO/DPD forma parte de la entidad, no podrá ser removido ni sancionado por el responsable o encargado, salvo que, incurra en dolo o negligencia grave.

Data Protect Plus puede ser tu Delegado de Protección de Datos

Aquí es donde Data Protect Plus juega un papel fundamental porque podemos ser nombrados como Delegados de Protección de Datos de los centros educativos para realizar las funciones de asesoramiento e información al responsable sobre la aplicación de la normativa de protección de datos y supervisar su cumplimiento. Además, realizamos una labor de Interlocutor con las personas afectadas para cualquier cuestión de protección de datos, lo que incluye dudas, tanto de las familias como de profesionales de la educación, así como quejas y reclamaciones.

Finalmente, Data Protect Plus ofrece ofrece una formación específica en los centros educativos sobre protección de datos tanto a los padres y madres de los alumnos como a los propios alumnos y profesores.

En materia de centros educativos, Data Protect Plus es la solución para todos ellos en estas materias que no están cubiertas por las administraciones.

 

El organismo público abre un procedimiento sancionador para imponer una sanción de 200.000 euros

La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento sancionador contra el BBVA de 200.000 euros tras recibir la denuncia de un ciudadano por un mal tratamiento de datos personales. En la documentación del procedimiento se explica que el tratamiento realizado por BBVA no cumple con el Reglamento General de Protección de Datos (RGPD), el marco legal por el que se rige la gestión de la información de de los ciudadanos de la Unión Europea.

“Se manifiesta por el reclamante que la entidad reclamada no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente, por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento identificativo”, refleja la resolución.

Es decir, cualquier persona que hubiera sido capaz de hacerse con la numeración de un Documento Nacional de Identidad podría conseguir datos personales del propietario del DNI, sin que BBVA tuviese en funcionamiento filtros adecuados para identificar que quien hace la consulta es realmente el propietario del DNI.

La reclamación fue planteada ante el organismo responsable de velar por el buen tratamiento de los datos de los ciudadanos el pasado 25 de marzo de 2020, con la pandemia del coronavirus en su momento inicial. La AEPD procedió a informar al BBVA del requerimiento. La entidad bancaria apuntó el 25 de septiembre que había un error de forma para frenar el procedimiento. Alegó ante Protección de Datos que una vez subsanado el mismo, se le notificase de nuevo aquello que fuese pertinente.

“Pese a que la naturaleza de este requerimiento, que como indica el artículo 65.4 de la LOPDGDD, es facultativo y de carácter previo al inicio de cualquier procedimiento, el 25 de septiembre de 2020, la entidad reclamada en respuesta al requerimiento de este Organismo, manifiesta que en el escrito de la Agencia, no se ha indicado el plazo para responder, lo cual supone un error en la tramitación del procedimiento, motivo por el que solicita que se paralice el procedimiento, hasta que se subsane dicho error y se le notifique de nuevo dicha solicitud de información”.

Reducción de la sanción para BBVA

El Reglamento General de Protección de Datos establece en el artículo 5 los principios que han de regir el tratamiento de los datos personales y menciona entre ellos los de “integridad y confidencialidad”.

En este sentido, la seguridad de los datos personales se regula en el artículo 32 del RGPD. El punto 1 de este artículo establece que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. Y procede a enumerar las siguientes medidas:

• La seudonimización y el cifrado de datos personales
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

La vulneración del artículo 32.1 supone, según la ley, que “las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000  euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

Por este motivo, y aplicando el reglamento, la AEPD ha abierto el procedimiento sancionador contra BBVA. Los 200.000 euros podrían verse reducidos a 120.000 euros, explica el documento, siempre que el pago se realice de forma voluntaria y antes de que se produzca la resolución.

Fuente: VozPópuli

Llega el inicio de curso en los centros educativos y surgen las dudas respecto a la privacidad de los datos de menores.

Lo primero a tener en cuenta es el consentimiento expreso de todos los alumnos para poder tratar sus datos.

Los centros educativos deben contar con un formulario solicitando el consentimiento para el tratamiento porque hay datos sensibles y se debe informar claramente de:

• La existencia de un fichero o tratamiento de datos personales.
• La finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa o para difundir y dar a conocer las actividades del centro.
• La obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos.
• Los destinatarios de los datos.
• Los derechos de los interesados y dónde ejercitarlos.
• La identidad del responsable del tratamiento: la Administración educativa o el centro.

A las familias hay otras cuestiones que les preocupa como es la publicación de imágenes de los alumnos durante sus actividades; esta cuestión es muy delicada y hay que tener en cuenta lo siguiente:

• Si se realiza con fines educativos no sería necesario recabar el consentimiento.
• Si el motivo es para la difusión del centro con publicación en la web sería necesario:

1. Contar con el consentimiento del afectado.
2. Si el afectado es menor de 14 años habrá que solicitar el consentimiento a los padres o tutores. La imagen de una persona ha de ser considerada como dato de carácter personal y su tratamiento sometido a la ley de Protección de Datos, por lo que, con carácter general, no será posible su utilización o cesión si el interesado no ha dado su consentimiento para ello.
3. Hay que informar con anterioridad de la finalidad de la grabación
4. Hay que informar del nivel de accesibilidad de las imágenes

Esperamos que, con este artículo, hayamos contribuido a responder a las dudas iniciales del curso.