La Agencia Española de Protección de Datos (AEPD) mantiene su foco en los incumplimientos básicos del Reglamento General de Protección de Datos, afectando especialmente a pequeñas y medianas empresas que no han adaptado correctamente su gestión de datos personales.

Lejos de grandes ciberataques, muchas actuaciones de la AEPD se originan por errores cotidianos y fácilmente evitables.

La realidad en 2026: el RGPD se aplica igual a grandes empresas y a PYMES

Uno de los mensajes más reiterados por la AEPD en los últimos años —y que sigue plenamente vigente en 2026— es claro:

El tamaño de la empresa no exime del cumplimiento del RGPD.

La AEPD actúa principalmente:

• Tras reclamaciones de clientes o usuarios
• Por denuncias de exempleados
• A raíz de campañas de inspección sectoriales
• Cuando detecta irregularidades evidentes en páginas web o comunicaciones comerciales

Incumplimientos más habituales que siguen afectando a las PYMES

En 2026, los motivos de sanción más frecuentes no han cambiado sustancialmente, y siguen estando relacionados con una mala gestión diaria de los datos. Aquí algunos ejemplos:

Falta de documentación RGPD obligatoria

Muchas PYMES:

• No disponen de Registro de Actividades de Tratamiento
• No han definido bases legales
• No tienen contratos de encargo con proveedores

La ausencia de documentación sigue siendo uno de los primeros puntos que revisa la AEPD.

Formularios web sin información clara de protección de datos

Es habitual encontrar:

• Formularios sin política de privacidad accesible
• Textos genéricos o desactualizados
• Falta de información sobre derechos del usuario
• Falta de información sobre los responsables del tratamiento de datos personales.

La web corporativa continúa siendo una fuente constante de reclamaciones.

Envío de comunicaciones comerciales sin base legal válida

En 2026 la AEPD sigue prestando especial atención a:

• Emails comerciales sin consentimiento
• Uso de WhatsApp con fines publicitarios
• Falta de sistemas de baja efectivos

El marketing digital sigue siendo uno de los ámbitos más sancionados.

Mala gestión de los derechos de los interesados

Muchas empresas:

• No saben identificar una solicitud de derechos
• No responden dentro del plazo legal
• No documentan las respuestas

Una mala gestión de derechos suele acabar directamente en reclamación ante la AEPD.

Uso inseguro de herramientas habituales (email, nube, mensajería)

Errores comunes:

• Envíos de correos con destinatarios visibles
• Accesos compartidos sin control
• Falta de medidas organizativas internas

La AEPD valora especialmente si la empresa ha aplicado medidas proporcionales, aunque sean sencillas.

Por qué la AEPD sigue centrada en las PYMES

El enfoque de la AEPD se mantiene porque:

• Las PYMES tratan datos personales a diario
• Los incumplimientos suelen ser estructurales
• Muchos problemas se repiten por desconocimiento
• La prevención es clave para proteger a los ciudadanos

En la práctica, la AEPD espera que las PYMES demuestren diligencia, no perfección.

Qué puede hacer una PYME en 2026 para reducir riesgos RGPD

Desde una perspectiva práctica, las medidas más eficaces siguen siendo:

Adaptación RGPD realista y personalizada
Documentación mínima, pero correcta
Textos legales claros y actualizados
Procedimiento interno para derechos ARSULIPO
Formación básica a empleados
Revisión periódica del cumplimiento

No se trata de “tener papeles”, sino de saber cómo actuar.

CEO Data Protect Plus

Sylvia Fries

La entrada Sanciones RGPD a PYMES en 2026: por qué la AEPD sigue poniendo el foco en los incumplimientos básicos se publicó primero en DataProtectPlus.

Desde 2018, el Reglamento General de Protección de Datos (RGPD) cambió radicalmente la forma en la que las empresas en España deben tratar la información personal. No importa si eres autónomo, una PYME pequeña, un gran despacho asesorando a multinacionales o un gestor que atiende pymes: el incumplimiento puede costar muy caro. Para evitar sanciones, ya que buscar un buen aliado.

Y cuando decimos caro, hablamos de multas de hasta 20 millones de euros o el 4% de la facturación anual. Un riesgo nada menor, ¿verdad?

Sanciones reales en España: ejemplos que asustan

Las sanciones no son un mito ni una amenaza lejana. En España ya existen múltiples casos que sirven como advertencia:

• LaLiga (2019): multada con 250.000 € por usar su app para espiar posibles emisiones ilegales.
• Vodafone (2021): sanción récord de 8,15 millones € por múltiples infracciones en protección de datos.
• Caixabank (2021): 6 millones € por falta de transparencia en el tratamiento de datos de clientes.
• Un gimnasio local (2022): 10.000 € de multa por cámaras de videovigilancia sin cartel informativo.
• Una comunidad de vecinos (2024): 1.000 € por publicaciones de datos personales.
• Una empresa de grúas (2024): 2.000 € por fotografiar un DNI con teléfono móvil privado.
• Despacho de abogados (2024): 5.000 € por falta de representación legítima en un caso familiar.

Estos ejemplos muestran que nadie se libra, ni grandes corporaciones ni pequeños negocios.

¿Por qué los asesores y gestores deben tomar la delantera?

Muchos empresarios confían plenamente en sus asesores fiscales, laborales o contables. Pero, ¿qué pasa con la protección de datos? Ahí es donde un asesor bien preparado marca la diferencia:

• Genera confianza y seguridad en sus clientes.
• Evita riesgos que podrían poner en jaque la continuidad de la empresa.
• Refuerza su propia reputación profesional.

En otras palabras, ser un asesor que entiende y aplica el RGPD no es un “extra”: es una ventaja competitiva.

El riesgo de improvisar: ¿qué pasa si no eliges bien a tu aliado?

No basta con descargarse una plantilla de internet y pensar que ya está todo hecho. El RGPD es un marco legal complejo que requiere:

• Análisis de riesgos.
• Registro de actividades de tratamiento.
• Cláusulas contractuales adaptadas.
• Protocolos internos y formación al personal.

Si se improvisa, el resultado suele ser: sanciones, pérdida de clientes y daño a la reputación.

Por eso, la clave está en contar con un aliado especializado, con referencias sólidas y experiencia real.

Cómo elegir al mejor aliado en RGPD

Cuando asesores y gestores buscan un experto externo en RGPD, deberían valorar:

1. Experiencia demostrable. ¿Tiene casos de éxito y referencias verificables?
2. Formación actualizada. El RGPD evoluciona con nuevas directrices y sentencias, ¿está al día?
3. Transparencia. Nada de soluciones milagro ni contratos oscuros.
4. Servicio integral. No solo papeles: debe ofrecer auditorías, planes de acción y formación.
5. Soporte cercano. Un aliado debe responder rápido, no solo en emergencias.

Beneficios de cumplir con el RGPD (más allá de evitar multas)

Aunque las sanciones son la gran alarma, cumplir con el RGPD también trae ventajas:

• Mejora la confianza de los clientes.
• Refuerza la imagen de marca como empresa seria y responsable.
• Aporta orden interno en la gestión de datos.
• Abre puertas a colaboraciones con grandes empresas que exigen cumplimiento normativo.

Recursos útiles para asesores y gestores

Agencia Española de Protección de Datos (AEPD)

Reglamento General de Protección de Datos de la UE

¿Vas a esperar a la multa para tus clientes?

El RGPD no es opcional ni un simple trámite burocrático. En España, los ejemplos de sanciones son claros y cada vez más comunes. Como asesor o gestor, tienes la oportunidad de proteger a tus clientes y reforzar tu valor profesional contando con un aliado experto en protección de datos.

Para reforzar los argumentos hacia los clientes, hemos creado un pequeño resumen con las preguntas más frecuentes que nos encontramos durante estos últimos 7 años.

“Descarga gratis nuestra Guía Rápida RGPD para asesores y gestores en España y evita multas innecesarias. Haz clic aquí:

¿Aún quedan dudas? Estamos a su disposición, incluso para una colaboración activa.

Contáctanos: info@dataprotectplus.com 965 038 463 o regístrateaquí

CEO Data Protect Plus

Sylvia Fries

La entrada Cumplir con el RGPD: evita sanciones y encuentra al mejor aliado se publicó primero en DataProtectPlus.

¿Utilizas el teléfono para llamar a nuevos clientes? ¿Tu equipo comercial llama a particulares o empresas para ofrecer servicios? Entonces esto te interesa: desde junio de 2025, las reglas del juego han cambiado, y las multas pueden ser muy serias si no cumples con la normativa para tus llamadas comerciales.

En Data Protect Plus, asesoría especializada en protección de datos en Torrevieja, te contamos lo esencial para que puedas hacer marketing telefónico legal, eficaz y seguro.

¿Puedo seguir haciendo llamadas comerciales?

Sí, pero bajo ciertas condiciones muy claras. En 2025, ya no se puede llamar “a puerta fría” como antes. Estas son las claves:

Puedes llamar si:

• Tienes el consentimiento previo y expreso del destinatario.
• Ya es cliente tuyo, y la oferta está relacionada con productos/servicios similares.
• Te diriges a una empresa (B2B) y tienes una base legítima para hacerlo, siempre que respetes los derechos del destinatario.

No puedes llamar si:

• El contacto no ha dado su consentimiento, y no tienes otra base legal sólida.
• La persona está inscrita en la Lista Robinson (obligatorio consultarla antes de cada campaña).
• Llamas desde un número oculto o desde un móvil particular no autorizado.
• No informas al inicio de la llamada sobre quién eres y por qué llamas.

¿Qué debes decir en la llamada?

Desde el primer momento, el receptor debe estar informado sobre:

Quién eres y de qué empresa llamas.
Que se trata de una llamada con fines comerciales.
Que tiene derecho a oponerse a futuras llamadas y revocar su consentimiento en cualquier momento.

Y si vas a grabar la llamada, también debes tener en cuenta:

Informar antes de empezar la grabación.
Obtener su consentimiento explícito.
Explicar para qué grabas, quién es el responsable, cuánto tiempo conservarás la grabación y cómo ejercer sus derechos (acceso, cancelación, oposición…).

¿Cuándo puedes llamar?

Solo en días laborables, de 9:00 a 21:00.

Nunca durante fines de semana o festivos, ni en horarios fuera de ese rango.

Identifícate siempre con un número fijo, comercial o gratuito (900/800). Llamar desde móviles normales está prohibido.

¿Qué pasa si incumples?

Desde 2023, con la nueva Ley General de Telecomunicaciones, y reforzado en 2025:

Las sanciones por llamadas ilegales pueden superar los 100.000 €.
Grabar sin informar puede considerarse una infracción muy grave bajo el RGPD.
Usar números ocultos, móviles no autorizados o saltarte la Lista Robinson puede ser motivo de denuncia ante la AEPD.

Y no olvides: la carga de la prueba recae en tu empresa. Si alguien denuncia, tendrás que demostrar que tenías consentimiento o base legal suficiente.

¿Y si llamo a otras empresas?

En entorno B2B, hay un poco más de margen, pero también hay normas:

Puedes contactar si hay una relación previa o si ofreces productos realmente relevantes para su actividad (comprobar la legitimación para ello).
Siempre debes informar claramente e identificarte.
Debes respetar las oposiciones y el derecho a no recibir publicidad (sincroniza tu sistema con las plataformas existentes).
También debes usar numeraciones válidas y respetar horarios (desde junio 2025).

¿Necesitas ayuda?

Contáctanos y revisamos juntos como adaptar tu proceso de venta a la normativa: www.dataprotectplus.com

CEO Data Protect Plus

Sylvia Fries

La entrada ¿Haces llamadas comerciales en tu empresa? se publicó primero en DataProtectPlus.

Referente a la privacidad, la ciberseguridad y la desconexión digital, el Reglamento General de Protección de Datos (RGPD) sigue evolucionando y, en 2025, las empresas en España deben estar más preparadas que nunca para cumplir con las nuevas normativas. La Agencia Española de Protección de Datos (AEPD) y las instituciones europeas han reforzado aspectos clave de la privacidad digital, la seguridad de los datos y los derechos de los trabajadores en el entorno digital, para la protección de sus datos en el entorno laboral.

A continuación, te explicamos los cambios más relevantes en privacidad, ciberseguridad y desconexión digital y cómo afectan a tu negocio.

Nuevas exigencias en ciberseguridad: más allá del cumplimiento

Con el aumento de ataques cibernéticos y filtraciones de datos, las autoridades han endurecido las medidas de seguridad exigidas a las empresas. En 2025, las organizaciones deben:

• Implementar sistemas de detección y respuesta ante incidentes de ciberseguridad.
• Realizar evaluaciones de impacto en protección de datos con más frecuencia.
• Garantizar el uso de medidas de cifrado y anonimización en los datos sensibles.

Las sanciones por incumplimiento han aumentado. Ahora la AEPD puede imponer multas más severas si una empresa no demuestra haber tomado medidas suficientes para proteger la información de clientes y empleados.

¿Tu empresa está preparada?

Un simple antivirus o firewall ya no es suficiente ante este panorama, por lo que es esencial contar con un plan de ciberseguridad robusto, adaptado a las nuevas exigencias del RGPD.

El derecho a la desconexión digital: obligación para todas las empresas

El derecho a la desconexión digital, regulado en la Ley de Trabajo a Distancia, cobra más importancia en 2025. Esto implica que las empresas deben garantizar que sus empleados no sean contactados fuera del horario laboral, salvo en casos de fuerza mayor.

Para cumplir con esta norma, las empresas deben:

• Definir políticas claras sobre desconexión digital en su normativa interna.
• Capacitar a los empleados y directivos sobre el derecho a la desconexión.
• Supervisar y evitar prácticas abusivas tales como correos electrónicos fuera de horario, mensajes en WhatsApp después del fin de la jornada.

No garantizar la desconexión puede traducirse en denuncias ante la Inspección de Trabajo y sanciones económicas para las empresas.

Regulado en el Real Decreto-ley 28/2020 y en la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
BOE – Ley de Protección de Datos
BOE – Ley de Trabajo a Distancia

Beneficios para tu negocio

Respetar este derecho no solo evita sanciones mejora la productividad y el bienestar de los empleados, reduciendo el absentismo y el estrés laboral.

Protección de datos en la era de la inteligencia artificial

El uso de inteligencia artificial (IA) para procesar datos personales está en el punto de mira de los reguladores. En 2025, el RGPD se alinea con la Ley de IA de la UE, lo que significa que las empresas deben:

• Justificar el uso de IA en el tratamiento de datos personales.
• Garantizar la transparencia y explicabilidad de los algoritmos utilizados.
• Evitar la discriminación y sesgos en decisiones automatizadas.

Las empresas que usen herramientas de IA para la gestión de clientes, selección de personal o análisis de datos deben asegurarse de cumplir con estos nuevos requisitos.

Conclusión: No esperes a recibir una sanción

El cumplimiento del RGPD en 2025 no es solo una cuestión legal. Es una oportunidad para mejorar la confianza de tus clientes y fortalecer la seguridad de tu empresa.

• ¿Tu empresa cuenta con una estrategia de protección de datos sólida?
• ¿Tienes medidas de ciberseguridad adecuadas?
• ¿Respetas el derecho a la desconexión digital de tus empleados?

Si tienes dudas sobre cómo adaptarte a estos cambios, contáctanos. Nuestro equipo de expertos en protección de datos y ciberseguridad puede ayudarte.

Contáctanos hoy mismo y protege tu empresa de riesgos legales y de ciberseguridad.

CEO Data Protect Plus

Sylvia Fries

La entrada Todo lo nuevo sobre privacidad, ciberseguridad y la desconexión digital. se publicó primero en DataProtectPlus.

Instalación de Cámaras de Seguridad: Una Lección Costosa para una Comunidad de Vecinos

Una comunidad de vecinos que buscaba aumentar la seguridad de su entorno mediante la instalación de cámaras de vigilancia ha recibido una multa de la Agencia Española de Protección de Datos (AEPD). Este incidente sirve como un recordatorio crítico de la necesidad de seguir las normativas de protección de datos al implementar medidas de seguridad.

La Importancia de Cumplir con la Ley de Protección de Datos

La AEPD ha impuesto una sanción de 1.000 euros a la comunidad por no cumplir con las directrices establecidas para la instalación de sistemas de videovigilancia. La ley estipula que las grabaciones deben limitarse al ámbito privado, prohibiendo que las cámaras enfoquen hacia la vía pública o zonas comunes.

Definición de Espacio Público y Privacidad

El espacio público, según la AEPD, incluye calles, plazas y caminos, lugares por donde el público transita libremente. La agencia enfatiza que el propósito de las cámaras de seguridad debe ser proteger la propiedad y sus habitantes sin invadir la privacidad de terceros.

Notificación y Consentimiento: Claves en la Videovigilancia

Es esencial informar a los transeúntes sobre el tratamiento de datos personales mediante carteles de zona videovigilada. Estos avisos deben contener información clara sobre cómo los individuos pueden ejercer sus derechos respecto al tratamiento de sus datos.

Acceso Restringido a las Grabaciones

La multa también se debe al acceso no autorizado a las grabaciones por parte de personal no designado. Aunque la comunidad proporcionó detalles sobre la ubicación de las cámaras y la señalización correspondiente, la AEPD determinó que se violaron los artículos 5.1 y 13 del Reglamento General de Protección de Datos (RGPD).

Consecuencias y Medidas Correctivas

La comunidad debe ahora reorientar las cámaras para cumplir con la normativa y actualizar la señalización. La multa puede reducirse a 800 euros si se opta por un pago voluntario y se concluye el procedimiento sancionador de manera adecuada.

Este caso subraya la relevancia de una instalación adecuada de sistemas de videovigilancia y el respeto a la privacidad y protección de datos personales. Es un llamado de atención para todas las comunidades que consideren implementar medidas de seguridad similares.

Encuentra más detalles sobre este tema en nuestro blog, bajo el tema ‘comunidades’.

CEO Data Protect Plus

Sylvia Fries

La entrada Cámara en comunidad – multa de 1000 euros se publicó primero en DataProtectPlus.

El Uso de Datos Biométricos

El uso de datos biométricos, como las huellas dactilares en gimnasios, está regulado por el Reglamento General de Protección de Datos (RGPD). Este reglamento establece un régimen único para tratar datos biométricos, independientemente de la finalidad a la que se destinen. Lo que deja claro la resolución de la AEPD es que no se puedo obligar a un usuario a usar su huella para ser identificado. Y éste precisamente ha sido la clave del asunto aquí y el objeto de reclamación de una usuaria.

Las Sanciones de la AEPD

La AEPD ha sancionado a gimnasios con multas de hasta 27.000 euros por no ofrecer una alternativa a los clientes que no deseen otorgar su consentimiento explícito para el uso de sus datos biométricos. Estas sanciones subrayan la necesidad de considerar alternativas menos intrusivas para la identificación de los clientes. Pero las multas no son solo por este motivo, también incluyen asuntos de REGISTRO DE TRATAMIENTO de los datos en cuestión. Durante la investigación también se observaron casos de transferencias internacionales de datos no recogidos en políticas.

Conclusiones

Estos casos son un recordatorio importante de la necesidad de cumplir con las regulaciones de protección de datos al implementar sistemas de control de acceso basados en datos biométricos. La AEPD ha demostrado que tomará medidas enérgicas contra las organizaciones que no cumplan con estas regulaciones.

Siempre es mejor consultar a los profesionales del sector para evitar este tipo de sustos, que no se basan simplemente en la firma de unos documentos, sino que van más allá para proteger el negocio de forma efectiva.

Fuente: AEPD
Aquí está la resolución por completo, para revisar cado uno de los puntos multados en este precios caso de un gimnasio en Santander.

Si necesitas más información, contacta con nosotros.

CEO Data Protect Plus

Sylvia Fries

La entrada Protección de Datos y Huellas Dactilares se publicó primero en DataProtectPlus.

Siguen las ofertas irresistibles para implantar auditorías y servicios de Protección de Datos a través de cursos bonificados, de forma gratuita o casi gratuito. Si bien por ignorancia o por ganas de pagar lo menos posible, muchos caen en la trampa: es una estafa que sale cara si nos pilla una revisión. Y de esas hay muchas, constantemente. En definitivo, el servicio gratuito no existe.

Servicio gratuito de Protección de Datos

La Fundación Tripartita para la Formación en el Empleo ha emitido una nota informativa sobre la utilización de bonificaciones para la Ley Orgánica de Protección de Datos (LOPD). En esta nota, se advierte a las empresas y consultores que gestionan formación para el empleo sobre ciertas prácticas relacionadas con los servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos personales.

Aquí están los puntos clave de la nota:

1. Entidades Gratuitas: Se alerta sobre la existencia de entidades que ofrecen servicios gratuitos en el ámbito de la LOPD. Estos servicios incluyen la implantación, auditoría y asesoría jurídica en protección de datos personales. Sin embargo, estas entidades financian estos servicios utilizando el crédito asignado para la formación, lo que puede considerarse un fraude.
2. Crédito Destinado a Formación: El Real Decreto 395/2007 y la Orden Ministerial 2307/2007. Establece que el crédito asignado está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación para los trabajadores.
3. Comprobación y Control: La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y ha implementado mecanismos de control. Por lo tanto, verifican las bonificaciones practicadas. El objetivo es evitar que las empresas beneficiarias se vean involucradas en errores y tengan que devolver las cuantías bonificadas.
4. Responsabilidad de las Empresas: Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD deben devolver los importes correspondientes. Además, deben atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.
5. Llamamiento a los Usuarios: La Fundación Tripartita hace un llamamiento a todos los usuarios para que, en caso de recibir ofertas similares, contacten con el servicio al cliente de la Fundación mediante su formulario de contacto.

Por cierto:

Ya lo decían nuestros abuelos: lo barato sale caro.

Para más información, contáctanos aquí.

CEO DATA PROTECT PLUS

Sylvia Fries

La entrada El servicio gratuito de Protección de Datos no existe. se publicó primero en DataProtectPlus.

La Huella Dactilar en el Trabajo: ¿Qué dice el RGPD?

En la era digital, la ciberseguridad y la protección de datos son fundamentales para cualquier empresa, especialmente para las pequeñas y medianas empresas (PYME) que están en proceso de digitalización. Una de las tecnologías emergentes en el ámbito laboral es el uso de la huella dactilar para la identificación de trabajadores. Sin embargo, su implementación debe estar en estricta conformidad con el Reglamento General de Protección de Datos (RGPD).

Consentimiento y Transparencia: Pilares del Uso de Datos Biométricos como la huella

El RGPD establece directrices claras para el tratamiento de datos personales, y los datos biométricos, como las huellas dactilares, requieren una atención especial debido a su naturaleza sensible. Para que las PYME utilicen estas tecnologías de forma segura y legal, es esencial obtener el consentimiento explícito de los trabajadores y asegurarse de que exista una finalidad legítima para su uso.

Evaluación de Impacto en la Protección de Datos: Un Paso Crucial

Además, es crucial realizar una evaluación de impacto sobre la protección de datos para identificar posibles riesgos y establecer medidas de seguridad adecuadas. Estas medidas no solo protegen la información sensible de los empleados, sino que también salvaguardan la reputación de la empresa y evitan posibles sanciones legales.

Implementando Medidas de Seguridad Robustas para Datos Sensibles como huella dactilar, según regula la AEPD

La Agencia Española de Protección de Datos (AEPD) ha emitido resoluciones que clarifican cómo debe tratarse la huella dactilar en el entorno laboral. En una resolución, la AEPD enfatiza que la huella dactilar debe ser considerada como un dato biométrico. Por tanto, es una categoría especial según el RGPD. Esto implica que su tratamiento está sujeto a restricciones adicionales para garantizar la protección de los derechos de los individuos.

El Artículo 9.1 del RGPD: Este artículo prohíbe el tratamiento de datos personales que revelen datos biométricos dirigidos a identificar de manera unívoca a una persona física, a menos que se cumplan ciertas condiciones. Esto significa que las empresas deben tener una base legal sólida para procesar datos biométricos, como el consentimiento explícito y voluntario del trabajador.

La AEPD ha publicado una guía sobre protección de datos y relaciones laborales que ofrece orientación práctica para las organizaciones. Esta guía aborda temas como el registro de la jornada laboral y el uso de tecnologías de control, incluyendo la identificación biométrica. La guía también detalla los principios de minimización y los límites al tratamiento de datos en los procesos de selección y contratación de personal. Esta guía ha sido modificada, según la guía de control publicada en noviembre 2023.

Antes de implementar sistemas de identificación biométrica, las empresas deben realizar una evaluación de impacto sobre la protección de datos para identificar y mitigar los riesgos asociados al tratamiento de datos biométricos.

Es fundamental que las empresas implementen medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluyendo los datos biométricos.

Derecho a la Información: El RGPD establece que los trabajadores tienen derecho a ser informados sobre el tratamiento de sus datos personales. En el caso de huella dactilar como medio de identificación de “categoría especial de información personal”, hay que tener muy claro dónde se guarda la información y qué tratamientos se realizan realmente, e informar al trabajador sobre ello para su consentimiento.

conclusión

Para poder utilizar la huella dactilar en tu empresa de acuerdo con el RGPD, debes tener en cuenta los siguientes términos y obligaciones:

1. Consentimiento de los interesados: Es necesario recabar el consentimiento expreso de los trabajadores para poder llevar a cabo el tratamiento de sus datos biométricos.
2. Base legitimadora: Si el consentimiento no es la base para el uso de la huella dactilar, se debe contar con alguna de las excepciones del artículo 6.1 y 9.2 del RGPD.
3. Deber de información: Debes proporcionar a los trabajadores toda la información relativa al tratamiento de sus datos personales, según lo establecido en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD.
4. Cumplimiento de los principios de necesidad, idoneidad y proporcionalidad: La recogida de la huella dactilar debe ser para fines determinados, proporcionales y no excesivos. Además, estos datos no pueden utilizarse para realizar tratamientos distintos a aquellos para los que el interesado prestó su consentimiento.
5. Medidas de seguridad: Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluyendo los datos biométricos.
6. Evaluación de impacto: Realizar una evaluación de impacto sobre la protección de datos para identificar y mitigar los riesgos asociados al tratamiento de datos biométricos.
7. Registro de actividades de tratamiento: Incluir el uso de la huella dactilar en el registro de actividades de tratamiento.

Es importante que sigas estos términos para asegurar que el uso de la huella dactilar en tu empresa cumple con la normativa vigente y protege los derechos de tus trabajadores. Para una implementación adecuada y conforme a la ley, se recomienda buscar asesoramiento legal profesional.

¿Está su PYME preparada para la era de la identificación biométrica? Contáctenos para una consultoría personalizada y asegúrese de que su empresa cumple con el RGPD.

La entrada El Uso de la Huella Dactilar y el RGPD se publicó primero en DataProtectPlus.

Entre la documentación exigida por Amazon, para trabajar como repartidor, estaba el certificado de penales, como condición para acceder al puesto de trabajo. Esta información es “sumamente personal” que solo se puede solicitar cuando las empresas están facultadas legalmente para hacerlo y en el caso de cierto tipo de trabajos como el cuidado de menores.

La AEPD ha calificado esta infracción como algo muy grave y ha tenido en cuenta la duración de la falta, que el número de personas afectadas es muy elevado, el nivel de daños provocados a las personas, que no han podido acceder al trabajo y, para los que han accedido, el riesgo sobre su privacidad al que han sido expuestos

La AEPD concluye que la empresa incurre en ilicitud por infringir el artículo 10 de la Ley de Protección de Datos en lo relativo al tratamiento de datos de naturaleza penal por la vía del consentimiento. La infracción se califica como muy grave.

Fuera del derecho de la UE

Según este artículo, el tratamiento de datos personales relativos a condenas e infracciones penales para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, lo que no ocurre en este caso.

Fuera de estos supuestos, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones, lo que tampoco ocurre con el modo de actuar de la filial de Amazon.

La entrada La AEPD multa a Amazon con 2 millones de euros se publicó primero en DataProtectPlus.