Desde 2018, el Reglamento General de Protección de Datos (RGPD) cambió radicalmente la forma en la que las empresas en España deben tratar la información personal. No importa si eres autónomo, una PYME pequeña, un gran despacho asesorando a multinacionales o un gestor que atiende pymes: el incumplimiento puede costar muy caro. Para evitar sanciones, ya que buscar un buen aliado.

Y cuando decimos caro, hablamos de multas de hasta 20 millones de euros o el 4% de la facturación anual. Un riesgo nada menor, ¿verdad?

Sanciones reales en España: ejemplos que asustan

Las sanciones no son un mito ni una amenaza lejana. En España ya existen múltiples casos que sirven como advertencia:

• LaLiga (2019): multada con 250.000 € por usar su app para espiar posibles emisiones ilegales.
• Vodafone (2021): sanción récord de 8,15 millones € por múltiples infracciones en protección de datos.
• Caixabank (2021): 6 millones € por falta de transparencia en el tratamiento de datos de clientes.
• Un gimnasio local (2022): 10.000 € de multa por cámaras de videovigilancia sin cartel informativo.
• Una comunidad de vecinos (2024): 1.000 € por publicaciones de datos personales.
• Una empresa de grúas (2024): 2.000 € por fotografiar un DNI con teléfono móvil privado.
• Despacho de abogados (2024): 5.000 € por falta de representación legítima en un caso familiar.

Estos ejemplos muestran que nadie se libra, ni grandes corporaciones ni pequeños negocios.

¿Por qué los asesores y gestores deben tomar la delantera?

Muchos empresarios confían plenamente en sus asesores fiscales, laborales o contables. Pero, ¿qué pasa con la protección de datos? Ahí es donde un asesor bien preparado marca la diferencia:

• Genera confianza y seguridad en sus clientes.
• Evita riesgos que podrían poner en jaque la continuidad de la empresa.
• Refuerza su propia reputación profesional.

En otras palabras, ser un asesor que entiende y aplica el RGPD no es un “extra”: es una ventaja competitiva.

El riesgo de improvisar: ¿qué pasa si no eliges bien a tu aliado?

No basta con descargarse una plantilla de internet y pensar que ya está todo hecho. El RGPD es un marco legal complejo que requiere:

• Análisis de riesgos.
• Registro de actividades de tratamiento.
• Cláusulas contractuales adaptadas.
• Protocolos internos y formación al personal.

Si se improvisa, el resultado suele ser: sanciones, pérdida de clientes y daño a la reputación.

Por eso, la clave está en contar con un aliado especializado, con referencias sólidas y experiencia real.

Cómo elegir al mejor aliado en RGPD

Cuando asesores y gestores buscan un experto externo en RGPD, deberían valorar:

1. Experiencia demostrable. ¿Tiene casos de éxito y referencias verificables?
2. Formación actualizada. El RGPD evoluciona con nuevas directrices y sentencias, ¿está al día?
3. Transparencia. Nada de soluciones milagro ni contratos oscuros.
4. Servicio integral. No solo papeles: debe ofrecer auditorías, planes de acción y formación.
5. Soporte cercano. Un aliado debe responder rápido, no solo en emergencias.

Beneficios de cumplir con el RGPD (más allá de evitar multas)

Aunque las sanciones son la gran alarma, cumplir con el RGPD también trae ventajas:

• Mejora la confianza de los clientes.
• Refuerza la imagen de marca como empresa seria y responsable.
• Aporta orden interno en la gestión de datos.
• Abre puertas a colaboraciones con grandes empresas que exigen cumplimiento normativo.

Recursos útiles para asesores y gestores

Agencia Española de Protección de Datos (AEPD)

Reglamento General de Protección de Datos de la UE

¿Vas a esperar a la multa para tus clientes?

El RGPD no es opcional ni un simple trámite burocrático. En España, los ejemplos de sanciones son claros y cada vez más comunes. Como asesor o gestor, tienes la oportunidad de proteger a tus clientes y reforzar tu valor profesional contando con un aliado experto en protección de datos.

Para reforzar los argumentos hacia los clientes, hemos creado un pequeño resumen con las preguntas más frecuentes que nos encontramos durante estos últimos 7 años.

“Descarga gratis nuestra Guía Rápida RGPD para asesores y gestores en España y evita multas innecesarias. Haz clic aquí:

¿Aún quedan dudas? Estamos a su disposición, incluso para una colaboración activa.

Contáctanos: info@dataprotectplus.com 965 038 463 o regístrateaquí

CEO Data Protect Plus

Sylvia Fries

La entrada Cumplir con el RGPD: evita sanciones y encuentra al mejor aliado se publicó primero en DataProtectPlus.

Este artículo está pensado para padres y madres que quieren proteger la privacidad de sus hijos en el entorno escolar, sobre todo ahora que comienza un nuevo curso. Vamos a repasar qué datos suelen recopilarse, cuáles son los riesgos, qué obligaciones tienen las escuelas y, lo más importante, qué puedes hacer tú como padre para asegurarte de que la información de tu hijo está en buenas manos.

¿Qué datos recopilan las academias y colegios de nuestros hijos?

En el proceso de escolarización, los centros educativos llegan a manejar información muy sensible. Algunos ejemplos de datos en academias y escuelas:

• Datos identificativos: nombre, apellidos, fecha de nacimiento, dirección, teléfono.
• Datos académicos: notas, evaluaciones, informes de progreso.
• Datos médicos: alergias, tratamientos, informes de salud.
• Imágenes y vídeos: fotos para anuarios, publicaciones en redes o actividades.
• Datos familiares: nombre de los padres o tutores, situación familiar, contacto de emergencia.

Como ves, no hablamos solo de información básica. Parte de esos datos son considerados especialmente sensibles según la normativa europea (RGPD) y requieren mayor protección.

Riesgos de una mala gestión de los datos escolares

Cuando estos datos no se protegen correctamente, las consecuencias pueden ser serias:

• Exposición en redes sociales sin consentimiento de los padres.
• Riesgo de ciberacoso si fotos o vídeos caen en manos equivocadas.
• Fraude o suplantación de identidad, por ejemplo, con números de DNI o direcciones.
• Uso indebido de datos médicos, que podrían afectar a la privacidad del menor.

En un mundo tan digitalizado, los niños son especialmente vulnerables, por lo que como padres debemos estar atentos y exigir a los centros educativos transparencia y responsabilidad.

¿Qué obligaciones tienen los colegios y academias?

En España, las escuelas deben cumplir con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y con el Reglamento General de Protección de Datos (RGPD). Esto implica que:

• Solo pueden recoger los datos estrictamente necesarios.
• Deben informar de forma clara para qué usarán esa información.
• Necesitan tu consentimiento expreso para publicar imágenes o vídeos de tu hijo.
• Están obligados a garantizar medidas de seguridad (bases de datos protegidas, acceso restringido, etc.).
• Tú, como padre o madre, tienes derecho a acceder, rectificar o suprimir esos datos en cualquier momento.

Un centro que cumple la ley no debería molestarse si preguntas cómo manejan la información de tu hijo.

Consejos prácticos para padres

1. Lee bien los formularios y autorizaciones

Sí, a veces son largos y aburridos, pero es importante saber qué datos entregas y para qué. No firmes nada que no entiendas.

2. Pregunta por las políticas de privacidad del centro

¿Cómo almacenan la información? ¿Quién tiene acceso? ¿Qué pasa con los datos al cambiar de curso o centro? No temas hacer estas preguntas.

3. Controla el uso de fotos y vídeos

Si no quieres que la imagen de tu hijo aparezca en la web del colegio o en redes sociales, puedes negarte. La escuela está obligada a respetarlo.

4. Revisa las plataformas digitales que usan

Cada vez más colegios utilizan aplicaciones para comunicarse con las familias. Pregunta si esas plataformas cumplen con la normativa de protección de datos.

5. Educa a tus hijos sobre privacidad

Explícales de forma sencilla que no deben compartir datos personales en chats, redes sociales o juegos online. La educación digital empieza en casa.

Checklist rápida para este inicio de curso

Antes de entregar datos o firmar autorizaciones, recuerda:

• He leído y entendido todos los formularios.
• Sé cómo el centro gestionará la información de mi hijo.
• He decidido si autorizo o no el uso de fotos y vídeos.
• He preguntado por las plataformas digitales que utilizan.
• He hablado con mi hijo sobre la importancia de proteger su privacidad.

Recursos útiles para padres

Si quieres profundizar más sobre el tema, te recomiendo visitar:

• Agencia Española de Protección de Datos (AEPD) – Guías prácticas para familias y centros educativos.
• INCIBE – Internet Segura for Kids – Recursos de ciberseguridad para padres e hijos.

DESCARGA DE UNA GUÍA RÁPIDA PARA PADRES

Proteger los datos de nuestros hijos no es un capricho, es una necesidad. Igual que les enseñamos a cruzar la calle con cuidado, debemos enseñarles a cuidar su huella digital. Y, como padres, tenemos la responsabilidad de exigir que academias y escuelas sean entornos seguros también en lo digital.

Así que este curso escolar, además de mochilas y cuadernos, añadamos un extra a la lista: la seguridad de la información personal de nuestros hijos.

https:/dataprotectplus.com

CEO Data Protect Plus

Sylvia Fries

La entrada Protección de datos en academias y escuelas: consejos para padres en este nuevo curso se publicó primero en DataProtectPlus.

Pero, ¿te has parado a pensar qué implicaciones tiene eso en materia de protección de datos?

¿Es legal grabar un evento escolar?

Sí, es legal grabar este tipo de actos siempre que sea para uso personal o doméstico. La normativa de protección de datos no se aplica cuando la grabación se hace en el ámbito privado, como parte de actividades familiares o de amistad.

Por ejemplo:

• Grabar el evento para verlo más tarde en casa con la familia.
• Enviar el vídeo por WhatsApp al grupo familiar o a los abuelos.

Pero si estás pensando en subirlo a redes sociales, debes seguir leyendo.

¿Qué deben hacer los centros educativos?

Los colegios tienen un papel importante en este tipo de eventos. Se recomienda que:

• Informen claramente al inicio del acto (por ejemplo, mediante carteles o anuncios por megafonía) de que la grabación solo es válida para uso doméstico.
• Incluyan, en el permiso que solicitan a las familias para que los menores participen en el evento, una cláusula que informe de que otras familias podrán tomar imágenes con fines privados.

Esto ayuda a generar un entorno seguro y legal para todos los asistentes.

¿Y si quiero subir las imágenes a redes sociales?

Aquí es donde debes tener más cuidado. Publicar vídeos o fotos en Instagram, Facebook, TikTok o cualquier otra plataforma ya no se considera un uso doméstico. Estás difundiendo la imagen de otras personas y eso implica cumplir con la normativa de protección de datos.

¿Qué necesitas?

• Si aparecen personas mayores de 14 años, necesitas su consentimiento expreso.
• Si aparecen menores de 14 años, necesitas el consentimiento de sus padres o tutores legales.

Esto aplica incluso si el menor no es el protagonista directo de la imagen, pero aparece de forma reconocible. O sea, si aparecen otros niños de fondo, ya hace falta el consentimiento expreso.

¿Qué te recomendamos desde Data Protect Plus?

Disfruta del evento con tranquilidad y emoción.

Graba sin miedo, pero usa ese material solo en el entorno familiar.

Si tienes dudas sobre si puedes o no compartir un vídeo o una imagen, lo más prudente es pedir permiso.

Y si eres un centro educativo, asegúrate de contar con los avisos legales necesarios para proteger a tu alumnado y a sus familias.

También puedes consultar los canales oficiales de la AEPD sobre este tema.

¿Tienes preguntas? Contáctanos y te asesoramos sin compromiso.

CEO Data Protect Plus

Sylvia Fries

La entrada ¿Vas a grabar la función de fin de curso de tus hijos? Esto es lo que debes saber sobre protección de datos se publicó primero en DataProtectPlus.

¿Qué debes hacer?

Política de Privacidad

1. Transparencia: Debes explicar claramente qué datos personales recopilas, cómo los usas, quién puede verlos y cómo los usuarios pueden ejercer sus derechos.
2. Consentimiento: Necesitas el consentimiento explícito de los usuarios para tratar sus datos personales, salvo en algunos casos específicos permitidos por la ley.
3. Derechos de los Usuarios: Informa a los usuarios sobre sus derechos, como el acceso, rectificación, cancelación y oposición (ARCO), así como el derecho a la portabilidad y el derecho al olvido.

Política de Cookies

1. Información Previa: Antes de instalar cookies en el dispositivo del usuario, debes proporcionar información clara y completa sobre su uso, incluyendo el tipo de cookies, su finalidad, y si son propias o de terceros.
2. Consentimiento: Es obligatorio obtener el consentimiento informado del usuario antes de instalar cookies no esenciales. Esto se suele hacer mediante un banner o pop-up que permita al usuario aceptar o rechazar las cookies.
3. Gestión de Cookies: Debes ofrecer opciones para que los usuarios puedan gestionar sus preferencias de cookies en cualquier momento, generalmente a través de un enlace en la política de cookies o en el pie de página del sitio web.

¿Cómo mostrar estas políticas?

1. Banner o Pop-up Inicial: Al acceder al sitio web, debe aparecer un banner o pop-up informando sobre el uso de cookies y solicitando el consentimiento del usuario. Este debe incluir un enlace a la política de cookies para más detalles.
2. Enlaces en el Pie de Página: Es común incluir enlaces a la política de privacidad y la política de cookies en el pie de página del sitio web, asegurando que estén accesibles desde cualquier página del sitio.
3. Aviso Legal: La política de privacidad y la política de cookies pueden estar integradas en el aviso legal del sitio web, siempre y cuando se mantenga la claridad y accesibilidad de la información.

Recomendaciones para un documento combinado

1. Estructura Clara: Asegúrate de que el documento esté bien estructurado, con secciones claramente marcadas para la política de privacidad y la política de cookies.
2. Accesibilidad: Incluye enlaces directos a este documento desde el pie de página de tu sitio web y desde cualquier banner o pop-up de cookies.
3. Transparencia: Mantén un lenguaje claro y sencillo para que los usuarios puedan entender fácilmente cómo se manejan sus datos y las cookies.

Ejemplo de estructura

Política de Privacidad y Cookies

1. Introducción
   • Breve explicación sobre la importancia de la privacidad y el uso de cookies.
2. Política de Privacidad
   • Datos Recopilados: Qué datos personales se recopilan.
   • Uso de los Datos: Cómo se utilizan los datos.
   • Derechos de los Usuarios: Información sobre los derechos ARCO, portabilidad y derecho al olvido.
   • Contacto: Cómo pueden los usuarios ejercer sus derechos.
3. Política de Cookies
   • Tipos de Cookies: Información sobre las cookies utilizadas (propias y de terceros).
   • Finalidad de las Cookies: Para qué se utilizan las cookies.
   • Consentimiento: Cómo se obtiene y gestiona el consentimiento.
   • Gestión de Cookies: Cómo pueden los usuarios gestionar sus preferencias de cookies.
4. Actualizaciones
   • Información sobre cómo y cuándo se actualizará el documento.

Al combinar ambas políticas en un solo documento, aseguras que los usuarios tengan toda la información necesaria en un solo lugar, lo que facilita el cumplimiento de la normativa y mejora la transparencia.

La entrada Guía completa sobre Políticas de Privacidad y Cookies en España: Cumple con la normativa con Data Protect Plus se publicó primero en DataProtectPlus.

El Uso de Datos Biométricos

El uso de datos biométricos, como las huellas dactilares en gimnasios, está regulado por el Reglamento General de Protección de Datos (RGPD). Este reglamento establece un régimen único para tratar datos biométricos, independientemente de la finalidad a la que se destinen. Lo que deja claro la resolución de la AEPD es que no se puedo obligar a un usuario a usar su huella para ser identificado. Y éste precisamente ha sido la clave del asunto aquí y el objeto de reclamación de una usuaria.

Las Sanciones de la AEPD

La AEPD ha sancionado a gimnasios con multas de hasta 27.000 euros por no ofrecer una alternativa a los clientes que no deseen otorgar su consentimiento explícito para el uso de sus datos biométricos. Estas sanciones subrayan la necesidad de considerar alternativas menos intrusivas para la identificación de los clientes. Pero las multas no son solo por este motivo, también incluyen asuntos de REGISTRO DE TRATAMIENTO de los datos en cuestión. Durante la investigación también se observaron casos de transferencias internacionales de datos no recogidos en políticas.

Conclusiones

Estos casos son un recordatorio importante de la necesidad de cumplir con las regulaciones de protección de datos al implementar sistemas de control de acceso basados en datos biométricos. La AEPD ha demostrado que tomará medidas enérgicas contra las organizaciones que no cumplan con estas regulaciones.

Siempre es mejor consultar a los profesionales del sector para evitar este tipo de sustos, que no se basan simplemente en la firma de unos documentos, sino que van más allá para proteger el negocio de forma efectiva.

Fuente: AEPD
Aquí está la resolución por completo, para revisar cado uno de los puntos multados en este precios caso de un gimnasio en Santander.

Si necesitas más información, contacta con nosotros.

CEO Data Protect Plus

Sylvia Fries

La entrada Protección de Datos y Huellas Dactilares se publicó primero en DataProtectPlus.

Publicar actas de reuniones en zonas de la comunidad

Existen muchos problemas con la divulgación de datos personales en comunidades de vecinos. Aquí algunos ejemplos.

La Agencia Española de Protección de Datos (AEPD) impone una multa de 15.000 euros a una comunidad de propietarios, formada por 215 vecinos por publicar las actas de una reunión sin anonimizar en el ascensor del inmueble.

El documento era especialmente importante, ya que en él se acordaba el inicio de acciones judiciales contra una serie de vecinos de la comunidad por obras ilegales.

La Protección de datos indica que la comunidad ha vulnerado la ley  del RGPD, en el que se rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.

Divulgar videos y fotos por Whatsapp de comunidad

La presidenta de una comunidad de propietarios, sancionada por divulgar por WhatsApp fotos de un vecino:  Una comunidad de propietarios ha sido sancionada por la Agencia Española de Protección de datos (AEPD) después de que la presidenta grabara a uno de los vecinos y divulgara por WhatsApp, imágenes obtenidas del sistema de video vigilancia.

El portal especializado en vivienda idealista recoge las imágenes que iban acompañadas de expresiones despectivas por parte del resto de vecinos. El vecino vigilado fue grabado en la zona común de acceso y salida de la comunidad.

La presidenta de la comunidad accedió al cuarto donde se encontraba el sistema de video vigilancia sin causa justificada.  Se le ha impuesto una sanción de 2.000 euros a la comunidad de vecinos por la negligencia de la presidenta.

Cámaras de vigilancia en comunidad de vecinos

La multa impuesta por la Agencia Española de Protección de Datos a una comunidad por una cámara que invade la privacidad. Sanción de 2.500 euros a la comunidad de vecinos de Santa Marta de los Barros por colocar una cámara de vigilancia en zonas comunes del edificio. La familia asegura que la cámara enfocaba la puerta del garaje, el patio interior y la puerta del salón.

Consideran que se estaba invadiendo su intimidad. La instalación de esta cámara fue aprobada por la comunidad de propietarios en abril de 2007 para vigilar el buen uso de las zonas comunes.

Dos años después, tras la denuncia de los vecinos que se sentían invadidos en su privacidad, la Agencia de Protección de Datos le impuso a la comunidad una multa de 2.500 euros por considerar que vulneraba la Ley de Protección de Datos, que prohíbe que se tomen imágenes de personas sin el consentimiento de los afectado

¿Y cuál era el problema?

En este caso ni siquiera existía un cartel en el que se avisara que se estaba grabando. La ley establece que para captar ese tipo de imágenes hay que contar con autorización administrativa del Ministerio del Interior.

La comunidad multada argumentó en su defensa que la cámara no tenía como fin captar imágenes de la esfera íntima y personal, sino controlar el uso que hacían los denunciantes de la servidumbre de paso en la zona vigilada y evitar el vandalismo. La cámara se instaló debido a que existían problemas entre los vecinos con el acceso al garaje del inmueble.

Sin embargo, la comunidad de propietarios no recurrió a una empresa autorizada por el Ministerio del Interior para hacer este tipo de instalaciones, por lo que no existía habilitación legal para instalarla ni consentimiento de las personas ajenas a la comunidad.

Más información sobre asuntos relacionados en comunidades de vecinos:
– Mirillas electrónicas
– Instalar cámaras en zonas comunes
– Responsabilidad en comunidad de vecinos

CEO Data Protect Plus ®

Sylvia Fries

Más información en www.dataprotectplus.com

La entrada Problemas con datos personales en comunidades de vecinos se publicó primero en DataProtectPlus.

La Agencia Española de Protección de Datos ha multado con 2.000 euros a un restaurante por condicionar la emisión de una factura a que la clienta interesada en su expedición facilitase al establecimiento su número de teléfono.

El caso

La clienta, tras consumir en un restaurante propiedad de la empresa reclamada, solicitó a un camarero que le expidiese una factura a su nombre. Sin embargo, el encargado condicionó tal acción a que la interesada le facilitase su número de teléfono.

Según el establecimiento, el número de teléfono es un apunte que su sistema informático le requería para crear el usurario en su base de datos.

La clienta se negó, entendiendo que tal dato no era necesario para que se emitiese con éxito la factura. Al negarse presentó una hoja de reclamaciones en el establecimiento.

La empresa paga 1.600 euros

Una vez presentada y admitida a trámite la reclamación por la usuaria afectada, la Directora de la AEPD, Mar España Martí, acordó iniciar procedimiento sancionador. Este, por la presunta infracción del art. 5.1 del RGPD, tipificada en el art. 83.5 del mismo cuerpo legal.

Notificado el acuerdo de inicio, la reclamada presentó un escrito de alegaciones en el que, en síntesis, manifestaba que la información personal de los usuarios o clientes solo se utilizaba “para la finalidad con la que fue recogida, es decir, para confeccionar la factura solicitada, pero no con ningún otro objetivo”. Además, desde la mercantil apuntaban que, en el caso que nos ocupa, solo ha existido un perjudicado y que los encargados de emitir las facturas “ya conocen cómo abrir ficha de cliente sin el número de teléfono”. Por último, la empresa se exculpó señalando que “no ha existido un carácter continuado, ya que ha sido un caso aislado y especial”.

Pese a las justificaciones de la empresa reclamada, la AEPD anuncia que la documentación obrante en el expediente “ofrece indicios evidentes” . La empresa “vulneró el art. 5 del RGPD, principios relativos al tratamiento, en relación con el art. 5 de la LOPDGDD, deber de confidencialidad. Materializado, los datos de carácter personal que son requeridos para emitir la factura son excesivos para los fines propuestos”.

Según la reclamada, el dato recabado en nada puede beneficiar a la sociedad ni puede ser útil para la actividad de restauración que desempeña.

En palabras de la Agencia, “el hecho de pedir el dato del número de teléfono de la parte reclamante resulta excesivo al fin para el que estaba destinado”.

Explicación sobre la multa por solicitar el teléfono

Cabe recordar que el art. 6 del Real Decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, detalla qué datos o requisitos deberá contener una factura. Pues bien, entre dichos requisitos figuran el nombre y el número de identificación fiscal, “pero no así el dato del número de teléfono”, alerta la AEPD.

De tal modo, a efectos de decidir sobre la imposición de una multa administrativa y su cuantía, el organismo público encargado de velar por el incumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España ha tenido en cuenta como circunstancia agravante “la evidente vinculación del responsable con el tratamiento de datos”.

A la vista de lo expuesto, la Directora de la AEPD acordó sancionar a la empresa reclamada con una multa de 2.000 euros por una infracción del art. 5.1 c) del RGPD. Eso sí, a inicios del pasado mes de abril, la mercantil procedió a pagar la cifra de 1.600 euros, haciendo uso de la reducción prevista en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, referida a una rebaja del 20 % en el caso de llevar a cabo el pago voluntario de la sanción propuesta.

Fuente: Economist Jurist

Consulte aquí sus derechos.

La entrada 2000€ de multa por solicitar el número de teléfono se publicó primero en DataProtectPlus.

Para que a los hoteleros por cuenta propia no incurran en una infracción de la protección de datos cuando lleven a cabo la obligación del registro documental, la página web especializada en información para profesionales del turismo, Hosteltur, recoge una guía sobre cómo cumplir con este requisito.

Según publican, los establecimientos de hospedaje turístico están obligados a llevar, por un lado, un libro-registro del establecimiento. “Es obligatorio para los establecimientos de hospedaje cumplimentar los partes de entrada de los viajeros y la llevanza de un Libro de Registro, impresos o digitales. El viajero deberá firmar dicho parte de manera inexcusable, pudiendo recogerse la firma en papel o en un soporte digital”. Y, por otro lado, también deberán comunicar a las fuerzas de seguridad del Estado (Policía Nacional, Guardia Civil, etc.) el parte de entrada de viajeros, en el plazo de 24 horas desde que se produce la entrada del huésped y tener el libro-registro a disposición de los miembros de las Fuerzas y Cuerpos de Seguridad.

Los datos que debe pedir un alojamiento turístico para el registro de clientes

Los datos personales en alojamientos turísticos facilitan en el ejercicio de la actividad de hospedaje y que deberán quedar guardados en el registro documental son los siguientes, tal y como recoge Hosteltur,:

1. Datos de la empresa arrendadora

• Nombre o razón social del titular.
• CIF o NIF.
• Municipio.
• Provincia.
• Teléfono fijo y/o móvil.
• Dirección de correo electrónico.
• Web de la empresa.
• Url para identificar el anuncio

2. Datos del establecimiento

• Tipo de establecimiento.
• Denominación.
• Dirección completa.
• Código postal.
• Localidad y provincia.

¿Que datos pedimos a los viajeros?

3. Datos de los viajeros

• Nombre.
• Primer apellido.
• Segundo apellido.
• Sexo.
• Número de documento de identidad.
• Número de soporte del documento.
• Tipo de documento (DNI, pasaporte, TIE).
• Nacionalidad.
• Fecha de nacimiento.
• Lugar de residencia habitual.
• Dirección completa.
• Teléfono fijo.
• Teléfono móvil.
• Correo electrónico.
• Número de viajeros.
• Relación de parentesco entre los viajeros (en el caso de que alguno sea menor de edad).

Y finalmente la transacción, con datos personales

4. Datos de la transacción

a) Datos del contrato.

• Número de referencia.
• Fecha.
• Firmas.

b) Datos de la ejecución del contrato.

• Fecha y hora de entrada.
• Fecha y hora de salida.

c) Datos del inmueble.

• Dirección completa.
• Número de habitaciones.
• Conexión a Internet (si/no).

d) Datos del pago.

• Tipo (efectivo, tarjeta de crédito, plataforma de pago, transferencia…).
• Identificación del medio de pago: tipo de tarjeta y número, IBAN cuenta bancaria, solución de pago por móvil, otros.
• Titular del medio de pago.
• Fecha de caducidad de la tarjeta.
• Fecha del pago.

Fuente: Autónomos y emprendedor

CEO Data Protect Plus

Sylvia Fries

¿Necesitas ayuda para tu negocio? Entra aquí. Te ayudamos a cumplir con la normativa.

La entrada Los datos que debe pedir un alojamiento turístico para el registro de clientes y así evitar sanciones de la AEPD se publicó primero en DataProtectPlus.

Finalmente, su desarrollo, mantenimiento y promoción nos salió a los españoles por 4,2 millones de euros. Dado que la app sólo fue capaz de registrar el 1% de los contagios de COVID que tuvieron lugar en nuestro país (121.390 positivos); de modo que, dividiendo su coste entre el número de casos que registró, cada uno de ellos terminó costando 35 euros.

La app no evitó muchos contagios, pero sí evitará pagar por sus infracciones del RGPD

Pero, aunque hace mes y medio supimos que el contrato de mantenimiento con Indra ya no iba a ser renovado, por lo que la app quedaba abandonada por la Administración, las consecuencias de la app no han abandonado a la Administración…

Y es que, hace unas horas, la AEPD (Agencia Española de Protección de Datos) publicaba (aquí el PDF) un expediente sancionador contra la Secretaría de Estado de Digitalización e Inteligencia Artificial (el organismo gubernamental que firmó el contrato con Indra) por violar hasta 8 artículos del Reglamento General de Protección de Datos a causa Radar COVID.

La AEPD deja claro que, aun siendo consciente “de la situación extraordinaria y de emergencia” que generó la pandemia, y de que “el derecho a la protección de los datos personales, no puede ser un obstáculo en los avances tecnológicos para combatir la pandemia”, estos incumplimientos claros de la normativa siguen siendo motivo de sanción.

Dicha sanción, sin embargo, es meramente de ‘apercibimiento’, sin penalización económica alguna, pero eso no debe servir para valorar la gravedad de la acción del Gobierno: tan sólo es una consecuencia del hecho de que la Ley de Protección de Datos Personales y el RGPD no contemplan multas cuando el incumplimiento lo realiza una administración pública.

Sin evaluación de impacto hasta un mes después de su lanzamiento

Entre otros hechos, la resolución de la AEPD establece que la Secretaría de Estado de Digitalización reconoció, en sus alegaciones, que “para el proyecto piloto no se generó ningún documento de evaluación de impacto de protección de datos”. De hecho, dicha evaluación de impacto no estuvo disponible hasta el 22 de septiembre de 2020, tres meses después de comenzar el proyecto piloto, y más de un mes después del lanzamiento nacional de la aplicación:

“La SEDIA, que actuaba como responsable del tratamiento, debió haber elaborado una EIPD desde el inicio del desarrollo e implantación de la aplicación Radar COVID y, en todo caso, antes de que se produjera el tratamiento de los datos personales”.

Dicha evaluación debería haber sido realizada, a petición de la SEDIA, por el Delegado de Protección de Datos del Ministerio de Economía, al que —según rezan las alegaciones— no se consultó en un primer momento “por no ser un procedimiento de carácter obligatorio”. La AEPD contesta a eso que el artículo 35.2 del RGPD establece que la Secretaría de Estado sí estaba obligada a recabar el asesoramiento del DPD.

Vulnerabilidad conocida, pero no solventada medio año más tarde

La AEPD afirma, además, que “registró varias reclamaciones en las que se denunciaba una vulnerabilidad en el diseño de la aplicación“, que permitía, por ejemplo, asociar una IP con la subida de un test positivo, lo que excedía lo necesario para el funcionamiento de la app y permitía desanonimizar la información, y violaba la última versión de la política de privacidad de la propia Radar COVID.

Esta vulnerabilidad “ya era conocida por el equipo de desarrollo de Radar COVID, ya que figuraba al menos en un documento técnico publicado en abril de 2020“. Pese a ello, la app se lanzó a nivel nacional el 19 de agosto y el problema no se resolvió hasta el 8 de octubre:

“Aún siendo conscientes del riesgo, no integraron las garantías necesarias para garantizar la confidencialidad de los datos y resiliencia de los sistemas”.

Fuente: GENBETA

La entrada La app Radar COVID violó 8 artículos de la normativa de protección de datos: la AEPD acaba de sancionar al Gobierno se publicó primero en DataProtectPlus.

Google ha recibido una histórica multa en España a cargo de la Agencia Española de Protección de Datos. El motivo ha sido no respetar el llamado derecho al olvido, ocasionando una multa de 10 millones de euros y obligando a facilitar el proceso a los ciudadanos que no quieran figurar en sus bases de datos.

Fuente: AdslZone

La entrada Multa récord a Google en España se publicó primero en DataProtectPlus.