La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento sancionador contra la Dirección General de Salud Pública, dependiente del Ministerio de Sanidad, y otro al Ministerio de Asuntos Económicos y Transformación Digital, dependiente del Ministerio de Economía, por presunta vulneración del Reglamento General de Protección de Datos (RGPD) en la aplicación Radar COVID, lanzada en septiembre del año pasado para combatir el coronavirus. Lo hace tras analizar dos reclamaciones interpuestas por Reclamadatos y Rights International.

Estas reclamaciones denunciaban que Radar Covid no cumplía con las directrices marcadas por el RGPD. La primera de ellas fue presentada en septiembre de 2020 por Pau Enseñat, CEO y fundador de la plataforma Reclamadatos, organización dedicada a descubrir y reclamar los datos de personas.

Enseñat pedía en su escrito que la AEPD analizase si Radar Covid “cumple con los principios de licitud, lealtad, transparencia y responsabilidad proactiva (Art.5 RGPD), ya que la SGAD (Secretaría General De Administración Digital) no ha publicado la Evaluación de Impacto sobre la Protección de Datos (EIPD), en contra de lo indicado expresamente por el Comité Europeo de Protección de Datos”.

La respuesta de la AEPD a las reclamaciones señala que “a tenor de la información preliminar de la que se dispone, se aprecian indicios racionales de una posible vulneración de la normativa en materia de protección de datos, sin perjuicio de lo que se determine en el curso de la tramitación. Por ello, de conformidad con el artículo 65 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales”,

Protección de Datos y la reclamación de Rights International

La otra reclamación hecha pública, por la cual se ha iniciado el procedimiento sancionador contra Radar COVID, corrió a cargo de la asociación Rights International Spain, que estuvo meses solicitando la Evaluación de Impacto de la Protección de Datos de la aplicación al Gobierno. Se trata de un informe estándar que se hace antes del lanzamiento de una aplicación o servicio. En este análisis deben constar los riesgos en el ámbito de la seguridad y la privacidad que existen para los usuarios, poniendo el foco en la forma que se ha construido y desarrollado el servicio o aplicación.

La reclamación de Rights International Spain pedía, teniendo en cuenta que se había abierto una investigación a petición de Reclamadatos, que se incluyera en la misma “el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de covid-19 adoptadas el 21 de abril de 2020 y, en particular, los aspectos referentes a transparencia tanto del código como de las diferentes Evaluaciones de Impacto”.

El Ministerio de Economía acabó publicando finalmente en enero un documento con la información solicitada, pero desde Rights International alertaron de que la fecha del archivo no se correspondía con la prueba previa que, como decimos, ha de realizarse.

Por este motivo la asociación acudió al Consejo de Transparencia, donde puso una reclamación. Transparencia se pronunció poco después instando al Ministerio de Economía a que facilitase la primera prueba de impacto que debería haberse realizado y publicado antes del lanzamiento de Radar COVID, cosa que la cartera dirigida por Nadia Calviño finalmente realizó hace unos días.

Fuente: VOZPOPULI

La entrada La AEPD abre procedimiento sancionador a Sanidad y Economía por la app Radar Covid se publicó primero en DataProtectPlus.

Sabíamos que esto podía ocurrir, desde la implantación de la nueva normativa, ante los instrumentos de protección con los que cuentan las personas físicas ante los abusos en materia de protección de datos.

Uno de nuestros clientes, ha sido objeto de una reclamación de este tipo.

Un individuo, acude a la Oficina de información al consumidor y presenta un escrito con una reclamación solicitando la mediación civil del organismo dependiente de un Ayuntamiento. Este señor, que no ha tenido ninguna relación comercial, ni aparecen sus datos personales en los archivos de la empresa, solicita la supresión de estos mediante el supuesto envío de un email para comunicarlo.

Como no ha recibido respuesta alguna, utiliza el artículo 82.1 del Reglamento General de Protección de Datos (UE 2016/679), “1.Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.”

Con este artículo y con el argumento del colapso de los juzgados, emplaza a la empresa a llegar a un acuerdo “amistoso” que ponga fin al litigio. Además, recuerda que si la empresa no tiene un delegado de protección de datos, se enfrenta a una sanción de 10 millones de euros.

La reacción de cualquier profesional que tiene una empresa y realiza correctamente el tratamiento de sus datos es la de un temor manifiesto, pese a todo.

En estas situaciones, la empresa o el autónomo, deben saber que para reclamarles una indemnización, según la Comisión Europea, el denunciante debe haber sufrido daños materiales (como pérdidas económicas) o daños inmateriales (como ansiedad o pérdida de reputación).

Por ejemplo, una persona hace un pedido en un sitio web. El sitio sufre un ciberataque, porque no cuenta con la seguridad adecuada. La información sobre su tarjeta de crédito se ha transmitido a otro sitio web y se ha utilizado para comprar artículos que no pidió. Puede reclamar una indemnización al sitio web por los daños económicos, puesto que han violado el Reglamento de protección de datos por no haber proporcionado la seguridad adecuada al tratar los datos.

Por tanto, esta reclamación recibida debe acreditar fehacientemente el daño sufrido por el reclamante, algo que parece muy poco probable que pueda acreditarlo.

Es muy importante tener los datos bien tratados en tu empresa o negocio, para evitar sorpresas de aquellos que juegan con sus conocimientos para buscar un beneficio económico.

Desde Data Protect Plus, realizamos el servicio continuo y proactivo que requiere la normativa para asegurar que nuestros clientes cumplan en todo momento y no tengan ninguna sorpresa.

La entrada Profesionales de la reclamación atacan a las empresas por la protección de datos se publicó primero en DataProtectPlus.