Blog

Publicaciones recientes

EVALUACIÓN DE IMPACTO: VÍDEO DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

Si dudas, ¡hazla! En la línea de nuestra última comunicación sobre el tema, el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) ha publicado un vídeo para concienciar sobre la necesidad de llevar a cabo Evaluaciones de Impacto de Protección de Datos (EIPD, o DPIAs por sus siglas en inglés). Además, también ha publicado conjuntamente una infografía a modo de FAQs sobre las EIPD (DPIAs, por sus siglas en inglés).

SE EXTIENDE EL USO DE SISTEMAS DE RECONOCIMIENTO FACIAL

Durante la crisis del COVID-19 hemos observado la proliferación de sistemas de tratamiento de datos personales, la mayoría de base tecnológica, que se anuncian como herramientas imprescindibles de investigación, innovación y progreso en relación, o no, con la gestión de la pandemia y que son susceptibles de limitar gravemente los derechos y las libertades de los ciudadanos. La semana pasada, la empresa de distribución Mercadona anunciaba la instalación de un sistema de reconocimiento facial en unas 40 tiendas de Zaragoza, Mallorca y Valencia, con la finalidad de detectar a los condenados con sentencia firme y medida cautelar de orden de alejamiento del establecimiento. Además, también se incluirán los casos de violencia de género, donde el sistema identificaría a aquellas personas que cuenten con una orden expresa de alejamiento de empleadas de Mercadona. El sistema funciona tratando las imágenes en 0,3 segundos, alertando al personal de vigilancia de la tienda, que realizará comprobaciones adicionales, y en su caso, alertará a las fuerzas y cuerpos de seguridad. Mercadona ya ha colocado carteles avisando de este sistema a la entrada de sus tiendas y lo justifica como un “refuerzo de la seguridad”. También la Entidad Municipal de Transportes (EMT) de Madrid ha iniciado una prueba piloto para el uso de la tecnología de reconocimiento facial como medio de pago de los billetes en…

DATOS BIOMÉTRICOS: DESPEJANDO DUDAS

Ya que son muchos los malentendidos que se presentan en el uso de datos biométricos, la Agencia Española de Protección de Datos acaba de publicar una nota técnica al respecto, con un total de 14 errores comunes. Desde que se implantó la obligación de llevar a cabo el control de jornada laboral, se ha extendido el uso de sistemas de control de acceso a las instalaciones mediante huella dactilar o reconocimiento facial, incluso de los ojos. Actualmente además, se están empezando a extender las propuestas del uso de cámaras termográficas que, además de tomar la temperatura corporal, son capaces de realizar reconocimiento facial. Esto supone, inequívocamente, el tratamiento de datos biométricos; y, por ello, es obligatoria la realización previa al tratamiento de la Evaluación de Impacto y, en caso de no disponer del mismo, del necesario Análisis de Riesgos. Redactamos este artículo con la intención de resumir el contenido de la nota técnica (y otros aspectos relacionados) de la forma más sencilla y transparente posible. 1. Tanto los sistemas de huella dactilar como los de medición facial siempre suponen el tratamiento de datos biométricos. Esto es así, según el Instituto Nacional de Ciberseguridad de España (dependiente del Ministerio de Economía y Empresa),  independientemente de que se utilice una muestra total o únicamente se emplee el cálculo de la distancia entre…

INFORME DE LA AEPD: INCIDENTES DE SEGURIDAD

Según definición del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y de la Agencia Española de Protección de Datos (AEPD),  una brecha de seguridad es un incidente que afecta a datos personales, tratados digitalmente o en formato papel, ocasionando su destrucción, pérdida, alteración, comunicación a terceros y/o acceso no autorizado. Este incidente puede tener un origen interno o externo y ser de carácter accidental o intencionado. La AEPD publicó, este jueves25 de junio, el informe del mes de mayo sobre las brechas de seguridad notificadas a ésta. Incluye datos de evolución, tipología, contexto, categoría de los datos y severidad de las consecuencias, entre otros. De las 90 notificaciones recibidas (2,9 de promedio diario): — 87 han utilizado como canal de comunicación el formulario de “notificación de brechas de seguridad” publicado en la Sede Electrónica de la AEPD.  — 48 notificaciones indicaron que no informarían a los afectados o tenían pendiente decidir si lo harían. — Algo más de la mitad de las notificaciones (52), indicaron que la severidad de las consecuencias para los afectados era baja o muy baja.  También cabe señalar que más de la mitad de las notificaciones del mes de abril afectaron a más de 10.000 personas y que más de la mitad de las del mes de mayo afectaron a su vez a más de 150.000 personas.  No…

COVID-19 Y LA AEPD: EXPEDIENTES SANCIONADORES

¿Qué relación existe entre el control epidemiológico del COVID-19 y la protección de datos personales? Con la finalidad de luchar contra el COVID-19, han surgido multitud de iniciativas que implican el tratamiento de datos personales y, en muchos casos, incluso tratamiento de datos de salud. Estos últimos están considerados categorías especiales de datos, y su tratamiento está prohibido de forma general, a no ser que exista una excepción que legitime su tratamiento. Es por ello que, ya a principios de junio, la Agencia Española de Protección de Datos (AEPD) tenía sobre la mesa un total de 86 reclamaciones de ciudadanos por este tema. Además, en esta línea, también están en curso 14 actuaciones de investigación. Entre las reclamaciones más destacables, encontramos las relativas a la solicitud de información de salud a las personas, tanto en el ámbito laboral como en el privado o particular. Tal vez el más llamativo sea el de la toma de temperatura. En el ámbito laboral, el tratamiento de datos relacionados con la toma de temperatura no debería legitimarse mediante el consentimiento de los empleados y, con anterioridad a su implementación como medida preventiva, deberá valorarse en cada caso la necesidad, idoneidad y proporcionalidad de la misma en relación al fin que persigue realizando la Evaluación de Impacto previa. En cualquier caso, los tratamientos de datos…

PRIMERAS SANCIONES RELATIVAS A LA DESIGNACIÓN DEL DPD

La necesidad y obligatoriedad de designar a un Delegado de Protección de Datos (DPD) ha cobrado importancia en estos días. El motivo es la sanción de 25.000€ que se ha impuesto, por parte de la Agencia Española de Protección de Datos (AEPD), a la empresa de mensajería Glovo. La AEPD considera que la empresa ha cometido una infracción grave al no haber nombrado a su DPD. En este sentido, destacamos el hecho de que Glovo no había nombrado DPD al considerar que no estaba obligada a ello de acuerdo con el art. 37 del RGPD y el art. 34 de la LOPDGDD. Por su parte, la AEPD considera que, si bien Glovo no se encuentra dentro del listado concreto de actividades económicas del art. 34 LOPDGDD, ciertas actividades de tratamiento de Glovosí que se enmarcan dentro del tratamiento de datos personales a gran escala (art. 37.1.b RGPD). Glovo por su parte, si bien consideraba que no realizaba tratamientos de datos a gran escala, aducía que, a pesar de no haber nombrado a un DPD, la empresa disponía de un Comité de Protección de Datos que cumplía las funciones del DPD establecidas en el art. 39 RGPD. La AEPD también se ha pronunciado a este respecto, ante la falta de nombramiento de un DPD por parte de un ayuntamiento. En el…


Reciba nuestras publicaciones en su e-mail