La AEPD da las claves para proteger los datos durante las vacaciones

La AEPD advierte que durante las vacaciones de verano no se puede bajar la guardia y se debe seguir protegiendo los datos personales.

Por ello, da unos consejos sobre cómo afrontar situaciones de riesgo para la protección de los datos personales: Pensar dos veces antes de compartir una foto o vídeo, evitar decir dónde estás, desconfiar de las WiFis abiertas y ordenadores compartidos y adelantarse al robo o pérdida de tus dispositivos, etc.

Consulta todos los consejos en la AEPD: https://www.aepd.es/es/prensa-y-comunicacion/blog/proteccion-de-datos-en-vacaciones

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 

 

El Tribunal Supremo declara contrario a derecho que una empresa de seguridad privada requiera a los trabajadores una declaración de que carecen de antecedentes penales

La Sala de lo Social del Tribunal Supremo ha declarado que es contrario a derecho que las empresas seguridad privada requieran a los trabajadores de nueva incorporación un certificado o declaración escrita de que carecen de antecedentes penales.

La Sala rechaza el recurso que presentó Securitas Seguridad España S.A. contra la sentencia de la Audiencia Nacional que condenó a la empresa a eliminar la práctica de todos sus centros de trabajos de solicitar a los trabajadores de nueva incorporación un certificado o declaración de que carecen de antecedentes penales en los últimos 5 años en los países en los que se ha residido.

En línea con la sentencia ahora confirmada, el tribunal explica que los antecedentes penales son datos de carácter personal que están sujetos al deber de confidencialidad por lo que su conocimiento no es público y se trata de datos protegidos por el derecho fundamental a la protección de datos que emana tanto del artículo 18.4 de la Constitución como del artículo 8 del Convenio Europeo de Derechos Humanos.

La sentencia, recuerda que el tratamiento de los antecedentes penales para fines distintos a la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales sólo puede realizarse cuando esté amparado por una ley. Y en este caso, añade el tribunal “no estamos ante una situación en la que la empresa tenga una ley que le ampare para requerir de los trabajadores sus antecedentes penales”.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL: CONSEJO GENERAL DEL PODER JUDICIAL

ACCESO A LA SENTENCIA

La AEPD sanciona a Google LLC con 10 millones de euros por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión

La Agencia Española de Protección de Datos (AEPD) ha dictado resolución del procedimiento iniciado contra la compañía Google LLC en la que declara la existencia de dos infracciones muy graves de la normativa de protección de datos e impone una sanción de 10 millones de euros por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos (artículos 6 y 17 del Reglamento General de Protección de Datos).

Google LLC es la responsable del tratamiento analizado y lo lleva a cabo en EEUU. En el caso de la comunicación de datos a terceros, la Agencia ha constatado que Google LLC envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluida su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada. La misión de ese proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido, por lo que la Agencia considera que, dado que se remite toda la información contenida en la solicitud del ciudadano para que se incluya en otra base de datos accesible al público y para que se divulgue a través de una web, “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”.

La resolución recoge que esta comunicación de datos por parte de Google LLC al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo. Establecer esta condición en el ejercicio de un derecho reconocido a los interesados no está amparado por el Reglamento General de Protección de Datos al generarse “un tratamiento adicional de los datos sobre los que versa la solicitud de supresión al comunicarlos a un tercero”. Además, en la política de privacidad de Google LLC, no se hace mención a este tratamiento de datos personales de los usuarios, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen.

La AEPD también recoge en su resolución que, presentada la solicitud de retirada de contenido y atendido el derecho, es decir, acordada la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.

En cuanto al ejercicio de derechos de los ciudadanos, la AEPD detalla en su resolución que “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado ‘Retirada en virtud de la ley de privacidad de la UE’, el único disponible que contiene una referencia expresa a esta normativa”.

NOTICIA COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos

Los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana. El artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente: “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”. Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.

Acceso a la resolución completa: https://www.aepd.es/es/documento/ps-00078-2021.pdf

La AEPD multa a Amazon con dos millones de euros

La Agencia Española de Protección de Datos ha impuesto una multa de dos millones de euros a Amazon Road Transport Spain, filial de Amazon, por exigir el certificado de ausencia de penales como requisito para trabajar como repartidor en la compañía.

La denuncia parte de la demostración por parte de la UGT, de que la entidad exigía a todos los candidatos que se presentaban al puesto de repartidor, de presentar el certificado de penales como condición para formar parte del equipo.

Acceder a la resolución

El Tribunal Constitucional declara que la publicación en el BOE de una sanción administrativa constituye un tratamiento de datos personales constitucionalmente protegido

La Sala Segunda del Tribunal Constitucional, en sentencia cuyo ponente ha sido el magistrado Cándido Conde-Pumpido Tourón, ha desestimado el recurso de amparo por el que se cuestionaba la resolución dictada por la Comisión Nacional del Mercado de Valores (CNMV) que ordenó publicar en el Boletín Oficial del Estado la sanción de 30.000 euros impuesta al consejero y secretario del consejo de administración de una sociedad anónima, por la comisión de una infracción muy grave consistente en haber adquirido por cuenta de un tercero acciones de la sociedad disponiendo de información privilegiada sobre la misma. Dicha publicación recogía la cuantía de la sanción y la identidad del sancionado.

En un plano formal, la Sala -a partir del análisis de la normativa nacional y europea sobre el régimen jurídico de la protección de datos personales, sobre la normativa dirigida a supervisar y prevenir la manipulación de los mercados de servicios financieros y las operaciones con información privilegiada, y sobre el régimen jurídico de publicación en el BOE concluye que la decisión de la Comisión Nacional del Mercado de Valores cuestionada se adoptó con pleno respeto a las garantías que rigen el ejercicio de la potestad administrativa sancionadora (arts. 24.2 y 25 de la Constitución).

Fuente Original: Tribunal Constitucional

Enlace a la nota de prensa completa: https://www.tribunalconstitucional.es/NotasDePrensaDocumentos/NP_2022_011/NOTA%20INFORMATIVA%20N%C2%BA%2011-2022.pdf

La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público

La Agencia Española de Protección de Datos (AEPD) participa en la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés).

El objetivo de esta acción preventiva es obtener una visión integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube. La finalidad de esta iniciativa es conocer y, en su caso, contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Las 22 autoridades participantes analizarán más de 80 organismos e instituciones públicas europeas de un amplio abanico de sectores como la salud, las finanzas, la educación, las compras centralizadas o los proveedores de servicios informáticos. La AEPD analizará las prácticas de 12 de ellos correspondientes al sector público español.

NOTICIA COMPLETA EN SU FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Tribunal Supremo confirma la sanción a una empresa que concedió un microcrédito online a una persona que suplantó la identidad de un tercero

La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción.

El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en un fichero de morosos.

La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

Acceder a la sentencia

Fuente original: Consejo General de Poder Judicial

Publicada la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos

El pasado día 5 de noviembre salió publicada en el BOE la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

Enlace a la instrucción: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-18134

 

La Agencia Española de Protección de Datos sanciona a Caixabank con tres millones de euros por realizar perfiles de sus clientes.

La AEPD publicó el pasado día 21 de octubre una resolución contra Caixabank donde la sanciona con tres millones de euros por la elaboración de los perfiles de sus clientes.

Acceso a la resolución: https://www.aepd.es/es/documento/ps-00500-2020.pdf