Entradas

La AEPD sanciona a Google LLC con 10 millones de euros por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión

La Agencia Española de Protección de Datos (AEPD) ha dictado resolución del procedimiento iniciado contra la compañía Google LLC en la que declara la existencia de dos infracciones muy graves de la normativa de protección de datos e impone una sanción de 10 millones de euros por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos (artículos 6 y 17 del Reglamento General de Protección de Datos).

Google LLC es la responsable del tratamiento analizado y lo lleva a cabo en EEUU. En el caso de la comunicación de datos a terceros, la Agencia ha constatado que Google LLC envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluida su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada. La misión de ese proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido, por lo que la Agencia considera que, dado que se remite toda la información contenida en la solicitud del ciudadano para que se incluya en otra base de datos accesible al público y para que se divulgue a través de una web, “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”.

La resolución recoge que esta comunicación de datos por parte de Google LLC al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo. Establecer esta condición en el ejercicio de un derecho reconocido a los interesados no está amparado por el Reglamento General de Protección de Datos al generarse “un tratamiento adicional de los datos sobre los que versa la solicitud de supresión al comunicarlos a un tercero”. Además, en la política de privacidad de Google LLC, no se hace mención a este tratamiento de datos personales de los usuarios, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen.

La AEPD también recoge en su resolución que, presentada la solicitud de retirada de contenido y atendido el derecho, es decir, acordada la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.

En cuanto al ejercicio de derechos de los ciudadanos, la AEPD detalla en su resolución que “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado ‘Retirada en virtud de la ley de privacidad de la UE’, el único disponible que contiene una referencia expresa a esta normativa”.

NOTICIA COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos

Los alojamientos turísticos deben registrar datos de los documentos de identificación de sus clientes para cumplir las normas españolas sobre registros de viajeros y comunicarlos a las Fuerzas y Cuerpos de Seguridad del Estado en cumplimiento de la normativa de seguridad ciudadana. El artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente: “Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”. Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.

Acceso a la resolución completa: https://www.aepd.es/es/documento/ps-00078-2021.pdf

La AEPD multa a Amazon con dos millones de euros

La Agencia Española de Protección de Datos ha impuesto una multa de dos millones de euros a Amazon Road Transport Spain, filial de Amazon, por exigir el certificado de ausencia de penales como requisito para trabajar como repartidor en la compañía.

La denuncia parte de la demostración por parte de la UGT, de que la entidad exigía a todos los candidatos que se presentaban al puesto de repartidor, de presentar el certificado de penales como condición para formar parte del equipo.

Acceder a la resolución

La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público

La Agencia Española de Protección de Datos (AEPD) participa en la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público, dentro del marco de actuaciones coordinadas del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés).

El objetivo de esta acción preventiva es obtener una visión integral que permita identificar y fomentar las mejores prácticas, detectar posibles deficiencias y realizar recomendaciones en la contratación y el uso de servicios en la nube. La finalidad de esta iniciativa es conocer y, en su caso, contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Las 22 autoridades participantes analizarán más de 80 organismos e instituciones públicas europeas de un amplio abanico de sectores como la salud, las finanzas, la educación, las compras centralizadas o los proveedores de servicios informáticos. La AEPD analizará las prácticas de 12 de ellos correspondientes al sector público español.

NOTICIA COMPLETA EN SU FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Tribunal Supremo confirma la sanción a una empresa que concedió un microcrédito online a una persona que suplantó la identidad de un tercero

La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción.

El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en un fichero de morosos.

La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

Acceder a la sentencia

Fuente original: Consejo General de Poder Judicial

Publicada la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos

El pasado día 5 de noviembre salió publicada en el BOE la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

Enlace a la instrucción: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-18134

 

La Agencia Española de Protección de Datos sanciona a Caixabank con tres millones de euros por realizar perfiles de sus clientes.

La AEPD publicó el pasado día 21 de octubre una resolución contra Caixabank donde la sanciona con tres millones de euros por la elaboración de los perfiles de sus clientes.

Acceso a la resolución: https://www.aepd.es/es/documento/ps-00500-2020.pdf

 

La AEPD multa a un Club Deportivo con 4.000 euros por agregar su número de teléfono a un grupo de WhatsApp sin pedirle su autorización

El pasado día 5 de octubre la AEPD publicó una resolución donde se multa con 4.000 € a un Club Deportivo por agregar un número de teléfono movil a un grupo de Whastapp sin pedir consentimiento al titular.

Enlace directo a la resolución: https://www.aepd.es/es/documento/ps-00260-2021.pdf

Instalación de GPS en vehículos

La AEPD ha publicado la resolución de una reclamación interpuesta contra un Ayuntamiento por la instalación en los vehículos policiales de dispositivos de geolocalización sin informar previamente a los trabajadores.

ACCESO A LA RESOLUCIÓN: https://www.aepd.es/es/documento/ps-00271-2021.pdf

La AEPD sanciona a Orange por no verificar la identidad de un usuario

La empresa Orange ha sido sancionada por la Agencia Española de Protección de Datos por importe de 30.000 €. Según se establece en la resolución, la empresa operadora no verificó la identidad de un usuario que solicitó la portabilidad a la compañía.

Acceso a la resolución: https://www.aepd.es/es/documento/ps-00308-2021.pdf