Delegado de Protección de Datos externo para empresas

El Delegado de Protección de Datos (DPO) es una figura clave dentro del cumplimiento del Reglamento General de Protección de Datos.

Muchas empresas optan por externalizar este servicio mediante consultoras especializadas como Galymol consultoría de protección de datos.

Qué es un Delegado de Protección de Datos

El DPO es el responsable de supervisar el cumplimiento de la normativa de protección de datos dentro de una organización.

Cuándo es obligatorio

Administraciones públicas

Todas las administraciones deben contar con un DPO.

Empresas que tratan datos sensibles

Organizaciones que gestionan datos de salud o datos biométricos.

Empresas que realizan monitorización sistemática

Empresas que realizan seguimiento constante de usuarios o clientes.

Ventajas de contratar un DPO externo

Reducción de costes

No es necesario contratar un especialista interno.

Experiencia multidisciplinar

Un consultor externo suele tener experiencia en múltiples sectores.

Independencia

El DPO externo puede supervisar el cumplimiento con mayor objetividad.

Si tu empresa necesita un delegado de protección de datos externo puedes consultar con Galymol consultoría de protección de datos.

La entrada Delegado de Protección de Datos externo para empresas se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Adaptación RGPD para autónomos en España

Muchos profesionales autónomos creen que la normativa de protección de datos solo afecta a grandes empresas, pero cualquier profesional que trate datos personales debe cumplir con el Reglamento General de Protección de Datos.

En Galymol consultoría de protección de datos asesoramos a autónomos y pequeñas empresas para cumplir correctamente con la normativa.

El RGPD también afecta a los autónomos

Si un profesional gestiona datos de clientes, proveedores o empleados, está obligado a cumplir con la normativa de protección de datos.

Obligaciones principales

Registro de actividades de tratamiento

Documento donde se describen los tratamientos de datos personales que realiza el profesional.

Política de privacidad

Los clientes deben ser informados sobre cómo se utilizan sus datos personales.

Contratos con encargados de tratamiento

Si se utilizan proveedores externos que acceden a datos personales, debe firmarse un contrato específico.

Sanciones por incumplimiento

El incumplimiento del RGPD puede implicar sanciones económicas importantes impuestas por la autoridad de control.

Cómo adaptarse correctamente

Análisis de los datos tratados

Identificar qué datos personales se recopilan y para qué finalidad.

Elaboración de documentación

Crear los documentos obligatorios exigidos por la normativa.

Implantación de medidas de seguridad

Adoptar medidas técnicas y organizativas que garanticen la protección de los datos.

Para implantar correctamente estas medidas puedes consultar con Galymol consultoría de protección de datos.

La entrada Adaptación RGPD para autónomos en España se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Canal de denuncias obligatorio para empresas en España

La implantación de un canal de denuncias es una obligación legal para muchas empresas en España. Esta medida forma parte de los sistemas de cumplimiento normativo que buscan detectar irregularidades dentro de las organizaciones y proteger a las personas que informan sobre posibles infracciones.

En Galymol consultoría de protección de datos ayudamos a empresas a implantar sistemas de información internos adaptados a la normativa vigente.

Qué es un canal de denuncias

Un canal de denuncias es un mecanismo que permite a empleados, proveedores o terceros comunicar irregularidades o incumplimientos dentro de una empresa de forma confidencial o anónima.

Su regulación en España proviene de la Ley 2/2023 de protección del informante, que establece la obligación de implantar sistemas internos de información en determinadas organizaciones.

Qué empresas están obligadas a tener canal de denuncias

Empresas con más de 50 trabajadores

Todas las empresas con una plantilla igual o superior a 50 empleados deben implantar un canal interno de denuncias.

Empresas de determinados sectores

Algunas organizaciones están obligadas independientemente del número de trabajadores, como:

• entidades financieras
• empresas que gestionan fondos públicos
• organizaciones sujetas a normativa de prevención de blanqueo de capitales

Requisitos que debe cumplir el canal de denuncias

Confidencialidad

La identidad del informante debe protegerse en todo momento.

Posibilidad de denuncia anónima

El sistema debe permitir comunicaciones anónimas para garantizar la protección del denunciante.

Gestión independiente

Debe existir un responsable del sistema que gestione las comunicaciones recibidas.

Sanciones por no implantar el canal

No cumplir con esta obligación puede implicar sanciones administrativas importantes que pueden superar el millón de euros dependiendo de la gravedad del incumplimiento.

Implantación del canal de denuncias

La implantación de un canal de denuncias requiere diseñar procedimientos internos, garantizar la confidencialidad y cumplir con requisitos de protección de datos.

Si necesitas implantar un sistema conforme a la normativa, puedes consultar con Galymol consultoría de protección de datos, especialistas en cumplimiento normativo y protección de datos.

Preguntas frecuentes

¿Puede una empresa pequeña tener canal de denuncias?

Sí, aunque no esté obligada legalmente, puede implantarlo como medida de compliance.

¿El canal de denuncias debe permitir anonimato?

La normativa recomienda permitir comunicaciones anónimas para proteger al informante.

La entrada Canal de denuncias obligatorio para empresas se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Precisamente para evitar estos errores, la AEPD acaba de actualizar su guía La protección de datos en las relaciones laborales, en la que detalla qué pueden y qué no pueden hacer los negocios cuando tratan datos personales de sus trabajadores. El documento está dirigido a empresas de todos los tamaños, pero resulta especialmente relevante para autónomos y pequeños negocios, que suelen implantar estos sistemas sin asesoramiento específico.

El organismo aclara cuestiones que generan muchas dudas en el día a día: cuándo es legal instalar cámaras, hasta dónde puede llegar la geolocalización, qué información debe darse a los trabajadores o qué riesgos existen al usar aplicaciones y herramientas digitales de control. La vigilancia empresarial es legítima, pero cualquier exceso puede acabar en una infracción de la normativa de protección de datos.

1. Controlar a los trabajadores es legal, pero no todo vale
2. Errores habituales con la videovigilancia que pueden costar caro al autónomo
3. La geolocalización y el fichaje digital sólo se pueden usar cuando sean realmente necesarios
4. Revisar correos y dispositivos de empresa también tiene límites
5. Apps, ‘software’ y decisiones automatizadas: un riesgo poco conocido para los autónomos

1. Controlar a los trabajadores es legal, pero no todo vale

Muchos autónomos parten de la idea equivocada de que, por ser el empleador, pueden controlar cualquier actividad de sus empleados siempre que estén trabajando. La Agencia Española de Protección de Datos deja claro que no es así. El control empresarial está permitido, pero siempre que sea necesario, proporcional y justificado, y que respete la normativa de protección de datos.

La guía recuerda que el hecho de tener trabajadores no da carta blanca para tratar cualquier dato personal ni para implantar cualquier sistema de control. Cámaras, fichajes digitales, sistemas de geolocalización o herramientas informáticas sólo son legales si cumplen una finalidad concreta relacionada con el trabajo y si no existen alternativas menos intrusivas.

Cada vez más negocios están siendo sancionados por vulnerar la intimidad o la privacidad de sus empleados.

Según el experto consultado, este aumento de resoluciones judiciales demuestra que los tribunales “están aplicando criterios cada vez más estrictos en la protección de los derechos fundamentales de los trabajadores”.

Cuando estas fronteras se sobrepasan, el riesgo no es teórico. Un uso excesivo o mal planteado de los sistemas de vigilancia puede considerarse una infracción del RGPD y de la Ley de Protección de Datos, con infracciones sancionables que pueden afectar seriamente a la viabilidad de una pequeña empresa. Por eso, la AEPD insiste en que antes de implantar cualquier medida de control, el autónomo debe analizar si realmente es necesaria y cómo aplicarla correctamente.

2. Errores habituales con la videovigilancia que pueden costar caro al autónomo

La videovigilancia es una herramienta habitual en comercios, bares y pequeños negocios, pero la AEPD recuerda que no puede usarse como una herramienta de supervisión generalizada de los trabajadores. Las cámaras sólo están justificadas por motivos concretos, como la seguridad de personas, bienes o instalaciones, y no para observar de forma continua el comportamiento laboral.

Uno de los errores más frecuentes es instalar cámaras en zonas donde está prohibido, como vestuarios, baños o espacios de descanso. También es habitual grabar sin informar correctamente a los empleados o utilizar las imágenes para fines distintos a los declarados, como evaluar el rendimiento laboral o sancionar conductas de forma indiscriminada.

La guía insiste en que el autónomo debe limitar la captación a lo estrictamente necesario y respetar el principio de proporcionalidad. Un uso excesivo o una instalación incorrecta puede constituir una infracción de la normativa de protección de datos y dar lugar a sanciones económicas, incluso en pequeños negocios.

3. La geolocalización y el fichaje digital sólo se pueden usar cuando sean realmente necesarios

El uso de sistemas de geolocalización y de fichaje digital se ha extendido entre autónomos con repartidores, comerciales o trabajadores que desarrollan su actividad fuera del centro de trabajo. Sin embargo, la AEPD recuerda que estas herramientas no pueden utilizarse para un control permanente o indiscriminado, sino únicamente cuando sean necesarias para la organización del trabajo o el cumplimiento de obligaciones legales.

Uno de los fallos más comunes es mantener activa la geolocalización fuera del horario laboral o recopilar más datos de los necesarios. También es frecuente implantar aplicaciones de seguimiento sin informar de forma clara a los empleados sobre qué datos se recogen, con qué finalidad y durante cuánto tiempo se conservan, lo que vulnera la normativa de protección de datos.

El documento advierte de que estos sistemas deben respetar el principio de proporcionalidad y limitarse al tiempo y al ámbito estrictamente laboral. Un aplicación continuada o mal justificada de la geolocalización o del fichaje digital puede considerarse una infracción y derivar en sanciones económicas.

Tal y como señaló un abogado laboralista en el caso de usar una aplicación externa que permita geolocalizar al empleado será necesario proporcionarle un teléfono de empresa, y “esa aplicación tiene que quedar desconectada en el momento que se acaba tu jornada. La empresa no tiene que entrar en tu privacidad”.

4. Revisar correos y dispositivos de empresa también tiene límites

Muchos autónomos facilitan a sus trabajadores un correo electrónico, un móvil o un ordenador para desarrollar su actividad. Sin embargo, la AEPD recuerda que el hecho de que estos medios sean de empresa no autoriza a revisarlos sin límites. El acceso sólo es legítimo cuando existe una finalidad concreta relacionada con el trabajo y siempre respetando la privacidad del empleado.

Uno de los errores más habituales es acceder al correo electrónico o a los mensajes sin haber informado previamente de que puede producirse ese nivel de supervisión. También genera problemas utilizar esta información para fines distintos a los previstos o revisar contenidos personales cuando no existe una justificación clara, algo especialmente delicado en el caso de aplicaciones de mensajería o navegación por internet.

La AEPD recuerda que el autónomo debe establecer criterios claros de uso de los dispositivos y limitar cualquier control a lo estrictamente necesario. Acceder de forma indiscriminada a correos, mensajes o archivos puede vulnerar la normativa de protección de datos y acabar convirtiéndose en una infracción sancionable.

5.Apps, ‘software’ y decisiones automatizadas: un riesgo poco conocido para los autónomos

Cada vez más negocios utilizan aplicaciones o programas para medir la productividad, asignar tareas o evaluar el rendimiento de los trabajadores. La AEPD advierte de que estas herramientas no están exentas de riesgos, especialmente cuando las decisiones que afectan al empleo se basan únicamente en procesos automatizados o en algoritmos.

Uno de los principales errores es no informar al trabajador de que se están utilizando este tipo de sistemas o no permitir que exista una revisión humana de las decisiones. La guía recuerda que los empleados tienen derecho a conocer cómo se toman estas decisiones y a que no se les aplique una evaluación automática sin posibilidad de intervención o explicación.

El uso de software sin medida, sin transparencia o sin límites claros puede vulnerar la normativa de protección de datos. En estos casos, el problema no es la tecnología en sí, sino cómo se utiliza. Un sistema mal implantado puede acabar derivando en consecuencias económicas, también para autónomos y pequeños negocios que recurren a estas herramientas sin ser conscientes de sus obligaciones legales.

GALYMOL ASESORES DE EMPRESAS, S.L.

Enero 2026

La entrada Nueva guía actualizada de la AEPD para que los autónomos cumplan con la protección de datos en 2026 se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Algo que ha hecho que cada vez sean más los usuarios que deciden apuntar la contraseña en un cuaderno o anotación en el móvil u ordenador. Y utilizar la misma contraseña para «casi» todo.

Y es que la agencia ha advertido que, sin importar lo complicada que sea la contraseña, «con el paso del tiempo pueden verse comprometidas».

«4 estaciones, 4 contraseñas», destaca la AEPD en un comunicado que ha realizado recientemente a través de las redes sociales. Una propuesta con la que la agencia propone a los usuarios cambiar su palabra secreta este verano.

Especialmente, debido a que «durante el verano, las personas tienden a conectarse desde las redes Wi-Fi públicas y dispositivos compartidos, aumentando el riesgo de ciberataques»

«Cambiar las contraseñas cada cierto tiempo es necesario para proteger nuestra privacidad. Sobre todo si utilizamos contraseñas sencillas o de pocos caracteres. Un cibercriminal puede descifrar una contraseña de pocos caracteres en unos segundos y cambiarlas a menudo dificulta estos ataques»

«Hay que evitar es utilizar matrículas de coche, nombres de familiares o fechas de cumpleaños, fáciles de adivinar a través de técnicas de ingeniería social», afirma el abogado de ciberseguridad.

La AEPD ha dado «claves» para conseguir una contraseña lo más segura posible. Así pues, en la infografía publicada por la Agencia, encontramos consejos como el «elegir un símbolo especial» o utilizar las iniciales de «una frase que no se te olvide nunca»

La AEPD, junto con el Instituto Nacional de Ciberseguridad y la Oficina de Seguridad Internauta, recomiendan cambiar la contraseña cada 3 o 4 meses

Así pues, «para un usuario común», una contraseña vulnerada puede suponer «el robo de identidad, pérdida financiera, violación de la privacidad y acceso no autorizado a información personal».

Julio 2024
GALYMOL ASESORES DE EMPRESAS, S.L.

Fuente:

https://confilegal.com/20240629-mascota-password-qwerty-contrasenas-vulnerables-hacker/

La entrada Tu mascota, QWERTY, o «password»: las contraseñas más comunes que no protegen tus datos frente a hackeos se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Historia de una vulneración de protección de datos

En un preocupante incidente que destaca la importancia de la protección de datos en el ámbito de la salud, una farmacia se enfrenta a una multa de 6.000 euros por abandonar documentación rota a mano en un contenedor de basura.

La denuncia, presentada por un ciudadano preocupado, reveló la presencia de diversos documentos en un contenedor público, incluyendo facturas simplificadas, tickets de venta con calendarios de medicación, hojas y recetas médicas, informes de prescripción de medicamentos, pedidos y más.

Lo alarmante de la situación radica en que, a pesar de contar con una máquina trituradora de papel y tener una política de seguridad que establece claramente la destrucción adecuada de documentos con datos personales, la farmacia no cumplió con estas medidas en este caso específico.

Los documentos hallados estaban rotos a mano, pero no destruidos de acuerdo con las normativas de privacidad y seguridad.

La política interna de la farmacia establece claramente que cualquier documento físico o soporte digital que contenga datos personales debe ser destruido con la destructora de documentos o retirado por una empresa homologada de destrucción de documentos.

Sin embargo, este protocolo no se siguió en el caso denunciado.

Este incidente pone de manifiesto una clara violación de las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, especialmente aquellas destinadas a prevenir el acceso no autorizado.

«La seguridad de los datos debe ser una prioridad indiscutible, y las empresas deben estar equipadas con los conocimientos y procedimientos adecuados para cumplir con las regulaciones vigentes y proteger la información confidencial de manera efectiva»

El abandono repetido de documentación en un contenedor de basura accesible por cualquier tercero representa una vulneración flagrante de la normativa de protección de datos.

En concreto, la farmacia ha infringido el artículo 32 del Reglamento General de Protección de Datos (RGPD), que establece el principio de seguridad, así como el artículo 5.1.f) del RGPD, que se refiere al principio de confidencialidad.

Este último principio tiene como objetivo prevenir filtraciones no autorizadas de datos, protegiendo así la privacidad de los individuos afectados.

Este caso subraya la importancia crítica de implementar y seguir rigurosamente las medidas de seguridad y privacidad de datos en todas las organizaciones, especialmente en sectores sensibles como el de la salud.

Además, destaca la necesidad de contar con asesoramiento legal especializado en protección de datos para evitar consecuencias graves y proteger la confianza de los clientes y pacientes.

La seguridad de los datos debe ser una prioridad indiscutible, y las empresas deben estar equipadas con los conocimientos y procedimientos adecuados para cumplir con las regulaciones vigentes y proteger la información confidencial de manera efectiva.

Enero 2024
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada Documentos rotos a mano no significa destruidos se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía en la que informa a Administraciones y empresas sobre una serie de cautelas que deben adoptar en la utilización de datos biométricos en los controles de acceso a sus instalaciones y de registro horario laboral.

La guía ‘Tratamientos de control de presencia mediante sistemas biométricos’ fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que deben tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD), entre otras normativas.

La agencia que preside Mar España considera el empleo de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de “alto riesgo” que incluye categorías especiales de datos, y por ello, el reglamento supedita su uso a que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.

En el caso de registro de jornada y control de acceso con fines laborales, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de éste, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.

En el caso del control de accesos fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levante la prohibición.

La guía desgrana las restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.

El manual precisa que en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento será obligatoria la realización de una ‘Evaluación de Impacto para la Protección de Datos’ en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

La agencia incluye en la guía un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del reglamento, entre las que figuran las de informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo, e implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.

También hay que utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada, y suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.

Noviembre 2023
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada Protección de Datos informa a Administraciones y empresas sobre el uso de datos biométricos en controles de acceso se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

La Agencia Española de Protección de Datos (AEPD) ya ha avisado de que está totalmente en contra de que se pida el DNI con cualquier excusa y por defecto, y que puede imponer multas de hasta 20.000 euros si se continúa con esta práctica.

Un ejemplo es la reciente resolución de la AEPD contra Quality Provider, empresa precisamente dedicada a la explotación electrónica de datos a terceros, estudios comerciales y creación de informes, a la que impuso una multa de 20.000 euros por no justificar el interés legítimo en la recogida del DNI a un usuario que lo denunció, y por exigir más formalidades de las que se siguieron para obtener ese DNI y esos datos a la hora de borrarlos, tal y como pedía ejerciendo su derecho la persona interesada.

Ni el dentista cuando va a hacer un simple presupuesto, ni al registrarse en un hotel, ni al apuntarse en un gimnasio, ni los repartidores de paquetes a pie de puerta en tu casa, ni tampoco para tener un registro de los poseedores de tarjetas de descuento en grandes superficies debemos claudicar; podemos negarnos a dar nuestra identificación con todo tipo de datos personales sensibles. Se acabó.

La AEPD ha dejado claro que existen innumerables casos en los que se nos insta a enseñar y dejar que registren nuestro DNI gráficamente que son totalmente innecesarios. Recientemente se ha pronunciado respecto a los casos en los que se los entregan «bienes adquiridos mediante financiación para cumplir la normativa de prevención de blanqueo de capitales, en los que debemos recoger un duplicado de tarjetas SIM, y en la entrega de dispositivos móviles», tal y como resalta Xataka en una publicación.

Para la agencia, siempre que existan otra formas de confirmar la identidad del interesado, que resulten menos agresivas y gravosas a la hora de inmiscuirse en nuestra intimidad, recomienda que no se utilice el documento oficial expedido por el Ministerio de Interior a través de las comisarías de Policía designadas a tal efecto.

Desde la oficina que cuidad de la gestión de nuestros datos explican que el DNI es un documento que contienen «información especialmente sensible» y «su uso indebido o sin las garantías suficientes», lo que puede tener diversos efectos «desfavorables para el titular de los datos». Desde la agencia esgrimen el argumento básico de la legislación en materia de privacidad; el principio de minimización de datos.

Según ese principio, el método utilizado para la autentificación debe ser «pertinente, adecuado, proporcionado» y respetar el principio citado, que según observan en el organismo, es el que menos se cumple habitualmente.

NADA DE FOTOCOPIAR EL DNI

Hay casos en los que es imperativo que el servicio que estemos utilizando requiera que nos identifiquemos y que hagan una reproducción del documento. Es el caso de los bancos, que atendiendo a la Ley contra el Blanqueo de Capitales debe registrar cada persona que tienen como cliente y contar con la identificación gráfica y en vigor del DNI. En el caso de los hoteles, deben recoger por ley algunos datos para rellenar el parte de viajeros, susceptibles de ser remitidos a la Policía en el caso de que sea necesario. Este sería uno de los supuestos en el que la AEPD entiende que estaría justificado el registro.

El Reglamento General de Protección de Datos establece importantes multas que la AEPD puede imponer a las empresas que pidan el DNI y lo fotocopien sin necesidad alguna. El hotel Marins Playa recibió una sanción de 30.000 euros, y a la teleco Orange tuvo que pagar la multa de 100.000 euros por realizar la confirmación de la identidad de sus usuarios y clientes cuando se les entregaba un paquete, y aprovechar la ocasión para hacer una fotocopia por las dos caras del DNI.

La mayor parte de los datos que contiene el documento de identificación español no son necesarios en absoluto para cuestiones meramente comerciales, por lo que bastaría con simplemente enseñarlo para la comprobación del registro o apunte del número, confirmación de la fotografía identitaria y, en según qué casos, la edad (para acceder a descuentos, etc). El resto de datos no deberían ser anotados ni acumulados mediante la fotocopia completa que, además, si una adecuada salvaguarda, puede caer en malas manos.

30 septiembre, 2023
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada El recado de la AEPD para operadoras, hoteles o dentistas: no deben fotocopiar el DNI se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

El 15 de diciembre de 2021 interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD) señalando que aquel mismo día había recibido una comunicación de Google informándole de un nuevo inicio de sesión en esa cuenta corporativa, por lo que consideraba que podría haberse suplantado su identidad y vulnerado sus derechos en torno a la protección de datos. 

Fue docente de este instituto desde el 1 de septiembre de 2020 hasta el 31 de agosto de 2021, y mantuvo el acceso a la cuenta hasta junio de 2022, es decir, más de un mes después del cese del reclamante como docente del centro.

Y fue a partir de la reclamación cuando se le retiró el acceso.

En noviembre de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), por la presunta infracción del artículo 32 del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.4 del RGPD. 

El artículo 32 del RGPD exige a los responsables del tratamiento, la adopción de las correspondientes medidas de seguridad necesarias que garanticen que el tratamiento es conforme a la normativa vigente, así como garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales, solo los pueda tratar siguiendo instrucciones del responsable.

La AEPD ha concluido que los hechos acreditados son constitutivos de infracción, por vulneración del artículo 32 del Reglamento.

La citada infracción supone la comisión de las infracciones tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica “Condiciones generales para la imposición de multas administrativas” dispone que “se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; (…)”.

En este caso, la Agencia estima adecuado sancionar con apercibimiento a la Consejería de Educación y Formación Profesional del Gobierno de las Islas Baleares “por la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento”.

“MANTENER LA CUENTA SUPONE QUE EL EXTRABAJADOR PUEDA ACCEDER A DATOS PERSONALES Y OTRA INFORMACIÓN CONFIDENCIAL”

La resolución la ha dado a conocer en redes sociales el abogado Ramon Arnó Torrades, especialista en aspectos jurídicos de la sociedad de la información y transformación digital, CEO de La Familia Digital. 

Preguntado por ella, declara a Confilegal que “las cuentas de correo electrónico corporativas son creadas por la organización para su uso por los trabajadores, con finalidades exclusivamente corporativas, por lo que su utilización está vinculada siempre con la vigencia de la relación laboral con el trabajador”.

Destaca que al finalizar la misma, es necesario suprimir el acceso a la cuenta de correo y que “es por ello que las organizaciones tienen implantados procedimientos para que ese proceso sea automático”.

“Mantener el acceso a la cuenta corporativa después de la finalización de la relación laboral puede suponer, como ocurre en este caso, una infracción a la normativa de protección de datos personales, ya que el extrabajador puede acceder a datos personales y otra información confidencial, con lo que la resolución de la AEPD es adecuada”, concluye.

LO ALEGADO POR EL INSTITUTO

La AEPD requirió al Instituto información relacionada con la incidencia, confirmándose lo señalado en el escrito de reclamación, al manifestar que accidentalmente no se le retiró el acceso a su cuenta de correo electrónico como debería haberse hecho, y que el centro no cambió la contraseña de la dirección de correo electrónico del reclamante, por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos y personas que han podido tener acceso a la cuenta. 

El centro educativo alegó que “ante la baja por cualquier motivo de un trabajador, las cuentas se suspenden, no se eliminan, a fin de que si vuelve a estar en activo (situación frecuente en personal docente) pueda acceder a los correos electrónicos (con documentación de trabajo) de cursos anteriores”. 

“Asimismo, se indica la recomendación de que el tiempo entre el cese y la suspensión de la cuenta sea de un mes por lo que, en este sentido, procede señalar entonces que las medidas de seguridad no se estaban cumpliendo en el momento de los hechos”, relata la Agencia.

La AEPD entiende que las medidas de seguridad implantadas eran “insuficientes, susceptibles de ser mejoradas; lo que se pone de manifiesto con la afirmación de que, hasta septiembre de 2022, el centro no dispuso de un protocolo de uso de las cuentas corporativas para las cuentas nuevas”. 

En consecuencia, desestimó sus alegaciones.

DATOS CLAVE

En su resolución, la AEPD recuerda que el artículo 32 del RGPD se infringe “tanto si no se adoptan por el responsable las medidas de índole técnica y organizativas apropiadas que garanticen la seguridad de los datos personales, como si, establecidas éstas, las mismas no se observan”. 

Aclara que la apertura del procedimiento sancionador no se debió al acceso a la cuenta corporativa por parte de una tercera persona, o a que se hubiere suplantado la identidad del reclamante, sino al hecho de haber tenido conocimiento de que se mantuvo el acceso a la cuenta hasta junio de 2022, “más de un mes después del cese del reclamante como docente del centro, a pesar de que la recomendación era que el tiempo entre el cese y la suspensión de la cuenta fuera de un mes”.

Al continuar accediendo a la cuenta de correo electrónico, “a su vez continúa pudiendo acceder a datos personales e información a la que ya no debería tener acceso por no trabajar en ese centro”, razona la Agencia.

Y hace hincapié en que este riesgo debe ser tenido en cuenta por el responsable del tratamiento, “quien debe establecer las medidas técnicas y organizativas necesarias y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de estos datos”.

También destaca que que el 32 del RGPD “incide en la necesidad de que el responsable del tratamiento adopte medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos y garantizar un nivel de seguridad adecuado al riesgo, sin que pueda aceptarse como justificación la circunstancia de la emergencia sanitaria”.

Contra esta resolución, que pone fin a la vía administrativa, los interesados pueden interponer recurso de reposición ante la directora de la Agencia Española de Protección de Datos, Mar España Martí, en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso-administrativo ante la Audiencia Nacional.

Fuente:

https://confilegal.com/20230525-un-juez-obliga-al-vendedor-de-una-furgoneta-de-segunda-mano-hacer-una-rebaja-a-su-nueva-duena-tras-averiarse-a-los-20-dias/

La entrada Mantener el acceso al correo electrónico corporativo a un extrabajador después de su cese es una infracción de seguridad se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

El reconocimiento facial está considerado uno de los usos de “alto riesgo” de la inteligencia artificial. Mientras la UE finaliza las normas que determinarán cómo puede desplegarse esta tecnología en los próximos años, los reguladores de privacidad del continente han pedido que solo se emplee cuando no haya opciones más seguras disponibles. También que se haga de forma transparente para las personas a las que se vigila, dos preceptos que se incumplían en una empresa de Alicante que ha usado reconocimiento facial para hacer el registro horario de sus empleados sin informarles.

La Agencia Española de Protección de Datos (AEPD) ha multado esta semana con 20.000 euros al fabricante de productos de plástico Plastic Forte, que cuenta con una plantilla de unas 470 personas, por hacer una fotografía a sus trabajadores y ocultarles que uno de sus usos sería la creación de una plantilla biométrica para su reconocimiento facial. En el documento de consentimiento, la empresa solo refería que las imágenes “podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo”.

La resolución se produce a raíz de la denuncia de un trabajador que solicitó a la compañía información sobre los datos personales que esta manejaba. Pese a disponer de un registro horario de los períodos en los que el empleado estuvo en las instalaciones, en la documentación aportada por la compañía no se citaba la posesión de los datos biométricos de la plantilla.

Plastic Forte alegó ante la AEPD que la ley le obliga a llevar un registro horario del tiempo de trabajo de cada empleado por lo que, al ser esa “la única finalidad” de los datos biométricos, no se consideraba a obligada a notificar el empleo de esta tecnología. Sin embargo, ante la apertura del expediente por parte del regulador de privacidad, decidió reconocer su responsabilidad y renunciar a presentar alegaciones, lo que implica la reducción de la multa en un 20%. Con el pronto pago, consiguió otra reducción de otro 20% y dejar la sanción en los 12.000 euros.

En la resolución la AEPD recuerda que el empleo de reconocimiento facial para el control horario es “un sistema de identificación novedoso y muy intrusivo para los derechos y libertades fundamentales de las personas”. Su uso no está prohibido, pero requiere de una evaluación de impacto y la comunicación al comité de empresa de cómo, cuándo y quién despliega la tecnología biométrica.

Dicha evaluación debe incluir un análisis de “la necesidad y la proporcionalidad” de esos sistemas, así como “las medidas previstas para afrontar los riesgos” que lleva a aparejado el reconocimiento facial, como las brechas de seguridad o la desviación de la información biométrica a “bases de datos centralizadas” menos seguras, recuerda la AEPD.

En caso de que aún así se decida implementar el sistema de reconocimiento facial, el organismo recalca que se debe tener en cuenta cuántos datos de la cara se recogen e intentar minimizarlos. “Por una parte, el tamaño de la plantilla debe ser lo bastante grande para gestionar la seguridad (evitando solapamientos entre los diferentes datos biométricos, o sustituciones de identidad) y, por otra, no deberá ser demasiado grande a fin de evitar los riesgos de reconstrucción de los datos biométricos”, señala.

elDiario.es ha contactado con Plastic Forte para incluir su valoración en esta información. La empresa ha rechazado el ofrecimiento y ha amenazado con acciones legales “civiles y penales” contra este medio si no refleja de forma “fehaciente” el contenido del dictamen de la AEPD.

Vigilancia no consentida de trabajadores

Una de las líneas habituales de las resoluciones de la AEPD tiene que ver con los sistemas de vigilancia desplegados sobre los trabajadores sin su consentimiento. El registro de imágenes o audio de manera opaca es fuente habitual de sanciones y apercibimientos por parte del organismo de privacidad español.

Este miércoles la institución ha multado a otra empresa con 5.000 euros por instalar un sistema de videovigilancia capaz de retransmitir en tiempo real el audio de un establecimiento sin informar a los trabajadores, ni tampoco a los clientes. “Se entiende desproporcionada la captación de la voz tanto de los trabajadores como de clientes de la parte reclamada para la función de videovigilancia pretendida. Se tiene en cuenta que la captación de voz supone una mayor intromisión en la intimidad”, expone la resolución.

En este caso, la denuncia llegó por parte de otra trabajadora que descubrió que estaba siendo escuchada cuando su responsable le preguntó a través del grupo de WhatsApp del negocio por lo que se escuchaba en el local. “Qué tienes puesto de fondo? Por qué no hay música?”, inquirió: “Entré en la cámara y se escuchaban las noticias”, afirmó en una conversación que la empleada aportó como prueba.

Fuente:

https://www.eldiario.es/tecnologia/multada-fabrica-alicante-reconocimiento-facial-empleados-avisarles_1_10152700.html

La entrada Multada una fábrica de Alicante por hacer reconocimiento facial a sus empleados sin avisarles se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.