Delegado de Protección de Datos externo para empresas

El Delegado de Protección de Datos (DPO) es una figura clave dentro del cumplimiento del Reglamento General de Protección de Datos.

Muchas empresas optan por externalizar este servicio mediante consultoras especializadas como Galymol consultoría de protección de datos.

Qué es un Delegado de Protección de Datos

El DPO es el responsable de supervisar el cumplimiento de la normativa de protección de datos dentro de una organización.

Cuándo es obligatorio

Administraciones públicas

Todas las administraciones deben contar con un DPO.

Empresas que tratan datos sensibles

Organizaciones que gestionan datos de salud o datos biométricos.

Empresas que realizan monitorización sistemática

Empresas que realizan seguimiento constante de usuarios o clientes.

Ventajas de contratar un DPO externo

Reducción de costes

No es necesario contratar un especialista interno.

Experiencia multidisciplinar

Un consultor externo suele tener experiencia en múltiples sectores.

Independencia

El DPO externo puede supervisar el cumplimiento con mayor objetividad.

Si tu empresa necesita un delegado de protección de datos externo puedes consultar con Galymol consultoría de protección de datos.

La entrada Delegado de Protección de Datos externo para empresas se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Adaptación RGPD para autónomos en España

Muchos profesionales autónomos creen que la normativa de protección de datos solo afecta a grandes empresas, pero cualquier profesional que trate datos personales debe cumplir con el Reglamento General de Protección de Datos.

En Galymol consultoría de protección de datos asesoramos a autónomos y pequeñas empresas para cumplir correctamente con la normativa.

El RGPD también afecta a los autónomos

Si un profesional gestiona datos de clientes, proveedores o empleados, está obligado a cumplir con la normativa de protección de datos.

Obligaciones principales

Registro de actividades de tratamiento

Documento donde se describen los tratamientos de datos personales que realiza el profesional.

Política de privacidad

Los clientes deben ser informados sobre cómo se utilizan sus datos personales.

Contratos con encargados de tratamiento

Si se utilizan proveedores externos que acceden a datos personales, debe firmarse un contrato específico.

Sanciones por incumplimiento

El incumplimiento del RGPD puede implicar sanciones económicas importantes impuestas por la autoridad de control.

Cómo adaptarse correctamente

Análisis de los datos tratados

Identificar qué datos personales se recopilan y para qué finalidad.

Elaboración de documentación

Crear los documentos obligatorios exigidos por la normativa.

Implantación de medidas de seguridad

Adoptar medidas técnicas y organizativas que garanticen la protección de los datos.

Para implantar correctamente estas medidas puedes consultar con Galymol consultoría de protección de datos.

La entrada Adaptación RGPD para autónomos en España se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Canal de denuncias obligatorio para empresas en España

La implantación de un canal de denuncias es una obligación legal para muchas empresas en España. Esta medida forma parte de los sistemas de cumplimiento normativo que buscan detectar irregularidades dentro de las organizaciones y proteger a las personas que informan sobre posibles infracciones.

En Galymol consultoría de protección de datos ayudamos a empresas a implantar sistemas de información internos adaptados a la normativa vigente.

Qué es un canal de denuncias

Un canal de denuncias es un mecanismo que permite a empleados, proveedores o terceros comunicar irregularidades o incumplimientos dentro de una empresa de forma confidencial o anónima.

Su regulación en España proviene de la Ley 2/2023 de protección del informante, que establece la obligación de implantar sistemas internos de información en determinadas organizaciones.

Qué empresas están obligadas a tener canal de denuncias

Empresas con más de 50 trabajadores

Todas las empresas con una plantilla igual o superior a 50 empleados deben implantar un canal interno de denuncias.

Empresas de determinados sectores

Algunas organizaciones están obligadas independientemente del número de trabajadores, como:

• entidades financieras
• empresas que gestionan fondos públicos
• organizaciones sujetas a normativa de prevención de blanqueo de capitales

Requisitos que debe cumplir el canal de denuncias

Confidencialidad

La identidad del informante debe protegerse en todo momento.

Posibilidad de denuncia anónima

El sistema debe permitir comunicaciones anónimas para garantizar la protección del denunciante.

Gestión independiente

Debe existir un responsable del sistema que gestione las comunicaciones recibidas.

Sanciones por no implantar el canal

No cumplir con esta obligación puede implicar sanciones administrativas importantes que pueden superar el millón de euros dependiendo de la gravedad del incumplimiento.

Implantación del canal de denuncias

La implantación de un canal de denuncias requiere diseñar procedimientos internos, garantizar la confidencialidad y cumplir con requisitos de protección de datos.

Si necesitas implantar un sistema conforme a la normativa, puedes consultar con Galymol consultoría de protección de datos, especialistas en cumplimiento normativo y protección de datos.

Preguntas frecuentes

¿Puede una empresa pequeña tener canal de denuncias?

Sí, aunque no esté obligada legalmente, puede implantarlo como medida de compliance.

¿El canal de denuncias debe permitir anonimato?

La normativa recomienda permitir comunicaciones anónimas para proteger al informante.

La entrada Canal de denuncias obligatorio para empresas se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Precisamente para evitar estos errores, la AEPD acaba de actualizar su guía La protección de datos en las relaciones laborales, en la que detalla qué pueden y qué no pueden hacer los negocios cuando tratan datos personales de sus trabajadores. El documento está dirigido a empresas de todos los tamaños, pero resulta especialmente relevante para autónomos y pequeños negocios, que suelen implantar estos sistemas sin asesoramiento específico.

El organismo aclara cuestiones que generan muchas dudas en el día a día: cuándo es legal instalar cámaras, hasta dónde puede llegar la geolocalización, qué información debe darse a los trabajadores o qué riesgos existen al usar aplicaciones y herramientas digitales de control. La vigilancia empresarial es legítima, pero cualquier exceso puede acabar en una infracción de la normativa de protección de datos.

1. Controlar a los trabajadores es legal, pero no todo vale
2. Errores habituales con la videovigilancia que pueden costar caro al autónomo
3. La geolocalización y el fichaje digital sólo se pueden usar cuando sean realmente necesarios
4. Revisar correos y dispositivos de empresa también tiene límites
5. Apps, ‘software’ y decisiones automatizadas: un riesgo poco conocido para los autónomos

1. Controlar a los trabajadores es legal, pero no todo vale

Muchos autónomos parten de la idea equivocada de que, por ser el empleador, pueden controlar cualquier actividad de sus empleados siempre que estén trabajando. La Agencia Española de Protección de Datos deja claro que no es así. El control empresarial está permitido, pero siempre que sea necesario, proporcional y justificado, y que respete la normativa de protección de datos.

La guía recuerda que el hecho de tener trabajadores no da carta blanca para tratar cualquier dato personal ni para implantar cualquier sistema de control. Cámaras, fichajes digitales, sistemas de geolocalización o herramientas informáticas sólo son legales si cumplen una finalidad concreta relacionada con el trabajo y si no existen alternativas menos intrusivas.

Cada vez más negocios están siendo sancionados por vulnerar la intimidad o la privacidad de sus empleados.

Según el experto consultado, este aumento de resoluciones judiciales demuestra que los tribunales “están aplicando criterios cada vez más estrictos en la protección de los derechos fundamentales de los trabajadores”.

Cuando estas fronteras se sobrepasan, el riesgo no es teórico. Un uso excesivo o mal planteado de los sistemas de vigilancia puede considerarse una infracción del RGPD y de la Ley de Protección de Datos, con infracciones sancionables que pueden afectar seriamente a la viabilidad de una pequeña empresa. Por eso, la AEPD insiste en que antes de implantar cualquier medida de control, el autónomo debe analizar si realmente es necesaria y cómo aplicarla correctamente.

2. Errores habituales con la videovigilancia que pueden costar caro al autónomo

La videovigilancia es una herramienta habitual en comercios, bares y pequeños negocios, pero la AEPD recuerda que no puede usarse como una herramienta de supervisión generalizada de los trabajadores. Las cámaras sólo están justificadas por motivos concretos, como la seguridad de personas, bienes o instalaciones, y no para observar de forma continua el comportamiento laboral.

Uno de los errores más frecuentes es instalar cámaras en zonas donde está prohibido, como vestuarios, baños o espacios de descanso. También es habitual grabar sin informar correctamente a los empleados o utilizar las imágenes para fines distintos a los declarados, como evaluar el rendimiento laboral o sancionar conductas de forma indiscriminada.

La guía insiste en que el autónomo debe limitar la captación a lo estrictamente necesario y respetar el principio de proporcionalidad. Un uso excesivo o una instalación incorrecta puede constituir una infracción de la normativa de protección de datos y dar lugar a sanciones económicas, incluso en pequeños negocios.

3. La geolocalización y el fichaje digital sólo se pueden usar cuando sean realmente necesarios

El uso de sistemas de geolocalización y de fichaje digital se ha extendido entre autónomos con repartidores, comerciales o trabajadores que desarrollan su actividad fuera del centro de trabajo. Sin embargo, la AEPD recuerda que estas herramientas no pueden utilizarse para un control permanente o indiscriminado, sino únicamente cuando sean necesarias para la organización del trabajo o el cumplimiento de obligaciones legales.

Uno de los fallos más comunes es mantener activa la geolocalización fuera del horario laboral o recopilar más datos de los necesarios. También es frecuente implantar aplicaciones de seguimiento sin informar de forma clara a los empleados sobre qué datos se recogen, con qué finalidad y durante cuánto tiempo se conservan, lo que vulnera la normativa de protección de datos.

El documento advierte de que estos sistemas deben respetar el principio de proporcionalidad y limitarse al tiempo y al ámbito estrictamente laboral. Un aplicación continuada o mal justificada de la geolocalización o del fichaje digital puede considerarse una infracción y derivar en sanciones económicas.

Tal y como señaló un abogado laboralista en el caso de usar una aplicación externa que permita geolocalizar al empleado será necesario proporcionarle un teléfono de empresa, y “esa aplicación tiene que quedar desconectada en el momento que se acaba tu jornada. La empresa no tiene que entrar en tu privacidad”.

4. Revisar correos y dispositivos de empresa también tiene límites

Muchos autónomos facilitan a sus trabajadores un correo electrónico, un móvil o un ordenador para desarrollar su actividad. Sin embargo, la AEPD recuerda que el hecho de que estos medios sean de empresa no autoriza a revisarlos sin límites. El acceso sólo es legítimo cuando existe una finalidad concreta relacionada con el trabajo y siempre respetando la privacidad del empleado.

Uno de los errores más habituales es acceder al correo electrónico o a los mensajes sin haber informado previamente de que puede producirse ese nivel de supervisión. También genera problemas utilizar esta información para fines distintos a los previstos o revisar contenidos personales cuando no existe una justificación clara, algo especialmente delicado en el caso de aplicaciones de mensajería o navegación por internet.

La AEPD recuerda que el autónomo debe establecer criterios claros de uso de los dispositivos y limitar cualquier control a lo estrictamente necesario. Acceder de forma indiscriminada a correos, mensajes o archivos puede vulnerar la normativa de protección de datos y acabar convirtiéndose en una infracción sancionable.

5.Apps, ‘software’ y decisiones automatizadas: un riesgo poco conocido para los autónomos

Cada vez más negocios utilizan aplicaciones o programas para medir la productividad, asignar tareas o evaluar el rendimiento de los trabajadores. La AEPD advierte de que estas herramientas no están exentas de riesgos, especialmente cuando las decisiones que afectan al empleo se basan únicamente en procesos automatizados o en algoritmos.

Uno de los principales errores es no informar al trabajador de que se están utilizando este tipo de sistemas o no permitir que exista una revisión humana de las decisiones. La guía recuerda que los empleados tienen derecho a conocer cómo se toman estas decisiones y a que no se les aplique una evaluación automática sin posibilidad de intervención o explicación.

El uso de software sin medida, sin transparencia o sin límites claros puede vulnerar la normativa de protección de datos. En estos casos, el problema no es la tecnología en sí, sino cómo se utiliza. Un sistema mal implantado puede acabar derivando en consecuencias económicas, también para autónomos y pequeños negocios que recurren a estas herramientas sin ser conscientes de sus obligaciones legales.

GALYMOL ASESORES DE EMPRESAS, S.L.

Enero 2026

La entrada Nueva guía actualizada de la AEPD para que los autónomos cumplan con la protección de datos en 2026 se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

La Agencia Española de Protección de Datos (AEPD) cerró 2024 con 18.885 reclamaciones presentadas, según refleja la memoria que el organismo ha presentado hoy. Se trata de un 13% menos que en 2023, el año que por el momento marca el récord, pero un 25% más que en 2022. La mayor parte de las reclamaciones interpuestas por los ciudadanos (19%) tienen que ver con casos de videovigilancia, seguido por servicios de internet (8%) y comercio, transporte y hostelería (7%). La Agencia advierte, sin embargo, que la inteligencia artificial (IA), más concretamente el análisis de su impacto en la privacidad de los individuos, aumentará sustancialmente su carga de trabajo en los próximos ejercicios.

“La disponibilidad de datos de calidad se constituye en un elemento clave para el entrenamiento de modelos de IA y su uso tiene el potencial de ser un factor de ayuda a la hora de mejorar la toma de decisiones y la personalización de servicios”, destaca la memoria. “Sin embargo, el acceso masivo a datos plantea retos significativos en términos de privacidad y protección de los derechos de las personas. En este contexto, los datos sanitarios, debido a su naturaleza especialmente sensible y otros tipos de datos provenientes de espacios de datos sectoriales, cobran especial importancia por su sensibilidad y posible impacto sobre la sociedad”, prosigue la Agencia, que estará especialmente vigilante en esos sectores.

El Anteproyecto de ley para el buen uso y la gobernanza de la inteligencia artificial (IA), que regula la aplicación práctica de esta tecnología y que previsiblemente entrará en vigor en la primera mitad de este año, atribuye a la AEPD la supervisión de los algoritmos que tengan que ver con la gestión y tratamiento de datos biométricos. La Agencia deberá elaborar informes sobre cada caso práctico para ver si se adecúa o no a la normativa.

Esta nueva carga de trabajo, que se suma a las tareas que ya venía realizando la AEPD, ha llevado a su presidente, Lorenzo Cotino, a reclamar más personal para poder afrontar los nuevos retos. “La bola de nieve que supone la protección de datos en el entorno tecnológico no para de crecer. Si encima nos añaden nuevas atribuciones, pues literalmente vamos a necesitar crecer, porque si no no podremos dar respuesta a algunas de las cosas que se nos exigen”, dijo Cotino en marzo en una entrevista con EL PAÍS.

Desde la Agencia destacan también que el tratamiento de datos personales, ya sea a través de IA o de medios analógicos, está regulado por Reglamento General de Protección de Datos (RGPD) y, por tanto, son competencia de la Agencia.

Otro de los desafíos a los que se enfrentará la AEPD próximamente, según se recoge en su memoria, es la gestión de los llamados neurodatos, los datos extraídos del cerebro a través de la neurotecnología. Se trata de “una información que puede revelar información íntima sobre el estado de salud, pensamientos o emociones de las personas” y que puede identificar a las personas “de manera única”, de modo que merecen un tratamiento especialmente cuidadoso por parte de la Agencia.

La AEPD lideró en 2024 como autoridad principal la preparación de 22 casos transfronterizos con otros países de la UE y cooperó como interesada en otros 348 casos. Los principales procedimientos sancionadores transfronterizos en los que la Agencia ha sido autoridad principal tienen que ver con OK Mobility, Iberia y GlovoApp23. En cuanto a los más relevantes de los que ha participado como autoridad interesada destacan los de Meta (multa de 91 millones de euros), LinkedIn (310 millones), Avast (14 millones), Contextlogic (2 millones), Uber (290 millones) y Nuxe (100.000 euros). Asimismo, la Agencia recibió un 17% más (1.343) de peticiones de otras autoridades, solicitudes de asistencia y consulta, y proyectos de decisión.

Fuente y más información en: https://elpais.com/tecnologia/2025-05-26/proteccion-de-datos-recibio-19000-reclamaciones-en-2024.html

La entrada Protección de Datos recibió 19.000 reclamaciones en el año 2024 se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Algo que ha hecho que cada vez sean más los usuarios que deciden apuntar la contraseña en un cuaderno o anotación en el móvil u ordenador. Y utilizar la misma contraseña para «casi» todo.

Y es que la agencia ha advertido que, sin importar lo complicada que sea la contraseña, «con el paso del tiempo pueden verse comprometidas».

«4 estaciones, 4 contraseñas», destaca la AEPD en un comunicado que ha realizado recientemente a través de las redes sociales. Una propuesta con la que la agencia propone a los usuarios cambiar su palabra secreta este verano.

Especialmente, debido a que «durante el verano, las personas tienden a conectarse desde las redes Wi-Fi públicas y dispositivos compartidos, aumentando el riesgo de ciberataques»

«Cambiar las contraseñas cada cierto tiempo es necesario para proteger nuestra privacidad. Sobre todo si utilizamos contraseñas sencillas o de pocos caracteres. Un cibercriminal puede descifrar una contraseña de pocos caracteres en unos segundos y cambiarlas a menudo dificulta estos ataques»

«Hay que evitar es utilizar matrículas de coche, nombres de familiares o fechas de cumpleaños, fáciles de adivinar a través de técnicas de ingeniería social», afirma el abogado de ciberseguridad.

La AEPD ha dado «claves» para conseguir una contraseña lo más segura posible. Así pues, en la infografía publicada por la Agencia, encontramos consejos como el «elegir un símbolo especial» o utilizar las iniciales de «una frase que no se te olvide nunca»

La AEPD, junto con el Instituto Nacional de Ciberseguridad y la Oficina de Seguridad Internauta, recomiendan cambiar la contraseña cada 3 o 4 meses

Así pues, «para un usuario común», una contraseña vulnerada puede suponer «el robo de identidad, pérdida financiera, violación de la privacidad y acceso no autorizado a información personal».

Julio 2024
GALYMOL ASESORES DE EMPRESAS, S.L.

Fuente:

https://confilegal.com/20240629-mascota-password-qwerty-contrasenas-vulnerables-hacker/

La entrada Tu mascota, QWERTY, o «password»: las contraseñas más comunes que no protegen tus datos frente a hackeos se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Historia de una vulneración de protección de datos

En un preocupante incidente que destaca la importancia de la protección de datos en el ámbito de la salud, una farmacia se enfrenta a una multa de 6.000 euros por abandonar documentación rota a mano en un contenedor de basura.

La denuncia, presentada por un ciudadano preocupado, reveló la presencia de diversos documentos en un contenedor público, incluyendo facturas simplificadas, tickets de venta con calendarios de medicación, hojas y recetas médicas, informes de prescripción de medicamentos, pedidos y más.

Lo alarmante de la situación radica en que, a pesar de contar con una máquina trituradora de papel y tener una política de seguridad que establece claramente la destrucción adecuada de documentos con datos personales, la farmacia no cumplió con estas medidas en este caso específico.

Los documentos hallados estaban rotos a mano, pero no destruidos de acuerdo con las normativas de privacidad y seguridad.

La política interna de la farmacia establece claramente que cualquier documento físico o soporte digital que contenga datos personales debe ser destruido con la destructora de documentos o retirado por una empresa homologada de destrucción de documentos.

Sin embargo, este protocolo no se siguió en el caso denunciado.

Este incidente pone de manifiesto una clara violación de las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, especialmente aquellas destinadas a prevenir el acceso no autorizado.

«La seguridad de los datos debe ser una prioridad indiscutible, y las empresas deben estar equipadas con los conocimientos y procedimientos adecuados para cumplir con las regulaciones vigentes y proteger la información confidencial de manera efectiva»

El abandono repetido de documentación en un contenedor de basura accesible por cualquier tercero representa una vulneración flagrante de la normativa de protección de datos.

En concreto, la farmacia ha infringido el artículo 32 del Reglamento General de Protección de Datos (RGPD), que establece el principio de seguridad, así como el artículo 5.1.f) del RGPD, que se refiere al principio de confidencialidad.

Este último principio tiene como objetivo prevenir filtraciones no autorizadas de datos, protegiendo así la privacidad de los individuos afectados.

Este caso subraya la importancia crítica de implementar y seguir rigurosamente las medidas de seguridad y privacidad de datos en todas las organizaciones, especialmente en sectores sensibles como el de la salud.

Además, destaca la necesidad de contar con asesoramiento legal especializado en protección de datos para evitar consecuencias graves y proteger la confianza de los clientes y pacientes.

La seguridad de los datos debe ser una prioridad indiscutible, y las empresas deben estar equipadas con los conocimientos y procedimientos adecuados para cumplir con las regulaciones vigentes y proteger la información confidencial de manera efectiva.

Enero 2024
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada Documentos rotos a mano no significa destruidos se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía en la que informa a Administraciones y empresas sobre una serie de cautelas que deben adoptar en la utilización de datos biométricos en los controles de acceso a sus instalaciones y de registro horario laboral.

La guía ‘Tratamientos de control de presencia mediante sistemas biométricos’ fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que deben tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD), entre otras normativas.

La agencia que preside Mar España considera el empleo de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de “alto riesgo” que incluye categorías especiales de datos, y por ello, el reglamento supedita su uso a que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.

En el caso de registro de jornada y control de acceso con fines laborales, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de éste, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.

En el caso del control de accesos fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levante la prohibición.

La guía desgrana las restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.

El manual precisa que en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento será obligatoria la realización de una ‘Evaluación de Impacto para la Protección de Datos’ en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

La agencia incluye en la guía un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del reglamento, entre las que figuran las de informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo, e implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.

También hay que utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada, y suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.

Noviembre 2023
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada Protección de Datos informa a Administraciones y empresas sobre el uso de datos biométricos en controles de acceso se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

Enlace al artículo de la AEPD aquí.

La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices 03/2022 del Comité Europeo de Protección de Datos (CEPD/EDPB) sobre patrones engañosos.

Se establece un periodo transitorio de seis meses para que las entidades adopten estos nuevos criterios, es decir hasta el 11 de enero de 2024.

A destacar de la Guía:

• Las acciones para aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen.
• En lo referente a las cookies de personalización: 
  • Si es el propio usuario quien toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se consideran cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades.
  • Si es el editor el que decide sobre ella, basándose en la información que obtiene del usuario, deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades.
• La alternativa que se ofrezca cuando el usuario no acepte la utilización de cookies, para poder acceder al sitio web o a la utilización total o parcial del servicio y siempre que se informe al usuario, no tendrá por qué ser necesariamente gratuita.

SEPTIEMBRE, 2023
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada AEPD: Actualización de la Guía sobre el uso de cookies se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.

La Agencia Española de Protección de Datos (AEPD) ya ha avisado de que está totalmente en contra de que se pida el DNI con cualquier excusa y por defecto, y que puede imponer multas de hasta 20.000 euros si se continúa con esta práctica.

Un ejemplo es la reciente resolución de la AEPD contra Quality Provider, empresa precisamente dedicada a la explotación electrónica de datos a terceros, estudios comerciales y creación de informes, a la que impuso una multa de 20.000 euros por no justificar el interés legítimo en la recogida del DNI a un usuario que lo denunció, y por exigir más formalidades de las que se siguieron para obtener ese DNI y esos datos a la hora de borrarlos, tal y como pedía ejerciendo su derecho la persona interesada.

Ni el dentista cuando va a hacer un simple presupuesto, ni al registrarse en un hotel, ni al apuntarse en un gimnasio, ni los repartidores de paquetes a pie de puerta en tu casa, ni tampoco para tener un registro de los poseedores de tarjetas de descuento en grandes superficies debemos claudicar; podemos negarnos a dar nuestra identificación con todo tipo de datos personales sensibles. Se acabó.

La AEPD ha dejado claro que existen innumerables casos en los que se nos insta a enseñar y dejar que registren nuestro DNI gráficamente que son totalmente innecesarios. Recientemente se ha pronunciado respecto a los casos en los que se los entregan «bienes adquiridos mediante financiación para cumplir la normativa de prevención de blanqueo de capitales, en los que debemos recoger un duplicado de tarjetas SIM, y en la entrega de dispositivos móviles», tal y como resalta Xataka en una publicación.

Para la agencia, siempre que existan otra formas de confirmar la identidad del interesado, que resulten menos agresivas y gravosas a la hora de inmiscuirse en nuestra intimidad, recomienda que no se utilice el documento oficial expedido por el Ministerio de Interior a través de las comisarías de Policía designadas a tal efecto.

Desde la oficina que cuidad de la gestión de nuestros datos explican que el DNI es un documento que contienen «información especialmente sensible» y «su uso indebido o sin las garantías suficientes», lo que puede tener diversos efectos «desfavorables para el titular de los datos». Desde la agencia esgrimen el argumento básico de la legislación en materia de privacidad; el principio de minimización de datos.

Según ese principio, el método utilizado para la autentificación debe ser «pertinente, adecuado, proporcionado» y respetar el principio citado, que según observan en el organismo, es el que menos se cumple habitualmente.

NADA DE FOTOCOPIAR EL DNI

Hay casos en los que es imperativo que el servicio que estemos utilizando requiera que nos identifiquemos y que hagan una reproducción del documento. Es el caso de los bancos, que atendiendo a la Ley contra el Blanqueo de Capitales debe registrar cada persona que tienen como cliente y contar con la identificación gráfica y en vigor del DNI. En el caso de los hoteles, deben recoger por ley algunos datos para rellenar el parte de viajeros, susceptibles de ser remitidos a la Policía en el caso de que sea necesario. Este sería uno de los supuestos en el que la AEPD entiende que estaría justificado el registro.

El Reglamento General de Protección de Datos establece importantes multas que la AEPD puede imponer a las empresas que pidan el DNI y lo fotocopien sin necesidad alguna. El hotel Marins Playa recibió una sanción de 30.000 euros, y a la teleco Orange tuvo que pagar la multa de 100.000 euros por realizar la confirmación de la identidad de sus usuarios y clientes cuando se les entregaba un paquete, y aprovechar la ocasión para hacer una fotocopia por las dos caras del DNI.

La mayor parte de los datos que contiene el documento de identificación español no son necesarios en absoluto para cuestiones meramente comerciales, por lo que bastaría con simplemente enseñarlo para la comprobación del registro o apunte del número, confirmación de la fotografía identitaria y, en según qué casos, la edad (para acceder a descuentos, etc). El resto de datos no deberían ser anotados ni acumulados mediante la fotocopia completa que, además, si una adecuada salvaguarda, puede caer en malas manos.

30 septiembre, 2023
GALYMOL ASESORES DE EMPRESAS, S.L.

La entrada El recado de la AEPD para operadoras, hoteles o dentistas: no deben fotocopiar el DNI se publicó primero en Galymol - Consultoría de Protección de Datos Alicante.