OBSERVATORIO NORMATIVO

Portal especializado de alertas en Compliance, Protección de Datos, CiberSeguridad y CiberDerecho

LA DPA DE LETONIA PUBLICA UNAS ORIENTACIONES SOBRE SEGUIMIENTO DE EMPLEADOS DURANTE LAS HORAS DE TRABAJO REMOTO.

La Autoridad de Control de Letonia (DVI) ha publicado unas orientaciones sobre el seguimiento de empleados durante la jornada de trabajo en remoto, a partir del uso de programas que permiten dicho seguimiento. Su instalación en los dispositivos de trabajo permite el control de la duración y frecuencia de trabajo, la ubicación o cualquier información sobre el uso del dispositivo corporativos. Este tipo de programas pueden utilizarse para monitorizar al empleado, pudiendo suponer esto un tratamiento excesivo de datos.  

La DVI establece que, la monitorización a partir de medios automatizados ya sea bien con cámaras de vídeo, con aplicaciones, u otras soluciones, debe utilizarse de forma excepcional y temporal, como último recurso, cuando el objetivo pretendido no pueda conseguirse con medios menos intrusivos para la privacidad de los empleados. Para que el empleador pueda supervisar las tareas del empleado mientras preserva su privacidad, se recomienda que, previamente a que el empleador implemente dicho tratamiento, tenga en consideración lo siguiente:  

(i) La necesidad de establecer una intención clara, es decir, conocer  el propósito por el cual los datos deben ser tratados; (ii) determinar la cantidad y categoría de datos que se necesitan para la consecución del fin; (iii) seleccionar y aplicar una base legitimadora adecuada, recomendando la ejecución del contrato de trabajo o los intereses legítimos del empleador; (iv) evaluar las soluciones disponibles teniendo en cuenta la finalidad y la base legitimadora, seleccionando el programa más adecuado para que no se traten datos de forma excesiva; e (v) informar a los empleados del tratamiento previsto. 

 

MÁS INFORMACIÓN: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-darbinieku-izsekosana-attalinata-darba-laika

EL COMISIONADO ESTATAL DE PROTECCIÓN DE DATOS DE BAVIERA PUBLICA UNA NUEVA GUÍA SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS.

El Comisionado de Protección de Datos del Estado de Baviera (BLD) ha publicado una guía sobre Transferencias internacionales de datos, analizando la situación normativa actual y las consecuencias que provocó la sentencia del TJUE del caso Schrems II, a través de la cual se anuló el marco de privacidad UE – EE. UU. Teniendo en cuenta esta situación, la guía determina dos etapas que deben seguirse en este tipo de tratamiento de datos consistentes en (i) verificar si se cumplen, en el tercer país, los principios generales establecidos en el RGPD y (ii) comprobar si cumplen el resto de las disposiciones del Reglamento.   

La guía destaca algunos criterios importantes que deben considerarse al realizar transferencias de conformidad con unas directrices del EDPB. Estos criterios incluyen los posibles usos de los datos por parte del encargado de tratamiento, así como la potencial accesibilidad a los datos por terceros países. También se hace hincapié en la importancia de tener un marco de protección adecuado que cumpla con las regulaciones del RGPD, emitido por la Comisión Europea. Recientemente, se está trabajando en un nuevo marco para las transferencias a EE. UU. con el fin de lograr un nivel de protección similar al RGPD.  

Por último, describe seis pasos específicos que deben seguirse para llevar a cabo transferencias de conformidad con las regulaciones del RGPD. En primer lugar, (i) es necesario determinar las transferencias que se llevarán a cabo, (ii) seguido de la selección de una herramienta de transmisión enumerada en el RGPD. A continuación, (iii) se debe comprobar la eficacia de la herramienta seleccionada y (iv) seleccionar y aplicar medidas adicionales tanto contractuales como técnicas y organizativas, entre las cuales se incluyen las Cláusulas contractuales tipo, mecanismos de certificación o códigos de conducta. Asimismo, (v) es necesario iniciar los trámites formales para la transferencia y, por último, (vi) revisar y reevaluar el nivel de protección según sea necesario. 
 
Noticia - Privacidad / Protección Datos

LA OFICINA DEL COMISIONADO DE PRIVACIDAD DE NUEVA ZELANDA HA EMITIDO UNA GUÍA SOBRE EL USO GENERATIVO DE LA IA.

La Oficina del Comisionado de Privacidad de Nueva Zelanda (OPC) ha publicado en su página web una Guía sobre la Inteligencia Artificial Generativa (IA). El objetivo de esta guía es hacer ver los riesgos y consecuencias que tienen el uso de los sistemas de inteligencia artificial, y esperan que aquellos que las utilicen tengan en cuenta las orientaciones emitidas a la hora de tratar datos personales de los ciudadanos neozelandeses.  

 

Entre los riesgos de privacidad asociados a los sistemas de IA generativa, destacan (i) la utilización de los datos utilizados para el entrenamiento del sistema, (ii) la confidencialidad de la información que se ingresa en el sistema, existiendo un riesgo de que esta información sea filtrada, divulgada, retenida o sufra una brecha de seguridad; (iii) la falta de precisión de la información creada por la IA generativa; (iv) la imposibilidad de ejercer el derecho de acceso y rectificación.

Se incluyen orientaciones sobre pasos a seguir para incluir el uso de estas herramientas, tales como (i) que su uso sea aprobado por altos cargos de la empresa; (ii) se determine la  proporcionalidad de la implantación del sistema; (iii) se realice una evaluación de impacto para determinar los riesgos para la privacidad; (iv) se informe a los clientes sobre el uso de esta herramienta y sus riesgos; (v) se desarrollen procedimientos de ejercicio de derechos; vi) se asegure la supervisión humana en los resultados generados, así como (vii) se asegure que la herramienta no retenga, divulgue o filtre la información personal o confidencial introducida en ella.  

MÁS INFORMACIÓN: https://www.privacy.org.nz/publications/guidance-resources/generative-artificial-intelligence/ 

DECLARADA ILÍCITA LA COMUNICACION DE DATOS A EEUU DE CONTRIBUYENTES FISCALES BELGAS

En 2020 la Autoridad Belga de Protección de Datos (APD) recibió una denuncia por parte de un ciudadano con doble nacionalidad belga y estadounidense, y de la Asociación de Estadounidenses Accidentales en Bélgica (AAAB). Esta denuncia se interpuso en el marco de las transferencias realizadas entre las autoridades fiscales belgas y estadounidenses sobre los datos de contribuyentes belgas, nacidos en EE.UU, y que no tienen ningún otro vínculo con el país.

El intercambio de información se realiza en virtud de lo dispuesto en el Foreign Account Tax Compliance (FATCA), a través del cual EE.UU exige a otros países la transmisión de información y datos personales de sus nacionales, con el fin de luchar contra el fraude fiscal. En este sentido, los reclamantes se oponen a estas transferencias dado que no tienen conexión alguna con EE.UU. La Sala de lo Contencioso de Bélgica ha concluido que las mismas son ilegales y no respetan el principio de limitación de la finalidad, de minimización de datos y de proporcionalidad contemplados en el RGPD.

Asimismo, la APD ha determinado que la transferencia de los datos de estos ciudadanos infringe la normativa de protección de datos, procediendo a prohibir el tratamiento en ejecución del acuerdo FATCA. La decisión puede tener repercusiones a escala europea, siendo cuestionable la compatibilidad entre los acuerdos FATCA y el RGPD. No obstante, la decisión puede ser recurrida ante el Tribunal del Mercado, una sección especializada del Tribunal de Apelación de Bruselas, aunque su interposición no tiene efectos suspensivos.

MÁS INFORMACIÓN: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-61-2023.pdf 

AUTORIDAD DE PROTECCION DE DATOS FINLANDESA AMONESTA A INSTITUTO METEOROLÓGICO

La Autoridad de Protección de Datos de Finlandia ha amonestado al Instituto Meteorológico de Finlandia por transferir datos personales a Estados Unidos a través de la tecnología de seguimiento de sitios web sin una base de legitimación para realizar estas transferencias, y sin haber realizado una evaluación de impacto de protección de datos relacionada con el uso de tecnologías de seguimiento.

El Instituto Meteorológico de Finlandia había hecho uso en su página web del servicio de (i) reCAPTCHA, con la finalidad de distinguir los bots de las personas; y el servicio de (ii) Google Analytics con la finalidad de monitorizar las estadísticas de los visitantes de su página web.

La Autoridad de Protección de Datos Finlandesa señala la importancia de no amparar las transferencias de datos fuera de la Unión Europea y del Espacio Económico Europeo en base al consentimiento obtenido por parte del interesado para el uso de cookies.  Asimismo, ha ordenado al Instituto Meteorológico de Finlandia eliminar los datos personales transferidos a EE. UU sin una base de legitimación adecuada.

 

MÁS INFORMACIÓN: https://tietosuoja.fi/-/ilmatieteen-laitokselle-huomautus-henkilotietojen-siirroista-yhdysvaltalaisyritys-googlelle 

Noticia - Privacidad / Protección Datos

ENTRADA EN VIGOR DEL CONVENIO SOBRE CIBERSEGURIDAD Y PROTECCIÓN DE DATOS DE LA UNIÓN AFRICANA.

El Convenio de la Unión Africana sobre Seguridad Cibernética y Protección de Datos Personales (Convenio de Malabo) entrará en vigor en junio de 2023. Tras 9 años intentando atraer 15 ratificaciones para su entrada en vigor, se consigue cumplir con dicho requisito con la ratificación de Mauritania.

El objetivo del texto es el de crear un marco jurídico donde se integre el comercio electrónico, la protección de datos, ciberdelincuencia y ciberseguridad en el continente africano, además de establecer el mandato de que los países que forman parte de la Unión Africana desarrollen leyes nacionales que se ajusten al contenido del Convenio. 

Para su correcta aplicación, se prevé (i) el desarrollo de directrices de implementación para los Estados miembros, así como redactar un plan de acción que trate de remediar las posibles aspectos no regulados en el Convenio; (ii) desarrollar una ley que sirva como modelo de protección de datos con la que facilitar a los estados la promulgación de sus propias leyes conforme al Convenio; y (iii) proporcionar apoyo a las autoridades de protección de datos en África para conseguir una correcta implementación de la norma.

 

MÁS INFORMACIÓN: https://au.int/sites/default/files/treaties/29560-treaty-0048_-_african_union_convention_on_cyber_security_and_personal_data_protection_e.pdf 

LA AEPD SANCIONA A DIGI SPAIN TELECOM CON 70.000 EUROS POR DUPLICAR LA TARJETA SIM DE UN CLIENTE SIN CONSENTIMIENTO.

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Digi Spain Telecom S.L (Digi) al haber tratado ilícitamente los datos personales de un cliente. En este sentido, Digi ha proporcionado a un tercero no autorizado un duplicado de la tarjeta SIM del legítimo titular.

Para que la operadora pueda cumplir con la obligación contractual de expedir un duplicado de la SIM, debe seguir y cumplir con el protocolo de verificación de identidad. Dado que no se acredita que Digi haya comprobado el documento identificativo original del interesado, se ha incumplido el protocolo mencionado, dando lugar a un tratamiento ilícito de datos y a la consumación del fraude del Sim Swapping.

Como consecuencia de haber vulnerado el principio de licitud, se ha determinado la comisión de una infracción calificada por la LOPDGDD como muy grave, imponiendo la AEPD a Digi una sanción cuya cuantía es de 70.000.

 

MÁS INFORMACIÓN: https://www.aepd.es/es/documento/ps-00500-2022.pdf

META RECIBE UNA SANCIÓN DE 1.200 MILLONES DE EUROS POR LAS TRANSFERENCIAS INTERNACIONALES DE DATOS, VULNERANDO EL RGPD.

La Autoridad de Protección de Datos de Irlanda (DPC) ha impuesto la multa más alta en materia de privacidad a Meta Plataforms IrelandLimited, con una cuantía de 1.200 millones de euros. La sanción se ha impuesto tras una investigación sobre el servicio de Facebook en el marco las transferencias internacionales de datos realizadas a EE.UU, incumpliendo de forma sistemática, repetitiva y continuada lo dispuesto en la normativa europea de protección de datos.  

 

Las transferencias de datos a EEUU se realizan en circunstancias que no garantizan un nivel esencialmente equivalente al ofrecido por el RGPD, implicando esto un alto riesgo para los derechos y libertades de los usuarios europeos. Además, Meta no tiene derecho a acogerse a ninguna de las excepciones por las cuales se permiten las transferencias internacionales de datos dada la normativa estadounidense, la cual permite a sus servicios de inteligencia realizar una vigilancia masiva sobre los usuarios europeos.

Además de la multa de 1.200 millones de euros impuesta a Meta, se ha impuesto la orden de cumplir con lo dispuesto en el RGPD, suspendiendo las transferencias internacionales de datos y cesando del tratamiento ilícito, incluido el almacenamiento de datos de los usuarios de Meta. Meta dispone del plazo de seis meses para cumplir con las obligaciones señaladas en la decisión final.

MÁS INFORMACIÓN: https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf 

 

LA AUTORIDAD DE CONTROL RUMANA SANCIONA A AUTOMOBILE BAVARIA CON 18.000 € POR INFRINGIR VARIOS PRECEPTOS DEL RGPD.

La Autoridad de Protección de datos de Rumanía (ANSPDCP), al realizar una investigación a la compañía Automobile Bavaria SRL tras recibir una notificación de violación de datos personales, ha determinado que la compañía no implementaba medidas de seguridad adecuadas y conforme al RGPD.

 

La violación de datos tuvo lugar como resultado de la filtración de datos personales de unos 290 potenciales clientes, siendo sus datos personales accesibles públicamente en la web de la compañía. Entre los datos filtrados se encontraban el nombre, apellidos, dirección de correo electrónico, número de teléfono, datos relativos a métodos de compra, presupuesto, entre otros. 

Durante la investigación se determinó que el responsable de tratamiento no aplicaba medidas técnicas y organizativas adecuadas al riesgo de tratamiento, ni aseguraba la privacidad desde el diseño ni por defecto.  Por todo ello, la ANSPDCP decidió imponerle a Automobile Bavaria SRL una sanción de 18.000 euros por no garantizar la seguridad de los datos personales tratados.

MÁS INFORMACIÓN: https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_18_05_2023&lang=ro 

AUTORIDAD DE PROTECCIÓN DE DATOS CROATA MULTA CON 380.000 EUROS A UNA EMPRESA DE APUESTAS DEPORTIVAS POR REALIZAR TRATAMIENTO NO AUTORIZADO DE DATOS

La Agencia de Protección de Datos Personales de Croacia (AZOP) ha sancionado a una compañía de apuestas deportivas por varias infracciones del RGPD. Estas incluyen (i) el tratamiento de datos personales, bancarios y relativos a medios de pago, sin una base legal para ello; (ii) la falta de información adecuada a los interesados sobre cómo se tratan sus datos; (iii) la falta de implementación de medidas técnicas y organizativas apropiadas para el tratamiento de datos; y (iv) la falta de aplicación de técnicas de cifrado de datos personales en las bases de datos que incluyen información de los interesados.

Se inició una investigación a partir de la queja de un usuario, a quien se había solicitado una copia a doble cara de su tarjeta bancaria. AZOP determinó que la recopilación de este tipo de datos no era necesaria para cumplir con las obligaciones legales establecidas en la normativa de blanqueo de capitales (argumento de la empresa sancionada) y que los interesados no tenían acceso a información básica relativa al tratamiento de sus datos. 

Asimismo, se demostró que los datos bancarios revisten una sensibilidad particular y que, según el contexto, pueden suponer un alto riesgo para derechos y libertades de los interesados. Pese a que la compañía de apuestas deportivas ha demostrado un grado de responsabilidad al informar a la AZOP sobre la forma en la que prevé cumplir con lo dispuesto en el RGPD, lo que ha significado la aplicación de una atenuante, la AZOP ha decidido imponer una multa de 380.000 euros. 

MÁS INFORMACIÓN: https://azop.hr/sportskoj-kladionici-izrecena-upravna-novcana-kazna-od-380-000-eura/