DirectRGPD

AEPD

  • AEPD Refuerza su Rol en la Supervisión de Sistemas de IA: Implicaciones de la Nueva Regulación Europea

    AEPD Refuerza su Rol en la Supervisión de Sistemas de IA: Implicaciones de la Nueva Regulación Europea

    En un contexto de rápida evolución tecnológica, la Agencia Española de Protección de Datos (AEPD) ha emitido un recordatorio clave sobre su capacidad para intervenir en sistemas de inteligencia artificial (IA) que procesan datos personales, especialmente aquellos clasificados como prohibidos bajo el Reglamento Europeo de IA (RIA, Reglamento 2024/1689). Esta nota de prensa, publicada el 15 de julio de 2025, subraya que la AEPD puede actuar de inmediato para proteger los derechos de privacidad, incluso antes de la plena entrada en vigor de la normativa. [AEPD, 2025] Con la fecha crítica del 2 de agosto de 2025 aproximándose, cuando entrarán en vigor las prohibiciones y el régimen sancionador de ciertos artículos del RIA, esta actualización resalta la intersección entre IA y protección de datos en España.

    Antecedentes y Alcance de la Intervención de la AEPD

    La AEPD ha analizado sus competencias en relación con el Artículo 5 del RIA, que detalla prácticas de IA prohibidas por su potencial daño a los derechos fundamentales. [RIA Artículo 5] Aunque España aún no ha aprobado su ley nacional de IA, lo que retrasa la designación formal de la AEPD como autoridad de vigilancia del mercado, la agencia mantiene su autoridad en materia de protección de datos. Esto le permite supervisar y sancionar tratamientos de datos personales en sistemas de IA prohibidos, como la identificación biométrica remota en tiempo real en espacios públicos, siempre que afecten a la privacidad individual. [AEPD, 2025] La AEPD enfatiza la necesidad de reforzar sus recursos técnicos, humanos y presupuestarios para asumir plenamente estas funciones una vez implementada la legislación nacional.

    Prácticas de IA Prohibidas Según el Artículo 5 del RIA

    El Artículo 5 del Reglamento Europeo de IA establece una lista exhaustiva de prácticas prohibidas, diseñadas para salvaguardar la dignidad humana, la libertad y la privacidad. Entre las prohibiciones destacan:

    • Técnicas subliminales o manipuladoras que distorsionan el comportamiento, causando daños significativos, sin excepciones explícitas. [RIA Artículo 5]
    • Explotación de vulnerabilidades por edad, discapacidad o situación socioeconómica, también sin permisos.
    • Categorización biométrica para inferir características sensibles como opiniones políticas o orientación sexual, permitida solo para etiquetado o filtrado legal de conjuntos de datos biométricos.
    • Puntuación social que clasifica individuos por comportamiento, con excepciones para evaluaciones legales específicas.
    • Identificación biométrica remota en tiempo real en espacios públicos para fines policiales, autorizada excepcionalmente para búsquedas de víctimas, amenazas a la vida o localización de sospechosos de delitos graves, con requisitos como autorización judicial y límites temporales/geográficos. [RIA Artículo 5]
    • Evaluaciones de riesgo criminal basadas en perfiles, permitidas si no se basan solo en rasgos de personalidad y incluyen datos objetivos.
    • Raspado no dirigido de internet para bases de datos de reconocimiento facial, sin excepciones.
    • Reconocimiento de emociones en entornos laborales o educativos, permitido por razones médicas o de seguridad.

    Estas prohibiciones se alinean con el RGPD, priorizando la minimización de datos y la protección por diseño. [RIA Artículo 5] La AEPD puede intervenir si estos sistemas procesan datos personales, incluso antes del 2 de agosto de 2025.

    Controversias y Casos Recientes Relacionados

    El anuncio llega en medio de un aumento en reclamaciones relacionadas con IA. En 2024, la AEPD recibió 19.000 quejas, destacando retos como la IA, espacios de datos y neurodatos. [AEPD Reclamaciones] Un caso notable es la sanción impuesta por el uso de datos biométricos con IA en exámenes universitarios online, considerado ilegal por su intrusividad, aunque se apuntan posibilidades normativas bajo ciertas condiciones. [Sanción Universidad] Además, la entrada en vigor de prohibiciones iniciales en febrero de 2025, como el reconocimiento de emociones en workplaces, ha generado debates sobre multas de hasta 35 millones de euros. [Europarl]

    En redes sociales, profesionales del derecho y empresas han compartido preocupaciones sobre el impacto en negocios, como la identificación biométrica, instando a adaptaciones inmediatas. [X Debate] Publicaciones en X destacan cómo esto afecta a sectores como el turismo o la educación, con llamadas a consultar blogs especializados para cumplimiento.

    Consecuencias para Empresas y Recomendaciones

    Las implicaciones son significativas: ignorar estas normas podría resultar en sanciones millonarias y daños reputacionales. La AEPD recomienda a entidades que implementen IA preparar medidas de cumplimiento, como evaluaciones de impacto y transparencia. [AEPD, 2025] En contextos laborales, sindicatos y expertos urgen a prohibir usos como la detección de emociones, alineados con el RIA. [Europarl] Para consultores, esto representa una oportunidad para asesorar en auditorías proactivas, integrando el RGPD con el RIA.

    En resumen, el posicionamiento de la AEPD fortalece la protección de datos en la era de la IA, equilibrando innovación y derechos fundamentales. Con la fecha del 2 de agosto de 2025 en el horizonte, empresas deben actuar con urgencia para evitar riesgos en un panorama regulatorio cada vez más estricto.

    Fuentes

    1. AEPD. (2025). La AEPD recuerda que ya puede actuar ante sistemas de IA.
    2. Reglamento (UE) 2024/1689, Artículo 5.
    3. AEPD. (2025). Reclamaciones en el primer semestre.
    4. DataGuidance. (2024). Sanción a universidad por uso de datos biométricos.
    5. Parlamento Europeo. (2023). EU AI Act.
    6. X. (2025). Debate sobre impacto de la regulación de IA.
  • AEPD Prohíbe Copias de DNI en Hospedajes: Un Cambio Clave en Protección de Datos

    AEPD Prohíbe Copias de DNI en Hospedajes: Un Cambio Clave en Protección de Datos

    En un movimiento que resalta la prioridad de la minimización de datos en la era digital, la Agencia Española de Protección de Datos (AEPD) ha emitido una nota técnica aclarando que no se permite solicitar copias del DNI o pasaporte en establecimientos de hospedaje. Esta directriz, alineada con el Reglamento General de Protección de Datos (RGPD), busca equilibrar las obligaciones de seguridad con el respeto a la privacidad individual, afectando directamente a hoteles, apartamentos turísticos y plataformas como Airbnb. Para consultores en adaptación a normativas de datos, esta actualización representa una oportunidad para revisar protocolos y evitar exposición a riesgos regulatorios.[AEPD]

    Razones Detrás de la Prohibición

    La AEPD argumenta que pedir una copia del DNI viola el principio de minimización establecido en el artículo 5.1.c del RGPD, ya que incluye información superflua como fotografías, fechas de caducidad o datos familiares no requeridos por el Real Decreto 933/2021. Este decreto obliga a recopilar datos específicos de huéspedes para fines de seguridad pública, como prevención de delitos, pero no justifica el tratamiento excesivo de datos sensibles. Además, la agencia destaca riesgos como la suplantación de identidad, ya que una copia no verifica de manera fiable la autenticidad del portador. Enviar o escanear documentos no solo incrementa vulnerabilidades cibernéticas, sino que también podría exponer a millones de usuarios a brechas de datos, un problema recurrente en el sector turístico.

    Alternativas Recomendadas para Cumplir con la Normativa

    Para facilitar el cumplimiento, la AEPD propone métodos alternativos que priorizan la eficiencia y la privacidad. Los huéspedes pueden completar formularios presenciales o digitales con los datos exactos exigidos, como nombre, dirección y detalles de contacto. En check-ins presenciales, basta con una verificación visual del documento. Para reservas online, se sugieren certificados digitales, validación mediante datos de pago o códigos de autenticación enviados por SMS o email. Estos enfoques no solo reducen riesgos, sino que agilizan procesos, permitiendo a las empresas mantener la operatividad sin comprometer la conformidad. Consultores pueden asesorar en la implementación de estas herramientas, integrando evaluaciones de impacto en protección de datos para personalizar soluciones.

    Polémicas y Quejas de Usuarios: Un Debate en Aumento

    La práctica de solicitar copias de DNI ha generado controversia significativa, con numerosas quejas de usuarios que denuncian invasiones a su privacidad. En redes sociales y foros, viajeros han reportado casos donde hoteles insisten en escanear documentos, exponiéndolos a potenciales estafas o robos de identidad, como alertó la Policía Nacional en campañas recientes.[Policía Nacional] Un ejemplo viral en TikTok involucra a un experto en ciberseguridad advirtiendo que «pueden hacer de todo» con una copia del DNI, desde fraudes hasta usos no autorizados.[TikTok] Otro caso destacado: un cliente denunció a un hotel por escanear su DNI, resultando en una sanción que generó debate sobre prácticas estandarizadas en la industria.[Caso Hotel] Estas polémicas se intensifican en plataformas como Facebook, donde usuarios comparten experiencias de rechazo a peticiones, argumentando que basta con mostrar el documento sin copiarlo.[Facebook] La AEPD ha respondido a estas inquietudes, reforzando que tales demandas son innecesarias y contraproducentes.

    Consecuencias para las Empresas: Multas y Reputación en Juego

    Las implicaciones para las compañías son severas. La AEPD ha impuesto sanciones ejemplares, como una multa de 75.000 euros a una cadena hotelera por exigir fotografías de DNI de forma rutinaria, o rebajas a 5.400 euros en casos menores tras admisión de culpa.[75.000€][5.400€] En incidentes más graves, las penalizaciones han alcanzado los 300.000 euros por violaciones sistemáticas del RGPD.[Multas Altas] Más allá de lo económico, las empresas enfrentan daños reputacionales, pérdida de confianza de clientes y posibles demandas colectivas. En un contexto de mayor escrutinio, como el nuevo registro de viajeros, ignorar estas directrices podría derivar en inspecciones y suspensiones operativas. Consultores recomiendan auditorías proactivas para mitigar estos riesgos, transformando la conformidad en una ventaja competitiva.

    Implicaciones para Consultores en Adaptación a Protección de Datos

    Para profesionales especializados, esta nota de la AEPD subraya la necesidad de guiar a clientes hacia prácticas sostenibles. Evaluar y rediseñar flujos de check-in, capacitar personal y monitorear actualizaciones regulatorias son pasos clave. Al integrar herramientas digitales seguras, los consultores pueden ayudar a evitar polémicas y fortalecer la resiliencia ante futuras normativas europeas.

    En resumen, esta directriz no solo corrige una práctica común, sino que impulsa un sector turístico más ético y seguro. Con el aumento de quejas y sanciones, las empresas que se adapten rápidamente ganarán en credibilidad, mientras que los consultores jugarán un rol pivotal en esta transición.

  • Alerta consultores y empresas, la AEPD prepara una nueva era de privacidad e inteligencia artificial

    Alerta consultores y empresas, la AEPD prepara una nueva era de privacidad e inteligencia artificial

    La inteligencia artificial está transformando el tratamiento de datos, y las empresas deberán adaptar su documentación para cumplir con las nuevas exigencias. Todo tratamiento que se recabe, procese o delegue mediante sistemas de IA deberá someterse a medidas más estrictas y una vigilancia reforzada, garantizando así la protección efectiva de los derechos digitales.

    Recientemente en el curso de verano de la Universidad Internacional Menéndez Pelayo, Cotino realizó una intervención en el curso de verano de la Universidad Internacional Menéndez y dejó claro que la AEPD no va a limitarse a reaccionar ante los cambios tecnológicos: va a liderarlos. Desde una perspectiva profesional, resulta especialmente relevante su apuesta por la creación de un Laboratorio de Privacidad, donde se integren conocimientos técnicos y jurídicos para generar soluciones aplicables.

    Otro dato significativo es el aumento del 30 % en las reclamaciones ante la Agencia en el primer semestre del año. Este incremento refleja una ciudadanía más consciente de sus derechos, pero también la necesidad urgente de reforzar los recursos humanos y técnicos de la institución.

    ¿Pero quién es Lorenzo Cotino?

    Lorenzo Cotino Hueso es una figura destacada en el ámbito jurídico español, especialmente en lo que respecta a derechos fundamentales y protección de datos. Catedrático de Derecho Constitucional en la Universitat de València, ha sido magistrado suplente del Tribunal Superior de Justicia de la Comunitat Valenciana y vocal del Consejo de Transparencia. Su trayectoria académica y profesional lo posiciona como un experto en el cruce entre tecnología, legalidad y derechos digitales.

    Con más de 180 publicaciones científicas y la coordinación de redes sobre inteligencia artificial, administración electrónica y privacidad, Cotino representa una visión profundamente técnica y ética del futuro digital. Su nombramiento como presidente de la Agencia Española de Protección de Datos (AEPD) no solo es acertado, sino necesario.

    Lorenzo-Cotino-Hueso-agencia protección datos directorio de profesionales direct rgpd tecnolopd
    Lorenzo Cotino Hueso – Sede de la agencia protección datos

    Un plan estratégico con visión colaborativa

    Cotino presentó el Plan Estratégico 2025–2030, compuesto por 45 objetivos y más de 200 medidas. Lo más destacable es que se ha construido desde la escucha activa, con más de 470 aportaciones de profesionales, empresas y ciudadanos. Esta forma de trabajo, basada en la co-creación, es precisamente lo que necesita una institución que debe adaptarse a un entorno digital cambiante.

    Inteligencia artificial y privacidad: ¿enemigos o aliados?

    Cotino ha sido claro: la inteligencia artificial no está reñida con la privacidad. La AEPD va a trabajar para que los tratamientos de datos personales se realicen con todas las garantías. Esta postura resulta sensata y necesaria, especialmente en un momento en que la IA avanza más rápido que la regulación.

    No obstante, conviene observar con atención cómo se aplicarán estas medidas. Existe el riesgo de que, bajo la bandera de la protección de datos, se acabe frenando el desarrollo de la inteligencia artificial en España o Europa, limitando la competitividad frente a otros mercados más flexibles. La clave estará en encontrar un equilibrio real entre garantía jurídica y estímulo tecnológico.

    ¿Qué cambios se prevén en el RGPD y cómo afectarán a consultores y empresas?

    La evolución del Reglamento General de Protección de Datos (RGPD) hacia 2025–2030 no implica una reforma radical, pero sí una reinterpretación más exigente en su aplicación. La Agencia Española de Protección de Datos (AEPD), bajo el liderazgo de Lorenzo Cotino, ha dejado claro que se apostará por una supervisión más proactiva, especialmente en el uso de tecnologías disruptivas como la inteligencia artificial y la biometría.

    Actualización de documentación y registros adaptados para el tratamiento de IA

    Los consultores deberán revisar y actualizar toda la documentación entregada a sus clientes, incluyendo:

    • Registros de actividades de tratamiento: Se exigirá mayor detalle en los fines del tratamiento, las bases jurídicas y las medidas de seguridad aplicadas si el tratamiento se realiza con inteligencia artificial.
    • Políticas de privacidad: Deberán incorporar cláusulas específicas sobre el uso de algoritmos, decisiones automatizadas y transferencias internacionales.
    • Contratos con encargados del tratamiento: Se prevé una revisión más estricta de las cláusulas contractuales, especialmente en lo relativo a subencargados y auditorías.

    Nuevas medidas técnicas y organizativas

    La AEPD está promoviendo un enfoque basado en el riesgo, lo que implica que las medidas de seguridad ya no serán genéricas, sino adaptadas al tipo de tratamiento y al nivel de riesgo para los derechos de los interesados. Esto incluye:

    • Cifrado y seudonimización avanzada.
    • Auditorías periódicas de sistemas automatizados.
    • Protocolos de respuesta ante brechas de seguridad más exigentes.

    Evaluaciones de impacto y análisis de necesidad

    Las Evaluaciones de Impacto en Protección de Datos (EIPD) serán más frecuentes y detalladas. La AEPD ha publicado listas orientativas de tratamientos que requieren o no requieren EIPD, pero se espera que estas listas se actualicen para incluir nuevos escenarios como:

    • Tratamientos con IA generativa.
    • Uso de datos biométricos en entornos laborales.
    • Monitorización masiva en espacios públicos.

    Además, los análisis de necesidad deberán justificar no solo la legalidad del tratamiento, sino su proporcionalidad y compatibilidad con los principios éticos del RGPD.

    Nuevas exigencias para los clientes si se utiliza IA

    Las empresas deberán asumir un rol más activo en el cumplimiento normativo. Esto implica:

    • Designar Delegados de Protección de Datos (DPO) incluso en casos donde no era obligatorio antes.
    • Implementar códigos de conducta sectoriales y sistemas de certificación.
    • Participar en procesos de consulta previa con la AEPD cuando el tratamiento implique riesgos elevados.

    Supuestos futuros: ¿hacia un RGPD más dinámico?

    Aunque no hay una reforma legislativa en curso, se barajan escenarios como:

    Protección de datos como derecho evolutivo: Se espera que el RGPD se interprete cada vez más como un marco ético, no solo legal, lo que exigirá a los consultores una formación continua y multidisciplinar.

    RGPD 2.0: Una versión revisada que incorpore principios de gobernanza algorítmica, transparencia automatizada y derecho a la explicabilidad.

    Interoperabilidad normativa: Mayor alineación con otras normativas como la Ley de Inteligencia Artificial de la UE o la futura Ley de Neurotecnologías.

    La nota oficial de la noticia puede consultarse en la web de la Agencia Española de Protección de Datos (AEPD).

  • Derecho al olvido: ¿qué es y cómo ejercerlo?

    Derecho al olvido: ¿qué es y cómo ejercerlo?

    Podría decirse que el actual derecho al olvido hace referencia al tradicional derecho de cancelación u oposición que establece la Ley Orgánica de Protección de Datos. Aunque, en este caso, se trata de un derecho exclusivo de Internet y los buscadores generales, como Google.

    Durante algo más de 11 años, la Agencia Española de Protección de Datos y el Gigante de Internet (Google) estuvieron enfrentados en una batalla legal sobre la necesidad de que el buscador garantizara el derecho al olvido de los usuarios españoles. Obviamente, Google se negaba en rotundo a esto, aludiendo al derecho a la información. Sin embargo, la AEPD lo veía de forma diferente. Finalmente, el 13 de mayo de 2014 el Tribunal de Justicia de la Unión Europea (TJUE), publicó una sentencia favorable a este derecho y, en consecuencia, a la AEPD.

    Uno de los principales argumentos de Google para evitar esto era que la actividad empresarial de la compañía está sometida a la legislación estadounidense, puesto que es allí dónde está la empresa. Por el contrario, la AEPD defiende que Google tiene una sede en España y, por lo tanto, es esencial que se ajuste a la normativa del país.

    Según la sentencia mencionada, los motores de búsqueda están obligados a seguir las leyes vigentes de protección de datos de la Unión Europea, entre las que se encuentra el derecho al olvido en Internet. Esto implica, que cualquier usuario europeo pueda solicitar que se eliminen los enlaces que el buscador muestra tras una búsqueda por nombre y apellidos.

    A todo esto, es importante sumar el nuevo Reglamento de Protección de Datos Europeo, ya que presta especial atención al derecho al olvido y a las nuevas tecnologías.

    ¿Qué es el derecho al olvido?

    Como hemos comentado al principio, es parte de los derechos de cancelación y oposición, que se establecen en los famosos derechos ARCO. En este caso, la aplicación es para el ámbito online, concretamente, los motores de búsqueda. Lo más característico es que garantiza el poder evitar la difusión de cualquier tipo de dato personal a través del buscador en casos concretos, sobre todo, si se trata de información que ha quedado obsoleta o no goza del interés público necesario para que prime el derecho a la información.

    Tras la sentencia de mayo del 2014, se ha posibilitado que el usuario pueda realizar la reclamación directamente ante el buscador, en vez de tener que recurrir al editor del contenido en cuestión. No obstante, hay que tener en cuenta que la información seguirá permaneciendo en Internet. Lo que garantiza el derecho al olvido es que los datos personales no permanezcan indexados en los resultados que ofrece el buscador cuando se gestionan búsquedas por nombre. Es decir, si la búsqueda se ejecuta a través de cualquier otra palabra, la información seguirá estando visible online.

    Para ejercer el derecho al olvido, el ciudadano debe de dirigirse, por las vías establecidas (generalmente formularios o correos electrónicos) al buscador. En el caso de que no obtenga respuesta o esta no sea óptima, el usuario podrá solicitar la tutela de la Agencia Española de Protección de Datos.

    Finalmente, es importante tener claro que esta sentencia establece que el derecho a la protección de datos prevalece frente a cualquier tipo de interés económico, a no ser que la información sea de relevancia pública o de interés, lo que justificaría su difusión online.

  • La AEPD ayuda a las pymes a adecuarse al marco europeo en protección de datos

    La AEPD ayuda a las pymes a adecuarse al marco europeo en protección de datos

    El día 28 de enero se celebra el Día europeo de la protección de datos. Por este motivo, la Agencia Española de Protección de Datos (AEPD) celebró en fechas próximas a la efeméride un acto global a través del que pretende animar a las pymes a adecuarse al nuevo Reglamento Europeo, que entró en vigor en el pasado mes de mayo y que será de obligatorio cumplimiento a partir de finales de mayo de 2018.

    El 28 de enero es el día elegido para celebrar el Día de la protección de datos en Europa porque en esa fecha fue cuando se firmó el famoso Convenio 108, sobre el que se comenzó a gestar la protección de datos en toda la Unión Europea (a nivel comunitario).

    El evento celebrado en enero por la AEPD se centró en la Incidencia del nuevo Reglamento Europeo de Protección de Datos en las pymes. La elección de este tema no fue arbitraria, ya que en España hay más de 3,5 millones de pequeñas y medianas empresas que deben acogerse de forma debida al nuevo marco legal.

    La directora de la AEPD, Mar España, destacó la importancia de que una pyme lleve a cabo una correcta valoración del riesgo y la seguridad de los datos personales que se tratan en su empresa. De esta forma, asegura, la fidelidad será mayor, así como la competitividad.

    Por su parte, el ministro de Justicia, Rafael Catalá, puso especial atención en la importancia que tienen los datos en la actualidad. El ministro habló de “materia prima” al referirse a los datos, indicando que son esenciales en gran parte de las empresas que operan en el país. De ahí la necesidad de que la protección sobre los mismos sea consecuente y adecuada.

    La Jornada sobre la incidencia del nuevo marco europeo en las pymes

    Durante la jornada se explicó la importancia de comenzar a acogerse de forma paulatina al nueva Reglamento Europeo de Protección de Datos. Esto implicará que cualquier pyme deba centrarse mucho más en la protección de los datos que maneja, estudiando sus necesidades en todo momento. Por ello, consideran obligatorio que se comiencen a tomar las medidas necesarias para que las pequeñas y medianas empresas españolas puedan garantizar todo lo que se marca en el reglamento, ya en vigor.

    Para ello, los responsables de la Agencia Española de Protección de Datos pusieron de manifiesto la existencia de nuevos recursos y materiales que podrán facilitar la tarea a las pymes. Concretamente, se trata de una Guía del Reglamento para los responsables del tratamiento de datos de la empresa; una Guía para el cumplimiento del deber de informar; y unas Directrices para elaborar los contratos entre responsables y encargados de los datos.

    A todo esto, la AEPD sumará un test, que podrá realizarse a través de la propia web de la agencia para que las pequeñas y medianas empresas españolas puedan adecuarse de forma óptima al nuevo marco europeo en materia de protección de datos. Los recursos mencionados anteriormente pueden obtenerse desde la web de la AEPD.

  • La Agencia Española de Protección de Datos en 2017

    La Agencia Española de Protección de Datos en 2017

    Son muchos los retos a los que se enfrenta la Agencia Española de Protección de Datos en 2017. A finales del año 2015, la AEPD presentó su famoso Plan Estratégico, que se dividía en cinco ámbitos de actuación. Se trata de algo más de 110 acciones que pretenden llevar a cabo durante los años siguientes a su publicación. La idea de la agencia es básicamente divulgar todas las novedades en materia de protección de datos, así como dar a conocer los derechos de los ciudadanos en este sentido.

    Bloques en los que se divide el Plan estratégico de la AEPD

    • Prevención para una protección eficaz
    • Innovación y protección de datos
    • Una Agencia colaboradora, transparente y participativa
    • Una Agencia cercana a los profesionales y responsables de la privacidad
    • Una Agencia más ágil y eficiente

    A través de estos cinco bloques, la Agencia Española de Protección de Datos pretende lograr la concienciación necesaria para que la normativa vigente se aplique en todos los sectores, tanto públicos como privados.

    Según los propios responsables de la AEPD, casi la totalidad de las acciones previstas en dicho Pla Estratégico ya han sido puestas en marcha durante 2016. Aunque en este nuevo ejercicio tienen claro que prestarán mucha más atención a algunas de las cuestiones más importantes en materia de protección de datos.

    Los nuevos pasos de la Agencia Española de Protección de Datos

    Las bases de actuación de la Agencia Española de Protección de Datos pasan por trabajar de forma directa, tanto con los ciudadanos como con los responsables de tratamiento de las diferentes entidades. Lo más importante es conseguir que las empresas puedan adaptarse debidamente al Nuevo Reglamento Europeo de Protección de Datos, que ya ha entrado en vigor. No obstante, las empresas europeas tienen hasta el próximo mes de mayo de 2018 para adaptarse completamente al reglamento.

    Obviamente, son muchas las dudas que surgen en este sentido y por ello la AEPD pretende trabajar junto a los responsables de tratamiento para que puedan solventar cualquier duda de la forma más rápida posible.

    La AEPD tiene como objetivo principal convertirse en un organismo de participación, que resulte completamente eficaz para los ciudadanos y a las empresas.

    Las pymes forman parte de uno de los puntos de actuación previstos por la Agencia Española de Protección de Datos para este 2017. La AEPD pondrá a disposición de estas pequeñas empresas todas las herramientas que les sean de utilidad para adaptarse debidamente al nuevo reglamento europeo.

    Las nuevas tecnologías también van a ocupar la atención de la Agencia durante este año. De hecho, se trata de uno de los sectores más llamativos del reglamento de protección de datos puesto en marcha.

    Por otra parte, la concienciación de la ciudadanía supone uno de los retos más importantes para la AEPD durante este año. Para ello, se llevarán actuaciones específicas, sobre todo a la hora de formar e informar a menores y adolescentes sobre la necesidad de proteger sus datos. También se van a centrar en explicar a los ciudadanos todo lo relativo al derecho al olvido o la forma en la que pueden realizar todo tipo de solicitudes ante la Agencia o las empresas que tratan con datos personales.

  • Características y consideraciones sobre los derechos ARCO

    Características y consideraciones sobre los derechos ARCO

    Los derechos ARCO (Acceso, Rectificación, Cancelación u Oposición) suelen suscitar numerosas dudas sobre su aplicación y significado. Se trata de unos derechos personales, que cualquier ciudadano puede ejercer en referencia al uso y tratamiento de sus datos personales por terceros. El Título III de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es el que regula estos derechos tan importantes.

    • Derecho de Acceso: derecho de toda persona para obtener información acerca del uso que se están dando a sus datos de carácter personal. El origen de los datos, así como el tratamiento de los mismos debe de ser informado en todo momento al afectado.
    • Derecho de Rectificación: derecho del ciudadano a que se modifiquen o rectifiquen los datos que no sean correctos o estén incompletos.
    • Derecho de Cancelación: trata del derecho a excluir todos esos datos que no son óptimos o resulten exagerados para el tratamiento necesario. En el nuevo Reglamento Europeo de Protección de Datos se recoge el llamado “derecho al olvido”, que estaría en consonancia con este.
    • Derecho de Oposición: cualquier persona tiene derecho a oponerse a que sus datos personales sean tratados.

    Principales características de los derechos ARCO

    Pese a que los derechos ARCO son completamente independientes, es decir, que pueden ejecutarse por separado en todo momento, tienen unas características comunes que conviene conocer.

    Lo más importante es que se trata de derechos personales. Esto significa que solo pueden ser ejercidos por la persona titular de los datos en cuestión, así como por su tutor o representante legal.  Obviamente, el responsable del fichero de datos podrá oponerse a facilitar información cuando el solicitante no quede debidamente acreditado.

    Por su parte, el responsable del fichero está obligado a facilitar en todo momento el ejercicio de los derechos ARCO. Además, tiene que responder a las diferentes solicitudes en los plazos que marca la legalidad vigente.

    En el caso de que no se atiendan debidamente estos derechos por los responsables del tratamiento de los datos personales será posible apelar a la Agencia Española de Protección de Datos. La AEPD estudiará el caso detenidamente y ofrecerá una resolución que garantice que el usuario tenga la posibilidad de ejercer sus derechos ARCO.

    ¿Cómo se ejercen estos derechos personales?

    El procedimiento a llevar a cabo para ejercer los derechos ARCO es muy sencillo. El ciudadano debe solicitar al responsable del fichero ejercer su derecho de acceso, rectificación, cancelación u oposición. Para ello, tendrá que realizar una solicitud en la que se haga constar sus datos de filiación, así como un documento legal que acredite su personalidad. Es importante concretar la solicitud claramente, incluyendo cualquier documento que se considere relevante. A efectos de recibir comunicaciones es importante hacer constar un domicilio o una dirección de correo electrónico.

    El responsable del fichero comprobará los datos aportados por el solicitante y debe contestar obligatoriamente en los plazos que dicta la ley.

    ¿Cuándo no se tienen en cuenta estos derechos?

    Solamente debido a cuestiones de seguridad pública es posible que los derechos ARCO no sean tenidos en cuenta. Es decir, estos derechos están limitados en caso de que entren en conflicto con la seguridad del Estado, así como la prevención o averiguación de datos en el caso de que existan motivos penales.

    Sanciones derivadas del incumplimiento

    Impedir que los ciudadanos ejerzan estos derechos está estipulado como una sanción grave por parte de la AEPD. Esto significa que es posible la interposición de una multa que puede rondar desde los 40.000 hasta los 300.000 euros.

    Ante cualquier posible limitación en el ejercicio de los derechos ARCO es importante reclamar ante la AEPD para que actúe de inmediato.

  • Adaptación de una página web a la LOPD I: derechos y obligaciones

    Adaptación de una página web a la LOPD I: derechos y obligaciones

    Con el auge de las nuevas tecnologías y la creciente globalización tecnológica que estamos viviendo, proteger los datos de los usuarios que acceden a cualquier página web se convierte en una prioridad. La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), así como la Ley de Servicios de la Sociedad de la Información (LSSI) establecen unas condiciones necesarias y de obligado cumplimiento para todo aquel que recoja información de usuarios a través de cualquier servicio digital. Además, con la reciente aprobación del Reglamento Europeo en Protección de Datos, la normativa se vuelve mucho más restrictiva.

    Tener una página web es muy común hoy en día. Casi cualquier empresa que ofrece productos o servicios cuenta con un portal online, a través del que se da a conocer. Esto ha obligado a las administraciones a establecer algunos requisitos indispensables para garantizar la privacidad de los usuarios que acceden a dichas páginas.

    Adaptar una página web a la LOPD puede resultar una labor tediosa, pero es necesaria si se quieren evitar las sanciones que la Agencia Española de Protección de Datos (AEPD) puede establecer. Por ello, a veces es conveniente contratar a profesionales externos que realicen la adaptación de forma segura. En este sentido, el software de TecnoLOPD es una solución económica, fiable y rápida para la adaptación y mantenimiento de cualquier medio a la LOPD.

    La finalidad de la adaptación de la página online a la LOPD

    El fin último a la hora de adaptar una web a la Ley de Protección de Datos de Carácter Personal es, como su propio nombre indica, la protección de los datos de los usuarios. Estos datos se basan en información personal, que puede servir a la empresa a la hora de hacer sus ventas u ofrecer sus productos o servicios mediante comunicaciones electrónicas de diversa índole.

    La simple recogida del correo electrónico de los usuarios, muy habitual en los formularios de suscripción, requiere que se tomen las medidas oportunas para salvaguardar toda la información de todo aquel que accede a la página web. Obviamente, si el portal online es un ecommerce, que realiza ventas a través de Internet, el nivel de protección debe de ser mucho más elevado. Hay que tener en cuenta que, en este tipo de negocios, se realizan transacciones económicas y esto conlleva unas obligaciones por parte del propietario de la página. Por ello, cualquier tienda online está obligada a prestar especial atención a la adaptación de su negocio a la LOPD, protegiendo siempre los datos de sus clientes de la forma más exhaustiva posible.

    Todos los datos que se recogen de los usuarios deben de ser debidamente archivados en los ficheros oportunos que, obviamente, serán comunicados a la AEPD de forma óptima. Además, la página web tendrá la obligación de seguir toda la normativa vigente en cuanto a tratamiento de datos y, por supuesto, debe de informar y avisar al usuario de que su información se está almacenando con el fin concreto que tengan. Por ende, es importante que se informe correctamente de los derechos ARCO, es decir, los derechos de acceso, rectificación, cancelación u oposición.

    En el próximo artículo explicaremos detalladamente los pasos a seguir para adaptar una página web a la Ley Orgánica de Protección de Datos (LOPD).

    *Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

  • El abandono de ficheros con datos personales: motivo de sanción

    El abandono de ficheros con datos personales: motivo de sanción

    Hace unos días vio la luz una noticia que mucho tiene que ver con la destrucción de ficheros con datos de carácter personal. Concretamente, la Agencia Española de Protección de Datos (AEPD), ha sancionado a Instituciones Penitenciarias por el abandono de ficheros con datos personales de los reclusos en una antigua cárcel de Huelva.

    Esta cárcel se cerró en el año 2008 y hoy en día el edificio está en total estado de abandono. Al parecer, por el suelo de algunas de las estancias de la prisión se encontraron numerosos documentos con datos e informes sobre reclusos. La AEPD ha estipulado que se trata de una falta grave.

    La investigación sobre este caso parte del pasado mes de febrero, cuando la Agencia decide actuar de oficio para solventar el asunto. Tras realizar las pesquisas pertinentes y comprobar la gravedad del asunto, se ha impuesto una sanción a Instituciones Penitenciarias para que no vuelva a suceder un hecho de estas características. No obstante, cabe destacar que la AEPD no impone sanción económica a las administraciones públicas. Por lo tanto, es meramente una llamada de atención.

    Pese a que Instituciones Penitenciarias no esté obligada a hacer frente al pago de una multa económica, no ocurriría lo mismo si la sanción hubiera sido interpuesta a una empresa privada. Por lo tanto, nos parece importante y necesario resaltar la importancia de la destrucción de ficheros con datos personales antiguos.

    La LOPD sobre la destrucción de ficheros

    La Ley Orgánica de Protección de Datos de Carácter Personal es clara frente a este punto. Todos los ficheros, de cualquier soporte, que contengan datos de personas deben de ser destruidos de forma eficaz. Es decir, resulta primordial que la información sea irrecuperable.

    En este sentido, la LOPD establece diferentes tipos de ficheros, concretamente 6. Entre ellos destacan los documentos en papel, en soportes ópticos, soportes magnéticos o electrónicos.

    En el caso de los documentos en papel, como los encontrados en la cárcel onubense, deben de ser perfectamente destruidos. Para ello, las trituradoras de papel son una buena herramienta. Aunque en caso de necesitar eliminar cantidades ingentes de documentos, recurrir a empresas específicas para ello es una buena solución. La quema de papeles nos parece una opción poco práctica y peligrosa, por lo que nosotros la desaconsejamos.

    Si estamos ante CDs con datos, DVDs, discos duros, USBs, etc. Es importante realizar un borrado de información. No obstante, en el caso de que esto no sea posible, habrá que inutilizar los dispositivos. Un martillo es una buena herramienta para lograrlo.

    El objetivo principal es evitar que un tercero pueda tener acceso a la información personal almacenada en cualquier tipo de soporte. Y, obviamente, evitar las posibles sanciones por parte de la Agencia Española de Protección de Datos.

  • La figura del delegado de protección de datos

    La figura del delegado de protección de datos

    Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, aparecen algunas novedades de obligado cumplimiento. Una de ellas es la nueva figura del delegado de protección de datos. Teniendo en cuenta que el Reglamento está en ese periodo transitorio de dos años para que todas las empresas y organismos de la UE lo pongan en práctica, es importante comprender qué novedades habrá que ir implementando para evitar futuras sanciones.

    Cabe destacar que este nuevo Reglamento deroga la directiva europea de 1995 en materia de protección de datos. Además, es de obligado cumplimiento para todas las empresas, organizaciones y organismos públicos de la Unión Europea. De hecho, no es necesario que a nivel nacional se redacte una Ley para ponerlo en marcha, puesto que no se trata de una directiva.

    En los artículos 37 a 39 de este nuevo Reglamento Europeo de Protección de Datos se detalla la incorporación de la figura del Delegado de protección de datos. Pero, ¿sabemos realmente cuáles son sus funciones?

    Las funciones del delegado de protección de datos

    El delegado de protección de datos o DPO (por sus siglas en inglés) debe de estar especializado en derecho de protección de datos y estará por encima del responsable de tratamiento y el encargado de tratamiento de los datos. Sus funciones son variadas y muy importantes:

    1. Asesoramiento a los encargados del tratamiento de los datos personales sobre sus obligaciones ante el nuevo Reglamento, así como las que se devienen de la normativa nacional.
    2. En el caso de que los datos que se manejan sean de alto riesgo, deberá de realizar un estudio de impacto, asesorando a los responsables sobre cada cuestión. Además, tendrá que comprobar su cumplimiento.
    3. Labores de supervisión a todos los niveles para cerciorarse de que se está poniendo en práctica el nuevo Reglamento Europeo en Protección de Datos (tanto en organismos públicos como en empresas privadas).
    4. Funcionará como nexo de unión entre los organismos público y empresas con la Agencia de Protección de Datos.

    Además, el delegado de protección de datos podrá ser requerido por los titulares de los datos personales para solventar cualquier duda al respecto del tratamiento de sus datos.

    ¿Es obligatorio contar con esta figura?

    La respuesta es “sí”. El delegado de protección de datos es una nueva figura que debe constar, de forma obligatoria, en todos los organismos públicos. Además, las empresas que se dediquen al tratamiento de datos masivo también tendrán que incorporar a un delegado en su organigrama.

    Por otra parte, pese a que el Reglamento recomienda incorporar esta nueva figura a todas las empresas, no es obligatorio para aquellas PYMEs y otros organismos que su actividad principal no conlleve un tratamiento de datos personales que requieran un nivel de protección alto.

    Nombramiento del delegado

    Es importante tener en cuenta que no es necesario que cada empresa u organización cuente con un delegado de protección de datos independiente. De hecho, las administraciones públicas pueden tener un mismo delegado para diversos organismos. Lo mismo ocurre con los grupos empresariales. Además, aquellos organismos que representen a diferentes empresas tendrán la potestad de nombrar a un delegado para todas ellas.

    Obviamente, el delegado de protección de datos puede formar parte o no de la plantilla del negocio. Aunque es importante que la independencia de esta figura esté totalmente garantizada y no podrá ser destituido de su cargo por motivos que atañan al desempeño de su labor.