Category Archives: Protección de Datos

  • -

Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus

Tags :

logo-aepd26 de marzo de 2020

La Agencia recuerda los criterios que deben aplicarse para que el tratamiento de los datos personales de salud sea lícito.

En la actual situación de emergencia sanitaria derivada de la extensión del virus COVID-19 se están desarrollando iniciativas que implican un elevado volumen de tratamientos de datos personales y, especialmente, de datos sensibles como los de salud.

Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes facilitándoles criterios que permitan compatibilizarlos.

La Agencia ha constatado que se están lanzando iniciativas, tanto desde el ámbito público como desde el privado, que solicitan que los ciudadanos les faciliten información personal, fundamentalmente relacionada con la salud, al amparo de la situación de emergencia que vive nuestro país. Estas iniciativas tienen un espectro amplio, desde el ámbito local al global, y utilizan apps o páginas web.

Ante esta situación, la Agencia recuerda los criterios que deben aplicarse para que el tratamiento de los datos personales sea lícito.

Los fundamentos que legitiman/hacen posible dichos tratamientos son la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.

Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo.

Los datos que pueden obtenerse y utilizarse han de ser los que las autoridades públicas competentes consideren proporcionados/necesarios para cumplir con dichas finalidades.

Estos datos sólo podrán ser facilitados por quienes sean mayores de 16 años. En el caso de tratar datos de menores de 16 años, se requeriría de la autorización de sus padres o representantes legales.

Únicamente podrán tratar dichos datos las autoridades públicas competentes para actuar conforme a la declaración del estado de alarma, es decir, el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas, que podrán cederse datos entre ellas, y a los profesionales sanitarios que traten a los pacientes o que intervengan en el control de la epidemia.

Las entidades privadas que colaboren con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados.

Si los ciudadanos utilizan aplicaciones o webs de las que no son titulares las autoridades públicas, sino que son ofrecidos por entidades o personas privadas, no existirá la legitimidad que se ha indicado anteriormente para el tratamiento de los datos. En este sentido, es importante recomendar a los ciudadanos que sean especialmente cuidadosos a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales.

En cuanto a la previsión de que todos aquellos ciudadanos que hayan dado positivo en la prueba del COVID-19 puedan ser geolocalizados a través del teléfono móvil que hayan facilitado previamente, de modo que se pueda llevar a cabo un seguimiento de su cuarentena, hay que partir de nuevo de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia, tienen las autoridades sanitarias, teniendo en cuenta, además, que una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas.

De nuevo, nos encontramos ante una obligación impuesta por las autoridades sanitarias con el fin de evitar la propagación del virus, y que requiere un especial control de las personas que han dado positivo y que han sido obligadas a permanecer en su domicilio en cuarentena, así como también permite conocer las zonas con mayor número de afectados a fin de adoptar las medidas oportunas.

No obstante, el único dato que a los efectos de la geolocalización debería facilitarse a los operadores de telecomunicaciones, en su caso, sería el correspondiente al número de teléfono móvil que se tiene que geolocalizar, salvo que el Ministerio de Sanidad considerara que fuera imprescindible facilitar algún otro dato a los efectos del seguimiento de la enfermedad.

En todo caso, quienes pretendan obtener y tratar los datos de los ciudadanos deberán informarles de forma clara, accesible y fácilmente comprensible de todos los aspectos que se han descrito.

(Fuente https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad)


  • -

Nueva Ley de Protección de Datos: cambios, fecha y multas

El 25 de mayo de 2018 comenzará a aplicarse el nuevo Reglamento General de Protección de Datos impuesto por la Unión Europea. Antes de ese momento las pymes españoles tendrán que adaptarse a la nuevanormativa, ya que, en caso contrario, podrían enfrentarse a sanciones de hasta 20 millones de euros.

Según la empresa de soluciones de seguridad Eset, el Reglamento incluye medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige. Para ello, la Ley Orgánica de Protección de Datos otorga a las empresas la posibilidad de elegir entre dos opciones:

  • Opción de cifrado. A través de herramientas que facilitan el cifrado de portátiles, dispositivos extraíbles, correos electrónicos y archivos de empresas de todos los tamaños
  • Opción alternativa al cifrado convencional. Mediante cualquier mecanismo, como la esteganografía o el espectro ensanchado, que garantice que la información no sea inteligible ni manipulada por terceros

Además, con la nueva normativa, todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente. También será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.

Teniendo en cuenta que el Reglamento prevé sanciones millonarias para las empresas que incumplan la normativa, expertos de la empresa Acens recomiendan acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información y considerar la privacidad de forma previa a cualquier tratamiento de datos. Además, instan a las pymes a incorporar a sus plantillas la figura del Delegado de Protección de Datos (DPO) para que vele por el cumplimiento de la ley.

La ley no sólo es de aplicación para todas las empresas europeas, sino también para aquellas empresas internacionales que gestionen datos de usuarios residentes en la Unión Europea, por lo que deberán contar para tal efecto con un responsable visible en Europa.


  • -

Protección de datos personales. El reglamento de protección de datos

Tags :

En este breve vídeo realizado por la Universitat Politècnica de Valencia (UPV) el pasado mes de enero se explica de forma clara la Ley de protección de Datos personales.


  • -

Ciclo de Conferencias sobre el nuevo Reglamento General de Protección de Datos

14355726_1771555383084109_3856647057457279851_nEsta tarde hemos asistido a la primera jornada de conferencias sobre el Nuevo Reglamento general de Protección de Datos,  impartidas por la ‘Autoritat Catalana de Protecció de Dades’ (APDCAT) y el Colegio de la Abogacía de Barcelona (ICAB) con el objetivo de tratar las principales novedades que incorpora el nuevo Reglamento general de protección de datos.

Pueden seguir el siguiente enlace para conocer el programa de la conferencia de hoy: Ver programa


Buscar