La AEPD multa a Google y le solicita que se adecúe a la normativa con relación a la cesión de datos al Proyecto Lumen

La AEPD multa a Google y le solicita que se adecúe a la normativa tras infringir el RGPD con relación a cesiones de datos al Proyecto Lumen. 

 

La AEPD ha emitido una resolución en el caso contra Google donde establece que la compañía ha cometido dos graves infracciones del RGPD. La AEPD ha impuesto una multa de 10 millones de euros a Google LLC por compartir datos con terceros sin contar con una base legal para hacerlo y por vulnerar así el derecho de supresión de los ciudadanos. Este caso se relaciona con el envío de solicitudes de supresión vinculadas con la eliminación de contenido de varios productos y plataformas de Google, como Google search y YouTube, a un tercero, denominado ‘Lumen Project’.

 

Se transferían de forma ilegítima datos personales de los usuarios a un tercero, el Proyecto Lumen, cuando estos solicitaban la supresión de sus datos. 

 

Cuando los usuarios ejercían su derecho de supresión y solicitaban que su información fuese eliminada, debían rellenar un formulario y otorgar su consentimiento a que se compartan sus datos con un tercero. Este proceso infringía los artículos 6 y 17 del RGPD. Según el pronunciamiento de la AEPD, esta cesión de datos de Google LLC al Proyecto Lumen se imponía en usuarios a los que no se les ofrecía la posibilidad de oponerse a este tratamiento cuando rellenaban los documentos del derecho de supresión. En consecuencia, Google no podía obtener un consentimiento válido para la cesión de los datos de ese usuario mediante dicho proceso. Además, no existía en la política de privacidad de Google ninguna mención a este tratamiento de datos personales ni a la transferencia de datos al Proyecto Lumen entre las finalidades. Google designaba el sistema a través del cual los usuarios podían ejercer su derecho de supresión, que requería varias páginas para que el mismo se completase. Parte de este proceso requería que el sujeto rellenase un formulario y consintiese a la cesión a un tercero de sus datos, incluida su identificación, dirección de email y otra información.   

 

Como consecuencia del incumplimiento, Google ha sido multado y se le ha requerido adecuar sus prácticas a la normativa.

 

La AEPD explica en su decisión que, una vez que se ha presentado la solicitud de supresión y la misma se ha llevado a cabo “no hay posibilidad de tratamiento subsiguiente de los mismos datos, como la comunicación de Google LLC al Proyecto Lumen”. Google ha sido así multado con 10 millones de euros por las dos infracciones y deberá eliminar todos los datos personales que se han visto afectados, así como exigir al Proyecto Lumen que cese el tratamiento de los mismos y también los elimine.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Protección de datos de salud: nueva sección en la página de la AEPD

La AEPD ha inaugurado una nueva sección dentro de su página web, destinada a información y recursos específicos para la protección de datos de salud. 

 

La AEPD acaba de inaugurar un nuevo espacio dentro de la zona ‘Áreas de Interés’ en su página web, para facilitar la consulta y la divulgación de información sobre el tratamiento de datos de salud. El objetivo de esta iniciativa es dar una respuesta a las necesidades expresadas por los representantes del sector salud sobre contra con una compilación de legislación y otros recursos en materia de salud y protección de datos. Los datos de salud se consideran categorías especiales de datos personales y por tanto se precisan garantías adicionales para la protección de este tipo de daos en particular.  

 

Esta nueva sección en la página web de la AEPD contiene información destinada a varios miembros de la comunidad. 

 

Los recursos proporcionados por la AEPD en esta nueva sección de su página web se destinan a los ciudadanos, responsables del tratamiento, profesionales de protección de datos, instituciones de salud y la industria farmacéutica, entre otros. Se compone de siete secciones que incluyen información general sobre el tratamiento de datos de salud y cómo ejercer el derecho de acceso a registros médicos. Además, se ofrecen respuestas a preguntas relacionadas con la investigación médica. Asimismo se detalla el criterio establecido por la AEPD en consultas planteadas por miembros del sector de la salud, y también información sobre inspecciones que se han llevado a cabo. Algunos de los recursos adicionales que pueden encontrarse en esta nueva sección son asuntos relacionados con la investigación de salud y ensayos clínicos, al igual que información sobre brechas de datos personales dentro del sector salud. 

 

Se anima a los profesionales de la salud y a otras partes a utilizar estos recursos. 

 

Esta nueva sección de la página web de la AEPD se lanzó el 3 de mayo y contiene numerosos enlaces de utilidad. Se espera que esta información se actualice de manera regular con noticias, novedades legislativas y brechas de datos personales que afecten a datos de salud en concreto. Se puede acceder a este nuevo espacio aquí, disponible para todo el mundo. Se anima a los profesionales de la salud y otras partes interesadas a utilizar este nuevo recurso de gran utilidad ofrecido por la AEPD.   

¿Tratas datos de salud? ¿Necesitas ayuda con los requisitos específicos que se aplican a las categorías especiales de datos personales? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Claves de cifrado y privacidad: la AEPD explica cómo las claves pueden ser datos personales

 

Los sistemas de cifrado pueden dividirse en dos categorías principales: los de cifrado simétrico y los de cifrado asimétrico. Los sistemas de cifrado simétricos sólo necesitan una única clave para cifrar y para descifrar. Por su parte, el cifrado asimétrico requiere por lo general una clave, que puede ser pública, para el cifrado y otra, que es privada, para el descifrado, la cual sólo está en posesión de su legítimo titular. En este último caso, mientras que las claves de cifrado y descifrado están relacionadas, es difícil averiguar una a través de la otra. Las claves asimétricas son muy adecuadas para su uso en internet, gracias a la clave pública que resulta de gran utilidad para procesos de autenticación, verificación de formas, e intercambio de claves simétricas, entre otras cosas.

 

Como identificador en línea, la clave pública puede ser un dato personal bajo el RGPD.

 

Mientras que las claves pueden estar anonimizadas, todavía es posible identificar a una persona si se puede encontrar un vínculo entre distintas acciones en línea. La clave pública y la clave privada pueden ser utilizadas de esta forma para identificar a un sujeto. Conforme al RGPD, “dato personal” es toda aquella información sobre una persona física identificada o identificable. Según el Artículo 4, una persona identificable es aquella que puede ser identificada, de manera directa o indirecta por referencia a un identificador, como el nombre, número de identificación, datos de localización o identificadores en línea relacionados con factores específicos de esa persona física.

 

El considerando 30 del RGPD establece que las personas físicas pueden asociarse con identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas, etc., que pueden dejar huellas que, combinadas con identificadores únicos y otra información recibida por los servidores, puede emplearse para elaborar perfiles o identificar personas físicas. En este sentido, una clave pública está considerada como identificador único, si se tiene en cuenta el hecho de que la probabilidad de que dos personas compartan la misma secuencia de caracteres como clave pública es cero. Esta singularidad es lo que permite que las claves públicas se utilicen de manera segura en sistemas de cifrado en línea.

 

Hay una relación importante entre las claves de cifrado privadas y la privacidad, pues las claves, tanto públicas como privadas, pueden ser, y han sido, utilizadas para identificar a una persona.

 

 

El uso de claves públicas y privadas hace posible elaborar un perfil de una persona e incluso demostrar que diferentes acciones en línea están vinculadas con el mismo sujeto. Este es el caso con la autenticación o la cadena de bloques. La precisión de este tipo de información es tal que realmente se ha podido identificar a personas físicas a través de ella, y de hecho este servicio se encuentra ahora disponible para las fuerzas y cuerpos de seguridad. Las claves públicas son creadas por terceros que identifican y registran a la persona física a quien pertenece, y emiten un certificado digital. Este proceso es posible gracias a las infraestructuras de clave pública (PKI). Mientras que el usuario de la clave pública en los sistemas de cifrado asimétrico precisa de una clave privada que no puede deducirse de la primera, sí se puede demostrar la asociación entre ambas claves, pues lo que se ha cifrado con la clave pública sólo puede descifrarse con la clave privada. En consecuencia, la clave pública actuaría como un pseudónimo con la consideración de datos personales, pues, bajo el Artículo 4 (5) del RGPD, los datos pseudonimizados son datos personales.

 

¿Cumples con todas las medidas para proteger los datos personales de tu página web o app? Podemos ayudarte. Nuestros servicios abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datosimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD multa a EDP

La AEPD multa a EDP con 1,5 millones de euros

La AEPD multa a EDP Comercializadora, S.A.U con 1,5 millones de euros por dos infracciones del RGPD. 

 

EDP Comercializadora, S.A.U, la compañía energética, ha sido multada por dos infracciones del RGPD. Se concluyó que las medidas técnicas y organizativas de la empresa eran insuficientes para verificar si alguien que se estaba dando de alta en los servicios en nombre de otra persona contaba con la debida autorización para hacerlo. Asimismo la AEPD apuntó que en algunos casos EDP no estaba proporcionando a los interesados la suficiente información relativa al tratamiento de sus datos personales. Se impuso por ello una multa de 1,5 millones de euros, conforme al artículo 83 del RGPD. 

 

La AEPD multa a EDPB Comercializadora, S.A.U con 500.000€ por infracción del artículo 25 del RGPD.  

 

El artículo 25 (2) del RGPD establece el requisito de implementar medidas técnicas y organizativas apropiadas para asegurar la protección de datos personales, tanto desde el momento de la recogida de los mismos como durante su almacenamiento y tratamiento. Además, el Reglamento estipula que “tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.” EDP no implementó las suficientes medidas para evitar y mitigar los riesgos asociados con el tratamiento de datos personales en los casos en que alguien se daba de alta en los servicios por parte de un tercero. En concreto, no se verificaba de manera adecuada que dicha persona tenía por un lado, autorización para contratar en nombre del titular y, por otro, autorización para tratar sus datos personales. Así por tanto y siguiendo el artículo 83 (4) (a) del RGPD, la AEPD impuso una multa de 500.000€ por esta infracción.  

 

La AEPD ha impuesto también una multa adicional de 1 millón de euros. 

 

El artículo 13 del RGPD contiene de manera detallada la información que se le debe proporcionar a los interesados en el momento de la recogida de sus datos personales. Tras revisar el documento que EDP entregaba a los sujetos a este fin, se detectaron deficiencias en lo que concierne a la identificación del responsable, las bases legítimas del tratamiento aparte del consentimiento, la finalidad del tratamiento vinculado a la elaboración de perfiles y la posibilidad de oponerse al tratamiento cuando éste se base en interés legítimo. Además, en algunos de los procedimientos de la empresa, por ejemplo en la contratación telefónica, el método de acceso a la información no era sencillo ni inmediato. Por este motivo la AEPD impuso una multa de 1.000.000 €. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.