La AEPD multa a EDP

La AEPD multa a EDP con 1,5 millones de euros

La AEPD multa a EDP Comercializadora, S.A.U con 1,5 millones de euros por dos infracciones del RGPD. 

 

EDP Comercializadora, S.A.U, la compañía energética, ha sido multada por dos infracciones del RGPD. Se concluyó que las medidas técnicas y organizativas de la empresa eran insuficientes para verificar si alguien que se estaba dando de alta en los servicios en nombre de otra persona contaba con la debida autorización para hacerlo. Asimismo la AEPD apuntó que en algunos casos EDP no estaba proporcionando a los interesados la suficiente información relativa al tratamiento de sus datos personales. Se impuso por ello una multa de 1,5 millones de euros, conforme al artículo 83 del RGPD. 

 

La AEPD multa a EDPB Comercializadora, S.A.U con 500.000€ por infracción del artículo 25 del RGPD.  

 

El artículo 25 (2) del RGPD establece el requisito de implementar medidas técnicas y organizativas apropiadas para asegurar la protección de datos personales, tanto desde el momento de la recogida de los mismos como durante su almacenamiento y tratamiento. Además, el Reglamento estipula que “tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.” EDP no implementó las suficientes medidas para evitar y mitigar los riesgos asociados con el tratamiento de datos personales en los casos en que alguien se daba de alta en los servicios por parte de un tercero. En concreto, no se verificaba de manera adecuada que dicha persona tenía por un lado, autorización para contratar en nombre del titular y, por otro, autorización para tratar sus datos personales. Así por tanto y siguiendo el artículo 83 (4) (a) del RGPD, la AEPD impuso una multa de 500.000€ por esta infracción.  

 

La AEPD ha impuesto también una multa adicional de 1 millón de euros. 

 

El artículo 13 del RGPD contiene de manera detallada la información que se le debe proporcionar a los interesados en el momento de la recogida de sus datos personales. Tras revisar el documento que EDP entregaba a los sujetos a este fin, se detectaron deficiencias en lo que concierne a la identificación del responsable, las bases legítimas del tratamiento aparte del consentimiento, la finalidad del tratamiento vinculado a la elaboración de perfiles y la posibilidad de oponerse al tratamiento cuando éste se base en interés legítimo. Además, en algunos de los procedimientos de la empresa, por ejemplo en la contratación telefónica, el método de acceso a la información no era sencillo ni inmediato. Por este motivo la AEPD impuso una multa de 1.000.000 €. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

AEPD publica una guía

La AEPD publica una guía sobre protección de datos y relaciones laborales

La AEPD ha publicado esta guía sobre protección de datos y relaciones laborales en colaboración con el Ministerio de Trabajo, la patronal y las organizaciones sindicales.

 

La AEPD ha publicado a mediados de este mes una guía que busca ofrecer una herramienta práctica que ayude a las organizaciones públicas y privadas a cumplir con el marco normativo de protección de datos en vigor. En su preparación, la AEPD ha contado con la participación del Ministerio de Trabajo, la patronal y las organizaciones sindicales. La guía se centra en el cumplimiento con el RGPD y la LSSI, con un foco específico en las novedades relativas a los derechos de los trabajadores y la recogida y uso de sus datos por parte de las empresas. El documento abarca un amplio rango de materias, desde la protección de los datos de los trabajadores dentro de la empresa hasta el acceso por parte de la misma a las redes sociales de los trabajadores, sistemas de denuncia interna y privacidad para las víctimas y presuntos autores del acoso en el entorno de trabajo.  

 

La guía desarrolla las bases generales para un tratamiento legítimo de los datos de los empleados. 

 

Las directrices de la AEPD giran en torno a la importancia de que se respeten los derechos de los trabajadores en el entorno laboral y subraya la necesidad de aplicar el principio de minimización de datos. Se destaca el hecho de que un contrato de trabajo no concede automáticamente a las empresas acceso a toda la información personal de los empleados, con lo que la guía realiza un recorrido por la información que podría ser esencial y la que no. Asimismo, el documento fija los límites del tratamiento de datos en el proceso de selección, y también durante el curso de la relación laboral. La AEPD explica que debido a los deberes de secreto y seguridad, los datos personales deberían ser conocidos únicamente por las partes afectadas y aquellos que dentro de la organización tengan competencias para utilizar, consultar o modificar los datos. 

 

La AEPD recomienda emplear el sistema menos invasivo posible para controlar el registro de la jornada laboral. 

 

Conforme a la guía publicada por la AEPD, en lo que respecta al registro de jornada obligatorio, se debería adoptar el método menos invasivo. Esta información no puede ser de acceso público o localizarse en un lugar visible. Además, los datos que registran estos sistemas no pueden utilizarse para ninguna otra finalidad que no sea el control de la jornada laboral. Por ejemplo, en el caso de un trabajador que tiene que viajar para desempeñar sus funciones, el sistema sólo debería registrar información sobre cuándo comienza y termina su jornada laboral, pero no rastrear su localización de manera continua. El tratamiento de datos de geolocalización requiere una base legítima específica.  

 

La guía también abarca el acceso a los perfiles de redes sociales de los empleados y a los datos de tecnología como relojes inteligentes por parte de las organizaciones. 

 

La AEPD explica que los empleados no están obligados a permitir que la empresa tenga acceso a sus perfiles de redes sociales, lo que se extiende desde el inicio del proceso de selección hasta el fin del contrato de trabajo. Incluso en los casos en que un candidato a un determinado puesto tenga un perfil público en las redes sociales, la empresa no debería tratar datos obtenidos por dicha vía, salvo que exista una base legítima para hacerlo, en cuyo caso la empresa tendría que informar al trabajador debidamente y demostrar la aplicación de la base legítima argumentada, incluida la relevancia para el desempeño del puesto. 

 

Las recomendaciones también alcanzan la tecnología wearable, especialmente en lo que respecta a la monitorización de datos de salud a través de dispositivos como relojes inteligentes. En general, este tipo de control está prohibido por varias razones, pues infringe el principio de proporcionalidad al rastrear continuamente datos de categoría sensible y podría suponer que la empresa pueda acceder a datos específicos de salud y no sólo evaluar la capacidad del empleado para desempeñar su trabajo. 

 

The AEPD incluye orientaciones específicas para los sistemas internos de denuncias o whistleblowing y la privacidad de las víctimas y de los presuntos autores. 

 

En los casos de violencia de género o acoso, los datos personales y en concreto la identidad se consideran datos de categoría especial, con lo que se requiere protección adicional. La guía recomienda que se asigne un código a los presunta víctima y el presunto autor.  Cuando sea necesario tratar los datos para cumplir con una obligación legal, la empresa podrá hacerlo porque se relaciona con una situación de violencia de género o acoso. Cuando se trate de acoso en el trabajo, la identidad tanto de la víctima como del presunto autor o autores deben protegerse. 

 

La guía también incluye el derecho del comité de empresa a ser informado de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial.

 

Dado que el uso de inteligencia artificial es cada vez más habitual en estos entornos, la guía incluye un derecho innovador del comité de empresa a ser informado por parte de la compañía sobre el marco en el que se emplean los algoritmos o sistemas de IA en la misma, el cual está compuesto, entre otros elementos, por el derecho a recibir explicaciones sobre cómo podrían incidir en las condiciones, el acceso y el mantenimiento del empleo, lo cual se introdujo como novedad en el reciente Real Decreto-ley 9/2021 que modifica el Estatuto de los Trabajadores e introduce en el proceso un nivel adicional de transparencia.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

La AEPD impone una multa

La AEPD impone una multa histórica por infracción del RGPD

La AEPD ha impuesto un total de 6 millones de euros de multa a CAIXABANK por varias infracciones del RGPD. 

 

A finales del mes pasado, la AEPD y el CEPD informaban de una multa impuesta a CAIXABANK por diversas infracciones del RGPD. Se determinó que la compañía trataba datos de clientes de manera ilegítima y no ofrecía la información pertinente al respecto. Los importes de la sanción son de cuatro y dos millones de euros respectivamente, convirtiéndose así en la mayor cantidad total de multa impuesta por la AEPD hasta la fecha.

 

Una de las multas que conforman el total es de cuatro millones de euros por infracción del Artículo 6 del RGPD.

 

CAIXABANK habría infringido el Artículo 6 del RGPD al no contar con ningún mecanismo para recoger el consentimiento de los sujetos. Como resultado, el consentimiento otorgado por los mismos no cumplía con todos los elementos requeridos para considerarlo válido. La AEPD consideró que el interés legítimo de la compañía no justificaba de manera suficiente las actividades de tratamiento de la empresa, y tampoco lo hacía la relación entre la actividad de ésta y el tratamiento de datos personales. En consecuencia de esta brecha, la AEPD impuso una multa administrativa de cuatro millones de euros, en conformidad con el Artículo 83 (5) a RGPD. 

 

La otra de las multas impuestas a CAIXABANK es de dos millones de euros por infracción de los Artículos 13 y 14 del RGPD. 

 

Se descubrió asimismo que CAIXABANK no estaba proporcionando información clave en cumplimiento de los Artículos 13 y 14 del RGPD, pues no se indicaban las categorías de datos que se trataban, ni las finalidades del tratamiento. Además, el documento no especificaba las bases legitimadoras para el tratamiento en relación al interés legítimo de la empresa. Así, la AEPD concluyó que la empresa había infringido tales artículos del RGPD, lo que motivó la multa de dos millones de euros conforme al Artículo 83 (5) b. 

 

La AEPD basó su decisión de multa en varios factores. 

 

En su decisión sobre la multa más apropiada para las diversas infracciones del RGPD, la AEPD tomó en consideración ciertos factores agravantes. En general, la AEPD tuvo en cuenta la naturaleza, gravedad y duración de las infracciones, así como el carácter negligente de las mismas. El hecho de que la empresa sea una gran compañía y su ratio de beneficio también jugaron un papel esencial en la determinación de la cantidad final. La AEPD observó la relación entre la actividad de CAIXABANK y el tratamiento de datos personales, y también los beneficios obtenidos con las infracciones y las categorías de datos afectadas. Además, la AEPD valoró el grado de responsabilidad del responsable, en observación de las medidas técnicas y organizativas implementadas conforme a los Artículos 25 y 32 del RGPD. 

CAIXABANK deberá adaptar sus operaciones en cumplimiento de la normativa en seis meses. 

 

Junto a las multas administrativas impuestas por la AEPD, la empresa ha sido requerida a poner en orden todas sus actividades de tratamiento conforme a los Artículos 6, 13 y 14 del RGPD, dentro de los próximos seis meses. Esto implicará implantar un mecanismo apropiado para recoger el consentimiento válido de los clientes y asegurar que sólo se trate la información personal que sea necesaria y legalmente justificada según el interés legítimo de la empresa. Además, CAIXABANK tendrá que confirmar que esta información, así como las finalidades del tratamiento, se detallan adecuadamente en el documento correspondiente.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy y el resto de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD lanza Pacto Digital

La AEPD lanza Pacto Digital, una iniciativa para reforzar el derecho a la protección de datos

La AEPD lanza Pacto Digital, una iniciativa para reforzar el derecho a la protección de datos con el apoyo de 40 organizaciones. 

 

La iniciativa del Pacto Digital fue presentada por la AEPD de manera oficial en público el pasado 28 de enero, el día de la Protección de Datos, en un evento virtual denominado “Foro en Privacidad, Innovación y Sostenibilidad”. El evento se retransmitió en directo, y contó con la asistencia de diversos países, empresas y medios de comunicación. Esta iniciativa es parte del Marco Social de Responsabilidad y Sostenibilidad de la AEPD, con el objetivo de concienciar y hacer compatibles la protección de datos con la innovación, a la par que impulsar el compromiso de privacidad entre las organizaciones. Los principios de este pacto promueven la transparencia, y otorgan a los ciudadanos un mayor conocimiento sobre qué datos se recogen y por qué. La iniciativa también fomenta la igualdad de género y raza y asegura la protección de los niños y otras personas vulnerables. Pacto Digital persigue que los avances tecnológicos eviten la perpetuación de sesgos, principalmente aquellos relacionados con la raza, el origen, las creencias, la religión o el género.  

 

La iniciativa de pacto digital lanzada por la AEPD consiste en tres documentos: un contrato, un compromiso de responsabilidad digital y un código de conducta. 

 

Las organizaciones que se suscriben a esta iniciativa firman un contrato que muestra su compromiso de implementar las recomendaciones del pacto de manera interna y también de otorgar a sus empleados y usuarios acceso al Canal Prioritario para solicitar la eliminación urgente de contenido sexual o violento online, así como otras herramientas y recursos para ayudar a concienciar de la importancia de la privacidad y los datos personales. 

 

Como parte de la iniciativa, la AEPD ha introducido un Compromiso de Responsabilidad Digital que contiene obligaciones que las organizaciones subscriptoras prometen cumplir, lo cual no pretende imponer obligaciones adicionales a aquellas a las que ya están sometidas. Este compromiso está adaptado al entorno digital y busca simplemente obtener un acuerdo específico de las partes con la finalidad de mantener el estándar. Este documento describe las responsabilidades ya existentes para estas organizaciones específicamente orientadas a la seguridad y privacidad online. Asimismo incorpora principios que deberían considerarse para asegurar que la ética de la protección de datos permanece intacta cuando se diseñan e implementan desarrollos tecnológicos. 

 

Finalmente, el código de conducta para buenas prácticas está dirigido a organizaciones con sus propios canales de difusión y medios de comunicación, a lo cual la AEPD pretende colaborar para informar sobre eventos de relevancia para sus redes y audiencias. Además, el código de conducta establece que estas organizaciones se comprometen a abstenerse de identificar a las víctimas de la difusión de contenidos sensibles o sancionar cualquier información que pudiese potencialmente identificarlas, especialmente en relación a figuras públicas.  

 

Cuarenta organizaciones firmaron el pacto el pasado 28 de enero, y hay otras tantas partes interesadas que podrían hacerlo de manera online. 

 

El pasado 28 de enero, las 40 organizaciones que ya forman parte del Pacto se comprometieron con los principios de protección de datos y privacidad de manera pública mediante la firma de este acuerdo. Este pacto digital está a abierto a cualquier organización que desee asumir estos compromisos reflejados en el contrato. Las organizaciones que estén interesadas pueden postular simplemente mostrando su compromiso públicamente, y prometiendo cumplir con los principios indicados en el pacto.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.