El PS/00560/2017 instruido por la AGPD, sanciona a la Empresa BILUA E-COMMERCE S.L , por no hacer efectiva la baja en la suscripción de una interesada y continuar enviando correos comerciales.

El día 7/06/2017 tuvo entrada en la Agencia el escrito de doña AAA, contra la entidad anteriormente citada, alegando que sigue recibiendo correos comerciales a pesar de que solicitó la bajay recibir confirmación de la misma.

La denunciante presenta la prueba de los correos confirmatorios de que la empresa procede a darle de baja de la suscripción.

A la vista de los hechos y en fase de actuaciones previas, los servicios de inspección de la Agencia, realizan dos solicitudes de información ala Empresa a través de sus sistemas, de las cuales no obtiene respuesta.

Los hechos expuestos suponen la comisión por parte del denunciado de una infracción del art. 21.1 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, según el cual está prohibida toda comunicación publicitaria o promocional por correo electrónico cuando no haya sido expresamente autorizada por los destinatarios o solicitada.

 

A los efectos previstos según el art.127.b del RGLOPD le correspondería pagar 7.000 euros de multa, aunque al hacer el pago voluntario la cantidad se redujo.

 

IMPORTANTE:

El RGPD (UE)2016/679 prevé sanciones millonarias por las infracciones cometidas respecto al tratamiento de datos personales.

Para cumplir con el principio de transparencia facilitaremos facilitaremos esa información en el momento en que recojamos esos datos en dos capas.

 

  • Capa de información I:


- Identidad y datos de contacto del Responsable y en su caso representante. 

- Datos de contacto del DPD , en su caso.

- Los fines de tratamiento y la base jurídica.

- Si el tratamiento se basa en el Interés legítimo del Responsable indicar claramente cuál es.    

- Donde ejercer sus derechos.

- Los destinatarios o las categorías de destinatarios en su caso.

- En su caso la intención responsable de transferir datos a un tercer país. 

 

  • Capa de información adicional II:


- Plazo o criterios de conservación de plazos.

- El derecho a retirar el consentimiento.

- Derecho a presentar una reclamación ante la autoridad de control.

- Existencia o no de decisiones automatizadas y sus consecuencias.

 

IMPORTANTE:

En el caso de que el interesado ya disponga de esta información, no sería necesario que el Responsable tuviera que entregársela de nuevo.

 

Estamos a unos meses de la aplicación del Reglamento General de Protección de Datos. La reforma legal supondrá un cambio radical en la gestión de la protección de datos, y empresas y organizaciones deben comenzar cuanto antes la adaptación a la nueva normativa.

Estos son los primeros pasos que se deberían tener en cuenta para iniciar la adaptación: 

Cada vez es más habitual la captación y el tratamiento de imágenes con la finalidad de garantizar la seguridad de bienes o personas, o en un entorno empresarial para vigilar el cumplimiento de las obligaciones laborales de los trabajadores.

La utilización de medios de vigilancia repercute sobre la intimidad de las personas, ya que la imagen de una persona identificada o identificable constituye un dato personal. Es por esto por lo que se deben cumplir una serie de requisitos para que dicha instalación se encuentre debidamente legalizada.

Para esto, debemos que realizar las siguientes acciones: 

Existen algunas empresas que contratan seguros de vida y planes de pensiones en beneficio de sus empleados, ya sea porque así lo exige su Convenio Colectivo, o como agradecimiento a sus trabajadores por los servicios prestados.

Para poder formalizar estos seguros y/o planes de pensiones, la empresa debe facilitar a la aseguradora y a los bancos ciertos datos de sus empleados y en algunos casos, hasta los datos de sus beneficiarios. Pero, ¿puede el empleador contratarlo sin más, o es necesario que cada trabajador preste su consentimiento?

Siguiendo la regla general establecida en la LOPD, en principio, no podrían comunicarse los datos de los trabajadores y/o sus familiares a la aseguradora y a los bancos sin su consentimiento, pues se estaría vulnerando el artículo 11 de la LOPD. Sin embargo, esta regla general se encuentra exceptuada en una serie de supuestos, uno de los cuales es, cuando la contratación de este tipo de productos y servicios sea realizada por la empresa en beneficio del trabajador y se base en la existencia de la propia relación laboral.

     

En este supuesto concreto, no sería necesario pedir consentimiento a los trabajadores para contratar. No obstante, es imprescindible que éstos hayan sido informados previamente en los términos establecidos por el artículo 5 de la LOPD (a quién se ceden los datos y para qué), lo cual puede hacerse bien en el mismo momento de celebración del contrato, o bien mediante una circular informativa posterior.

IMPORTANTE:

En la gestión de personal, las empresas deben ser particularmente cautelosas con la recogida de los datos, así como con el deber de informar a sus trabajadores

Son ficheros públicos aquellos cuyos responsables de recoger y tratar datos personales sean las Administraciones Públicas (Estado, Comunidades Autónomas, Entes Locales y organismos vinculados o dependientes de ellos).

El art. 55 del RDPD dispone al respecto que todo fichero de datos personales deberá ser notificado para su creación, modificación o supresión a la AEPD por el órgano competente. Estas notificaciones deberán realizarse por medio de una Disposición General (acta o acuerdo de sus miembros de gobierno) que deberá ser publicada en el "Boletín Oficial del Estado" o Diario oficial correspondiente, y la cual deberá indicar:

a)La finalidad y usos previstos del fichero

b)Las personas o colectivos interesados

c)El procedimiento de recogida de los datos

d)La estructura básica del fichero y la descripción de los tipos de datos a tratar

e)Las cesiones de datos y las posibles transferencias a terceros países

f)Los órganos de las Administraciones que son responsables del fichero.

g)Los servicios o unidades ante los que pueden ejercitarse los derechos ARCO

h)Las medidas de seguridad a aplicar, con indicación del nivel de seguridad exigible.

IMPORTANTE: 

En el plazo de 30 días desde la publicación del acuerdo de creación, Acta o Disposición General, el fichero deberá ser notificado para su registro en la AEPD

Existen determinadas profesiones de atención al público (camareros, dependientes, comerciales etc.) en las que se requiere la identificación de sus trabajadores mediante el uso de placas identificativas en las que figura su nombre, apellidos, DNI, incluso su fotografía, sin el consentimiento del titular.

Algunos trabajadores no obstante, se plantean si esa práctica puede ser llevada a cabo por las empresas sin vulnerar la LOPDpues según esta Ley, los datos de carácter personal sólo podrán ser recogidos y tratados, cuando sean adecuados, pertinentes y no excesivos en relación al ámbito y a las finalidades para las que fueron obtenidos.

                                                   

La AEPD en su Informe 266/2006 responde a esta cuestión permitiendo este tratamiento de datos y se basa para ello en otro precepto de la misma Ley que establece que no será necesario el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento.

Por tanto, entiende la AEPD que dado que la finalidad de la identificación es garantizar un trato personalizado con el cliente y cumplir sus funciones laborales, es posible y adecuado a la Ley 15/1999 llevar dichas tarjetas por los trabajadores sin pedir consentimiento. No obstante, esto no exime al empleador del deber de informar conforme exige el art.5 Ley.

IMPORTANTE: En la gestión de personal, las organizaciones o empresas deben ser particularmente cautelosas con la recogida de los datos, así como con el deber de informar a sus trabajadores.

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. 

Se trata de una herramienta importante para facilitar la libre circulación de datos personales en la UE y la posibilidad de cambiar de proveedor de servicios, reforzando la competencia entre responsables de tratamiento.

Supone además un empoderamiento de los afectados y consumidores, ya que aumenta su capacidad de trasladar, copiar o transmitir sus datos fácilmente de un entorno informático a otro.

Este derecho sólo puede ejercerse: 

  • Cuando el tratamiento se efectúe por medios automatizados 
  • Cuando el tratamiento se base en el consentimiento o en un contrato 
  • Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.

No es aplicable

  • A los datos de terceras personas que un interesado haya facilitado a un responsable. 
  • En caso de que el interesado haya solicitado la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.

IMPORTANTE

El derecho a la portabilidad implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.

En el Reglamento General de Protección de Datos (RGPD) se le da una mayor importancia a la información que se debe proporcionar a los afectados cuando se van a tratar sus datos personales. Esta obligación ya estaba prevista en la LOPD, pero en el RGPD se introducen una serie de novedades, por lo que será necesario revisar y adaptar la gestión de los tratamientos actuales.

En el RGPD se recoge una lista exhaustiva de los contenidos de los que se debe informar, que amplía el contenido del deber de informar existente hasta ahora.

Además, en consonancia con el principio de transparencia, la información deberá proporcionarse con un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso.

Por ello, para hacer compatible la ampliación de los detalles de los que se debe informar con la obligación de presentar dicha información de una forma concisa y comprensible, en el RGPD se recomienda utilizar un modelo de información por capas o niveles:

  • una primera capa con un nivel básico de información, presentada de forma resumida y estructurada en forma de tabla
  • una segunda capa en la que se contenga esa información de manera más detallada y se añada la información adicional que no estaba presente en la primera capa.

El enlace entre las capas dependerá del medio mediante el cual se proporcione la información:

  • un link a otra dirección web (en el caso de formularios web)
  • una locución complementaria con información adicional (en el caso de una entrevista telefónica)
  • el reverso de un documento (en el caso de formularios en papel), etc.

Lo importante es que en la primera capa no puede faltar ningún detalle relevante, aunque esté expuesto de forma resumida y que les quede claro a los interesados cómo pueden acceder a la información completa.

La relevancia que el RGPD concede a la claridad y accesibilidad de la información se refleja en el hecho de que prevé que pueda proporcionarse en combinación con iconos estandarizados que ofrezcan una visión de conjunto del tratamiento previsto. El diseño de estos iconos deberá hacerlo la Comisión Europea, que ya está trabajando para presentar una propuesta.


Fuente: Agencia Española de Protección de Datos

Establece la LOPD en su articulado que aquellas personas físicas cuyos datos personales estén siendo tratados, tendrán derecho para ejercitar ante las entidades Responsables del tratamiento los derechos de ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO) sobre dichos datos.

Estos derechos deberán ser ejercidos bien personalmente por el propio afectado (debiendo acreditar su identidad), o bien por medio de un representante legal o voluntario designado al afecto. Para cumplir con la Ley, las empresas deberán facilitar medios sencillos y gratuitos, y deberán atender a los afectados incluso si no disponen de los datos solicitados.

Los plazos para que los Responsables atiendan estos derechos son:

  • ACCESO: el responsable deberá responder en el plazo máximo de un mes desde que recibió la solicitud del interesado.
  • RECTIFICACIÓN y CANCELACIÓN: 10 días para rectificar o cancelar los datos incorrectos.
  • OPOSICIÓN: 10 días desde la solicitud.

IMPORTANTETranscurridos los plazos legales sin que el Responsable haya atendido los derechos ARCO, el titular de los datos afectado, podrá solicitar directamente la tutela de la AEPD.