Protección de datos – Seguridad de la Información
-
Se acaba el plazo para adaptarse a las nuevas directrices sobre cookies.
-
Cambio de criterio de la AEPD en el uso de biometría para control de jornada y accesos.
Compliance
NORMATIVA AL DÍA: Normas, guías y códigos
PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN
Se acaba el plazo para adaptarse a las nuevas directrices sobre cookies
Tal y como comunicamos en anteriores newsletters, el pasado julio, la Agencia Española de Protección de Datos actualizaba su guía de cookies incorporando las Directrices 03/2022 del Comité Europeo de Protección de Datos de febrero de 2023 sobre patrones engañosos en redes sociales.
Pues bien, el plazo para implementar los cambios introducidos por la mencionada actualización finaliza el próximo 11 de enero por lo que se recomienda revisar la utilización de cookies para garantizar el cumplimiento de las directrices emitidas por la Agencia Española de Protección de datos.
Cambio de criterio de la AEPD en el uso de biometría para control de jornada y accesos.
La Agencia Española de Protección de datos ha publicado una nueva Guía Tratamientos de control de presencia mediante sistemas biométricos en la que reevalúa la posibilidad de emplear soluciones que emplean datos biométricos, entre otros ámbitos, en el entorno laboral. La nueva guía supone un cambio muy relevante de criterio de la Agencia Española de Protección de datos sobre el tema por lo que recomendamos revisar este tipo de tratamientos. Entre las principales novedades podemos destacar las siguientes:
-
- Categoría especial de datos: en línea con las Directrices 05/2022 del Comité Europeo de Protección de Datos, concluye que el dato biométrico en este contexto es de categoría especial, por lo que a parte de una base legal que permite el tratamiento será imprescindible que concurra una excepción a la prohibición general de los tratamientos de datos de categoría especial recogida en el artículo 9 del RGPD.
-
- Imposibilidad de usar el consentimiento como excepción: en cuanto a la apreciación de existencia de excepciones del artículo 9 RGPD, determina la Agencia que el consentimiento del trabajador no bastará para levantar la prohibición del tratamiento de datos biométricos como actualmente venía indicando. Tampoco considera que Estatuto de los Trabajadores en su redacción actual pueda servir para este fin, si bien si plantea, como adelantaba la Agencia Catalana de Protección de Datos entre otras, valorar si el convenio colectivo de aplicación habilita de forma expresa el tratamiento.
-
- Evaluación de Impacto: recuerda la Agencia la importancia de que en relación con el tratamiento se realice y supere una Evaluación de impacto para demostrar la idoneidad, necesidad y proporcionalidad del tratamiento y gestionar desde el diseño los riesgos específicos del tratamiento, de forma que se garantice un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento. A la luz de la nueva Guía resulta recomendable actualizar las Evaluaciones de impacto que se hubieran realizado con motivo de la implantación de este tipo de soluciones, de forma que se analice de nuevo el tratamiento.
Meta y el Comité Europeo de privacidad
El Comité Europeo de Privacidad ha publicado la Decisión vinculante 1/2023 emitida en octubre de este año a solicitud de la Autoridad de control noruega, en la que instaba a la Autoridad de control irlandesa a tomar medidas frente a los incumplimientos en materia de protección de datos perpetuados por Meta. Tras la emisión de dicha Decisión, la Autoridad de control irlandesa emitió en noviembre resolución en la que prohibía a Meta el tratamiento de datos en relación con la publicidad comportamental sobre la base de la ejecución del contrato o el interés legítimo.
Ahora queda por ver si el nuevo planteamiento de Meta de enfocar la red social como un servicio de suscripción conjuntamente con el modelo tradicional es conforme a derecho o no.
Sanción a empresa energética por brecha de seguridad
La Agencia Española de Protección de datos ha sancionado a Endesa por diversas conductas relacionadas con la falta de seguridad y confidencialidad de los datos de los que era responsable. En la resolución, en respuesta a las alegaciones de la empresa, la Agencia concluye que las medidas de seguridad implementadas no eran suficientes y que la empresa no actúo con la celeridad suficiente cuando descubrió la brecha.
Asimismo, resulta recomendable mencionar que además de por la falta de implementación de medidas se sanciona a la empresa por una incorrecta comunicación de la brecha tanto a la propia Agencia como a los afectados, lo que pone de manifiesto la importancia de evaluar correctamente las brechas de seguridad de cara a evitar sanciones adicionales.
COMPLIANCE
Terminado el plazo para la implantación de canales de denuncia (Sistema Interno de Información)
Como hemos venido informando a través de la presente newsletter con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deben contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima. Dicha Ley, basándose entre otros aspectos el número de trabajadores existentes en el sujeto obligado, establecía dos momentos temporales para la implantación de este tipo de sistemas. Pues bien, el pasado 1 de diciembre de 2023 finalizó el último plazo, por lo que todas las organizaciones que tengan más de cincuenta trabajadores deberán contar ya con este sistema interno de información o canal de denuncia.
NORMATIVA AL DÍA
Normativa europea en materia de Inteligencia Artificial.
A falta de los últimos trámites el Parlamento y la Comisión europea han comunicado que se ha alcanzado un acuerdo en relación con la regulación en materia de Inteligencia Artificial.