¿PUEDO SER SANCIONADO?

 

La AEPD multa a una abogada con 2.000€ por utilizar papel usado con datos de clientes en el reverso

La AEPD multa con 1.500 € a una cafetería por colocar cámaras en espacios públicos

La AEPD multa con 3.000 € a un psicólogo por no atender el derecho de acceso de un cliente (entregar toda la información que dispongamos)

La AEPD multa con 1.500 € a una empresa porque su página web no disponía de política de privacidad ni identificaba al responsable del tratamiento

El Tribunal Supremo ha confirmado una multa de 40.000€ impuesta a Mutua Madrileña por la publicidad que recibió un cliente inscrito en la lista Robinson

Procedimiento sancionador a un Colegio de educación infantil por tirar a la basura documentos que contenían datos de los alumnos

La AEPD multa a una empresa con 3.000€ por no disponer de información sobre cookies en su página web

La AEPD multa con 2.000 € a una empresa porque un trabajador envió correos a varios destinatarios sin utilizar la copia oculta (cco)

La AEPD multa con 3.600 € a una empresa que recibió un ataque informático y no informó de ello. Un cliente recibió un correo del spamer y denunció.

La AEPD multa con 1.500 € a un gimnasio por instalar un sistema de acceso con huella dactilar y no dar otras opciones alternativas.

AEPD

Si quieres evitar estas sanciones, contacta. Te presentamos un presupuesto y si no te gusta, tan amigos ¡¡¡¡

CONTACTO

Crea tu propio canal de denuncias internas !!!

Con el fin de dotar de esta herramienta para los trabajadores y usuarios de esta empresa, debes proveerla de las siguientes medidas de seguridad:

  • Su existencia debe ser comunicada a los trabajadores
  • Debe ser accesible a todos los trabajadores
  • Se debe asegurar la confidencialidad del denunciante
  • La denuncia puede ser anónima
  • Debe ser fácil de usar
  • Se debe informar de su puesta en marcha a los representantes de los trabajadores
  • Se debe crear un equipo de personas que reciban estas denuncias y las estudien

Para ello debes crear un formulario en un sitio que garantice estas medidas, es decir, si quien recibe el mensaje es el jefe, las conductas reprochables que este realice no se recibirán ya que es el quien debe estudiarlas. Debe recibirlo, por ejemplo, una tercera persona.

Si así lo consideras puedo ofrecerte un formulario de contacto en mi página web expresamente dedicado a este tema para que se garantice así la confidencialidad del denunciante. En este formulario se permite que el denunciante indique sus datos, así como el anonimato, se permite también incluir ficheros adjuntos para la aportación de pruebas, así como una pequeña explicación de qué actitudes son o no denunciables.

La normativa a este respecto indica que las denuncias sean recibidas por canales de fácil utilización por parte de los interesados. Entiendo que el formulario de mi página web es accesible a cualquier persona con acceso a internet tanto dentro de la empresa como en cualquier otro sitio o a través de dispositivos móviles como smartphones o tabletas.

Me pongo a tu disposición por si necesitan cualquier aclaración al respecto.

Si tienes alguna duda o quieres alguna aclaración:

CONTACTA

 

Si te ha gustado el artículo y quieres recibir más, suscríbete a nuestra newsletter:

 

 

Sanción por enviar mails

SANCIÓN A MUTUA MADRILEÑA

El Tribunal Supremo ha establecido que la externalización de un servicio no exime del cumplimiento de la normativa de protección de datos. la empresa Mutua Madrileña tenía subcontratado el servicio de envió de correos electrónicos a sus suscriptores de carácter publicitario. Uno de sus receptores solicitó a través del servicio de exclusión publicitaria (Lista Robinson) que no se le enviaran más correos electrónicos de carácter publicitario. Se da la circunstancia que este Sr. era además cliente de la compañía, pero no quería recibir publicidad. Prestando oídos sordos a las peticiones del cliente, Mutua Madrileña no informó a su servicio de envío de publicidad y este Sr. siguió recibiendo correos.

El propio cliente siguió advirtiendo a la compañía de que no estaba dispuesto a seguir recibiendo publicidad en su correo y que se estaban vulnerando sus derechos. Todas estas reclamaciones fueron desatendidas por la compañía.

Ente la reclamación del usuario ante la Agencia Española de Protección de Datos, posteriormente ratificada por el Tribunal Supremo, la Mutua Madrileña argumentó que ya informaba al cliente en sus envíos de que “Mutua Madrileña es totalmente ajena a ese envió no asumiendo ninguna responsabilidad por el mismo” aspecto, sin embargo, rechazado por el alto tribunal. Es por tanto nula la comunicación al receptor de cualquier cláusula de exoneración de responsabilidad que vulnere los derechos del interesado. Es decir, no sirven para nada estas notas a pie del correo que pretende eximir de responsabilidad al emisor de dichos envíos publicitarios.

El alto tribunal manifiesta que es Mutua Madrileña la responsable del tratamiento y por tanto la que debe velar por el perfecto uso de los datos personales que le han sido confiados a pesar de subcontratar el servicio. Y esto es así a pesar de que el tratamiento se realizaba a través de bases de datos de la empresa subcontratada y no de las propias bases de datos de la Mutua.

Al tratarse del Tribunal Supremo, este fija criterio como jurisprudencia en este tema tan controvertido.

La propia Mutua Madrileña argumentó que el contrato de prestación de servicios incluía varias cláusulas de cumplimiento expreso de las normas de protección de datos por parte de la subcontrata, pero este extremo no ha servido para soslayar el derecho que el usuario mantiene a la oposición a dicho tratamiento, independientemente de las clausulas que firmen las partes en contrato privado.

Así mismo se solicitaba al tribunal la prescripción de dicha infracción por haber transcurrido más de dos años desde la última vez que el denunciante ejerció su derecho de oposición hasta el inicio del expediente sancionador. Esta solicitud tampoco fue aceptada por el tribunal ya que se consideró que el ilícito en este caso es una omisión, por lo que da lugar a una infracción permanente mientras se mantenga la infracción. Es decir, que la fecha de comienzo de dicha prescripción sería a la finalización de la conducta infractora y no al comienzo de la misma.

La sanción impuesta a Mutua Madrileña y ratificada por el Tribunal Supremo es de 40.001 €

Si te preocupan estas conductas en tu empresa y quieres evitarlas, cuenta con profesionales certificados:

Contacta con nosotros

 

Si quieres recibir nuestros artículos puedes suscribirte aquí (la normativa en protección de datos obliga a que sea tan fácil suscribirte como darte de baja):

 

CURSO NORMA ISO 37001 PREVENCIÓN DEL SOBORNO-CORRUPCIÓN

He hecho un curso en el Instituto de Certificación IVAC de Norma Iso 37001 sobre la prevención del soborno y la corrupción. Me encantó ¡¡¡¡ Creo que es por el ponente de la misma que transmite de forma sencilla su gran conocimiento en las materias que imparte.

 

Solicité autorización para compartir estos apuntes y me la concedieron. Aquí los tenéis:

 

Curso IVAC Antisoborno ISO 37001

CURSO ISO 14001 – ISO 9001 SISTEMAS DE GESTIÓN AMBIENTAL

He hecho un curso en Ivac sobre Sistemas de Gestión Ambiental ISO 14001 – ISO 9001 y he solicitado y obtenido autorización para su divulgación. Os la adjunto en el siguiente enlace por si queréis descargarla.

 

DESCARGAR:

DPD Gestion Medioambiente ISO 14001

 

LA EXPERIENCIA DE DIGITALIZAR MI EMPRESA

Debido al confinamiento por el Coronavirus, en mi empresa nos propusimos a digitalizar todos los procesos que estábamos realizando para no tener que parar de trabajar. Pensamos también que seria conveniente, ya que hacíamos el esfuerzo, que pensáramos a largo plazo para que estos cambios se quedaran para el futuro. Es evidente que las herramientas que íbamos a implantar podrían cambiar ya que la tecnología avanza, pero la semilla estaba echada.

Para implantar estos cambios también nos propusimos hacerlo de la manera más barata posible contando con herramientas gratuitas que están a nuestra disposición y aquí os presentamos. Os contamos nuestra experiencia y nuestros errores y, por supuesto, si alguien quiere ponerse en contacto con nosotros que no lo dude.

Para empezar, pensamos cuales eran los aspectos que deberíamos cubrir para tal digitalización y cuales eran las mejores herramientas disponibles:

  1. Vídeo llamadas
  2. Envió de documentos
  3. Mensajería
  4. Digitalización de documentos
  5. Firma digital de documentos
  6. Seguridad de los datos

 

Vídeo llamadas

Para este aspecto decidimos y probamos la herramienta gratuita GOOGLE MEET. Entendimos que el correo Gmail es uno de los más extendidos de los servidores de correo y además gratis. Esta herramienta solo necesita que ambos participantes en la reunión tengan cuenta de Gmail. No es necesario registrarse en ningún otro servicio ni cuenta alguna. Permite la conexión simultanea de hasta 30 personas. No se necesita descargar nada ni registrarse en ningún sitio, simplemente tener (o crearse) una cuenta de gmail.   https://meet.google.com/

 

Envió de documentos

Para enviar ficheros a los clientes nos decidimos por el correo electrónico tradicional (nosotros utilizamos una aplicación propia de gestión para protección de datos (Privacy Driver), aunque para ficheros de gran tamaño optamos por la herramienta Dropbox (https://www.dropbox.com/). Esta nos permite, además de guardar ficheros en la nube, enviar un enlace a un cliente para que acceda a un chichero de gran tamaño y que se lo descargue.

Esta aplicación entrega 5GB de almacenamiento gratis pero si invitas a alguien a que utilice la aplicación le regala 0,5GB adicionales, si alguien quiere utilizarla podría informarnos (https://delegadosdeprotecciondedatos.com/contacto/) y así aumentaríamos nuestra capacidad de almacenamiento.

Con respecto a la protección de datos, esta aplicación guarda los datos fuera de la Unión Europea, por tanto, en caso de guardar datos de carácter personal se considera una “transferencia internacional de datos”, pero dispone del sello de confianza de la Unión Europea por lo que no reviste riesgo su utilización, simplemente indicarlo en el registro de tratamientos.

 

Mensajería

Para que los clientes nos mandaran mensajes y responderlos decidimos tener una mayor gama de posibilidades. Nuestra aplicación de gestión de protección de datos ya dispone de una funcionalidad que cubre este aspecto, pero además añadimos: el correo electrónico tradicional con las cuentas de cada uno en la empresa (el mío: fcarbnell@delegadosdeprotecciondedatos.com ), el formulario de contacto de nuestra página web (https://delegadosdeprotecciondedatos.com/contacto/), un teléfono de Whatsapp (658 928 000) aunque no es la aplicación que más nos gusta, un mismo teléfono para la aplicación de mensajería Signal (658 928 000) recomendada por la Unión Europea por su seguridad y por último un chat en nuestra página web que nos permite recibir las opiniones de los usuarios (clientes o no) y contestarlas en tiempo real.

 

Digitalización de documentos

Para este punto y como teníamos instalada la aplicación Dropbox (https://www.dropbox.com/) en nuestros equipos, decidimos instalarla también en nuestros teléfonos móviles. Esta nos permite (en la pantalla inicial, en el botón “+” de la parte inferior con la leyenda “Crear”) escanear documentos con un acabado increíble. Debemos poner el documento en un fondo de diferente color, pulsamos la tecla “+” y la propia aplicación centrará el contenido del documento. En caso de querer escanear más de un documento, podremos hacerlo pulsando la tecla de “añadir folios” y al finalizar podremos elegir el formato en el que se puede guardar lo escaneado: pdf o fotografía.

Esta aplicación nos permite enviar documentos que tenemos físicamente a través de los medios digitales que disponemos con una calidad digna de cualquier escaner.

 

Firma digital de documentos

Trabajando desde casa necesitábamos tener la posibilidad de firmar documentos y enviarlos firmados a los destinatarios. No era aceptable la posibilidad de firmarlo físicamente y enviar un documento escaneado ya que carece de validez legal. Para ello utilizamos nuestra aplicación propia de gestión para protección de datos (Privacy Driver) que permite dichos envíos con firma digital avanzada (sin necesidad de que el receptor tuviese certificado digital) y que también disponen nuestros clientes al acceder de forma gratuita a nuestra aplicación. Este sistema permite que el documento lo firmen ambas partes, como por ejemplo la concesión de días de vacaciones a un trabajador, etc. Consúltanos.

En el caso de los organismos oficiales que pueden exigir la firma de documentos con certificado digital, elegimos la aplicación gratuita de lector de Pdf “Foxit”. Es sencillísima de utilizar y como digo, permite la inclusión de la firma digital con certificado a cualquier documento que posteriormente queramos mandar o subir a una sede electrónica.

 

Seguridad de los datos

Considerando que el teletrabajo “dispersa” los datos personales por otros espacios como son los domicilios particulares de los empleados, decidimos extremar las precauciones en cuanto a seguridad de la información. Para ello ya dedicamos a esto una entrada en nuestra página web con mucha aceptación por los usuarios: https://delegadosdeprotecciondedatos.com/autonomos/herramientas-de-ciberseguridad-gratuitas/

Os recomendamos la lectura de dicha entrada y la utilización de las herramientas que en ella se indican ya que mejoran sustancialmente la seguridad de los equipos informáticos, así como de los dispositivos externos que pueden ser sustraídos o perdidos.

Creemos que algo se nos habrá pasado, así como que el trabajo diario nos puede requerir de otras herramientas que ahora no utilizamos. Os mantendremos informados de cualquier cambio o incorporación y os pedimos que nos digáis si os han servido como a nosotros. Recordad que si necesitáis cualquier ayuda podéis contactar con nosotros (ver las posibilidades en el apartado  “Mensajería”).

 

TOMA DE TEMPERATURA POR EL COVID-19

Os dejo un artículo muy interesante para aquellos comercios o establecimientos que toman la temperatura a los usuarios que quieren acceder a ellos. como resumen, indicaros que este acto se considera un tratamiento de datos de salud y por tanto de datos especialmente protegidos.

Muy probablemente esta toma de temperaturas se realizaría en la vía pública en la que terceros ajenos al establecimiento podrían advertir que la persona rechazada puede tener la temperatura alta o incluso el virus del Covid-19

Como consejo, yo esperaría a que lo indiquen las autoridades sanitarias, ya que estas lo harán a través de la legislación y por tanto el tratamiento de datos estará legitimado.

 

AEPD toma de temperatura

 

Para dejarnos comentarios deberás registrarte:

 

 

Curso de Compliance Penal y Tributario y III

He hecho un curso en IVAC sobre este tema. He solicitado permiso para hacer público las presentaciones y me han autorizado. Os dejo la tercera y última parte:

 

(En este enlace te podrás descargar el fichero en pdf. Son 26 páginas pero llenas de sabiduría de Ivac y de su gerente Miguel Àngel Vila Espeso)

 

SESIÓN 4 COMPLIANCE PENAL Y TRIBUTARIO

PLANTILLA DE MODELO DE CONSENTIMIENTO

Podéis descargar una plantilla para recoger el consentimiento explícito de vuestros clientes, proveedores, empleados aspirantes, etc. Es un modelo estándar que podrás modificar.

En ella se indica también indicaciones de como rellenarla correctamente. Es conveniente su conservación para evitar futuros problemas con los interesados que nos confían sus datos. En el documento se indica que los fines del tratamiento deben estar correctamente identificados y que el usuario debe aceptar (o no) cada uno de ellos. No podemos hacer firmar un documento con más de un tratamiento sin dar la opción de aceptar o rechazar cada una de ellas.

 

Y recuerda, si tienes alguna duda, contacta

 

 

Modelo consentimiento LOPD-RGPD

HERRAMIENTAS DE CIBERSEGURIDAD GRATUITAS

Os propongo una serie de consejos y herramientas para mejorar la seguridad de vuestros ordenadores. Todos ellos son gratuitos y es conveniente que los uses. Se trata de aumentar la seguridad de nuestros equipos para evitar vulneraciones de seguridad.

En primer lugar, instalar un antivirus:

Se trata de AVIA y es gratuito. Sigue estas indicaciones para su instalación:

    • Entramos en: https://www.avira.com/es/free-security
    • Aceptamos las cookies (solo las necesarias)
    • Y pulsamos sobre el botón superior “Descarga Avira Free Security” y se descargará automáticamente
    • Proceder a instalarlo en el equipo

Será conveniente que procedamos a realizar un análisis del equipo para evitar archivos maliciosos ya instalados en nuestro ordenador.

En segundo lugar, debemos evitar la utilización de las redes wifi públicas. Estas se encuentran en locales públicos (cedidas por ayuntamientos), centros comerciales, bares y restaurantes, etc. Los ciberdelincuentes se sirven de ellas para atacar los equipos que las utilizan.

En tercer lugar, debemos utilizar un gestor de contraseñas. Su utilización es muy sencilla y nos permite tener contraseñas diferentes en cada página web donde nos loguemos. Debemos reconocer que es muy cómodo tener una contraseña para todo (dos a lo sumo) y así no tener que recordarlas todas. Esta aplicación lo hace por ti. Se trata de Lastpass y aunque sea de pago, tiene una versión gratuita muy recomendable.

Sigue estas indicaciones para su instalación:

Debes instalarte una extensión para el navegador que utilices. De esta forma guardará las contraseñas de las páginas web a las que accedas.

En cuarto lugar, debes activar la autenticación en 2 pasos. Hay muchas cuentas que ya lo permiten y recomiendan. Se trata de que además de introducir el nombre de usuario y la contraseña, deberemos asignar un teléfono para que al acceder se envíe notificación a dicho teléfono y se acepte. De esta forma en caso de pérdida del equipo, al no disponer también del teléfono, no se podría acceder. El inconveniente es que siempre debemos tener el ordenador y el teléfono cerca. A pesar de este inconveniente es muy útil y evita problemas de accesos no deseados y ciber-ataques.

 

Te recomiendo que te plantees utilizar estas herramientas y si necesitas ayuda en cualquiera de ellas, me tienes a tu disposición.