Entradas

Si has llegado hasta este artículo, muy probablemente tienes relación con algún club o equipo de fútbol. Ya sea porque eres uno de los jugadores, su presidente o incluso la persona que se asegura de que se cumpla con la protección de datos dentro del mismo, este post te interesa.

La protección de datos es una materia que aplica prácticamente en todos los ámbitos de nuestra vida, y el deportivo no es una excepción. Es importante saber qué papel juega la normativa en este sector y, por ello, en este artículo repasamos algunas recomendaciones básicas al respecto.

La protección de datos personales en España

En nuestro país, contamos con dos normas de referencia en protección de datos personales:

Ambas normas están en vigor desde el año 2018, pero aún nos encontramos con que, en algunos clubs, hay mucha tarea pendiente. Es importante que el club revise periódicamente su documentación y los cambios hechos en ella, para asegurar que se está cumpliendo con la normativa vigente.

Una pista sobre esto: la antigua ley de protección de datos existente en España era la LOPD 15/99. Esta norma ya no aplica y, sin embargo, todavía sigue apareciendo en muchos sitios (y esto está mal). Si encuentras alguna mención a ella en tus documentos o formularios, es una señal de que hay que ponerse al día.

El derecho de información en equipos y clubs de fútbol

Uno de los principales derechos protección de datos es el de información, el de saber qué ocurre con nuestros datos personales. Y es, al mismo tiempo, un deber, pues el club o equipo asume la obligación de proporcionar esa información a aquellos con quienes se relaciona.

Son muchas las vías a través de las que puede cumplirse con esto:

  • Formularios, sean en papel o en formato digital
  • Documentos de inscripción, preinscripción o similares
  • Contratos
  • Acuerdos de confidencialidad
  • Políticas de privacidad publicadas en web o portales del club
  • Licencias deportivas o similares
  • Bases legales de cursos o eventos organizados por el club

Lo importante es recordar que siempre que se recojan datos personales, hay que proporcionar información sobre su uso.

¿Por qué aplica la protección de datos a clubs y equipos de fútbol?

Un dato personal es cualquier información que nos sirve para identificar a una persona y su tratamiento exige cumplir con la normativa de protección de datos. Por ejemplo, un club trata datos de:

  • Los propios jugadores
  • Los entrenadores u otros colaboradores similares
  • Voluntarios
  • El Presidente, Vicepresidente y otros miembros de órganos de gobierno
  • Trabajadores del club
  • Proveedores del club
  • Muchos otros: alumnos inscritos en cursos, participantes en eventos o sorteos organizados por el club, etc.

Es importante tener esto en cuenta porque dentro de cada uno de esos grupos hay personas que tienen derechos en materia de privacidad, y el club debe velar por que se cumpla con la normativa en la relación con cada uno de ellos.

¿Puede el club acceder a datos de salud de sus jugadores?

Es razonable que un club de fútbol necesite acceder a determinada información sobre la salud de sus jugadores (o de otras personas implicadas). Esto sirve para comprobar que se encuentran en condiciones óptimas de salud, evitar incidentes y también para prevenir situaciones prohibidas, como el dopaje.

Los datos de salud entran dentro de los que la normativa considera “sensibles” o de categoría especial. Si ya de por sí hay que ser respetuoso con cualquier información sobre una persona, con este tipo de datos aún más.

Si bien el club puede acceder a datos de salud, es indispensable:

  • Tratar solo aquellos datos de salud que sean estrictamente necesarios y no cualesquiera otros
  • Procurar que sean conocidos únicamente por quien esté autorizado para ello, evitando el acceso de terceros
  • Aplicar medidas de seguridad que aseguren su protección y eviten su filtración
  • Cuando dejen de ser necesarios, valorar cómo se prescinde de ellos

¿Puede el club publicar información en web, RRSS y otros medios?

El fútbol es uno de los deportes más populares del mundo y que más interés despierta entre sus seguidores, que quieren estar al día sobre todo lo relacionado con su equipo. En este sentido, es lógico que aparezca información sobre el club y sus jugadores en página web, redes sociales y en medios de comunicación.

Si tu club tiene página web, es otro de los puntos en que aplica la normativa de protección de datos, pues debe estar adecuada y contar con sus textos y demás requisitos legales.

Si se va a publicar información o imágenes de los jugadores en redes, hay que valorar siempre qué es necesario publicar y qué no, es decir, qué cosas tienen realmente interés informativo. Es razonable que se haga pública información de interés para el club y sus seguidores, pero si hablamos de otros temas que salen de este estricto ámbito -por ejemplo, la vida personal de cada uno- siempre es conveniente valorar si tiene sentido darle difusión o no. O si, en su caso, hay obligación de ello, pues sabemos que a veces los clubes tienen que informar de sanciones, expulsiones u otras medidas de disciplina aplicadas a los jugadores.

Lo que hay que recordar es que, detrás la información, hay personas con derechos y siempre se pueden aplicar medidas para procurar su protección. Por ejemplo: si es posible, usar iniciales en lugar de un nombre completo. La protección de datos no está reñida con el derecho que todos tenemos a estar informados y recibir noticias. Y, por ello, hay formas de que coexistan

Menores de edad en equipos de fútbol

Todas las recomendaciones que hemos venido nombrando en este post aplican especialmente a los menores de edad, pues son mucho más vulnerables.

Cuando el club trate datos de menores de edad, también tiene que cumplir con el RGPD y la LOPDgdd, con aún más cuidado. Y esto aplica especialmente a algo ya comentado: las publicaciones en redes u otros medios. Por ejemplo, en 2021 la AEPD multó con 10.000 euros a un club deportivo por publicar fotos de una menor sin contar con autorización de ambos progenitores.

En protección de datos, cuando un niño alcanza la edad de 14 años, ya tiene derecho a consentir (con carácter general) sobre el tratamiento de sus datos personales. Si el niño es menor de 14, el consentimiento o autorizaciones necesariamente tendrá que venir de quienes tengan su patria potestad o tutela.

Relación con otros clubs o federaciones

En fútbol, es constante la relación entre equipos o incluso con federaciones o asociaciones deportivas. Y, como parte de esto, también es constante el intercambio de datos entre unos y otros.

Estas comunicaciones, en muchos casos, no solo están justificadas, sino que son necesarias para el normal desarrollo del equipo. Pero ello no quiere decir que pueda hacerse de cualquier manera: hay que ver qué se comunica, a quién, si hay que informar de ello, si hay que obtener un consentimiento, cómo se va a hacer, etc.

En cuanto a las federaciones o similares, puede ocurrir te exijan determinados requisitos de cumplimiento normativo o que tu club tenga que utilizar cláusulas, formularios u otros contenidos de protección de datos facilitados por éstas.

En Dataseg, asesoramos a alguna federación de futbol y estamos muy familiarizados con su funcionamiento y con el día a día de los clubs. Y precisamente sabemos que un solo artículo de nuestro blog, si bien es útil, no basta para hablar de todo lo que hace falta.

Si te preocupa que tu club de fútbol cumpla con la protección de datos, puedes contactar con nosotros para recibir asesoramiento a medida.

P.D. En este artículo nos hemos centrado en el fútbol, pero lo que aplica para éste, también lo hace para los demás deportes. Si lo tuyo es el baloncesto, el hockey o el tenis, también estamos a tu plena disposición.

Hace unos días, contábamos en nuestro blog algunos de los puntos clave sobre la nueva Ley Whistleblowing o de protección a quienes denuncien internamente una infracción en un lugar de trabajo, en vigor desde el pasado lunes 13 de marzo.

Ahora, en este nuevo post, vamos a centrarnos en qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

El objetivo de la ley “whistlebowing”

Como ya sabes, esta nueva norma se dicta con el fin de proteger adecuadamente a quienes denuncien, de forma interna, alguna situación ocurrida en el entorno laboral. Esto implica, de todas todas, que intervengan datos personales:
• Por una parte, del propio denunciante
• Por otra, del denunciado
• Eventualmente, de terceros implicados

Desde el momento en que entran datos personales en juego, toca cumplir con la normativa de protección de datos: en nuestro caso, principalmente con el RGPD y la LOPDgdd.

Qué dice la normativa de protección de datos sobre estos sistemas

Esta idea ya se prevé en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, concretamente en su artículo 24.1:

«Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable»

Licitud del tratamiento

No importa si controlas más o menos sobre protección de datos; pero siempre es fundamental recordar que todo tratamiento de datos personales, debe realizarse de forma lícita (art. 6 RGPD), es decir, que debe contar con justificación o base jurídica que lo ampare.

El tratamiento de los datos asociados al canal de denuncias, para quienes están obligados por ley a crearlo, estará basado por tanto en la existencia de esa obligación legal (art. 6.1.c, RGPD). Para quienes no tengan tal obligación, pero libremente decidan implantar un sistema, la base jurídica más favorable parece ser la existencia de un interés público.

¿Cómo me aseguro de que mi sistema de denuncias cumple con la protección de datos?

En Dataseg, hemos hecho un recorrido de principio a fin por toda la ley para localizar cualquier aspecto de utilidad a nivel protección de datos.

En líneas generales, es fundamental que un sistema de denuncias se construya atendiendo a las siguientes obligaciones:
• Garantizar la seguridad del denunciante y su confidencialidad
• Ser utilizado solo por las personas que la ley dispone
• Impedir el acceso a personal no autorizado
• Si un tercero -por ejemplo, un prestador de servicios- interviene en su gestión, debe suscribirse el correspondiente contrato de encargo
• Garantizar los derechos del denunciante, que podrá comprobar, rectificar y aceptar la información vertida.
• Informar al denunciante de que su identidad será reservada y no difundida
• Centrarse solo en los datos necesarios para gestionar la infracción

Una figura clave en protección de datos: el DPO o DPD

Recuperando información que ya tratamos en nuestro primer post sobre este tema, en la exposición de motivos de la ley “whistleblowing” se establece que aquellas entidades que estén obligadas a disponer de un sistema de denuncias, también deben nombrar un delegado de protección de datos, DPO o DPD. Aunque finalmente en el artículado solo hacen mención a las autoridades que surjan, lo cierto es que esta figura es una de las pocas que recoge la Ley con capacidad para acceder a los datos recogidos en el sistema de denuncias, por eso aunque no sea obligatorio, es recomendable su nombramiento.

Esta figura es importantísima en el marco de la protección de datos, pues fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:
• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

¿Qué criterio tiene la AEPD sobre todo esto?

En octubre de 2021, la Agencia Española de Protección de Datos publicó un artículo muy interesante y práctico sobre privacidad en sistemas de denuncia o “whistleblowing”. Aquí te dejamos el enlace para que puedas leerlo íntegramente, pero, como puntos clave, la AEPD señala que este sistema debe:
• Ser informado a los trabajadores
• Cumplir con los principios de proporcionalidad y limitación
Proteger los datos personales del denunciante
• Tener un acceso limitado
• Garantizar los derechos de los interesados
• Respetar los plazos de conservación y eliminación de datos

¿Cuánto tiempo deben conservarse los datos en el sistema de denuncias?

Si has leído atentamente el punto anterior, verás que una de las indicaciones de la AEPD sobre estos sistemas se refiere a la conservación y eliminación de datos. ¿Qué nos dice la nueva norma sobre esto? En concreto:

• No deben tratarse datos personales que no sean necesarios para el conocimiento e investigación de la situación denunciada. Si esto ocurre, debemos borrarlos de inmediato.
• Los datos que sí proceda usar, se guardarán solo durante el tiempo imprescindible para decidir si se inicia una investigación.
• Si se comprueba que la información no es veraz, también debe procederse a su inmediato borrado, salvo que pueda haber indicios de un ilícito penal.
• En todo caso, si han transcurrido tres meses desde que se recibieron los datos y no se ha iniciado una investigación, deberá procederse al borrado.

Hasta aquí, nuestra lista de puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Visto lo visto, está claro que ambos conceptos van de la mano y que, si queremos evitar correr riesgos por incumplimiento, debemos prestar atención a todas las obligaciones mencionadas.

Como siempre, si te has quedado con ganas de más o necesitas asesoramiento especializado, te invitamos a ponerte en contacto con nosotros o solicitar un presupuesto.

Algunos artículos atrás, te hablamos de la recién llegada “ley Whistleblowing” y, con ella, de la obligación para algunas entidades de nombrar un Delegado de Protección de Datos. Pero, hasta ahora, no hemos dedicado ninguno de nuestros posts a hablar precisamente de esta figura; el Delegado de Protección de Datos, también llamado DPO o DPD.

Como se suele decir: mejor tarde que nunca. Así que, aferrándonos a este dicho, hoy te hablamos de esta figura creada por el RGPD, sus funciones y si es obligatorio contar con uno o no.

Primero, lo primero: ¿qué es un Delegado de Protección de Datos?

Como ya te adelantábamos, el delegado de protección de datos, DPD o DPO, es una figura creada por el RGPD, que lo regula entre sus artículos 37 y 39. El DPO es la persona física o jurídica que se encarga de velar por que dentro de una organización se cumpla con la normativa de protección de datos y, para ello, supervisa todo lo relacionado con ella.

Ojo al dato: puede ser una persona física o jurídica, y puede formar parte, o no, de la organización. Por ejemplo; si tienes una empresa, puedes, a su vez, contratar a otra empresa o persona especializada para que sea el DPO de la tuya (éste, por ejemplo, es uno de los servicios que prestamos en Dataseg).

También es importante saber que, aunque hay muchos cursos, e incluso un examen oficial de certificación de DPO, no se exige que un delegado de protección de datos tenga ninguna formación específica; pero siempre es recomendable que tenga conocimientos jurídicos, dadas las características de su cargo.

¿Cuál es la función de un delegado de protección de datos?

El DPO es el “vigilante” de la protección de datos y de su cumplimiento dentro de una organización. Para ello, tiene asignadas unas funciones claras, que son:

  • Informar y asesorar sobre las obligaciones que, en virtud de la normativa vigente reguladora de la protección de datos, hay que cumplir
  • Supervisar ese cumplimiento. Para esto, el DPO puede asignar responsabilidades a otros sujetos, impartir formación, concienciar a los empleados e incluso realizar auditorías
  • Asesorar acerca de la realización de evaluaciones de impacto relativas a la protección de datos
  • Cooperar con la autoridad de control. En nuestro caso, la AEPD. Así como actuar como punto de contacto con ésta, por ejemplo, cuando hay consultas relativas al tratamiento de datos.

Aunque esas son las funciones que, en concreto, recoge el RGPD, evidentemente se abre un abanico de posibilidades; pues cualquier cuestión que tenga relación con protección de datos en la organización, debería pasar necesariamente por el conocimiento y supervisión previa del DPO.

¿Cuándo es obligatorio designar un DPO?

El RGPD recoge tres supuestos concretos en los que es preciso contar con esta figura:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de datos relativos a condenas e infracciones penales.

Pero, además, la LOPDgdd 3/2018 recoge una lista tasada de otras situaciones que requieren del nombramiento de un DPO. Son muchas, y no las enumeraremos todas, pero esta relación incluye, por ejemplo, a los colegios profesionales o los centros docentes. Puedes consultar el listado completo en el artículo 34 de la norma, que aquí enlazamos.

Y no podemos olvidarnos de la recién llegada Ley Whistleblowing, de la que ya te hemos hablado en artículos anteriores, que está en vigor desde el pasado 13 de marzo.

Esta nueva norma recoge la obligación, para un considerable número de entidades públicas y privadas, de contar con un canal interno de denuncias y de nombrar un delegado de protección de datos. Con carácter general, esta obligación afecta a:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros; prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Si piensas que tu organización puede encajar en alguno de los supuestos contemplados, es importante que revises si necesitas contar con un DPO.

¿Qué pasa si no cumplo con las normas que regulan la figura del DPO?

Tanto el RGPD como la LOPDgdd disponen de un marco sancionador, asociado a infracciones en materia de protección de datos, que se estructuran y clasifican conforme a su gravedad. De entre las diferentes situaciones que pueden darse en el panorama del incumplimiento normativo, hay algunas que se relacionan directamente con la figura del Delegado de Protección de Datos.

Infracciones relacionadas con la figura del DPO

Los artículos 73 y 74 de la LOPDgdd recogen que las siguientes infracciones relacionadas con la figura del DPO, con independencia del periodo de prescripción, podrán sufrir una multa administrativa de entre 0 y 10 millones de euros, o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior (conforme el artículo 83.4)

  1. No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la AEPD cuando su nombramiento sea exigible (art. 74.p LOPDgdd). ¡Ojo! Tienes que tener este punto en cuenta: cuando designes un DPO, debes notificarlo a la AEPD para que conste en su registro.
  2. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento. (art. 73. LOPDgdd)
  3. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones (art. 73. LOPDgdd)

Hasta aquí nuestra presentación de esta figura que el RGPD creó hace ya unos años, y con la que todavía parece que, en algunos casos, no estamos del todo familiarizados.

Si te has quedado con dudas o necesitas un asesoramiento personalizado, te invitamos a ponerte en contacto con nosotros o a dejarnos un comentario.

¡Gracias por leernos y hasta la próxima!

Las noticias que afectan nuestro trabajo van cada día muy rápido y nos encantaría hacérselas llegar para que puedan conocer como “van las barbas de los vecinos” y así entender algunas de las recomendaciones y cambios que todo proyecto de adecuación requiere.

Aquí, a modo de boletín, publicamos un resumen de las noticias, sanciones y publicaciones más críticas del mes anterior.

Para empezar, noticias relevantes de interés sobre protección de datos

El primer euro digital ya se prueba en España

El euro digital ha empezado ya sus pruebas piloto. Y el Banco de España es uno de los encargados en estudiar cómo sería una de sus posibles implementaciones. Para este primer euro digital de Europa, se ha elegido a la compañía española Monei. Su criptomoneda, EURM, ha sido elegida como banco de pruebas del euro digital.

Récord de multas en la Unión Europea relacionadas con el RGPD

En los últimos doce meses, los reguladores europeos encargados de la protección de datos han emitido multas por valor de 2.920 millones de euros al vulnerar el Reglamento General de Protección de Datos (RGPD). Un aumento del 168% respecto a 2021.

Informe de la Comisión Europea sobre patrones oscuros

La Comisión Europea ha publicado un informe sobre patrones oscuros en tiendas online; 148 de las 399 tiendas analizadas incluían alguno de los tres patrones oscuros más comunes: temporizadores, dirigir al consumidor hacia el producto más caro o invisibilizar información relevante.

El Monedero Digital: nuevo proyecto de la Unión Europea

El nuevo proyecto de la Unión Europea: un «Monedero Digital«, una única aplicación donde se tendrán todos los documentos oficiales, DNI, pagos, contraseñas y más. Hará posible acciones que van desde verificar nuestra identidad hasta alquilar un coche, por ejemplo.

Novedades en los partes de incapacidad temporal

El pasado 5 de enero, se publicó en el BOE el Real Decreto 1060/2022, de 27 de diciembre, por el que se modifica el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración que, entre otras, elimina la obligación de los trabajadores de entregar los partes de baja por incapacidad temporal a sus empresas. La norma entrará en vigor el 1 de abril de este año.

Absuelto por el Tribunal Supremo por acceso ilegítimo a sus datos médicos

El Tribunal Supremo ha anulado una condena de 9 años de cárcel impuesta a un hombre por robos con violencia en la Comunidad Valenciana al considerar que la Guardia Civil accedió, sin su consentimiento ni orden judicial, a sus datos médicos, lo que fue determinante para averiguar su identidad y poder arrestarlo.

Neeva: un buscador que apuesta por la privacidad de los usuarios

Llega a España el nuevo motor de búsqueda Neeva, creado por dos antiguos empleados de Google. La compañía destaca que su tecnología permite a los usuarios evitar ser rastreados, a la vez que no cuenta con anuncios molestos durante la navegación, lo que permite ofrecer «resultados de búsqueda reales».

Nuevo Código de Conducta de AUTOCONTROL

La AEPD ha aprobado la modificación del Código de conducta de AUTOCONTROL ‘Tratamiento de datos en la actividad publicitaria’, que recoge una vía para resolver de forma más ágil las reclamaciones en materia de protección de datos y publicidad que puedan plantear los ciudadanos.

En el blog de la AEPD: neurodatos, privacidad y protección de datos

Las interfaces cerebro-computador permiten recoger neurodatos que, asociados a personas identificadas son datos personales. Con análisis avanzados y uso de Inteligencia Artificial podrían inferir y revelar información asociada a pensamientos, sentimientos o estados de salud, además de perfilar al individuo.

Sanciones y otras novedades relevantes de la AEPD

¡Ojo con pre-marcar las casillas en formularios de recogida de datos!

La AEPD ha multado con 20.000 euros -16.000 por acogerse a la reducción por pago voluntario- al Hospital Recoletas Ponferrada por premarcar en una tablet casillas relacionadas con la protección de datos que los pacientes tenían que rellenar antes de ser atendidos, conducta que vulnera lo dispuesto en los arts. 6.1 y 15 del RGPD.

Dato importante sobre la creación de grupos de WhatsApp de trabajo

La AEPD ha archivado las actuaciones en un expediente relacionado con la creación de grupos de WhatsApp por parte del empleador para la organización y desarrollo del trabajo particular, entendiendo que existía legitimación para esta acción y que no ha habido vulneración de la normativa reguladora.

Los datos de geolocalización son datos personales

La Audiencia Nacional ha anulado una decisión de la Agencia Española de Protección de Datos (AEPD). La AEPD afirmó anteriormente que Virgin telco, un proveedor de telecomunicaciones, había actuado conforme a la ley cuando denegaba a sus clientes el acceso a sus datos de geolocalización. Noyb, organización que lucha por la privacidad, argumentó que los datos de geolocalización eran datos personales y debían facilitarse en virtud del derecho de acceso. Ahora, medio año después, tanto la AEPD como la Audiencia Nacional han dado la razón a Noyb

Cuidado con los sistemas de registro biométricos

La Agencia Española de Protección de Datos ha declarado que los sistemas biométricos para autorizar las entradas de aficionados a los estadios, como la huella dactilar, son ilegales.

Multada una empresa por usar WhatsApp de forma indebida

En este caso, con la imposición de una multa de 5.000 euros (reducida a 3.000 euros por pago en periodo voluntario) a una empresa por difundir la notificación de embargo de nómina de una trabajadora, sin su consentimiento, a un familiar de la misma

Otra, sancionada por incumplimientos en sus procesos de selección

La AEPD ha sancionado a una empresa que evaluaba a candidatos en procesos de selección solicitando, entre otros, datos de discapacidad y etnia, considerados datos sensibles o de categoría especial. Entiende la autoridad que no concurren las excepciones del art.9.2 del RGPD, lo que resulta en una multa de 50.000 euros.

Bankinter recibe una multa derivada de acceso a datos por un tercero

Bankinter ha abonado una multa de 80.000 euros a la Agencia de Protección de Datos, después de que un usuario del banco interpusiese una reclamación por tener acceso, a través de su cuenta, a los movimientos de otra cuenta perteneciente a un tercero. En el apartado correspondiente al extracto mensual, figuraban los movimientos de su cuenta y los de otra cuenta perteneciente a un tercero.

Y no nos olvidamos de otras noticias relevantes a nivel internacional

Irlanda: sanción multimillonaria contra Meta

La Comisión de Protección de Datos (DPC) anunció el pasado 4 de enero la conclusión de dos investigaciones; sobre las operaciones de tratamiento de datos de Meta Platforms Ireland Limited en relación con la prestación de sus servicios de Facebook e Instagram. La DPC ha tomado decisiones finales en las que ha multado a Meta con 210 millones de euros (por infracciones del RGPD en relación con Facebook) y 180 millones de euros (por infracciones en relación con Instagram). Así, hablamos de dos sanciones que, conjuntamente, ascienden a un total de 390 millones de euros. También se ha ordenado a Meta Ireland que cumpla con sus operaciones de tratamiento de datos en un período de 3 meses.

También en Irlanda: otra sanción millonaria contra WhatsApp

Más recientemente, el 19 de enero, la DPC anunció también la conclusión de una investigación sobre el procesamiento realizado por WhatsApp Ireland Limited; en relación con la prestación de su servicio de WhatsApp, que resulta en una multa a WhatsApp Ireland con 5,5 millones de euros por incumplimientos del RGPD.

Y sigue la lluvia de sanciones: Apple, multado con 8 millones en Francia

En el plano internacional, empezamos fuerte. Hace unas semanas, la CNIL, autoridad de control francesa, impuso a la compañía Apple una multa de 8 millones de euros por no haber obtenido el consentimiento de los usuarios franceses de iPhone iOS 14.6 antes de depositar y/o escribir identificadores utilizados con fines publicitarios.

Tampoco se libra TikTok: 5 millones de multa por su uso de cookies

Las resoluciones de la CNIL no acaban con el caso de Apple, pues la autoridad de control francesa también ha impuesto este mes una multa de 5 millones de euros contra la red social TikTok, por incumplimientos relacionados con la información asociada al uso de cookies y con la dificultad para el usuario de configurarlas o rechazarlas a su gusto.

En Finlandia, una sanción relacionada con datos médicos y consentimiento

La autoridad de control finlandesa ha anunciado la imposición de una multa a una organización por no obtener el consentimiento del interesado para el tratamiento de datos de salud personal (consumo máximo de oxígeno e índice de masa corporal), que es parte del negocio principal de la empresa.

También en Finlandia: sanción relacionada con el ejercicio de derechos

La autoridad de protección de datos finlandesa sancionó con 750.000€ a Alektum Oy (agencia de recaudación) por no responder a las solicitudes de acceso de los interesados y por no cooperar -obstruir la investigación- con dicha autoridad.