USO DE SISTEMAS DE IA: RIESGOS Y RECOMENDACIONES PARA EMPRESAS

/en ,

Se ha aprobado finalmente por el Parlamento Europeo el Reglamento de Inteligencia Artificial como norma pionera en el mundo y que pretende servir de guía para otros países como lo fue en su día el RGPD en el ámbito de la protección de datos de carácter personal.

Se trata de un gran avance en la medida en que en esta norma se intenta buscar un equilibrio entre la innovación y los valores y derechos establecidos por la Unión Europea.

No obstante, lo anterior, nadie duda que el uso de sistemas de inteligencia artificial puede comportar numerosos riesgos que deben ser tenidos en cuenta. A continuación, unas breves ideas para poder situarnos sobre los posibles riesgos existentes:

✅La IA está concebida un como programa de software que se desarrolla mediante técnicas o estrategias que relacionan determinados objetivos predeterminados y generan una respuesta en forma de contenidos, predicciones, recomendaciones o decisiones.

✅El diseño de los algoritmos de IA mediante técnicas de aprendizaje automatizado entre otras, comporta que se traten datos personales. Se introducen datos en el entorno de pruebas y posteriormente se usa el algoritmo.

La toma de decisiones basadas en un algoritmo puede afectar a las personas. P.e. selección de personal, evaluación del rendimiento laboral, concesión de ayudas públicas, concesión de créditos.

Los algoritmos de IA deben programarse y diseñarse de manera adecuada de forma que no se produzcan sesgos, discriminación y lesión de los derechos y libertades de las personas.  Una programación y un diseño erróneo puede comportar un elevado riesgo de discriminación.

✅Los principales riesgos en la fase de diseño son garantizar el principio de minimización, transparencia y seguridad en el diseño y el respeto a la privacidad y a la protección de datos. Y en muchas ocasiones riesgos en conexión con otras normativas

Los algoritmos de IA que contienen datos personales se han de construir y programar respetando la normativa de protección de datos, tener una base de legitimación y garantizar el cumplimiento de los principios de protección de datos.

La IA generativa se entrena con datos, contenidos, imágenes y aprende en función de los datos y el contenido que dispone. Es muy importante que esos datos y contenido sean reales para evitar los sesgos algorítmicos y la infracción de derechos propiedad industrial o intelectual de terceros y problemas de confidencialidad, privacidad. Ej., Chat GPT, Bing, Gemini.

La IA generativa puede comportar problemas específicos en relación con la privacidad, confidencialidad, derechos de autor y propiedad intelectual sobre la obtención de contenidos para entrenar y de los contenidos generados con la IA.

Los empleados de una organización al usar IA generativa deben tener en cuenta que no pueden introducir datos personales ni información confidencial de la empresa o de terceros como tampoco introducir obras protegidas. Se recomienda la redacción de una política de uso de sistemas de IA generativa de forma que conozcan los usos permitidos y prohibidos.

RECOMENDACIONES PARA LAS EMPRESAS EN EL USO DE IA

Los principales retos y desafíos a los que se enfrentan las empresas en el uso de sistemas de IA son, por un lado, ser transparentes e informar a las personas con claridad sobre dicho uso y las consecuencias, incluidos sus derechos, entre otros a recibir explicaciones sobre decisiones basadas en IA y a presentar reclamaciones. Y, por otro lado, evitar sesgos algorítmicos y violaciones de derechos de privacidad, confidencialidad y derechos de autor, secretos empresariales.

A continuación, un listado de recomendaciones que pueden resultar de ayudar:

✅ Valorar la necesidad y proporcionalidad de su uso y tener claro la finalidad para la que quieren ser usados los sistemas de inteligencia artificial.

✅ Realizar un análisis de riesgos para valorar el posible impacto que dicho uso puede tener en las personas adoptando las medidas necesarias de carácter organizativo y técnico para poder mitigarlos.

✅ Contratar con proveedores de sistemas de inteligencia artificial que pueden garantizar el cumplimiento de la normativa y los derechos de las personas y realizar un control periódico de cumplimiento.

✅ Fomentar la intervención humana en la decisión última que puede afectar a la persona y que tiene su origen en el uso de la IA.

Revisar las condiciones de los proveedores de sistemas de inteligencia artificial generativa para averiguar a quién le corresponde la propiedad intelectual de los resultados generados y en su caso, integrar la creatividad e intervención humana de la empresa sobre los resultados obtenidos.

✅Mantener un registro de la documentación generada con inteligencia artificial incluyendo entradas y resultados obtenidos.

✅Disponer de los recursos necesarios, técnicos humanos y materiales a nivel interno que permitan hacer un seguimiento de los sistemas de inteligencia artificial usados en la empresa y del cumplimiento de las normativas que se vayan aprobando.

Formar a los empleados en el uso de sistemas de inteligencia artificial cuando están permitidas para el desarrollo de sus funciones y limitar su acceso a personas autorizadas.

✅Crear una política para los empleados sobre el uso de sistemas de inteligencia artificial generativa donde se informe de usos permitidos y prohibidos. Es básico no introducir información confidencial, ni datos personales, obras protegidas por derechos de propiedad intelectual etc…

✅Fomentar una cultura empresarial de uso responsable de sistemas de inteligencia artificial.

IA#uso responsable# cultura empresarial#sesgos# discriminación

https://www.europarl.europa.eu/news/es/press-room/20240308IPR19015/la-eurocamara-aprueba-una-ley-historica-para-regular-la-inteligencia-artificial

LOS ESCRITOS DE LOS ABOGADOS, PLAGIO Y LA PROPIEDAD INTELECTUAL

/en ,

LOS ESCRITOS DE LOS ABOGADOS, PLAGIO Y LA PROPIEDAD INTELECTUAL

Recientemente, se ha publicado una sentencia de la Audiencia Provincial de Valencia de 9 de enero 2023[1] por la que se acuerda indemnizar a una abogada por importe de 1.000 euros porque otra compañera de profesión copia literal y parcialmente su escrito de contestación a una demanda.

Las pretensiones de la abogada que interpuso la demanda fueron desestimadas en primera instancia y se basaban en que el escrito de contestación a una demanda reúne por su originalidad las características de una obra susceptible de protección patrimonial y personal prevista en la Ley de Propiedad Intelectual.  Ahora, la Audiencia Provincial de Valencia le ha dado la razón y ha condenado a la abogada que ha copiado de forma literal y parcial su escrito, afirmando que el escrito profesional de un letrado como puede ser la contestación a la demanda puede entrar dentro del ámbito del concepto de obra protegida por la Ley de Propiedad Intelectual.

Hasta ahora existían pocas sentencias que se pronunciaban sobre la protección de los escritos realizados por los abogados por la vía de la propiedad intelectual. Destaca la sentencia de la Audiencia Provincial de Salamanca de 2 de marzo de 2017[2], donde se reconocía como obra original protegida por los derechos de autor el escrito de demanda de un abogado considerando los escritos forenses o profesionales de los abogados como obra literaria “lato sensu” y, si son originales.

En particular, la Sentencia de la Audiencia Provincial de Valencia fundamenta sus argumentos en base a:

  1. La calificación de obra protegida

Se asimila la contestación a la demanda a un informe forense susceptible de protección por el artículo 10.1 a) de la Ley de Propiedad Intelectual.

La negrita es nuestra.

“el escrito profesional de un abogado, que es un escrito forense en cuanto de aplicación procesal, puede ser susceptible de calificación como obra. Esta protección del escrito se debe al esfuerzo y el valor creativos que reflejan la personalidad de su autor”.

“(…)  el escrito puede considerarse como «informe forense», y aunque es un acto procesal, también es un documento que incorpora un dictamen profesional del que suscribe. Aunque la reproducción fue parcial, y la abogada infractora (perteneciente al despacho de abogados codemandado) había «citado» a la autora y su origen, ello no significa que no hubo una lesión a los derechos de propiedad intelectual, pues sí que los hubo. No se limitaba a citar la autora, sino que se trató de una reproducción extensa (la contestación original era de 55 páginas) e inconsentida”.

  1. Ser un objeto identificable

Porque la contestación a la demanda es un objeto identificable con la suficiente precisión en cuanto expresado de forma objetiva y bien delimitada que puede ser percibido como un informe forense.

  1. La existencia de originalidad

Aquí, la evolución jurisprudencial comunitaria ha cualificado o enriquecido la noción de originalidad orientándola hacia una originalidad subjetiva y no meramente objetiva.

La elaboración del escrito de contestación a la demanda es el resultado de un proceso de toma de decisiones sucesivas y complejas desde el punto de vista sistemático y de expresión de contenidos, donde se percibe el carácter del profesional que lo suscribe y por eso es una obra original.

“(…) aunque el objeto examinado se ajusta a las previsiones legales y usos que imprimen una forma y ciertos contenidos exigidos o habituales en la práctica forense (artículos 399 y 405 LEC), su elaboración es el resultado de un proceso de toma de decisiones sucesivas y complejas, desde el punto de vista sistemático y de expresión de contenidos, donde es perceptible el carácter del profesional que lo suscribe”.

“(…) Porque es cierto que allí doña Lourdes hizo reproducción muy extensa de la doctrina jurisprudencial aplicable a la solución del caso. Pero lo relevante, también en ese aspecto y sin confundir originalidad y esfuerzo profesional es que el resultado final de esa composición es fruto de las sucesivas elecciones de la autora sobre la selección, disposición y tratamiento de los contenidos allí incorporados, preñados de inflexiones, enlaces y análisis con los hechos del caso o las alegaciones de otros sujetos intervinientes en el proceso, elementos bastantes para reclamar sobre ellos una originalidad creativa suficiente”.

  1. No se puede amparar la reproducción en el derecho de cita

No cabe eximirse de responsabilidad por haber citado al autor en el escrito copiado. Aquí, no resulta amparado el derecho de cita en la reproducción parcial y extensa del escrito de la abogada sin ninguna finalidad crítica distinta de alcanzar el resultado final de una obra compleja mediante un uso no autorizado por la abogada que realiza el escrito de contestación a la demanda parcialmente plagiado.

“De acuerdo con jurisprudencia del Tribunal Supremo, en ningún caso resulta amparada por el derecho de cita la reproducción de una obra original cuando esta no se incorpora a la obra subsiguiente para satisfacer una finalidad de análisis, comentario o crítica, sino para su comunicación, lo que sucede de manera evidente cuando la reproducción cuestionada es muy extensa o íntegra”.

[1]  SAP Valencia. Fuente Diario La Ley

[2] SAP Salamanca. Fuente. Cendoj.

MULTAS ELEVADAS POR INFRACCIONES EN MATERIA DE COOKIES

/en ,

MULTA DE LA CNIL DE 10 MILLONES DE EUROS A YAHOO POR INFRACCIONES EN MATERIA DE COOKIES

El origen del procedimiento son las reclamaciones de veintisiete denunciantes relativas, en particular, al depósito de cookies en su terminal antes de cualquier acción, a no tener en cuenta  su negativa a la instalación de dichas cookies y a los métodos utilizados para rechazar las cookies del dominio «yahoo.com» y del servicio de mensajería «Yahoo mail».

 La CNIL señala lo siguiente:

Sobre la instalación de cookies

  • La instalación de cookies con fines publicitarios requiere el consentimiento. Aquí, se han instalado cookies publicitarias en el terminal del usuario sin consentimiento.

  • No se ofrece una alternativa al usuario que decide optar por retirar el consentimiento para cookies. En este caso concreto, la retirada del consentimiento tiene como consecuencia el no acceso a los servicios propuestos por la sociedad y la pérdida de la cuenta de mensajería electrónica, no se ofrece por ejemplo una cuenta de correo electrónico de page y la única posibilidad es la renuncia al uso de su mensajería electrónica.

Sobre el hecho de asociar el uso de un servicio a la aceptación de cookies no necesarias.

  • El hecho de ligar el uso de un servicio a la instalación de cookies no necesarias no es ilegal siempre y cuando el consentimiento sea libre por lo que la negativa a facilitarlo o en su caso, su retirada no pueden comportar perjuicio para el usuario. En este caso el consentimiento no es libre porque no ofrece una alternativa real al usuario.

  • La cuenta de correo electrónico constituye un elemento de la vida privada del usuario que le permite interactuar con otros en su vida privada y profesional. A medida que se usa no puede remplazarse por un servicio similar con la misma facilidad con la que lo habría hecho en un inicio. En este caso concreto, los usuarios que no deseen cambiar su dirección de correo electrónico y renunciar a su contenido, se ven conducidos a renunciar a su derecho a retirar su consentimiento, ya que la empresa no ofrece ninguna alternativa.

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048967251

GUÍA AEPD COOKIES ANALÍTICAS EXTERNAS

/en ,

GUÍA AEPD COOKIES ANALÍTICAS EXTERNAS

La mayor parte de las webs usan cookies o tecnologías similares para obtener estadísticas tráfico y de rendimiento. La AEPD flexibiliza los criterios y no es necesario recabar el consentimiento cuando se usan en los siguientes casos:

✅ Medición exclusiva de la audiencia de la página web o aplicación por parte del editor y producción de datos estadísticos anónimos.

✅Los datos no se pueden cotejar con otras operaciones de tratamiento ni tampoco se deben transmitir a terceros.

✅No deben permitir el seguimiento agregado de la navegación de la persona que usa diferentes aplicaciones o navega por varios sitios web.

✅Se establece un listado sobre las mediciones que se consideran estrictamente necesarias.

 

Además, se fijan unas GARANTÍAS para el respeto de los derechos de las personas:

✅ Información al usuario del uso de cookies y tecnologías similares para medición de audiencia en la Política de Privacidad.

✅Duración de 13 meses y no extensión automática en nuevas visitas.

✅La información recopilada se conservará como máximo durante 25 meses.

✅Revisión periódica de la duración y período de conservación.

✅Cuando se acude a un proveedor de servicios de medición externo se debe firmar un acuerdo de encargo de tratamiento y realizar una evaluación del cumplimiento del contrato.

✅Si el proveedor de servicios de medición externo da servicio a varios editores debe ofrecer garantías que los datos se recogen procesan y almacenan de manera independiente para cada editor y que las cookies o tecnologías similares son independientes las unas de las otras y de cualquier otra cookie o tecnología similar.

AEPD#cookies#tecnologías similares#estadísticas tráfico# consentimiento#guía

https://www.aepd.es/guias/guia-cookies-analiticas-externas.pdf

/en ,

TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA Y SENTENCIAS RELEVANTES

EL TJUE SEÑALA QUE EL TEMOR A UN POTENCIAL USO INDEBIDO DE DATOS PERSONALES PUEDE CONSTITUIR POR SÍ SOLO UN DAÑO O PERJUICIO INMATERIAL (MORAL)

El origen de la cuestión prejudicial es el acceso no autorizado a un sistema informático de la agencia pública de recaudación búlgara y publicación en Internet de datos personales.

En relación a los requisitos para una indemnización de daños y perjuicios inmateriales a favor de una persona por la exposición de sus datos personales a raíz de un ciberataque la sentencia afirma que:

✅La comunicación o acceso no autorizado a los datos personales no comporta de forma automática que las medidas de protección no eran apropiadas y los jueces deben examinarlas en cada caso concreto.

✅El responsable debe probar que las medidas son apropiadas

✅Cuando el acceso o la comunicación no autorizada ha sido realizada por terceros, “ciberdelincuentes” se puede obligar al responsable a indemnizar a los que sufren un daño salvo que se puede probar que el hecho que provoca el daño no le es imputable.

El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».

Indemnización#dañomoral#responsabilidad#ciberataque#datos personales#TJUE

STJUE de 14 de diciembre de 2023

️https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191es.pdf

EL TJUE DELIMITA LAS CONDICIONES PARA LA IMPOSICIÓN DE MULTAS POR INFRACCIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS

En una reciente Sentencia del Tribunal de Justicia de la Unión Europea (STJUE) se ha delimitado el marco de referencia para que las autoridades de control de protección de datos puedan imponer multas a los responsables del tratamiento por infracción de la normativa de protección de datos.

El origen de la cuestión prejudicial proviene entre otros, de un tribunal alemán en el litigio ocasionado por una multa de 14 millones de euros impuesta por la autoridad de protección de datos alemana a una sociedad inmobiliaria por no tener medidas de seguridad necesarias para la supresión periódica de los datos personales de los arrendatarios que ya no eran necesarios o que se mantenían indebidamente almacenados por otras causas.

En particular, se concluye que:

✅ Sólo las infracciones que se cometen de forma intencionada o negligente pueden comportar la imposición de multas administrativas.

✅Ninguno de los factores del artículo 83.2 del RGPD presupone que se pueda generar responsabilidad del responsable sin una conducta culpable, por lo que, el elemento de la culpa en la comisión de la infracción es un requisito esencial.

No es necesario que la infracción con carácter previo sea imputable o imputada a una persona física concreta en el caso de infracciones cometidas por personas jurídicas.

✅Se puede imponer multa a un responsable del tratamiento por las operaciones efectuadas por un encargado del tratamiento siempre que las operaciones se puedan imputar al responsable.

 ✅El importe máximo de la multa en el caso que el destinatario sea una empresa que forme parte de un grupo de empresas se calcula sobre la base de del volumen de negocios del grupo.

Multas#culpa#infracción#negligencia#TJUE#culpa

✍️ Sentencia deTJUE de 5 de diciembre de 2023

LEY DE INTELIGENCIA ARTIFICIAL

/en ,

LEY SOBRE INTELIGENCIA ARTIFICIAL: EL CONSEJO Y EL PARLAMENTO LLEGAN A UN ACUERDO SOBRE LAS PRIMERAS NORMAS PARA LA IA EN EL MUNDO

El proyecto de reglamento tiene como objetivo garantizar que los sistemas de Inteligencia Artificial (IA) comercializados en el mercado europeo y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE.

Se trata de regular la IA en función de su capacidad de causar daño a la sociedad de acuerdo con un enfoque “basado en el riesgo” a mayor riesgo más estrictas las reglas.

En particular, se destacan siguientes cuestiones:

Prohibiciones de uso por concurrir un riesgo inaceptable.

🛑Prohibir el uso de sistemas biométricos invasivos, categorización biométrica para inferir datos sensibles, como la orientación sexual o la religión. Excepciones: se permite el uso de sistemas de identificación biométrica en espacios públicos con fines policiales con autorización judicial y centrados en la búsqueda selectiva de personas condenadas o sospechosas de delitos graves.

🛑 Prohibir el uso de la IA para puntuaciones sociales o la manipulación de usuarios vulnerables, manipulación cognitiva conductual, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativa.

🛑Prohibir en algunos casos de vigilancia policial predictiva para individuos.

Evaluación de impacto en los derechos fundamentales. Obligatorias antes de implementar sistemas de inteligencia artificial de alto riesgo y mayores obligaciones de transparencia. Aplica a sector banca y seguros.

Reglas generales sobre modelos de IA.  Los sistemas de IA de propósito general, esto es, aquellos que se usan para muchos fines diferentes y sus modelos deben cumplir con requisitos de transparencia, que incluye la documentación técnica y el respeto a la ley de derechos de autor. Asimismo, se acuerdan medidas más estrictas para los modelos de alto impacto con riesgo sistémico.

Apoyo a la Innovación y Entornos de Pruebas Regulatorios de la IA. Se incentiva los entornos de pruebas para desarrollar y entrenar IA innovadora antes de su lanzamiento, se permite probar los sistemas de IA en condiciones del mundo real y se tiene en cuenta a las pequeñas y medianas empresas.

✅ Multas elevadas por incumplimiento. Los importes pueden ascender a los 35 millones de euros o el 7% de la facturación global; 5 millones de euros o el 3% de la facturación global; 7,5 millones de euros o el 1,5% por el suministro de información incorrecta.

✅ Aplicación 2 años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.

Próximos pasos: aprobación formal por parte del Parlamento y del Consejo.

#Inteligencia Artificial# Regulación# UE #Sistemas de Alto Riesgo#Prohibiciones

CONSEJO DE LA UNIÓN

PARLAMENTO EUROPEO

CATÁLAGO DE MEDIDAS DE SEGURIDAD DE GRAN AYUDA DPA DANESA

/en ,

LA AUTORIDAD DE PROTECCIÓN DE DATOS DANESA PUBLICA UN CATALOGO DE MEDIDAS DE SEGURIDAD 

✅ Este catálogo puede ser de ayuda a las empresas como herramienta para garantizar la adopción de medidas técnicas y apropiadas y hacer frente a los riesgos.

✅Las medidas contienen ejemplos concretos en base a la experiencia de la autoridad de protección de datos, las violaciones de seguridad, las directrices CEPD y las normas ISO 27001 y 27002. Una medida puede ser preventiva, de detección, correctiva o una combinación de ambas.

✅Las medidas se han elaborado por un equipo multidisciplar de abogados y consultores de seguridad informática.

Entre otras medidas se proponen las siguientes:

  • derechos de acceso según necesidad.
  • cierre automático de acceso inactivos cuando no se usen por un determinado tiempo.
  • sensibilización y concienciación del personal en aspectos de seguridad.
  • realización de copias de seguridad.
  • gestión de derechos centralizada.
  • acceso a datos según necesidad.
  • documentación de autorizaciones.
  • autenticación multifactor.
  • separación de funciones.
  • gestión de cuentas de usuarios temporales.
  • control periódico derechos de acceso.
  • seudoanonimización y anonimización.
  • derechos de acceso basados en roles.
  • correlación competencias usuario y derecho de acceso.
  • control de acceso físico.
  • adaptación de los derechos de acceso al cambiar la relación laboral.

✍️

https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/katalog-over-foranstaltninger?page=1

CONCLUSIONES DE LA LEY PROTECCIÓN DEL INFORMANTE Y EL TRATAMIENTO DE DATOS PERSONALES

/en ,

La implementación del sistema interno de información o canal de denuncias en las empresas comporta el tratamiento de datos de carácter personal de los informantes con las siguientes repercusiones en materia de protección de datos:

Licitud del tratamiento y bases de legitimación

✅ Se presume lícito el tratamiento de datos de carácter personal cuando resulta obligatorio por ley la implementación de un sistema interno de información. Aquí, la base de legitimación es el cumplimiento de una obligación legal.

✅ Se presume un tratamiento lícito cuando no es obligatorio, pero voluntariamente se decide crear uno. Aquí, la base de legitimación es el cumplimiento de una misión en interés público.

Identidad del informante

La comunicación de los hechos puede realizarse de forma anónima o con identificación de la persona informante

En ningún caso, se informará de la identidad del informante a la persona a la que se refieren los hechos relatados.

El informante tiene derecho a que su identidad no sea revelada a terceras personas.  La identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita su comunicación sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma.

Derecho de información

✅ Cuando se obtienen los datos del informante es necesario cumplir con el deber de información relativo al tratamiento de los datos personales recogida en el RGPD.

Los empleados y terceros han de ser informados acerca del tratamiento de sus datos personales en el marco de los sistemas internos de información.

✅ Cuando la comunicación sea verbal por reunión presencial, vía telefónica o a través de sistemas de mensajería de voz se informará de que la comunicación va a ser grabada y del tratamiento de los datos.  

Las comunicaciones verbales deberán documentarse previo consentimiento del informante ya sea mediante grabación de la conversación en formato seguro, duradero y accesible o bien a través de transcripción completa y exacta de la conversación. Además, se ofrecerá la posibilidad de comprobar, rectificar, y aceptar mediante firma la transcripción de la conversación

 Tipología de datos personales

✅ Sólo se recogerán los datos pertinentes para la finalidad que se persigue, no cabe el registro y tratamiento de categorías especiales de datos y, que en caso de ser facilitados se suprimirán de forma inmediata.

Con carácter excepcional se podrán tratar categorías especiales de datos personales por razón de un interés público esencial siempre que sea proporcional al objetivo perseguido, respete el derecho a la protección de datos y se establezcan medidas adecuadas y específicas para proteger derecho y libertades de los interesados

Plazo de conservación

✅Por el tiempo imprescindible para decidir si se inicia una investigación sobre los hechos informados y supresión en el plazo de 3 meses desde la recepción de la comunicación sin que se hayan iniciado las actuaciones de investigación salvo que la finalidad para su conservación sea dejar evidencia del funcionamiento del sistema.

✅ En principio, no se pueden conservar por un plazo superior a diez años

 Roles de protección de datos personales

✅El órgano de administración u órgano de gobierno de la organización tiene la condición de responsable del tratamiento y en caso de gestión por un tercero externo este tendrá la consideración de encargado del tratamiento.

Tratamiento de los datos personales

Se limita el acceso al tratamiento de los datos de carácter personal a determinados sujetos, como el responsable del sistema, el responsable de RRHH u órgano competente designado, el responsable de los servicios jurídicos bajo determinados supuestos, encargados del tratamiento, delegado de protección de datos.

Cabe la posibilidad de comunicar los datos personales a terceros cuando sea necesario para adoptar medidas correctoras o tramitación de procedimientos sancionadores o penales

Ejercicio de derechos

El informante puede ejercitar los derechos en materia de protección de datos recogidos en el RGPD.

✅La persona afectada por la información puede ver limitado el derecho de oposición por existir motivos legítimos imperiosos que legitiman el tratamiento por parte del responsable.

Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

NO SE PUEDE PEDIR EL DNI PARA TODO

/en ,

LA AEPD MULTA CON 30.000 EUROS A CLINICA DENTAL POR PEDIR LA COPIA DNI PARA EL REINTEGRO DE TRATAMIENTOS DENTALES EFECTUADOS Y POR NO ATENDER LA RECLAMACIÓN DIRIGIDA EL DELEGADO DE PROTECCIÓN DE DATOS  

Seguimos con las limitaciones a la hora de pedir copia del DNI para todo. En particular se constata que:

🛑 Se establecen requisitos excesivos para el derecho al reintegro de las cantidades como es la obtención de la copia del DNI, máxime cuando se tienen datos del paciente incluido su número de cuenta bancaria por otros tratamientos recibidos. La clínica puso impedimentos para el reintegro rechazando las otras alternativas propuestas para el reintegro como trasnferencia cuenta bancaria, talón nominativo o en metálico o firma del recibo.

🛑No se ven afectadas categorías especiales de datos según el RGPD, no obstante, la imagen de la documentación de identidad de los clientes tiene una naturaleza especialmente sensible y aumenta los riesgos sobre su privacidad.

🛑La recogida de la fotocopia del documento de identidad del cliente, con toda la información contenida en ese documento, se entiende como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario al principio de “minimización de datos”.

🛑El no trasladar la reclamación al Delegado de Protección de Datos equivale a no darle curso y a no tramitarla por un mal funcionamiento de los canales internos, lo que constituye una falta de diligencia.

La resolución en ✍️:

 https://www.aepd.es/documento/ps-00253-2023.pdf

LA MATRICULA DEL COCHE ES UN DATO PERSONAL

/en ,

SEGÚN INFORME JURÍDICO DE LA ADPCAT SE CONSTATA QUE LA MATRÍCULA DE UN VEHÍCULO ES UN DATO DE CARÁCTER PERSONAL

El origen del informe es la solicitud de una persona que solicita en ejercicio del derecho de acceso el listado de los vehículos que han salido del depósito de vehículos del Ayuntamiento en unos determinados recintos y fechas y su denegación.

Las conclusiones del informe son:

La información solicitada (listado de vehículo que han salido de las instalaciones del depósito municipal y su destino desde enero 2020) es una información de carácter público de acuerdo con la normativa específica (Ley 19/2014 de transparencia, acceso a la información pública y buen gobierno).

✅El derecho de acceso a la información pedida no es absoluto y puede ser denegado o restringido por las causas previstas en las leyes, y en particular cuando se vean afectados datos personales.

✅El derecho de acceso debe ser concedido porque en la solicitud no se ven afectados datos personales. En particular, no se solicita el detalle de todos los vehículos mediante un identificador, como por ejemplo la matrícula u otro identificador.

La matrícula será considerada dato personal si permite conocer la identidad de la persona titular del vehículo sin necesidad de realizar esfuerzos desproporcionados. De acuerdo con el reglamento general de vehículos para la identificación del titular de un vehículo, sólo requiere conocer previamente la matrícula e invocar un interés legítimo y directo, por lo que existe una probabilidad razonable de identificación de la persona física.

✅En caso de querer acceder a un listado que contenga datos personales, en la medida que sea excesiva para la finalidad pretendida, se tendrá que limitar el acceso a esta información mediante la anonimización.

Resolución ✍️ en:

https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2023/Documents/ca_iai_2023_045.pdf