//
Archivos

Grupo de trabajo del Artículo 29

Esta etiqueta está asociada a 5 entradas

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google

Reclaman a Google que informe de una forma más clara a sus usuarios y le piden que ofrezca un mayor control sobre la combinación de datos entre sus numerosos servicios.

Solicitan a la empresa que modifique las herramientas que emplea para evitar una recogida excesiva de datos.

Las Autoridades europeas de protección de datos han publicado sus conclusiones respecto de la nueva política de privacidad implementada por Google el pasado mes de marzo, tras meses de investigación liderada por la Autoridad francesa de protección de datos (CNIL).

Tras analizar las respuestas y la documentación proporcionada por Google, las Autoridades concluyen que Google no proporciona suficiente información a los usuarios sobre sus operaciones de tratamiento de datos. Asimismo, considera que Google no ofrece al usuario un control sobre el modo en que sus datos se combinan entre los diferentes servicios de Google.

Por ello, las Autoridades europeas requieren a Google que ofrezca una información más clara y completa sobre los datos que se recogen y las distintas finalidades de cada una de las múltiples operaciones de tratamiento de datos que lleva a cabo. En relación con la combinación de datos entre servicios, las autoridades emplazan a Google a que refuerce el consentimiento para las combinaciones que se basan en la autorización de los usuarios y a que ofrezca mejores posibilidades para que los usuarios puedan oponerse al tratamiento de sus datos en los casos en que las operaciones de tratamiento no precisan consentimiento.

Las Autoridades Europeas han remitido estas recomendaciones a Google para darle la oportunidad de mejorar su nueva política de privacidad, y esperan que Google tome medidas eficaces para cumplir rápidamente con estas recomendaciones.

Nueva política de privacidad

El pasado 24 de enero Google anunció que modificaría su política de privacidad y sus condiciones de uso para la mayoría de sus servicios a partir del 1 de marzo de 2012. Ante las numerosas dudas que estos cambios planteaban, el Grupo de Autoridades de Protección de Datos de la UE encomendó a la Autoridad francesa (CNIL) que dirigiera la investigación sobre esta nueva política de privacidad.

En este contexto, se enviaron dos cuestionarios sucesivos a Google. La empresa contestó a estos cuestionarios, pero varias de las respuestas resultaron incompletas o poco precisas. En concreto, Google no contestó suficientemente a cuestiones clave como la descripción de sus operaciones de tratamiento de datos personales o la lista detallada de las más de 60 políticas de privacidad específicas que se han sustituido por esta nueva política general.

Fuente: Agpd

Anuncios

Las autoridades europeas de protección de datos han adoptado un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies

Las autoridades europeas de protección de datos, reunidas en el Grupo de Trabajo del artículo 29, han adoptado un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies durante su sesión plenaria de los días 6 y 7 de junio de 2012 en Bruselas. El dictamen explica cómo la Directiva revisada sobre la privacidad y las comunicaciones electrónicas afecta al uso de las cookies y tecnologías similares. Más concretamente, en su dictamen las autoridades europeas de protección de datos han analizado las exenciones del requisito de obtener el consentimiento informado en este contexto. El dictamen aborda las cookies que se puede colocar en determinadas circunstancias sin la necesidad de contar con el consentimiento informado. Además, proporciona directrices para decidir si una cookie está exenta del principio del consentimiento informado.

El Artículo 5.3 revisado (la llamada “Ley de cookies”) de la Directiva sobre la privacidad y las comunicaciones electrónicas ha reforzado la protección de los usuarios de redes y servicios de comunicaciones electrónicas al establecer como requisito la obtención del consentimiento informado antes de que se almacene o se acceda a la información en el dispositivo terminal del usuario (o del abonado). El requisito se aplica a todos los tipos de información que se almacena o a la que se accede en el dispositivo terminal del usuario, aunque la mayor parte del análisis se ha centrado en el uso de las cookies.

El Artículo 5.3 permite que algunas cookies queden exentas del requisito de obtener el consentimieno informado, si cumplen uno de los siguientes criterios:

1.- Que la cookie se utilice “al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas”.

2.- “en la medida de lo estrictamente necesario a fin de que le proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

En su dictamen, el Grupo de Trabajo del artículo 29 se ha concentrado en estas exenciones al principio del consentimiento informado  en el contexto de las cookies y tecnologías relacionadas. Las autoridades europeas de protección de datos ya habían examinado anteriormente los requisitos para la obtención del consentimiento informado de forma detallada en los dictámenes que emitieron sobre la publicidad en línea basada en el comportamiento (WP 171) y en la recomendación de buenas prácticas de EASA/IAB Europe sobre publicidad en línea basada en el comportamiento (WP 188).

El análisis de este dictamen muestra que algunas cokies pueden quedar exentas del requisito de obtener consentimiento informado en determinadas circunstancias si no se utilizan para fines adicionales. Estas cookies incluyen por ejemplo las cookies de “entrada del usuario” (que se emplean para hacer un seguimiento de los datos introducidos por el usuario  cuando rellena formularios en línea o utiliza un carrito de la compra), también conocidas como cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de la personalización de la interfaz del usuario (por ejemplo, las cookies de preferencia de idioma que permiten recordar el idioma seleccionado por el usuario).

No es probable que las cookies analíticas de primera parte generen un riesgo para la privacidad cuando se limitan estrictamente a fines de recopilación de información estadística agregada sobre los interesados, ni cuando las utilizan sitios web que ya proporcionan información clara sobre estas cookies en sus políticas de privacidad, así como salvaguardias de protección de la privacidad. Se espera que dichas salvaguardias incluyan un mecanismo de fácil utilización para que los usuarios puedan inhabilitar cualquier recopilación de datos y mecanismos de anonimización exhaustivos que se aplican a otra información recopilada identificable, como las direcciones IP.

Las autoridades europeas de protección de datos desean subrayar que para poder decidir si una cookie está exenta del principio de consentimiento informado es importante comprobar cuidadosamente si cumple uno de los criterios de exención que se definen en el Artículo 5.3 de la Directiva sobre la privacidad y las comunicaciones electrónicas. En caso de duda, los operadores de los sitios web siempre pueden, por supuesto, pedir el consentimiento del usuario, evitando así cualquier incertidumbre jurídica.

“Grupo de Trabajo del Artículo 29”

El grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Fuente: AEPD

Nota de prensa. Versión AEPD (ES)

Nota de prensa del Grupo de Autoridades Europeas de Protección de Datos (EN)

Dictamen del Grupo de Autoridades Europeas de Protección de Datos sobre “cookies exentas de consentimiento” 

Las autoridades europeas de protección de datos aprueban un dictamen sobre la incidencia en la privacidad del desarrollo de las tecnologías biométricas

Las autoridades europeas de protección de datos representadas en el Grupo de trabajo del artículo 29 han adoptado un dictamen sobre los últimos desarrollos en materia detecnologías biométricas. El dictamen proporciona un análisis jurídico actualizado del uso de datos biométricos y recomendaciones sobre mejores prácticas. Además, propone medidas técnicas y organizativas para mitigar los riesgos para la protección de los datos y la privacidad, y ofrece también orientaciones sobre cómo evitar las consecuencias negativas para la privacidad y el derecho fundamental a la protección de datos de los interesados.

  Los datos biométricos se usan de manera satisfactoria y eficaz en la investigación científica, constituyen un elemento clave de la ciencia forense y son un valioso componente de los sistemas de control de acceso. Pueden ayudar a incrementar el nivel de seguridad y lograr que los procedimientos de identificación y autenticación sean mas sencillos, rápidos y cómodos. Sin embargo, los sistemas biométricos utilizan propiedades únicas de los sujetos, como las huellas dactilares, los patrones venosos y el ADN.  Aunque los datos biométricos de una persona pueden eliminarse o modificarse, la fuente de la que se extraen en general no puede ni modificarse ni eliminarse. Por esta razón, las tecnologías biométricas plantean riesgos específicos para la privacidad y protección de datos de los afectados.

Gracias a los avences tecnológicos, el coste del espacio de almacenamiento y la potencia de cálculo necesaria son menores. Estos han posibilitado la existencia de galerías de imágenes en línea y redes sociales que contienen miles de millones de fotografías, han permitido que los lectores de huellas dactilares y los dispositivos de videovigilancia se conviertan en aparatos baratos y, gracias a ellos, los análisis de ADN son más rápidos y económicos.

Cuando estas tecnologías biométricas, que generalmente están disponibles, se emplean sin las salvaguardas apropiadas, el derecho a la protección de datos de los afectados corre peligro. Además, existen gran cantidad de tipos de datos biométricos que pueden recopilarse sin la cooperación o el conocimiento por parte del interesado, como ocurre a través de los sistemas de videovigilancia y de reconocimiento facial, lo que podría facilitar que se produzcan numerosas violaciones de manera inadvertida.

En el Dictamen se abordan las ventajas y los riesgos que se han mencionado anteriormente, así como otros desarrollos recientes. Las repercusiones jurídicas del uso de los datos y sistemas biométricos se analizan desde un punto de vista general y de esa tecnología específica.

“Grupo de trabajo del Artículo 29”

El grupo de trabajo de autoridades europeas de protección de datos (Grupo de trabajo del Artículo 29), es el grupo consultivo compuesto por representantes de las autoridades naciones de protección de datos de los Estados miembros, el Supervisor Europeo de protección de datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación  uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Dictamen del Grupo de Autoridades Europeas de Protección de Datos sobre los desarrollos en materia de tecnologías biométricas (EN) 

Fuente: AGPD. Nota

Las Autoridades europeas de protección de datos aprueban un Dictamen sobre las propuestas de reforma de la normativa europea protección de datos

(Madrid, 30 de marzo de 2012). El grupo de autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) ha aprobado, durante su sesión plenaria del 22 y 23 de marzo celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre las propuestas de reforma del marco normativo europeo de protección de datos de la Comisión Europea.

El Grupo de autoridades ofrece en el dictamen sus conclusiones generales tras el análisis de las propuestas y pone de relieve las áreas de preocupación y sugerencias de mejora.

En líneas generales el Grupo de autoridades europeas de protección de datos da la bienvenida a las propuestas presentadas por el Comisión Europea, que buscan reforzar los derechos de los interesados, para mejorar la responsabilidad de las empresas y fortalecer la posición de las autoridades de protección de datos, a nivel nacional e internacional.

El dictamen señala que, sin perjuicio de seguir mejorando, las normas propuestas pueden reducir significativamente la fragmentación existente y reforzar la protección de datos en Europa. El Grupo de Trabajo hace un llamamiento al Consejo y los miembros del Parlamento Europeo para aprovechar la oportunidad para mejorar las propuestas y la protección de los datos personales en la Unión Europea.

El Grupo de Trabajo, en particular, acoge con satisfacción la inclusión de disposiciones que incentiven a los responsables a invertir en materia de protección de datos (como en evaluaciones de impacto para la privacidad, privacidad en el diseño y en la privacidad por defecto), así como las propuestas de clarificar los principios de responsabilidad y la rendición de cuentas en el tratamiento de los datos personales.

El Grupo de Autoridades se muestra a favor de desarrollar el concepto de “ventanilla única” para las empresas, con una “autoridad líder” designada en función del lugar en el que la compañía tenga su establecimiento principal en Europa. Al mismo tiempo, acoge también favorablemente la existencia de una clara obligación para las autoridades de protección de datos de cooperar entre sí y de utilizar el “mecanismo de consistencia” previsto en el Reglamento para asegurar que éste se aplica coherentemente en los casos en que ciudadanos de varios Estados Miembros pueden verse afectados por operaciones de tratamiento de datos. Ello debe conducir a una interpretación y aplicación consistente del marco legal de la UE y, consecuentemente, creará seguridad jurídica.

Sin embargo, el Grupo entiende que para que el modelo pueda funcionar, debe aclararse el modo en que se determina el país en que una compañía multinacional tiene su establecimiento principal. Esta determinación es importante, porque la noción de “establecimiento principal” tiene como principal finalidad la de poder establecer qué autoridad nacional de protección de datos debe actuar como “autoridad líder” en un caso particular o para una compañía concreta. Asimismo, hay que definir mejor las competencias de las demás autoridades de protección de datos implicadas. Debe quedar claro en todo caso que la competencia de una autoridad líder no es exclusiva. Ello significa que la competencia de la autoridad líder está sometida a las obligaciones de cooperar, proporcionar y aceptar asistencia recíproca, hacer uso del mecanismo de consistencia y actuar de acuerdo con las demás autoridades de protección de datos.

El Grupo de Autoridades también manifiesta preocupación sobre el papel protagonista que asume la Comisión en las propuestas, tanto a través del uso de actos delegados o de ejecución como en casos individuales que deben ser tratados por las autoridades de supervisión en el Consejo Europeo de Protección de Datos en el marco del mecanismo de consistencia.

En relación con la Directiva sobre protección de datos en el ámbito policial y judicial penal, el Grupo de Autoridades lamenta la falta de ambición de la Comisión y subraya la necesidad de unas disposiciones más rigurosas. El Grupo está particularmente preocupado ante la ausencia de la Directiva de principios de protección de datos tan importantes como la limitación de los periodos de retención, transparencia y exactitud y los datos personales.

El Grupo de Trabajo, en la Opinión, trata también el ámbito de aplicación de la propuesta de Directiva y su coherencia con el Reglamento, entre otros temas en relación con los derechos de los interesados y las obligaciones de los responsables. Además, el Grupo valora el régimen de transferencias internacionales y la introducción de posibilidades muy amplias para excluir la aplicación de este régimen.

Por último, el Grupo de Autoridades demanda una evaluación independiente del incremento de los costes para las autoridades de protección de datos con vistas a asegurar que estas autoridades pueden desarrollar eficazmente las más amplias funciones que tanto el Reglamento como la Directiva les atribuyen.

Fuente: AEPD

Nota de prensa

Dictamen del grupo de Autoridades Europeas de Protección de Datos sobre las propuestas de reforma de la normativa europea de protección de datos (EN) 

 

Las autoridades europeas de protección de datos aprueban un Dictamen sobre el impacto en la privacidad de los sistemas de reconocimiento facial

Analiza los principales riesgos para la privacidad de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online, y su incidencia en la protección de datos.

El Dictamen establece el marco jurídico aplicable, las garantías que los proveedores de servicios deben cumplir y formula diversas recomendaciones.

Pone especial énfasis en la necesidad de que exista un consentimiento previo e informado de los usuarios para el tratamiento de las imágenes digitales.

(Madrid, 30 de marzo de 2012). El grupo de autoridades europeas de protección de datos ha aprobado, en su última reunión plenaria celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre el impacto en materia de protección de datos de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online, y principales riesgos para la privacidad derivados de estos servicios.

La finalidad de este dictamen, dirigido a órganos legislativos nacionales y europeos, a los prestadores de estos servicios y a los usuarios de dichas tecnologías, es analizar el marco jurídico y las recomendaciones aplicables a la tecnología de reconocimiento facial en el entorno online y móvil.

El documento pone de manifiesto la rápida evolución e incremento de la disponibilidad y la precisión de la tecnología de reconocimiento facial en los últimos años. Señala el hecho de las facilidades que aporta el generalizado uso de móviles con cámaras de alta resolución, que facilita a los usuarios capturar imágenes y compartirlas en tiempo real con otras personas o llevar a cabo la identificación, autenticación/comprobación o categorización de los individuos. Asimismo, destaca que en la actualidad muchos servicios online disponen de grandes colecciones de imágenes. Las autoridades de protección de datos ponen de manifiesto que si bien la mayoría de dichas imágenes son o han sido aportadas por los propios usuarios, señala que en algunos casos estas imágenes pueden también ser obtenidas (de manera ilegal) mediante el rastreo de otros sitios públicos, tales como las cachés de los buscadores.

El dictamen, que define los conceptos relacionados con las tecnologías de reconocimiento facial (imagen digital, reconocimiento facial, etc.…), analiza los riesgos para la privacidad de este tipo de servicios- como por ejemplo: los posibles tratamientos de imágenes de forma ilegal, las violaciones de la seguridad o la falta de precisión en la identificación-, a través de diferentes ejemplos y usos posibles de esta tecnología. Además, formula diversas recomendaciones y establece los requisitos que deben cumplir los prestadores de este tipo de servicios.

El documento pone especial énfasis en la necesidad de que exista un consentimiento previo e informado de los usuarios para el tratamiento de las imágenes digitales en el sistema de reconocimiento facial.

En este sentido señala que el consentimiento otorgado no puede ser derivado de una aceptación general de las condiciones del servicio -salvo que dicho servicio tenga como única finalidad el reconocimiento facial- por los que deberá ofrecerse a los usuarios una información específica de forma clara y accesible, que no puede estar incluida en las cláusulas generales de los servicios.

El grupo de autoridades europeas de protección de datos indica que- en el ámbito de uso de los sistemas de reconocimiento facial de los servicios de redes sociales- “Antes de que un usuario registrado suba una imagen a una red social, primero debe ser claramente informado de que estas imágenes estarán sujetas a un sistema de reconocimiento facial”. Además señala que a los usuarios que ya estaban registrados en el servicio de reconocimiento facial también se les solicitar su consentimiento para que su plantilla de referencia de identificación facial sea registrada en la base de datos de identificación. Respecto a los usuarios no registrados y usuarios registrados que no hayan dado su consentimiento al tratamiento de sus datos con esta finalidad, indica que no se les podrá sugerir automáticamente una etiqueta a su nombre.

Por último, el dictamen establece la necesidad de que los prestadores de servicios deban asegurarse y garantizar que las imágenes digitales de los usuarios y las plantillas de reconocimiento facial son utilizadas únicamente para la finalidad prevista, así como que adopten las medidas adecuadas para garantizar la seguridad de las mismas. También, entre otras recomendaciones, señala que los prestadores de este tipo de servicios deberían implantar herramientas para que los usuarios puedan controlar la visibilidad de sus imágenes por parte de terceros.

El Dictamen integro puede consultarse en:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp192_en.pdf

“Grupo de trabajo del Artículo 29”

El grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. El Grupo de trabajo del artículo 29 está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Sigue leyendo

Estadística del blog

  • 113,136 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: