por Vicente | Sep 11, 2024 | cookies
Un cliente nos pregunta:
Por favor me gustaría consultarte si la funcionalidad de la web para permitir cambiar las preferencias de tipos de cookies aceptadas una vez que ya han sido previamente aceptadas es obligatoria o recomendada.
En la última versión (2024) de la Guía de Cookies publicada por la AEPD, en su punto 3.2.9 establece lo siguiente:
3.2.9. Retirada del consentimiento para el uso de cookies
Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies.
El usuario debe poder revocar el consentimiento de forma fácil. El sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.
Interpretando el texto de la guía, vemos dos posibles soluciones operativas:
- La opción impecable y aparentemente recomendada por la AEPD es mantener en el pie de página de todas las páginas del sitio un elemento permanentemente visible del tipo «Gestionar Cookies» que permita el acceso al panel de gestión para que el usuario pueda modificar o revocar su consentimiento.
- Otra opción que también nos parece aceptable es enlazar a ese panel desde la política de cookies. Recomendamos que esté enlazado dentro del apartado «Retirada del consentimiento» dentro de dicha política de cookies.
A nuestro entender bastaría con aplicar cualquiera de las dos posibles soluciones, y si queremos bordarlo, aplicar ambas.
por Vicente | May 16, 2024 | COMUNIDAD DE PROPIETARIOS
Un administrador de fincas cliente nuestro, nos traslada una solicitud de acceso a documentación de la comunidad, efectuada por un propietario, que solicita lo siguiente:
1.- Libro de actas de la Junta de Propietarios correspondiente a los ejercicios 2023 y 2024 (en curso).
2.- Libros contables de la comunidad correspondientes a los ejercicios 2023 y 2024 (en curso).
3.- Facturas pagadas por la Comunidad de Propietarios correspondientes a los ejercicios 2023 y 2024 (en curso).
4.- Contratos de Servicios efectuados por la Comunidad en los ejercicios 2023 y 2024 (en curso).
5.- Estatutos de la Comunidad de Propietarios.
6.- Reglamento de Régimen Interior (si lo hubiere).
La solicitud se efectúa al amparo del Art. 20.1 e) de la Ley de Propiedad Horizontal que dispone que corresponde al Administrador custodiar a disposición de los titulares la documentación de la Comunidad.
La Agencia de Protección de Datos, en base a lo dispuesto en el referenciado Art. 20.1 e) de la LPH, atendiendo a los principios de proporcionalidad y finalidad considera lícita la comunicación de ciertos datos, a los efectos de comprobación de una correcta gestión y buen gobierno de la Comunidad de Propietarios. Pero ello no exime al administrador de adoptar ciertas cautelas respecto a la documentación solicitada, para asegurar que la atención de la solicitud de documentación es compatible con la legislación de protección de datos.
En este caso las precauciones y medidas que recomendamos son las siguientes:
1. Libro de actas de la Junta de Propietarios
Precauciones:
Las actas de las juntas suelen contener información personal de los propietarios, como nombres, direcciones y, en algunos casos, datos económicos.
Medidas: Revisar y censurar cualquier dato personal que no sea estrictamente necesario para el ejercicio del derecho de acceso. Se debe evitar compartir datos personales de otros propietarios que no sean pertinentes para la solicitud.
2. Libros contables de la comunidad
Precauciones:
Los libros contables pueden incluir información detallada sobre pagos realizados por los propietarios y sus datos personales.
Medidas: Censurar o anonimizar los datos personales de los propietarios en los movimientos contables. Solo se debe proporcionar la información que sea relevante para la transparencia y la rendición de cuentas de la comunidad, evitando exponer datos personales innecesarios.
En el caso de devoluciones de recibos bancarios o de transferencias recibidas de propietarios, recomendamos censurar el nombre del propietario. El administrador debe informar de los saldos pendientes de pago antes de la junta general, pero está obligado a guardar la privacidad respecto de los propietarios que impagaron alguna cuota y lo regularizaron antes de la junta general.
3. Facturas pagadas por la Comunidad de Propietarios
Precauciones:
Las facturas pueden contener datos personales de los proveedores, así como detalles sobre los servicios prestados.
Medidas: Revisar las facturas para asegurar que no se incluyan datos personales no necesarios. En el caso de proveedores autónomos, se debe tener especial cuidado en no exponer información como números de identificación fiscal, direcciones personales, etc.
4. Contratos de Servicios efectuados por la Comunidad
Precauciones:
Los contratos pueden contener datos personales de los proveedores o trabajadores autónomos.
Medidas: Anonimizar o censurar los datos personales de los contratistas o empleados autónomos en los contratos. Proporcionar solo la información relevante para entender los términos del servicio contratado.
5. Estatutos de la Comunidad de Propietarios
Precauciones:
Los estatutos suelen ser documentos públicos de la comunidad que no contienen datos personales.
Medidas: No suelen requerir censura, pero es recomendable revisar el documento para asegurarse de que no contenga información personal no necesaria.
6. Reglamento de Régimen Interior (si lo hubiere)
Precauciones:
Al igual que los estatutos, este documento normalmente no incluye datos personales.
Medidas: Revisar y asegurarse de que no contenga datos personales antes de proporcionarlo.
Consideraciones Adicionales
Principio de Minimización de Datos: Proporcionar únicamente la información mínima necesaria para cumplir con la solicitud de acceso.
Confidencialidad: Asegurar que toda la documentación se maneje con la máxima confidencialidad y se entregue de manera segura para evitar accesos no autorizados.
El administrador de fincas debe actuar con diligencia y asegurar que el cumplimiento de la solicitud de acceso respete los principios de protección de datos establecidos en la LOPDGDD, garantizando así la privacidad y seguridad de los datos personales de todos los propietarios y terceros involucrados.
por Vicente | Nov 7, 2023 | PROTECCION DATOS
Una pregunta recurrente es si una empresa puede utilizar grupos de Whatsapp o Telegram para coordinar la actividad, obligando o solicitando el consentimiento de sus empleados para ello. Veamos los casos posibles:
CASO 1: Dispositivo y número de teléfono proporcionados por la empresa.
En este caso no hay ningún inconveniente. La empresa tiene la facultad de decidir qué herramientas organizativas utiliza, y puede establecer que los teléfonos de empresa deben tener instalado la aplicación Whatsapp y/o Telegram, y dar de alta los grupos que considere, para organizarse como quiera.
CASO 2: Dispositivo y/o número de teléfono proporcionados por el trabajador
Este caso es mucho más delicado.
La empresa no puede obligar al trabajador a utilizar ni su dispositivo ni su número de teléfono personal para actividades relacionadas con el trabajo.
El Estatuto de los Trabajadores establece que “la ajenidad propia del contrato de trabajo implica, entre otras cosas, la ajenidad en los medios, lo que implica que es el empleador el que tiene que proporcionar al trabajador los medios necesarios para el desenvolvimiento de su relación laboral”
El Comité Europeo de Protección de Datos en sus “Directrices 5/2020 sobre el consentimiento en el sentido del RGPD”, afirma que “con el artículo 7, apartado 4, en vigor, será más difícil que el responsable del tratamiento demuestre que el interesado ha dado su consentimiento libremente”.
En este caso, la única manera segura para la empresa es llegar a un pacto con el trabajador y financiar parte del coste que este soporta, en la línea de teléfono o en el dispositivo. Ejemplos:
- El trabajador paga el coste de la línea de teléfono y la empresa proporciona el dispositivo.
- La empresa paga una cantidad de entre 50 y 150 euros anuales al trabajador a cambio de que este utilice su número de teléfono y su dispositivo.
por Vicente | Oct 21, 2022 | PROTECCION DATOS
¿han hackeado tu correo?
Si alguna vez te escribe un contacto de confianza (cliente, proveedor o amigo) diciéndote que ha recibido un correo sospechoso tuyo, pueden pasar dos casos:
1) Que efectivamente algún hacker se haya hecho con la contraseña de acceso a tu cuenta y esté enviando correos desde tu servidor SMTP como si fueses tú.
2) Que algún hacker esté enviando correos suplantando tu identidad desde un servidor SMTP ajeno al tuyo.
Para poder investigar más, no basta con que la persona que te avisa te reenvíe el correo. Necesitarás las cabeceras del correo sospechoso. ¿Cómo hacerlo? Depende del cliente de correo electrónico que utilice:
Obtener cabeceras de correo en GMAIL.
Obtener cabeceras de correo en Microsoft Outlook
Obtener cabeceras de correo en Thunderbird
Obtener cabeceras de correo en Mail en un Mac
Una vez tenga delante esas cabeceras, que haga un copia y pega y que te las envíe: Con ellas es mucho más fácil identificar el origen del problema y abordar su solución.
por Vicente | Oct 17, 2021 | consentimiento, SANCIONES, Whatsapp
Un Club Deportivo agregó a un antiguo socio a un grupo de Whatsapp para informarle de los eventos y novedades del club.
Ese simple gesto que se hace en cuatro segundos, evidenció cuatro infracciones distintas al RGPD (Reglamento General de Protección de Datos), a mil euros, cada una, total 4000 euros.
Infracción 1: Agregar a un grupo de Whatsapp es un tratamiento de datos personales que requiere el consentimiento del interesado, que el club no tenía. (Artículo 6).
Infracción 2: La persona afectada se había dado de baja como socio, y el club no había cancelado sus datos. (Artículo 5.1.e)
Infracción 3: Agregar a un grupo de Whatsapp supone divulgar información personal (nombre y número de teléfono) a todos los terceros incluidos en ese grupo. Esta comunicación de datos requiere un consentimiento separado del tratamiento general que el club no tenía (Artículo 32.1.b , obligación de garantizar la confidencialidad)
Infracción 4: El club no tenía ningún procedimiento de revisión anual LOPD, lo que incumple el artículo 32.1.d (El responsable adoptara medidas técnicas y organizativas apropiadas… que incluya, entre otros: … d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.)
De ahí la importancia de ir incrementando la conciencia e implicación en materia de protección de datos tanto en empresas como en asociaciones y clubes.
Pueden revisar el procedimiento sancionador aqui.
