ESPACIO ASOCIADOS

Importante sanción de la AEPD a Equifax por vulneración del RGPD

índice

Contenido del procedimiento sancionador por parte de la AEPD

Las reclamaciones contra Equifax versan sobre el tratamiento de los datos personales de los reclamantes efectuado por Equifax y materializado en su incorporación al Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) asociados a supuestas deudas en su mayoría contraídas, presuntamente con Administraciones Públicas. Con carácter general, los datos personales objeto de tratamiento vinculados a presuntas deudas figuraron en documentos de las Administraciones Públicas, las entidades u organismos de Derecho Público dependientes de ellas o en resoluciones de los órganos jurisdiccionales que fueron publicados a través de boletines o diarios oficiales, mediante su inserción en los tablones de anuncios ubicados en la sede de las entidades u organismos o en el tablón edictal judicial único, con la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial.

El expediente sancionador lo integran 96 reclamaciones en total (habida cuenta de que el reclamante 3 y el 27 son la misma persona que presentó en dos momentos distintos diferente documentación anexa).

El modelo de carta utilizado por Equifax cuando el RGPD era ya de efectiva aplicación para denegar a los reclamantes la supresión de sus datos del FIJ, del que hay numerosos ejemplos en el expediente administrativo, incluía los siguientes párrafos:

«(…) Dichos datos han sido obtenidos de Fuentes de Acceso Público. Si deseara ampliar la información aquí provista, puede hacerlo dirigiéndose al Organismo Público que consta en el informe abreviado.»

«Los datos incluidos serán cancelados o dados de baja una vez que usted haya realizado el pago de las deudas y nos justifique dicho pago mediante certificado emitido por el Organismo Público en cuestión o con sentencia a su favor, y en todo caso a los 6 años de la fecha en que sus datos fueron publicados».

En el modelo de carta utilizado por Equifax, ésta afirma que los datos personales de los afectados incluidos en el FIJ se obtuvieron de fuentes de acceso público; relaciona las finalidades del tratamiento de datos que lleva a cabo; exige como condición para poner fin al tratamiento de los datos que sus titulares le acrediten el pago de la deuda mediante documento expedido por el correspondiente organismo oficial o a través de sentencia e informa de que los datos así obtenidos serán objeto de tratamiento durante 6 años computados desde la fecha en la que fueron publicados.

La reclamada Equifax en otro modelo de carta, facilitaba la siguiente información:

«Este fichero tiene su base jurídica en el interés legítimo de las entidades, que necesitan conocer las deudas o reclamaciones de una persona física o jurídica para dar seguridad al tráfico mercantil, prevenir la morosidad y valorar la solvencia patrimonial de dichas personas, con las que tienen o van a tener relaciones comerciales, de crédito y de pago periódico o aplazado».

En sus alegaciones Equifax, dedica un apartado a la «ponderación de la prevalencia del interés legítimo en el presente caso». Afirma que son múltiples los elementos que conducen a concluir que el «interés legítimo de Equifax, sus compañias usuarias y la propia sociedad en el tratamiento de los datos del FIJ prevalece sobre los derechos e intereses de los deudores a los que se refieren los datos».

En la alegación quinta del escrito de alegaciones al acuerdo de inicio, «Sobre el cumplimiento por Equifax del principio de exactitud de los datos», reitera, en primer término, que respecto a este principio, el RGPD no ha introducido modificaciones en relación con lo que establecía la Directiva, ni en la enunciación del principio ni en sus consecuencias, y que la AEPD, hasta la publicación del acuerdo de inicio, «consideró en todo momento al FIJ plenamente respetuoso con lo dispuesto en la normativa de protección de datos personales, en la que ya aparecía claramente recogido el mencionado principio de exactitud». Por tanto, considera que el acuerdo de inicio implica que la AEPD ha adoptado un «nuevo criterio» de lo que concluye que la actuación de la AEPD es contraria a los principios de seguridad jurídica y confianza legítima.

Sobre la inversión de la carga de la prueba invocada en el acuerdo de inicio, parte en su exposición de la afirmación de que los datos que Equifax obtiene de los boletines y diarios oficiales gozan de «presunción de exactitud» «dada la propia naturaleza de la fuente de la que se obtiene». Por ello, tal presunción únicamente puede destruirse si el propio interesado acredita la inexactitud de la información o la propia fuente procede a su rectificación. Así pues, la conclusión es que ninguna inversión de la carga de la prueba existe, puesto que la información publicada es exacta en tanto no se demuestre los contrario.

La reclamada en relación con la garantía de los Principios de finalidad y de minimización en el acceso al fichero FIJ, alega que la aplicación de los mencionados principios se verá reforzada en cuanto al acceso a los datos con la aplicación de las garantías siguientes entre otras:

Sólo podrán acceder a los datos las entidades que mantengan con sus clientes una relación que determine la inclusión de sus datos en un SIC o a las que los afectados hayan solicitado la celebración de un contrato cuya ejecución determinaría la inclusión de tales datos.

Asimismo la entidad Equifax respecto a la Transparencia e Información a los interesados argumenta que en los supuestos de tratamientos basados en el interés legítimo prevalente se refuerzan los mecanismos de información al interesado acerca del tratamiento de los datos, en los términos establecidos en el artículo 14 del RGPD.

La reclamada como Anexo I a la documentación aportada, hace constar la fuente de datos y la web de descarga. Como ejemplo se reproduce la siguiente información:

  1. Notificaciones Administrativas de la AEAT (Pre-judiciales). Fuente de datos: BOE. Web de descarga: Suplemento Notificaciones del BOE diario.

Sobre las alegaciones de Equifax a la propuesta de resolución

La alegación segunda versa sobre la existencia de un «concurso medial entre la totalidad de las infracciones a las que se refiere la propuesta de resolución que impide acumular las potenciales sanciones».

Manifiesta que la propuesta identifica una pluralidad de infracciones que, supuestamente habría cometido Equifax «cuando en realidad se encuentran todas ellas subsumidas y embebidas en otras infracciones por las que la AEPD desea sancionar a la reclamada, dando todo ello lugar a diversos supuestos de concurso medial en los términos previstos en el artículo 29.5 de la Ley 40/2015«.

Aprecia la existencia de un concurso medial entre las infracciones del art. 6.1 RGPD en relación con el artículo 5.1.a) RGPD, 5.1.b) y 5.1.d) del RGPD.

Dice al tal efecto: «De esta forma, la supuesta falta de compatibilidad de los fines junto con la presunta infracción del principio de exactitud configuran la infraccion del principio de licitud del tratamiento, por la que también se pretende sancionar a Equifax. Como se puede observar, ya se produce un concurso medial con respecto a las infracciones del art. 6.1 RGPD en relación con el artículo 5.1.a) RGPD, 5.1.b) y 5.1.d) del RGPD».

Argumenta que, «respecto de la supuesta vulneración del principio de limitación de la finalidad, la AEPD considera, lo que se rebatirá posteriormente, que la finalidad del tratamiento originario y la del tratamiento ulterior por Equifax son incompatibles».

Equifax asimismo menciona unas reflexiones vertidas en la propuesta de resolución, en relación con la STJUE de 24/11/2011 y con la STS de 08/02/2012.

Una vez más afirma, que la AEPD era plenamente consciente de la existencia y del funcionamiento de estos sistemas de información; que, incluso con posterioridad a la STJUE, ha considerado suficiente para valorar su licitud el hecho de que los datos procedieran de las mencionadas fuentes accesibles al público y que pese a ello la AEPD no dirigió ninguna actuación contra el Fichero FIJ para reprochar el incumplimiento de la normativa de Protección de Datos.

Sobre algunos de los Fundamentos de Derecho o Razonamientos Jurídicos

Fundamento III (De la pretendida nulidad del procedimiento)

La entidad Equifax estima que la interpretación de la AEPD, según la cual «la determinación de la cuantía de la sanción y la consiguiente evaluación de las circunstancias concurrentes en el caso deviene de […] lo establecido en el artículo 85 LPACAP», es contraria a la Constitución Española toda vez que, dice, vulnera la protección de los derechos fundamentales que a través de ella se otorga y que la «eficiencia que podría perseguirse con la determinación del importe de la sanción en el acuerdo de inicio nunca podría justificar el quebranto de los derechos fundamentales del encartado (sujeto al procedimiento sancionador) que tal actuación conlleva».

A lo ya expuesto se añade en fase de propuesta que la AEPD entiende que la interpretación literal del precepto que viene haciendo es congruente con lo dispuesto en los diferentes apartados del artículo y que no le compete a este organismo pronunciarse sobre la pretendida inconstitucionalidad de esta disposición legal.

Fundamento VII (De la infracción del principio de exactitud)

El artículo 5.1.d) del RGPD, relativo al principio de exactitud, dispone que los datos personales objeto de tratamiento serán «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (exactitud)».

El Considerando 39 RGPD añade que deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.

El principio de exactitud implica que el responsable del tratamiento que disponga de información personal no utilizará dicha información sin adoptar medidas que garanticen, con una certeza razonable, que los datos son exactos y están actualizados. A su vez, la obligación de garantizar la exactitud de los datos debe considerarse en el contexto de la finalidad del tratamiento. El RGPD impone al responsable del tratamiento la obligación de mantener actualizados los datos pues dice que los datos serán exactos «y si fuera necesario, actualizados»; necesidad que está conectada con la finalidad del tratamiento.

La reclamada Equifax ha manifestado que la finalidad del tratamiento que lleva a cabo a través del FIJ está vinculada con la «evaluación de la solvencia de los afectados». Por tanto, solo si los datos incluidos en el fichero reflejan la situación actual serán idóneos para la finalidad pretendida de evaluar la solvencia de los prestatarios.

Las fuentes de las que se nutre el FIJ son los diarios y boletines oficiales. La información que en ellos se contiene, y a la que accede el FIJ, es la pertinente para que la Administración Pública pueda cumplir el fin que busca satisfacer y que ha justificado que se hicieran públicos datos personales de los administrados. Sin embargo, esa información no es la adecuada para la finalidad de un fichero como el FIJ. La disparidad e incompatibilidad entre la finalidad del tratamiento originario y la que persigue el FIJ determina que la información que este fichero recaba sea fragmentaria – dispone sólo de parte de la información relativa a la deuda y en ocasiones sólo de una parte de los datos identificativos de los supuestos deudores – y además esté desconectada del devenir de la deuda.

La deuda se vincula a una persona física en un acto de notificación que ve la luz pública en un momento puntual. Los avatares que a partir de ese momento pueden afectar a la existencia de la deuda y a su vinculación al supuesto deudor son innumerables. Entre ellos, por mencionar algunos, el pago por el deudor o la ejecución forzosa de la deuda por parte de la Administración, de la que Equifax no tendrá noticia si la notificación de los actos del procedimiento de ejecución se realiza personalmente y no es necesario acudir a la notificación mediante la publicación de edictos.

De esta manera, la información recabada por el FIJ se mantiene si actualizar, inalterable en el fichero durante un plazo máximo de seis años computados desde la fecha de la publicación, salvo que el afectado ejercite el derecho de supresión o rectificación. En el caso que nos ocupa, respecto a los reclamantes, constan anotaciones de impago publicadas en el año 2013, si bien la gran mayoría de los anuncios se publicaron entre 2016 y 2019.

Determinación de las circunstancias modificativas de la responsabilidad

En relación a la infracción del artículo 5.1.b) RGPD, se aprecia la concurrencia en calidad de agravantes de seis factores que revelan una mayor antijuridicidad y/o culpabilidad en la conducta de la entidad reclamada (Equifax).

Tales agravantes mencionadas se recogen en el cuerpo del procedimiento sancionador en las páginas 177 y 178.

En atención a las circunstancias que concurren se estima que el importe de la sanción económica o multa administrativa que procede imponer por la infracción del artículo 5.1.b) RGPD es de un millón de euros (1.000.000 €).

Resolución del procedimiento por parte de la Directora de la AEPD

Como consecuencia de todo ello, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia queda acreditada en el contenido del procedimiento sancionador, la AEPD procede a resolver el expediente imponiendo a Equifax Ibérica, SL, por una infracción del artículo 5.1.b) RGPD, en concurso medial, conforme a lo previsto en el artículo 29.5 de la Ley 40/2015, con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a) RGPD; 5.1.d) RGPD; 5.1.c) RGPD y 14 RGPD, las sanciones que reproducimos a continuación:

  • A tenor del art. 58.2.i) RGPD, una multa administrativa de un millón de euros.
  • A tenor del art. 58.2.f) RGPD, la prohibición de que continúe el tratamiento de los datos personales que realiza a través del Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) del que es titular.
  • A tenor del artículo 58.2.g) RGPD, que proceda a la supresión de todos los datos personales que son objeto de tratamiento a través del FIJ asociados a presuntas deudas y que fueron obtenidos por la reclamada de la publicación de anuncios de notificación insertados en el Tablón Edictal Único del Boletín Oficial del Estado, de boletines y diarios oficiales o de las sedes electrónicas de organismos y entidades de Derecho Público.

Fuente: Procedimiento sancionador AEPD Nº: PS/00240/2019

Otra entrada de interés: Asnef Personas Físicas
Grabación de llamadas comerciales. ¿Obligación o derecho?

En el ámbito de la privacidad digital, la grabación de llamadas comerciales ha sido un tema de intenso debate. ¿Se trata de una obligación impuesta por las normativas de protección de datos o de un derecho que garantiza la transparencia y el control de los usuarios sobre su información personal? La respuesta, como veremos, no es sencilla, pero se fundamenta en principios clave recogidos tanto en la legislación europea como en la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE). La responsabilidad proactiva y la necesidad de acreditar el cumplimiento Uno de los pilares del Reglamento General de Protección de Datos (RGPD) es el principio de responsabilidad proactiva. Este principio obliga a las empresas a demostrar que cumplen con las normativas de protección de datos en todo momento. En el contexto de las llamadas comerciales, la grabación de estas conversaciones se convierte en una herramienta esencial para acreditar que se han respetado los requisitos legales, como la obtención del consentimiento informado del usuario o la correcta información sobre el tratamiento de sus datos personales. Sin una grabación que documente el proceso, resultaría difícil, si no imposible, demostrar que se han cumplido estas obligaciones. Por tanto, la grabación no es solo una práctica recomendable, sino que, en muchos casos, se convierte en una necesidad para cumplir con el principio de responsabilidad proactiva. El derecho de acceso del usuario y la reproducción auténtica de datos Otro aspecto fundamental es el derecho de acceso que tienen los usuarios a sus datos personales. Este derecho, recogido en el artículo 15 del RGPD, incluye la posibilidad de obtener una copia de los datos que están siendo tratados. En el caso de las llamadas comerciales, esto implica que el usuario tiene derecho a acceder a una reproducción auténtica de la conversación en la que se han tratado sus datos personales. Este punto fue reforzado por la sentencia del TJUE de 4 de mayo de 2023 (asunto C-487/21, apartado 28), en la que se estableció que el derecho de acceso incluye “el derecho a obtener una reproducción auténtica de sus datos personales, entendidos en un sentido amplio, que sean objeto de operaciones que deben calificarse de tratamiento por parte del responsable de ese tratamiento”. En otras palabras, si una llamada comercial implica el tratamiento de datos personales, el usuario tiene derecho a acceder a una grabación de esa conversación. ¿Obligación o derecho? La grabación de llamadas comerciales, por tanto, no puede entenderse únicamente como una obligación impuesta a las empresas. También es un derecho que protege a los usuarios, garantizando que puedan acceder a la información que les concierne y que se ha tratado de manera transparente y conforme a la ley. Para las empresas, la grabación es una herramienta indispensable para demostrar el cumplimiento de las normativas de protección de datos y para facilitar el ejercicio de los derechos de los usuarios. Para los usuarios, es una garantía de que sus datos personales se están tratando de manera adecuada y que pueden acceder a ellos en cualquier momento. Conclusión En definitiva, la grabación de llamadas comerciales es tanto una obligación como un derecho. Es una obligación para las empresas, que deben cumplir con el principio de responsabilidad proactiva y garantizar que pueden demostrar el cumplimiento de la normativa. Y es un derecho para los usuarios, que pueden acceder a una reproducción auténtica de sus datos personales y ejercer un mayor control sobre su información. En un mundo cada vez más digital, donde la privacidad y la protección de datos son temas críticos, la grabación de llamadas comerciales se erige como una práctica esencial para equilibrar las responsabilidades de las empresas con los derechos de los usuarios. Desde la Asociación Española para la Privacidad Digital, abogamos por un enfoque que priorice la transparencia, la responsabilidad y el respeto por los derechos fundamentales de los individuos. Este artículo no solo busca informar, sino también fomentar la reflexión sobre cómo las empresas y los usuarios pueden colaborar para garantizar un tratamiento de datos más seguro y transparente. La privacidad digital es un derecho que debemos proteger entre todos.

LEER MÁS »
La Lista Stop Publicidad: Un paso adelante en la protección de tu privacidad digital

En un mundo cada vez más digitalizado, donde la publicidad online parece seguirnos a cada clic, la protección de nuestros datos personales se ha convertido en una prioridad. Por eso, la reciente publicación de la Agencia Española de Protección de Datos (AEPD) nos llena de optimismo. El pasado 31 de enero de 2025, la AEPD publicó en su web la Lista Stop Publicidad, un nuevo sistema que permite a los ciudadanos oponerse a la publicidad directa no deseada, ejerceriendo de este modo un mayor control sobre cómo y cuándo se utilizan sus datos para fines publicitarios. ¿Qué es la Lista Stop Publicidad? La Lista Stop Publicidad es un sistema que permite a los ciudadanos inscribirse para evitar recibir comunicaciones comerciales no deseadas. Este servicio, disponible en la web Lista Stop Publicidad, está diseñado para aquellas personas que no desean ser contactadas por empresas con fines publicitarios, ya sea por correo postal, telefónico, electrónico o incluso a través de redes sociales y sistemas de mensajería instantánea. Esta última característica es especialmente relevante en un momento en el que plataformas como Facebook, Instagram, WhatsApp o Telegram se han convertido en canales habituales para la publicidad dirigida. Ahora, los usuarios pueden indicar expresamente que no desean recibir publicidad en estos medios, lo que supone un avance significativo en la adaptación de la normativa de protección de datos a los nuevos hábitos de consumo digital. Comparación con la Lista Robinson Muchos recordarán la Lista Robinson, un sistema similar que lleva años funcionando en España para limitar el envío de publicidad no deseada. Sin embargo, la Lista Stop Publicidad va un paso más allá. Mientras que la Lista Robinson se centraba principalmente en el correo postal, telefónico y electrónico, la nueva lista incorpora los canales digitales más utilizados hoy en día, como las redes sociales y las aplicaciones de mensajería. Además, la Lista Stop Publicidad nace como una iniciativa de particulares asociados para luchar por la privacidad digital, a diferencia de la Lista Robinson que representa los intereses de las empresas anunciantes y prestadoras de servicios publicitarios. ¿Cómo funciona? El proceso es sencillo, accesible para todos y gratuito: Este sistema no solo empodera a los usuarios, sino que también simplifica el proceso de ejercer nuestros derechos, evitando tener que contactar individualmente con cada empresa que utiliza nuestros datos. Repercusión en los medios La noticia de la creación de la Lista Stop Publicidad ha tenido una amplia repercusión en los medios de comunicación, destacando la importancia de esta iniciativa en sus secciones de tecnología y sociedad. Además, medios especializados en tecnología como Xataka y Genbeta han analizado en profundidad las implicaciones de la lista, destacando su potencial para reducir el exceso de publicidad personalizada y mejorar la experiencia digital de los usuarios. ¿Por qué es importante? La publicidad no deseada es una de las principales quejas de los ciudadanos en materia de privacidad. Según estudios recientes, el 70% de los usuarios se sienten incómodos con la cantidad de publicidad personalizada que reciben. Además, muchas veces no sabemos cómo nuestros datos han llegado a manos de determinadas empresas. La Lista Stop Publicidad no solo puede reducir el ruido publicitario, sino que también pretende contribuir a un uso más ético y transparente de los datos personales. Es un recordatorio de que nuestras decisiones sobre cómo se utilizan nuestros datos deben ser respetadas. Un llamado a la acción Desde la Asociación Española para la Privacidad Digital, celebramos esta iniciativa y animamos a todos los ciudadanos a utilizarla. La privacidad es un derecho fundamental, y herramientas como esta nos ayudan a ejercerlo de manera efectiva. Sin embargo, también es importante recordar que la responsabilidad no recae únicamente en las instituciones. Como usuarios, debemos ser conscientes de cómo compartimos nuestros datos y qué permisos concedemos a las plataformas y servicios que utilizamos. La Lista Stop Publicidad es un paso más hacia un entorno digital más seguro y respetuoso con nuestros derechos. Pero el camino no termina aquí. Seguiremos trabajando para que la privacidad digital sea una realidad accesible para todos. Si aún no lo has hecho, regístrate en la Lista Stop Publicidad. Tu privacidad te lo agradecerá. Para más información, consulta la página oficial de la LISTA STOP PUBLICIDAD José Manuel de Ramón RodríguezPresidente de la Asociación Española para la Privacidad Digital

LEER MÁS »
Cese de Mar España y la transición en la AEPD

El cese de Mar España y la transición en la AEPD: un nuevo capítulo en la protección de datos en España El reciente cese de Mar España como directora de la Agencia Española de Protección de Datos (AEPD) marca el fin de una etapa crucial en la historia de la institución. Tras casi una década al frente, su gestión dejó un legado significativo en la protección de los derechos digitales y en la implementación del Reglamento General de Protección de Datos (RGPD) en España. Un liderazgo enfocado en la privacidad y los colectivos vulnerables Mar España asumió la dirección de la AEPD en julio de 2015, enfrentándose a una era de cambios tecnológicos sin precedentes. Bajo su mandato, la agencia se convirtió en una referencia europea en la protección de datos, imponiendo sanciones ejemplares y promoviendo iniciativas educativas para concienciar a la ciudadanía sobre sus derechos en el entorno digital. Su trabajo destacó especialmente por su enfoque en la protección de colectivos vulnerables, como menores, personas mayores y víctimas de violencia de género. Además, impulsó una mayor colaboración con entidades públicas y privadas para garantizar un uso ético de los datos personales en un mundo digital cada vez más complejo. Los desafíos del cambio de liderazgo El cese de Mar España se formalizó mediante un Real Decreto aprobado por el Consejo de Ministros, abriendo paso a un cambio de liderazgo en la AEPD. Este relevo llega en un momento crítico, con la rápida evolución de tecnologías como la inteligencia artificial, el big data y los sistemas de reconocimiento facial que plantean nuevos retos a la privacidad y la protección de datos. Los posibles sucesores El Gobierno ha propuesto al catedrático Lorenzo Cotino Hueso como nuevo presidente de la AEPD, acompañado por Antonio Troncoso Reigada como adjunto. Ambos perfiles representan enfoques complementarios que, de ser ratificados, podrían posicionar a la agencia como una entidad más estratégica y proactiva ante los desafíos globales en materia de protección de datos. Un futuro incierto pero prometedor La transición en la dirección de la AEPD se produce en un contexto de alta expectativa sobre el papel de las instituciones de privacidad en Europa. La agencia tiene la oportunidad de consolidarse aún más como referente internacional, liderando iniciativas que refuercen los derechos digitales en un entorno globalizado. El reto para el próximo liderazgo será garantizar la continuidad del trabajo realizado, adaptándose al mismo tiempo a los rápidos avances tecnológicos que redefinen constantemente los límites de la privacidad y la protección de datos.

LEER MÁS »
Paralizado el proyecto de Meta sobre el entrenamiento de la IA con datos de sus usuarios

Aplazado el lanzamiento de la IA de Meta Meta Platforms, Inc., anteriormente conocida como Facebook, Inc., es una empresa estadounidense de tecnología y redes sociales fundada por Mark Zuckerberg. Es conocida por su plataforma de redes sociales Facebook, así como por Instagram, WhatsApp y Messenger. En 2021, la empresa cambió su nombre a Meta para reflejar su enfoque en construir el «metaverso», un espacio virtual compartido.En cuanto a la situación reciente de Meta y su inteligencia artificial (IA) en Europa:♦️ Regulación y Privacidad: La Unión Europea ha sido muy estricta en cuanto a la regulación de datos y la privacidad, implementando leyes como el Reglamento General de Protección de Datos (GDPR). Estas leyes imponen fuertes restricciones y requisitos sobre cómo las empresas pueden recopilar, almacenar y utilizar los datos personales de los usuarios.♦️ Multas y Sanciones: Meta ha enfrentado varias sanciones en Europa debido a violaciones de privacidad.♦️ Desafíos Legales: Recientemente, Meta ha enfrentado desafíos legales específicos relacionados con sus sistemas de IA, incluyendo la forma en que se utilizan los datos de los usuarios para entrenar algoritmos y personalizar contenido.♦️ Cambios en las Políticas: Para cumplir con las regulaciones europeas y mitigar riesgos legales, Meta ha tenido que ajustar sus políticas y prácticas, especialmente en relación con la IA y la privacidad de los datos. Esto incluye cambios en la forma en que recopilan el consentimiento de los usuarios, gestionan los datos y explican sus procesos de IA.♦️ Futuro de la IA de Meta en Europa: El futuro de la IA de Meta en Europa sigue siendo incierto, ya que depende de cómo la empresa se adapte a las regulaciones en constante evolución y las demandas de privacidad de los usuarios europeos. La empresa debe equilibrar la innovación en IA con el cumplimiento de estrictas normativas de privacidad y protección de datos. Meta anunció hace unos días que ha puesto en pausa el entrenamiento de su IA con datos de sus usuarios en Europa tras una solicitud del regulador de privacidad de Irlanda, donde la empresa tiene su centro de operaciones internacionales. La Comisión Irlandesa de Protección de Datos ha celebrado la decisión de Meta de pausar sus planes para entrenar su modelo de lenguaje de gran tamaño usando contenido público compartido por adultos en Facebook e Instagram en la Unión Europea. La compañia Meta ha expresado su decepción por el paso dado por la DPC, argumentando que ya se había incorporado las exigencias de los reguladores y que las autoridades de protección de datos estaban avisadas desde marzo 2024. Meta también ha hecho público que están muy seguros de que su método cumple con las leyes y regulaciones europeas. Al mismo tiempo Meta ha reafirmado su compromiso de llevar su IA a Europa.

LEER MÁS »
Meta utilizará los datos de sus usuarios para entrenar su IA

Protección de Datos y Privacidad Meta, la empresa propietaria de Instagram, Facebook y WhatsApp, está actualizando las condiciones de privacidad de  sus usuarios de tal manera que autoricen el uso de sus datos (incluyendo fotos o publicaciones) para alimentar y entrenar su herramienta de Inteligencia Artificial (IA), salvo si se oponen a ello. Personalmente considero que el interesado o afectado (usuario) tendría que prestar su  consentimiento expreso, inequívoco e informado para poder proceder al tratamiento de sus datos personales por parte de Meta. Teniendo el derecho asimismo de retirarlo en cualquier momento (artículo 7.3 RGPD UE). No obstante, Meta reconoce el derecho de oposición del usuario al tratamiento de sus datos personales conforme a lo estipulado por el artículo 21.1 RGPD UE. Puesto que según la propia Meta, la base jurídica en la que se ampararán serán sus intereses legítimos de usar la información del usuario para desarrollar y mejorar la IA en Meta. El artículo 6.1. f) RGPD UE contempla como una base legitimadora para poder proceder al tratamiento de datos, la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Ahora bien, habría que comprobar si esos intereses legítimos alegados por el responsable del tratamiento (Meta) están justificados y son conformes a derecho. Sería interesante saber cuál sería la opinión de la autoridad de control nacional (AEPD), en un futuro pronunciamiento al respecto. Puesto que tales intereses legítimos no están nada claros.    Por otra parte hay que decir también que el ejercicio del derecho de oposición requiere de varios pasos que no son sencillos (requiere de siete acciones por parte del usuario), además la oposición nunca es completa, y no excluye a terceros, ni la cesión a terceras personas. Una prueba clara de que tal derecho no es completo, se encuentra en que la IA de Meta no distingue en las fotos entre los perfiles de usuarios que autorizaron el uso de sus datos personales del resto. De tal manera, que Meta no procede a informar sobre qué uso hace de los datos de terceros que no hayan dado su consentimiento previamente, entre los cuales podría haber datos de colectivos vulnerables como son los menores de edad. Según la propia Meta están trabajando en la nueva versión de la Política de Privacidad para que de esta manera refleje todos estos cambios. Esta nueva versión entrará en vigor el 26 de junio de 2024. En último lugar, procedemos a suministraros una URL con un vídeo donde podréis consultar los pasos a seguir para ejercitar el derecho de oposición al tratamiento de datos personales habilitado por Meta: derecho de oposición ante Meta

LEER MÁS »
Como crear contraseñas robustas en internet

Recomendaciones de interés para internautas Para poder preservar la privacidad en internet o en ámbitos digitales online es fundamental el uso de contraseñas fuertes o seguras. De esta manera podremos eludir accesos no autorizados por parte de terceros a nuestras cuentas. Por lo que procedemos a continuación a presentar una serie de consejos para de esta manera poder reforzar la seguridad y por lo tanto la privacidad de datos en entornos digitales. Es práctica común por parte de un sector de la ciudadanía el utilizar contraseñas poco robustas, con la amenaza o la inseguridad que esto implica. En muchas ocasiones, decidimos consumar la creación de una clave de acceso de manera rápida, sin tener en cuenta o sin  valorar las consecuencias que esto puede acarrear y el riesgo que puede entrañar. Por lo que el riesgo de que terceros no autorizados puedan tener acceso a nuestras cuentas puede ser múltiple o plural. A continuación vamos a proceder a proporcionar una serie de útiles consejos para reforzar nuestras contraseñas y así de esta manera que sean más seguras: Podemos seguir todos estos consejos descritos de manera asequible en una infografía alojada en la página web corporativa de INCIBE (Instituto Nacional de Ciberseguridad): https://www.incibe.es/ciudadania/formacion/infografias/crea-tu-contrasena-segura Dicha infografía ofrece una sistemática que se puede utilizar  cada  vez  que procedamos a registrarnos en un sitio web. A continuación reproducimos los pasos a seguir para poder crear una contraseña segura: Como medida de seguridad extra, INCIBE nos recomienda seguir también estos otros consejos para que los ciberdelincuentes no tengan nada que hacer: En último lugar, es muy importante tener en cuenta que cada usuario/persona  puede usar o emplear varias contraseñas diferentes con las implicaciones que esto entraña, siendo la más importante la dificultad para recordarlas todas ellas. La manera de evitar este notorio problema, es la utilización de un Gestor de Contraseñas con  una fiabilidad demostrada. Por lo que, utilizando este sistema, solamente sería necesario retener en la memoria la clave de acceso que hayamos seleccionado para entrar al Gestor de Contraseñas, la cual podemos denominarla contraseña madre, más conocida como clave maestra. Fuente: AEPD e INCIBE Otra entrada de interés: Controla tus datos personales en internet

LEER MÁS »

SUSCRÍBETE PARA ESTAR AL DÍA DE NUESTRAS NOVEDADES

En base al el Artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD) y al artículo 13 del Reglamento General de Protección de Datos de la UE (RGPD)2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, ASOCIACIÓN ESPAÑOLA PARA LA PRIVACIDAD DIGITAL (ASOCIACIONEPD) le informa de la existencia de un tratamiento de datos de carácter personal cuyo responsable es ASOCIACIÓN ESPAÑOLA PARA LA PRIVACIDAD DIGITAL (ASOCIACIONEPD) con CIF: G42631564 con dirección C/Médico Temístocles Almagro nº18 lc 2, 03300 Orihuela (Alicante), teléfono 965306309 email: dpo@asociacionepd.es
Objeto de tratamiento: datos de contacto… más info
Finalidades: La gestión y mantenimiento de los clientes y usuarios… más info
Conservación: durante el periodo de vigencia del consentimiento …más info
Legitimación: consentimiento de usuario de la web … más info
Destinatarios: Proveedores de Cookies … más info
Encargados de tratamiento: Proveedor de alojamiento web o hosting y hosting correo electrónico… más info
Transferencias internaciones. Proveedores de Cookies… más info
Ejercicio derechos: acceso, rectificación, supresión, oposición al tratamiento, limitación del tratamiento, portabilidad de sus datos, a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, a retirar el consentimiento en cualquier momento en la dirección Calle Médico Temístocles Almagro nº 18 lc 2, CP 03300, Orihuela (Alicante) o mediante vía electrónica, acreditando su personalidad, en la siguiente dirección de correo electrónico a dpo@asociacionepd.es … más info
Para más información usted puede consultar nuestra política de privacidad

POLÍTICA DE PRIVACIDAD

POLÍTICA DE COOKIES

ESTATUTOS

TÉRMINOS Y CONDICIONES

AVISO LEGAL RGPD – LSSICE