DOCUMENTO CLAVE – En este documento se analizan las áreas de mejora detectadas por la AEPD en la evaluación de impacto de AENA y se proponen acciones concretas a realizar en cada uno de los puntos analizados.
La resolución por la que se sanciona a AENA con 10 millones de euros se centra exclusivamente en el incumplimiento del artículo 35 del RGPD, es decir, en las deficiencias encontradas en la evaluación de impacto.
Cuando una resolución de la AEPD describe con detalle las deficiencias de una evaluación de impacto, ofrece siempre una segunda capa de lectura que ayuda a conocer la manera correcta de elaborar una EIPD según los criterios de la Agencia.
Archivo de la categoría: RGPD
El modelo de datos del tratamiento
El modelo de datos ha demostrado su utilidad a lo largo de los años como instrumento de análisis de la estructura de una base de datos orientado al cumplimiento de la ley y a la protección jurídica de las bases de datos y de los datos. En este documento descargable se analizan las principales funciones del modelo de datos.
Un análisis de riesgos para cada tratamiento
DOCUMENTO CLAVE – En este documento descargable analizamos las características, el alcance y las obligaciones legales asociadas al análisis de riesgos que debe llevarse a cabo en relación con cada uno de los tratamientos realizados por la empresa.
Datos biométricos no dirigidos a la identificación
En este documento se muestran múltiples ejemplos de tratamientos de datos biométricos que no van dirigidos a identificar de manera unívoca a una persona física, y que, por lo tanto, no cumplirían el requisito de la finalidad establecido en el artículo 9.1 del RGPD.
Es la continuación de este otro documento:
https://lnkd.in/dRuxXm93
Sentencia del Tribunal Supremo sobre plantilla biométrica
Esta sentencia del Tribunal Supremo contiene una valoración de la intrascendencia de una plantilla biométrica minimizada para los derechos fundamentales, especialmente en relación con la intimidad y el artículo 18.1 de la Constitución Española. También es importante la referencia a la base jurídica. Estos argumentos están plenamente vigentes en la actualidad y son compatibles con el RGPD.
Informe completo: https://lnkd.in/dCxFxJma
Datos biométricos y derechos fundamentales
Como puede verse en la tabla, y así lo confirma el artículo 9.1 de la LOPDGDD al no incluir los datos biométricos en la lista de categorías que pueden generar efectos discriminatorios, no todas las categorías especiales de datos del artículo 9.1 del RGPD tienen el mismo impacto y generan los mismos riesgos para los derechos y libertades de los interesados.
La última columna de la tabla demuestra que la verificación biométrica no debe considerarse incluida en el artículo 9.1 del RGPD.
Informe completo: https://lnkd.in/dCxFxJma
Datos biométricos – Cambios decisivos
Datos biométricos – Cambios decisivos que obligan a actualizar la guía de la AEPD de 2023 y ofrecen argumentos para excluir del artículo 9.1 del RGPD la verificación biométrica de la identidad con participación activa del interesado.
Control de los subencargados del tratamiento: situación de incumplimiento continuado.
Control de los subencargados del tratamiento: situación de incumplimiento continuado.
Riesgos
1. Desconocimiento de su existencia
Ni el responsable ni el encargado del tratamiento son capaces de determinar con exactitud los distintos proveedores que acceden a los datos personales que tratan en sus sistemas.
2. Dispersión fractal
Cada empresa tiene su propio universo de encargados y subencargados del tratamiento que acceden a los datos personales de forma no lineal, sino fractal o arborescente, de manera que cada encargado tiene sus subencargados y cada nivel de subencargados tiene un segundo nivel de subencargados. La estructura fractal de las subcontrataciones hace que cada vez que analizamos un encargado del tratamiento surja una lista larga de subencargados, y al analizar cada uno de ellos surge otra lista de subencargados, y así hasta crear una red de subcontrataciones muy compleja e imposible de gestionar sin un presupuesto que resulta inasumible.
3. Longitud de la cadena
Si aplicamos la lista de más de 100 proveedores que habitualmente acceden a los múltiples tratamientos de una empresa a cada nivel de subcontratación y sumamos la dispersión fractal, la longitud de la cadena puede tender al infinito.
4. Debilitamiento del control
El control del responsable del tratamiento sobre cada nivel de la cadena de suministro de servicios de encargado y subencargado del tratamiento se va debilitando en la medida en que el tratamiento se aleja de su perímetro de control. Si a este efecto centrífugo se suma la dispersión fractal, el control sobre el tratamiento puede llegar a ser cero.
Control de los subencargados del tratamiento
Agujero negro del RGPD número 1 – Control de los subencargados del tratamiento
Los agujeros negros del RGPD
Cómo se forman los agujeros negros del RGPD
